2024年3月22日，國家金融監(jiān)督管理總局（“金管局"）發(fā)布《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法（征求意見稿）》（以下簡稱“《征求意見稿》"），向社會公開征求意見。這是繼證監(jiān)會2023年發(fā)布的《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》以及人民銀行于2023年7月公布的《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》（以下簡稱“《人行領(lǐng)域數(shù)安辦法（征求意見稿）》"）之后，金融行業(yè)主管部門發(fā)布的又一綜合性數(shù)據(jù)安全部門規(guī)章。

隨著金融行業(yè)數(shù)字化變革加速演進，新技術(shù)、新業(yè)務(wù)模式不斷涌現(xiàn)，數(shù)據(jù)處理活動日益頻繁，《征求意見稿》旨在發(fā)揮監(jiān)管“指揮棒"作用，銜接《個人信息保護法》《數(shù)據(jù)安全法》等上位法律，引導(dǎo)銀行保險機構(gòu)規(guī)范相關(guān)數(shù)據(jù)處理活動、保障數(shù)據(jù)安全，同時有序促進數(shù)據(jù)合理開發(fā)利用，穩(wěn)步提升金融服務(wù)數(shù)字化、智能化水平。

《征求意見稿》共九章八十一條，包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護、個人信息保護、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置、監(jiān)督管理及附則。金管局與之同時還公布了有關(guān)負責(zé)人就《征求意見稿》征求意見稿的答記者問，對《征求意見稿》的起草背景、主要內(nèi)容、重點問題進行補充說明。本文將結(jié)合答記者問對《征求意見稿》的相關(guān)內(nèi)容要點與亮點進行匯總梳理與解讀，以供讀者參考。

一、《征求意見稿》的具體適用范圍

不同于《人行領(lǐng)域數(shù)安辦法（征求意見稿）》中僅按照具體業(yè)務(wù)而非機構(gòu)類型劃定適用范圍的方式，《征求意見稿》第二條確立了以金管局管轄的金融機構(gòu)主體類型劃定適用范圍的思路，具體包括在中國境內(nèi)設(shè)立的下列組織機構(gòu)：

表1 《征求意見稿》適用機構(gòu)類型

此外，在適用的行為范圍方面，《征求意見稿》規(guī)定其適用于上述機構(gòu)除涉及國家秘密之外的其他所有數(shù)據(jù)處理活動。

由于《人行領(lǐng)域數(shù)安辦法（征求意見稿）》并未具體明確所適用的機構(gòu)類型，而是以是否從事反洗錢、貨幣政策、支付清算、征信等九大業(yè)務(wù)為準，其所映射的機構(gòu)范圍也不可避免地會與《征求意見稿》規(guī)定的機構(gòu)產(chǎn)生重合。因此，銀行金融機構(gòu)可能將面臨人行、金管局不同條線的雙重數(shù)據(jù)監(jiān)管壓力，需同時滿足《人行領(lǐng)域數(shù)安辦法（征求意見稿）》及《征求意見稿》規(guī)定的各項要求。然而，結(jié)合后文所述，二者在數(shù)據(jù)分類分級體系、具體合規(guī)要求等方面也存在較大的差異，又均規(guī)定了安全審計、風(fēng)險評估、監(jiān)管報告等類似要求。這給相關(guān)機構(gòu)解讀、執(zhí)行造成一定挑戰(zhàn)和困難。同時處于兩部辦法適用范圍內(nèi)的金融機構(gòu)面臨需要協(xié)調(diào)不同監(jiān)管要求（如同時執(zhí)行兩套不同的數(shù)據(jù)分級制度）以及部分相似合規(guī)要求疊加（如每年分別進行兩次風(fēng)險評估、提交兩次報告）等問題，可能需要付出更多的合規(guī)精力與成本。

