标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
引言
2024年3月22日,国家金融监督管理总局(以下简称“金监局”)起草并公布了自其挂牌成立后的第一部数据安全管理方面的部门规章立法——《银行保险机构数据安全管理办法(征求意见稿)》(以下简称“《数据安全管理办法》”)。金监局起草《数据安全管理办法》承继了“谁管业务、谁管业务数据、谁管数据安全”的逻辑,是其积极履行监管职责以回应银行保险业数字化转型与变革的重要一步。
本文尝试回顾银行保险业既有数据安全管理相关规范,梳理《数据安全管理办法》的基本监管脉络与抓手,并对重点监管要求进行解读,在既有金融业数据安全管理体系基础上,以期为银行保险业未来的数据安全管理体系建设优化作出思考与展望。
一、《数据安全管理办法》的出台背景
1. 银行保险机构数据安全管理的立法沿革
2023年5月18日,金监局挂牌成立,统一负责除证券业之外的金融业监管,监管主体涵盖开发性金融机构、政策性及商业银行、保险机构、金融资产管理公司等多主体。在《数据安全法》等数据安全与个人信息保护相关法律法规确立“金融行业等主管部门相应承担本行业、本领域数据安全监督职责”的基础上,金监局积极履行其数据安全监管职责,为数字时代中的银行与保险机构响应数字化变革“保驾护航”。
而在金监局发布《数据安全管理办法》前,此前中国银保监会、中国人民银行、中国证券监督管理委员会等监管部门均已开展相关监管领域范围内的数据安全管理尝试。
值得关注的是,2023年7月24日,中国人民银行起草并发布了《中国人民银行领域数据安全管理办法(征求意见稿)》(以下简称“《央行数安管理办法》”),就人民银行业务领域的数据安全管理提出基本要求与具体规则。[1]可预见的是,《央行数安管理办法》和金监局本次发布的《数据安全管理办法》后续通过施行后,部分主体将可能面临来源于中国人民银行和金监局的交叉监管要求。其中,中国人民银行在制定数据安全管理规则时,已将可能存在的监管竞合问题纳入立法的考量范围,指出人民银行将“积极支持其他有关主管部门依据职责开展数据安全监督管理工作,必要时可与其他有关主管部门签署合作协议,进一步约定数据安全监督管理写协作模式”。因此我们理解,未来中国人民银行与金监局可能将就如何协调执行银行业领域数据安全管理的监督工作达成紧密联系与坚实合作。
2. 银行保险机构数据安全监管对金融行业数字化变革的回应
数字化转型时代,与海量银行保险业数据相伴而生的是随时可能转为现实的数据安全风险。2024年3月26日,金监局向其监管范围内的主体下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》,其中载明,经全面深入检视银行保险机构的个人信息处理执行流程,识别出强制收集个人信息、未及时删除个人信息以及对涉及个人信息处理的合作机构管控失效等重大问题与隐患,自查共发现问题15.42万个,涉及员工14.09万人,影响消费者1.99亿人次,涉及合同协议、声明等2.63万份。同时,金融业数据安全违规乱象丛生也并非新现象,近年来,多家银行机构已因违规处理客户数据遭受了相应的处罚,其中不乏高额罚单。例如,2021年,某股份有限制银行因客户信息保护机制不健全、客户信息收集环节不规范、客户数据访问控制管理不符合要求等原因,被中国银保监会处以450万元罚款。基于银行保险机构数据安全风险防控的考虑,《数据安全管理办法》从组织架构、数据处理基本要求、个人信息保护、安全技术体系等维度出发,初步确立了银行保险机构的数据安全管理体系。
