2023年7月24日,中国人民银行(“央行”)发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(“《征求意见稿》”),向社会公开征求意见。[1]
近年来,随着《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重要法律法规、以及《数据出境安全评估办法》《个人信息出境标准合同办法》《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》等配套规章规定的发布实施,金融行业一直密切关注金融监管机构出台相关的行业数据管理规定,尤其是如何落实行业重要数据识别、数据分级分类、跨境数据传输评估、境外监管机构数据调取等方面的监管要求。
本次,央行为衔接《中华人民共和国数据安全法》等相关法律法规,细化明确央行业务领域数据安全合规底线要求,在《征求意见稿》中就数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任等方面作出篇幅达29页的规定,拟据此指导督促相关数据处理者依法依规开展央行业务领域数据处理活动,履行数据安全保护义务。
适用范围
1. 适用范围
《征求意见稿》所规制的“数据处理者”是指“是指开展数据处理活动的金融机构和其他机构”,范围较为宽泛。不过,第二条进一步明确其仅适用于“中国人民银行业务领域数据相关的处理活动”:
“数据处理者在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动,适用本办法。法律、行政法规或者中国人民银行另有规定的,从其规定。
本办法所称中国人民银行业务领域数据,指根据法律、行政法规、国务院决定和中国人民银行规章,开展中国人民银行承担监督管理职责的各类业务活动时,所产生和收集的不涉及国家秘密的网络数据,以下简称数据。”
对此,央行在《起草说明》[2]中强调,根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,《办法》明确适用范围为中华人民共和国境内开展的,中国人民银行承担监督管理职责各类业务相关的数据处理活动。此类业务涉及的数据处理者,开展对应数据处理活动时,应当遵守《办法》提出的管理要求。当前,《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。
由此,以下方面值得关注:
-
是否适用于国家金融监督管理局(“金融监管局”)、中国证券监督管理委员会(“证监会”)监督管理的机构
- 《征求意见稿》的适用范围原则上不涉及应由金融监管局、证监会承担监督管理职责的其他业务活动相关的数据处理活动。
- 然而,由于同时由金融监管局监督管理的商业银行、主要由证监会监督管理的证券公司、基金管理公司、期货公司等金融机构也会处理或涉及央行监督管理的反洗钱业务、跨境人民币业务、银行间各类市场交易业务、支付清算业务和/或征信业务等业务(如适用),所以此类活动所衍生的数据处理活动仍可能会落入《征求意见稿》的适用范围。
- 此类业务所产生的数据通常与上述金融机构在其他场景下产生的数据有所交叉,完全与其他业务场景分离管理可能存在实操困难。据此,是否落实、如何落实此类场景下的在不同监管机构下规定的不同数据管理义务,或待金融监管机构和市场参与者阐明和探索。
- 上述《起草说明》所列举的各项业务仅做举例说明,并未列入《征求意见稿》正文,未来仍应以可能会扩张或收缩的央行具体职权所涉业务活动作为准绳。
- 国家外汇领域数据安全管理由国家外汇管理局负责,具体制度可另行制定[3]。
- 为衔接《数据安全法》的要求,央行重申《征求意见稿》不包括对国家秘密的数据处理活动的管理,涉密数据应适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
- 为衔接《数据安全法》《网络数据安全管理条例(征求意见稿)》,央行重申《征求意见稿》不包括对统计、档案工作中开展的数据处理活动的管理。
重要数据处理者相关义务
对于“重要数据应当境内存储”、“规定情形下申报数据出境安全评估”等均为已出台上位法所明确法定义务的条款,《征求意见稿》没有再次重申,未额外增加合规要求,但是提出了如下的重要数据处理者的相关义务。目前《征求意见稿》尚未对重要数据的范围、识别、举例作出具体规定。(以下图表内容来自对《中国人民银行业务领域数据安全管理办法(征求意见稿)》原文的整理编辑,点击图片可放大查阅)
数据敏感性分层级以及相关义务
按照《征求意见稿》第九条的规定,数据处理者应当在数据分级基础上参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级,其中结构化数据项应当逐一标识层级,非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。
针对不同层级的数据项,《征求意见稿》也规定了数据处理者应当履行的义务。需要注意,《征求意见稿》中的“以上”均含本级,以适用于“第二层级以上”数据项的义务为例,该等义务不仅适用于第二层级数据项本身,还适用于第三、四和五层级数据项,除非《征求意见稿》中对于第三、四和五层级数据项的该等义务规定了更严格的具体要求。
建议重点关注※标识的义务;这些规定可能在现已有规定基础上,提出更严格的合规要求。(以下图表内容来自对《中国人民银行业务领域数据安全管理办法(征求意见稿)》原文的整理编辑,点击图片可放大查阅)


数据出境限制管理措施要求、国际组织和外国金融管理部门数据调取
1. 数据出境限制管理措施要求
如上所述,在数据境内储存、数据出境的限制上,《征求意见稿》并未额外提出新合规要求。
第二十六条(数据出境限制管理措施要求)规定:
“数据处理者在中华人民共和国境内收集和产生的数据,法律、行政法规有境内存储要求的,应当在境内存储。
数据处理者因自身需要向境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估。数据处理者不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。
对于因自身需要的数据出境提供行为,数据处理者应当于每年1月底前测算或者估算其上两年内累计出境数据规模与范围,并保存测算估算结果和对应的境外接收方联系方式至少三年。涉及数据出境安全评估的,数据处理者还应当保存有效期内的数据出境风险自评估报告、数据出境安全评估申报书和评估结果。”
上述规定第一款意即,“法律、行政法规有境内存储要求的”,方须在境内存储。目前,主要指《网络安全法》《数据安全法》《个人信息保护法》下关于在境内储存个人信息、重要数据的相关要求[4]。
第二款关于安全评估的要求,亦是重申《数据安全法》等规定下由国家网信部门组织的数据出境安全评估要求。
2. 国际组织和外国金融管理部门数据调取
关于向境外监管机构跨境提供数据,延续《数据安全法》《个人信息保护法》《证券法》《期货和衍生品法》《网络数据安全管理条例(征求意见稿)》[5]下的精神,在尊重国际条约协定以及平等互惠原则的同时,《征求意见稿》要求非经央行和其他有关主管部门批准,数据处理者不得向其提供境内存储的数据。
第二十七条(国际组织和外国金融管理部门数据调取)规定:
“中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理国际组织和外国金融管理部门关于提供数据的请求。非经中国人民银行和其他有关主管部门批准,数据处理者不得向其提供境内存储的数据。”
- http://www.pbc.gov.cn/tiaofasi/144941/144979/3941920/4993510/ ↑
- http://www.pbc.gov.cn/tiaofasi/144941/144979/3941920/4993510/ ↑
- 《征求意见稿》第五十六条。 ↑
- 《网络安全法》第三十七条、《数据安全法》第三十一条、《个人信息保护法》第四十条。 ↑
- 《数据安全法》第三十六条、《个人信息保护法》第四十一条、《证券法》第一百七十七条、《期货和衍生品法》第一百二十三条、第一百二十四条、《网络数据安全管理条例(征求意见稿)》第三十八条、三十九条第二款。 ↑