另一方面，《征求意見稿》所轄的適用機構(gòu)類型也較為廣闊，不僅涵蓋商業(yè)銀行、保險集團等傳統(tǒng)大型機構(gòu)，還要求其他相較而言體量較小的各類非銀行金融機構(gòu)。對于前述機構(gòu)“等量齊觀"地要求遵循相同的數(shù)據(jù)安全合規(guī)標準，可能也會為機構(gòu)的合規(guī)工作帶來較大的負擔(dān)與壓力?！墩髑笠庖姼濉穼C構(gòu)設(shè)定的數(shù)據(jù)安全要求及合規(guī)要求較為嚴苛，除了傳統(tǒng)大型商業(yè)銀行已經(jīng)建立較為完備的信息科技體系與數(shù)據(jù)安全管理措施外，其他中小型的金融機構(gòu)可能未必有足夠的系統(tǒng)建設(shè)能力、安全技術(shù)與人力資源、資金財力以滿足《征求意見稿》設(shè)定的合規(guī)標準。如何能夠針對機構(gòu)的體量與類型設(shè)置差異化的合規(guī)要求，或許是《征求意見稿》在后續(xù)落地過程中需要考量與完善之處。

二、倡導(dǎo)建立數(shù)據(jù)資產(chǎn)地圖和登記管理，全面落實數(shù)據(jù)分類分級要求，推動重要數(shù)據(jù)目錄相關(guān)工作

《征求意見稿》規(guī)定，銀行保險機構(gòu)應(yīng)當建立企業(yè)級數(shù)據(jù)架構(gòu)，統(tǒng)籌開展對全域數(shù)據(jù)資產(chǎn)登記管理，建立數(shù)據(jù)資產(chǎn)地圖，以數(shù)據(jù)分類分級為基礎(chǔ)明確數(shù)據(jù)保護對象，圍繞數(shù)據(jù)處理活動實施安全管理。

在數(shù)據(jù)分類分級方面，《征求意見稿》要求各機構(gòu)制定數(shù)據(jù)分類分級保護制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，并對相關(guān)數(shù)據(jù)目錄進行動態(tài)管理與維護，加強數(shù)據(jù)安全級別的時效性管理。

? 對于數(shù)據(jù)分類而言，《征求意見稿》列舉了四大維度，指出各機構(gòu)可按照客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全管理數(shù)據(jù)作為數(shù)據(jù)的一級類別開展分類工作。

? 對于數(shù)據(jù)分級而言，《征求意見稿》銜接《數(shù)據(jù)安全法》的通用要求，將數(shù)據(jù)分按照重要性和敏感程度，從高到低分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三大級別。特別地，《征求意見稿》還將一般數(shù)據(jù)細分為“敏感數(shù)據(jù)"和“其他一般數(shù)據(jù)"。這一“大三級、小四級"的分級標準是《征求意見稿》中的創(chuàng)新性要求，與《人行領(lǐng)域數(shù)安辦法（征求意見稿）》中的“三級五層、可用性"以及行業(yè)標準《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（JR/T 0197-2020）（“0197標準"）的分級要求均有所差異。

如前所述，目前《征求意見稿》與《人行領(lǐng)域數(shù)安辦法（征求意見稿）》在適用機構(gòu)范圍上存在重合，而二者規(guī)定的數(shù)據(jù)分級體系與思路也存在較大差異，特別是針對不同級別的數(shù)據(jù)還需要根據(jù)規(guī)定采取不同的安全保護措施，這可能導(dǎo)致相關(guān)機構(gòu)（如商業(yè)銀行）在支付、授信數(shù)據(jù)處理、反洗錢等業(yè)務(wù)活動要考慮同時協(xié)調(diào)兩套分級標準及對應(yīng)的安全措施，從而為合規(guī)工作帶來較大的挑戰(zhàn)。