自中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》、国家财政部发布《企业数据资源相关会计处理暂行规定》等相关数据资源资产化等相关规定、政策以来,如何充分发挥数据要素价值、如何构建自由流通的数据要素市场成为了社会各界的关注重点。一方面,银行保险业领域相关机构如商业银行、保险机构,掌握了海量数据资源,数据资源资产化的可尝试空间极为丰富。另一方面,来源合法合规、处理行为合法合规的数据资源是相关银行保险机构开展数据资产化实践尝试的前提。对此,《数据安全管理办法》进一步明确提出“统筹对全域数据资产登记管理,建立数据资产地图”的整体要求,这是实现后续数据资源入表管理的先决条件。
3. 银行保险机构数据安全管理的监管逻辑的延续与调整
(1)贯彻“统筹发展与安全”思路,指导银行保险业的数据安全管理工作
“安全是发展的基础,稳定是强盛的前提”。数字经济时代背景下,《数据安全管理办法》也将“统筹发展与安全”的原则也进一步贯彻至掌握大量企业数据、个人信息的银行与保险领域。一方面,《数据安全管理办法》贯彻了“保安全”的底层思路,无论是数据安全治理架构,数据安全管理体系,还是数据安全技术保护体系,其旨在从不同维度出发,综合实现安全的基本目标。另一方面,在“保安全”的同时,也需思考如何同步实现发展之目标,《数据安全管理办法》也就此提出了重要的方向性建议,例如,《数据安全管理办法》规定,在数据开发利用时,加大数据创新应用力度,促进以数据为关键要素的数字经济发展;在文化建设上,除了培育维护数据安全外,也应同时强化促进发展的生态环境等。基于此,我们也建议,为了确保各大银行保险机构能够有效统筹数据安全与发展,金监局与其他主管部门可着手开展试点工作,宣传优秀案例,为相关机构提供切实可行的“促发展、保安全”的实践抓手。
(2)延续数据全生命周期行为监管,拓宽主体监管框架
相较于此前的金融业数据安全管理立法,《数据安全管理办法》的一大亮点在于,其依托金监局相对广泛的监管范围(即除证券业之外的金融业监管),在常规的数据处理者全生命周期的行为监管模式基础上,拓宽了监管的主体范畴。
与《央行数安管理办法》《金融数据安全 数据生命周期安全规范(JR/T 0223-2021)》等既有金融数据安全管理立法、行业标准等类似的是,《数据安全管理办法》延续了常规的数据处理全生命周期脉络,就数据收集、外部数据采购、数据加工、数据使用、数据共享、数据委托处理、外包管理、数据共同处理、数据转移、数据公开、数据跨境等数据处理环节的监管要求。
在此基础上,《数据安全管理办法》将多类主体纳入监管范畴,在统一的数据安全监管体系下,对不同类型主体进行实施统一水平的监管。我们理解,统一的数据安全监管体系能够在一定程度上拉齐金融业整体数据安全合规水位,然而,除证券机构以外的金融机构,其涉及收集、处理的企业数据类型、个人信息类型可能存在较大差异,例如相较于银行机构,保险机构还可能获取客户的健康医疗数据。如何在统一的安全监管体系下,对不同类型主体收集掌握的差异化数据类型采取合理、恰当的安全管理措施和技术措施,健全且可行性较高的数据分级分类制度或是一条可行的出路。
(3) 梳理重点场景,强化场景化监管理念
《数据安全管理办法》除了按照数据处理的全生命周期提出数据处理及个人信息保护要求外,还结合实践中数据安全事件频发、数据泄露风险高、数据处理合规水位模糊不清的“痛点”,提出了针对性的监管要求。
1)金融外包管理
近年来当中,压实金融外包中的主体责任多次成为金融数据监管动态的要求之一。例如,中国银保监会专门发布《银行保险机构信息科技外包风险监督办法》,要求将涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包列入重点外包范畴,并对客户信息等敏感信息采取严格管控措施;2023年6月,金监局发布《关于加强第三方合作中网络和数据安全管理的通知》,强调与外包服务商的合同中应强化网络和数据安全要求的条款。
