本文来自民主与法制时报。
3月22日,国家金融监督管理总局发布《银行保险机构数据安全管理办法(公开征求意见稿)》(以下简称《征求意见稿》)对外公开征求意见,进一步规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益。
《征求意见稿》从数据安全治理、数据分类分级、数据安全技术保护、个人信息保护、数据安全风险监测与处置等方面进一步规范银行保险机构数据处理活动。
主要亮点
近年来,随着金融领域数字化、智能化程度日益加深,商业银行、保险公司等金融机构在与客户业务往来中生成的大量数据能否得到有效管理,不仅涉及个人信息能否得到充分保护,更关系到金融体系乃至整个经济社会的稳定发展。同时,维护数据安全与金融安全属于总体国家安全观的重要内容,而金融领域特别是银行业保险业的数据安全更是重中之重。面对实践中时有发生的金融机构数据遭窃、侵犯个人隐私等现象,如何基于金融行业的特殊性构建具有针对性的数据安全管理机制,成为我国金融监管部门亟待应对的挑战之一。
因此,在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规相继颁行大背景下,中国证监会于2023年2月印发《证券期货业网络和信息安全管理办法》、中国人民银行于2023年7月发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》,金融监管总局随之发布《征求意见稿》,拟进一步规范银行业保险业日常业务领域内的数据安全管理工作。
与数据安全法、商业银行法等上位法相比,《征求意见稿》在以下几个方面制度特色鲜明:
其一,基于银行业保险业实际实施数据分类分级管理。银行保险机构处理的数据体量十分庞大,既包括与个人信息密切相关的交易数据,又包括日常内部管理活动中的非敏感数据。根据一定标准对数据实施分类分级,使数据安全管理活动符合成本效益原则十分必要。《征求意见稿》在数据安全法规定的“在经济社会发展中的重要程度”,以及“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”两类标准的基础上,将数据分类为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等,并将数据分级为核心数据、重要数据、一般数据。值得注意的是,“一般数据”并非不重要的数据,其包括敏感数据和其他一般数据,指一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。此外,《征求意见稿》还规定了数据分类分级的动态调整制度,要求银行保险机构应当加强数据安全级别的时效管理,建立动态调整审批机制,当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致原安全级别不再适用的,应当及时动态调整。
其二,从技术保护角度明确多道数据安全保护基线。法律与技术均为开展数据安全管理的重要手段。通过法律制度对特定主体施加必须采用特定技术的义务,有助于进一步通过技术手段实现管理目标。《征求意见稿》结合网络安全法中网络运营者应当履行的网络安全保护义务、数据安全法中数据处理者应当履行的数据安全保护义务,要求银行保险机构建立数据安全技术架构。即要求银行保险机构应当筑牢信息系统保护、数据访问控制、数据传输保护、数据存储保护、数据销毁管理等五大数据安全保护基线。以信息系统保护为例,银行保险机构应当将敏感级及以上数据纳入信息系统保护。在数据全生命周期内采取有效的访问控制管理措施,对于不同区域流转和共享中的数据,应实施同等水平的安全防护措施;多来源敏感级及以上数据汇聚集中后,银行保险机构应加强安全措施或者采取至少不低于集中前最高级别数据保护强度的安全措施。
其三,兼顾金融领域的数据安全治理与个人信息保护。现行语境下,“数据”指以电子或者其他方式对信息的记录,而“个人信息”则指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。在此概念基础上,我国采取了数据安全法与个人信息保护法分别立法的模式,而《证券期货业网络和信息安全管理办法》与《中国人民银行业务领域数据安全管理办法(征求意见稿)》亦极少提及个人信息保护。《征求意见稿》除构建传统逻辑下的数据安全管理机制外,还专章规定了银行保险机构应当履行的个人信息保护义务。例如,《征求意见稿》规定银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估,评估内容包括个人信息处理的合法性、必要性,对个人权益的影响及安全风险,所采取的保护措施合法性、有效性,以及是否与风险程度相适应。这不仅有助于补充、加强《银行保险机构消费者权益保护管理办法》中关于保护金融消费者信息安全权的条文内容,还有助于平衡数据安全管理与个人信息保护的利益。
完善建议
2023年10月30日至31日召开的中央金融工作会议提出,“要加快建设金融强国,全面加强金融监管,完善金融体制,优化金融服务,防范化解风险”“做好科技金融、绿色金融、普惠金融、养老金融、数字金融五篇大文章”。
为强化科技服务于金融、服务于实体经济的能力,建议从以下几方面进一步完善《征求意见稿》:
其一,强化与其他部门规章中涉及银行保险机构数据安全管理的制度衔接与协调。《征求意见稿》采取类似于机构监管方式规制银行保险机构开展的数据处理活动,《中国人民银行业务领域数据安全管理办法(征求意见稿)》采取类似于行为监管方式规制与银行业务相关的数据处理活动,这使得商业银行等机构的业务可能均会受两个部门规章的约束,因此,要进一步强化制度协调、减少监管重叠或冲突。以数据分级分类制度为例,《中国人民银行业务领域数据安全管理办法(征求意见稿)》采用了差异较大的数据分级制度,该制度将数据按照精度、规模和对国家安全的影响程度分为一般、重要、核心三级,且根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高分为五个层级。此外,该制度也需要与《个人金融信息保护技术规范》等行业标准进一步统筹协调。
其二,兼顾银行保险数据的开发利用与个人数据权益保护。2022年12月印发的《关于构建数据基础制度更好发挥数据要素作用的意见》提出,“探索数据产权结构性分置制度”,即充分考虑数据的生产、流通等环节,厘清数据上不同利益主体之间的关系,根据个人数据、企业数据和公共数据各自的特性进行合理权益界定。目前,《征求意见稿》主要侧重于银行业保险业数据的开发利用,特别是数据收集、外部数据采购、数据加工、数据资产管理等行为规范,虽然亦提及银行保险机构开展敏感级及以上数据加工活动时,应当采用匿名化、去标识化或者其他必要安全措施保护数据主体权益,但其仍主要通过技术手段保护数据主体权益,建议探索个人与银行保险机构的数据产权初步界定,以进一步平衡数据开发利用与个人信息权益保护问题。