《征求意見稿》目前并未對各等級數(shù)據(jù)識別的具體因素進行展開，但敏感數(shù)據(jù)的概念包括“對組織自身或者公民個體造成重要影響的數(shù)據(jù)"?！秱€人信息保護法》下的敏感個人信息或《個人金融信息保護技術(shù)規(guī)范》（JR/T 0171-2020）（“0171標準"）中的C2與C3級別個人信息是否均與《征求意見稿》規(guī)定的“敏感數(shù)據(jù)"存在對應(yīng)關(guān)系，有待監(jiān)管后續(xù)回應(yīng)。而這也關(guān)系著已經(jīng)按照0197標準和1017標準完成數(shù)據(jù)資產(chǎn)梳理和分類分級工作的機構(gòu)能否以及如何過渡至新規(guī)下要求的分類分級體系。

相關(guān)各級數(shù)據(jù)概念定義見下表：

表2 《征求意見稿》規(guī)定的各數(shù)據(jù)級別定義

此外，《征求意見稿》亦強調(diào)，金管局將制定銀行業(yè)保險業(yè)重要數(shù)據(jù)目錄、提出核心數(shù)據(jù)目錄建議，并監(jiān)導(dǎo)各機構(gòu)開展數(shù)據(jù)分類分級管理和數(shù)據(jù)保護。這也意味著伴隨著《征求意見稿》的后續(xù)落地，銀行保險領(lǐng)域重要及核心數(shù)據(jù)目錄及識別工作可能將逐步開啟。根據(jù)《征求意見稿》，未來各機構(gòu)還應(yīng)當就其自身的重要數(shù)據(jù)目錄按要求向金管局或者其派出機構(gòu)報送；重要數(shù)據(jù)目錄發(fā)生重大變化的，應(yīng)當及時報備更新后的數(shù)據(jù)目錄。

三、建立多層次數(shù)據(jù)安全治理架構(gòu)、壓實主體責(zé)任，落實數(shù)據(jù)安全責(zé)任制

《征求意見稿》要求銀行保險機構(gòu)建立覆蓋董（理）事會、高管層、數(shù)據(jù)安全統(tǒng)籌、數(shù)據(jù)安全技術(shù)保護等部門的多層次數(shù)據(jù)安全管理組織架構(gòu)，并建立數(shù)據(jù)安全責(zé)任制：

• 其中，黨委（黨組）、董（理）事會對本單位數(shù)據(jù)安全工作負主體責(zé)任，機構(gòu)主要負責(zé)人為數(shù)據(jù)安全第一責(zé)任人，分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責(zé)任人。

• 銀行保險機構(gòu)應(yīng)指定數(shù)據(jù)安全歸口管理部門，作為本機構(gòu)負責(zé)數(shù)據(jù)安全工作的主責(zé)部門，承擔(dān)制定數(shù)據(jù)安全管理制度標準、建立維護數(shù)據(jù)目錄、推動數(shù)據(jù)分類分級保護、組織開展風(fēng)險監(jiān)測、預(yù)警及處置等職責(zé)。

• 對于機構(gòu)內(nèi)部的各業(yè)務(wù)部門和條線，《征求意見稿》則要求遵循“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全"的原則，由各部門負責(zé)其業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理責(zé)任。

• 此外，《征求意見稿》還要求各機構(gòu)建立企業(yè)級數(shù)據(jù)服務(wù)管理體系，制定數(shù)據(jù)服務(wù)規(guī)范，建立專職數(shù)據(jù)服務(wù)團隊，統(tǒng)籌內(nèi)外部數(shù)據(jù)加工、分析，實施數(shù)據(jù)服務(wù)需求分析、服務(wù)開發(fā)、服務(wù)部署、服務(wù)監(jiān)控等活動。

四、規(guī)定全流程數(shù)據(jù)安全管理與安全技術(shù)規(guī)范，關(guān)注金融新技術(shù)與新業(yè)態(tài)應(yīng)用，細化風(fēng)險監(jiān)測、評估審計、事件處置、監(jiān)管報告多方面義務(wù)