在《数据安全管理办法》中,金监局也进一步强化了“服务外包,责任不外包”的主体意识,通过《数据安全管理办法》第三十一条,明确将数据委托处理纳入信息科技外包管理之范畴,并禁止银行保险机构将数据安全主体责任外包。考虑到银行保险机构在信息科技外包过程中,涉及的数据委托处理活动众多,因此相关机构应提前布局,例如选择信誉较高的外包服务商,优化自身与外包商签署的外包服务协议条款,并以签署补充协议等方式尽快予以落实。
2)外部数据采购管理
实践中,银行保险机构除了在自身业务经营过程中产生数据、收集客户数据外,还可能引入第三方数据源,或核验数据,或开展数据分析以加强业务投放的深度与广度。为规范银行保险机构引入第三方数据源安全管理流程,《数据安全管理办法》也对这一实践开展频率较高的场景提出了基本的安全管理要求。
具体而言,除了部分银行保险机构已开展的与数据提供方就双方的数据安全责任及义务进行分配的实践外,《数据安全管理办法》第二十六条还规定了统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制,并对数据来源的真实性、合法性进行调查。就数据来源真实性、合法性的调查义务而言,我们理解,实践中相关机构引入第三方数据源时,往往同时批量引入规模较大的数据,如何对全量外部数据的真实性、合法性进行有效有序的调查,仍有进一步监管指导与立法研讨。
3)集团内部数据共享管理
在集团范围内,银行、保险相关机构的母子公司之间、子公司与子公司之间往往深入某一领域开展业务,而某一子公司的客户,可能也同时构成另外子公司的客户。基于银行集团整体管控、形成客户整体业务画像等外部监管要求与内部管理需求,集团内的母子公司、子公司之间可能涉及多类客户数据共享的实践需求。为了切实维护银行保险机构客户的数据安全与合法权益,金监局通过《数据安全管理办法》第二十九条,对集团内的数据共享提出了相应的技术措施和管理措施:
其一,银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”,并对共享数据采取有效保护措施。我们理解,数据安全隔离不仅承继了特殊金融领域要求建立风险隔离机制的原则,也是银行保险领域数据存储的基本要求。就风险隔离机制而言,中国银保监会于2018年发布的《商业银行理财子公司管理办法》规定,银行理财子公司与其主要股东之间,同一股东控股、参股或实际控制的其他机构之间,以及国务院银行业监督管理机构认定需要实施风险隔离的其他机构之间,应当建立有效的风险隔离机制,包括不得提供存在潜在利益冲突的投资、研究、客户敏感信息等资料。
其二,就共享所需的客户授权而言,《数据安全管理办法》提高了银行保险机构共享敏感级及以上数据的门槛,即明确规定“应当获得数据主体的授权同意”。考虑到《数据安全管理办法》中的数据主体包括企业客户,我们理解,除《个人信息保护法》规定的对外共享个人信息前需取得个人信息主体单独同意的要求外,《数据安全管理办法》的这一规定实质上要求银行保险机构在共享企业客户数据前,也需相应企业客户的授权同意,即将企业客户也纳入授权同意的主体范畴。
二、《数据安全管理办法》重点内容解读
1. 数据安全管理体系的重构
《数据安全管理办法》的起草,旨在规范银行业保险业的数据处理活动,保障数据安全,促进数据的合理开发利用。本次《数据安全管理办法》在既往金融数据安全全生命周期管理机制基础上,提出了一系列数据安全管理措施,以重构从数据安全管理到风险动态管控的常态长效机制。
(1)数据安全治理架构:归口管理机制下的业务导向治理
《数据安全管理办法》明确要求银行保险机构建立数据安全责任制,指定归口管理部门负责本机构的数据安全工作;按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求。具体数据安全责任机制下各部门的职责分配如下表所示。
(2)数据安全管理体系:资产管理与安全保护的平衡