針對銀行保險機構(gòu)在數(shù)據(jù)收集、存儲、使用、加工、傳輸、公開、刪除、銷毀等生命周期各環(huán)節(jié)，以及相關(guān)的評估、風(fēng)險事件處置等重要管理與技術(shù)保護要求，《征求意見稿》第四章至七章也提出詳實要求。囿于篇幅，我們挑選了其中值得關(guān)注的重要制度及亮點內(nèi)容進行總結(jié)：

? 數(shù)據(jù)全生命周期保護要點列舉

《征求意見稿》在數(shù)據(jù)全生命周期多個環(huán)節(jié)中均設(shè)置了經(jīng)“數(shù)據(jù)主體同意"的要求（例如收集數(shù)據(jù)環(huán)節(jié)、共享敏感級以上數(shù)據(jù)）。因為《征求意見稿》中的數(shù)據(jù)涵蓋個人信息以及非個人信息的業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)等數(shù)據(jù)類型，我們理解數(shù)據(jù)主體這一概念除個人信息主體外還包括非個人類企業(yè)機構(gòu)類主體。實際上，《人行領(lǐng)域數(shù)安辦法（征求意見稿）》也存在類似的合規(guī)要求，這也彰顯出金融行業(yè)主管部門希望將金融機構(gòu)履行“授權(quán)同意"要求擴張復(fù)用至非個人數(shù)據(jù)的監(jiān)管思路。但是，這些要求也意味著機構(gòu)在數(shù)據(jù)處理活動授權(quán)方面將迎來更大的挑戰(zhàn)與整改難度，機構(gòu)從事數(shù)據(jù)購買、爬蟲等數(shù)據(jù)活動也均可能面臨合法性難題。

表3 各數(shù)據(jù)處理環(huán)節(jié)要點歸納

??關(guān)注人工智能、開放銀行等新技術(shù)、新業(yè)態(tài)

《征求意見稿》倡導(dǎo)統(tǒng)籌安全與發(fā)展，推進數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)、加大數(shù)據(jù)創(chuàng)新應(yīng)用力度、激活數(shù)據(jù)要素、提高金融服務(wù)智能化水平；此外，還要求各機構(gòu)持續(xù)跟蹤新興數(shù)據(jù)開發(fā)利用和科技發(fā)展前沿動態(tài)，有效應(yīng)對大數(shù)據(jù)應(yīng)用與科技創(chuàng)新可能產(chǎn)生的社會風(fēng)險、倫理道德風(fēng)險、誤用濫用風(fēng)險等。

在金融科技監(jiān)管與治理方面，《征求意見稿》中有多處條款設(shè)定了人工智能、算法模型的應(yīng)用合規(guī)要求，并關(guān)注了大數(shù)據(jù)平臺、開發(fā)銀行等新興業(yè)態(tài)模式。我們將相關(guān)要求整理如下：

表4 《征求意見稿》涉及新興技術(shù)業(yè)態(tài)相關(guān)規(guī)則匯總

??風(fēng)險監(jiān)測、安全事件處置與重要報告義務(wù)

《征求意見稿》亦對于銀行保險機構(gòu)數(shù)據(jù)處理活動的風(fēng)險監(jiān)測、評估、審計以及應(yīng)急處置等方面提出了若干要求：

表5 《征求意見稿》規(guī)定的風(fēng)險監(jiān)測、評估、審計與報告義務(wù)

??個人信息保護

《征求意見稿》第六章專章規(guī)定了個人信息保護相關(guān)內(nèi)容，其規(guī)定相對簡明，基本沿襲了《個人信息保護法》以及《銀行保險機構(gòu)消費者權(quán)益保護管理辦法》（“9號令"）等金融消保規(guī)范中的“明確告知、授權(quán)同意"要求。值得注意的是，《征求意見稿》首次在金融行業(yè)相關(guān)規(guī)范中明確機構(gòu)應(yīng)當履行個人信息保護影響評估（PIA）義務(wù)。另一方面，考慮到除評估對象有所差異（PIA僅包含個人信息）、PIA有三年的報告留存要求，前述數(shù)據(jù)安全評估與PIA的評估關(guān)注要素、觸發(fā)場景等也大體相同，企業(yè)是否能將兩者合并統(tǒng)一在同一程序下進行，仍有待后續(xù)監(jiān)管澄清。