《数据安全管理办法》强调资产管理与安全保护的平衡,要求银行保险机构按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,在开展相关数据业务处理活动时应当进行数据安全评估。
银行保险机构需要根据国家数据安全政策和自身发展战略,建立一套完善的数据安全管理制度。这套制度应涵盖数据的收集、存储、处理、传输、共享、披露等各个环节,明确数据安全管理的职责分工、操作流程和监督机制。同时,制度还应包括数据安全风险的评估、监测、应对和报告流程,确保能够及时发现和处理数据安全问题。
(3)数据安全技术保护体系:网络、软件、数据多层发力
正如我们此前文章《横看成岭侧成峰——从<个信法>和<数安法>等看网络空间治理的中国方案》所述,我们理解,我国网络空间治理的法律法规可划分为:网络层、软件层、数据层,而《数据安全管理办法》则承继了多层发力、多维互联的立法体系,要求银行保险机构建立数据安全技术架构,以及建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,明确数据保护策略方法,采取技术手段保障数据安全。对此,我们建议,银行保险机构数据安全管理合规应当注重理解相关法律规范的基础定位及相互联系,从而在运营全过程中甄别风险,及时调整,并作出如下合规准备:
其一,银行保险机构应当以网络安全等级保护为基础:对存放或传输敏感级及以上数据的机房、网络实施重点防护。
其二,银行保险机构应当关注数据应用场景化保护:根据数据处理的具体应用场景,采取相应的技术保护措施,如加密、访问控制等。
其三,银行保险机构应当加强数据处理全生命周期的技术保护:在数据的整个生命周期内,从数据产生到销毁,都采取有效的技术保护措施,保障数据的完整性、保密性和可用性。
(4)数据风险管理机制:从日常风险监测评估到定期报告机制
《数据安全管理办法》对银行保险机构的数据风险管理提出了明确要求,要求银行保险机构将数据安全风险纳入本机构全面风险管理体系,明确数据安全风险监测、风险评估及审计、应急响应与事件处置、事后报告的组织架构和管理流程,以通过建立健全的数据风险管理机制,有效防范和处置数据安全风险。
首先,数据安全风险监测。银行保险机构应建立数据安全风险监测体系,对数据安全风险、客户有关数据安全的投诉、数据安全等负面舆情进行持续监测。此外,《数据安全管理办法》对数据安全风险因素进行了列举,并对数据安全事件影响范围和程度,分为特别重大、重大、较大和一般四个事件级别。
第二,风险评估与审计。《数据安全管理办法》要求银行保险机构每年开展一次数据安全风险评估。审计部门应当每三年至少开展一次数据安全全面审计,此外发生重大数据安全事件后应当开展专项审计。
第三,应急响应与事件处置。《数据安全管理办法》对银行保险机构建立数据安全事件应急管理机制提出新要求。银行保险机构应建立机构内部协调联动机制,建立服务提供商、第三方合作机构数据安全事件的报告机制,及时处置风险隐患及安全事件。此外,在数据安全事件发生后,银行保险机构亦负有及时向主管部门报告的一系列义务:(a)数据安全事件发生2小时内,银行保险机构应当向金监局或者其派出机构报告,并在事件发生后24小时内提交正式书面报告。(b)发生特别重大数据安全事件,银行保险机构应按照规定及时告知用户并向属地公安机关、金融监管机构报告,每2小时将处置进展情况上报,直至处置结束。(c)数据安全事件处置结束后,银行保险机构应当在五个工作日内将事件及其处置的评估、总结和改进报告报送属地监管部门。
第四,定期报告机制。《数据安全管理办法》要求银行保险机构建立定期报告机制,银行保险机构应当于每年1月15日前向金监局或者其派出机构报送上一年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等。