除此之外，《征求意見稿》中的個保要求如何與金融消保規(guī)范協(xié)調(diào)也值得討論。近年來，金融領(lǐng)域的個保監(jiān)管議題與相關(guān)工作一直是金融消費者權(quán)益保護下的重要板塊，在9號令等文件中也有相關(guān)規(guī)定。從適用范圍角度，《征求意見稿》中的相關(guān)個保要求似乎可以延伸至機構(gòu)自身的內(nèi)部員工、對公客戶聯(lián)系人等主體，較消費者個人信息范疇更為寬廣。

另外，根據(jù)《征求意見稿》的規(guī)定，違反該辦法的相關(guān)行為，相關(guān)主管部門將根據(jù)《銀行業(yè)監(jiān)督管理法》《保險法》處以罰款，罰款最高可至50萬元（銀行金融機構(gòu)）和30萬元（保險機構(gòu)）；而9號令要求違反消費者個人信息保護的相關(guān)要求，主管部門還可以根據(jù)《消費者權(quán)益保護法》進行處罰。對于銀行金融機構(gòu)，其個人信息違規(guī)行為還受制于《人行領(lǐng)域數(shù)安辦法（征求意見稿）》，該規(guī)定的罰則依據(jù)包括《數(shù)據(jù)安全法》《個人信息保護法》。上述法規(guī)的罰則并不完全相同一致。因此，如果相關(guān)機構(gòu)發(fā)生侵犯消費者個人信息的行為，上述法規(guī)競合情況下如何適用的問題也有待主管部門更多的說明指導(dǎo)。

五、結(jié)語

2023年6月，金管局曾下發(fā)《關(guān)于加強第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》，要求各機構(gòu)切實履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護義務(wù)、采取針對性安全保護措施、建立健全應(yīng)急處置機制。近日，金管局又向各監(jiān)管局、銀行保險機構(gòu)內(nèi)部下發(fā)了《關(guān)于銀行保險機構(gòu)侵害個人信息權(quán)益亂象專項整治發(fā)現(xiàn)主要問題的通報》，對于此前開展的個保集中整治專項中的突出問題進行總結(jié)，并要求各機構(gòu)將個人信息保護作為一項基礎(chǔ)性、長期性工作抓實抓細。

由此可見，金融領(lǐng)域數(shù)據(jù)合規(guī)監(jiān)管將在《數(shù)據(jù)安全法》《個人信息保護法》所構(gòu)建的基礎(chǔ)法律框架下，結(jié)合本行業(yè)領(lǐng)域的特點持續(xù)深入進行，并隨著金管局、人行等行業(yè)主管部門的監(jiān)管細則、業(yè)務(wù)指引的陸續(xù)出臺呈現(xiàn)出精細化的管理特點。

各機構(gòu)依然需要將自身的數(shù)據(jù)合規(guī)工作放在重要位置、持續(xù)跟蹤相關(guān)立法動態(tài)，對于所需遵循的合規(guī)義務(wù)進行梳理，以迎接《征求意見稿》及《人行領(lǐng)域數(shù)安辦法（征求意見稿）》正式落地時代的到來；同時，也應(yīng)持續(xù)做好數(shù)據(jù)安全體系、分類分級、全生命周期保護等各環(huán)節(jié)。對于新業(yè)態(tài)與模式應(yīng)當注意從數(shù)據(jù)安全角度做好合規(guī)論證，必要時可以請外部顧問協(xié)助。