2. 数据分类分级标准的革新
《数据安全管理办法》在第三章就对数据分类分级的要求进行了明确,以响应并细化《数据安全法》中提出的“国家建立数据分类分级保护制度”的总体要求。
就数据分类而言,《数据安全管理办法》承继行业标准并结合银行保险机构业务与经营管理实践,将数据类型分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等,为银行保险机构的数据分类实践提供了更清晰的指引。
就数据分级而言,《央行数安管理办法》与《数据安全管理办法》在对于涉及重要数据的安全事件的数据安全事件定级判断标准不全然相同,前者明确将涉及重要数据的安全事件定义为重大事件,而《数据安全管理办法》则规定,重要数据遭到泄露、破坏或者非法获取、非法利用,对2个及以上省级区域经济运行秩序造成特别严重影响,则构成特别重大数据安全事件,换言之,受到上述规范交叉规制的主体,如发生涉及重要数据的数据安全时间,除了采取了《央行数安管理办法》规定的相关义务外,还需综合考量前述数据安全事件是否“对2个及以上省级区域经济运行秩序造成特别严重影响”,并还需相应满足《数据安全管理办法》规定的特别重大数据安全事件相关的报告时限义务等合规义务。
尽管如此,对于银行保险机构在落实数据分类分级实践时,我们提示:首先,《数据安全管理办法》并未穷尽数据分类的子项,银行保险机构可充分结合自身的业务与经营管理实践对数据进行分类,如将客户数据进一步将其细分为对公客户数据和个人客户数据,对内部员工的在日常工作中产生的数据划分为内部管理数据等。其次,考虑到《数据安全管理办法》和《央行数安管理办法》的适用范围有一定重合,因此相关数据处理者在构建内部数据分类分级制度时可能需要同时考虑中国人民银行和金融监管总局的相关的规定,因此还需持续关注后续不同规定之间衔接和统一,以充分满足合规需求。此外,尽管《数据安全管理办法》提出数据分级可按照核心数据、重要数据与一般数据的标准进行分类,且明确了相关重要数据的定义,但具体重要数据目录还应参照后续金融监管总局制定的银行业保险业重要数据目录,因此其可先根据《数据安全管理办法》的定义并结合自身经营与业务实践先行梳理与开展分级工作,并持续关注行业重要数据目录以及时调整内部制度。
3. 个人信息保护合规机制的借鉴与衔接
(1)个人信息保护合规要求
考虑到银行保险机构在实际经营和业务实践中涉及处理大量的个人信息,因此《数据安全管理办法》专门设置第六章对个人信息保护的内容进行了单独规定,具体要求基本上重申了《个人信息保护法》的相关规定,充分彰显了金监总局对于银行保险机构个人信息保护合规的重视。同时,《数据安全管理办法》在个人信息风险报告制度中明确要求银行保险机构应当将相关事项的报告对象为金融监管总局或其派出机构,这也进一步印证了金监局构成在银行业保险业中履行个人信息保护职责的部门。
(2)数据保护合规要求的借鉴
《数据安全管理办法》第四章还重点介绍了数据安全管理,其首先从数据全生命周期的视角对数据处理的合规性进行了规定。相比于《央行数安管理办法》等规定,《数据安全管理办法》在对数据全生命周期的管理规定中大量参考和借鉴了《个人信息保护法》中对个人信息处理的合规性要求,该创造性的规定将会给银行保险机构的经营和业务实践带来一定挑战。举例而言,在数据收集场景中,《数据安全管理办法》借鉴《个人信息保护法》的内容即引入了必要性原则,并规定银行保险机构不得超出数据主体同意的范围向其收集数据;在间接收集场景中,《数据安全管理办法》还要求银行保险机构应当制定外部数据采购、合作引入的集中审批管理制度,加强了对其数据来源的合法合规性要求;在向其他数据者提供数据(共享)场景,其要求了对敏感级及以上的数据共享应当获得数据主体的授权同意,亦是借鉴了《个人信息保护法》中对于向其他个人信息处理者提供个人信息时需获得单独同意的要求。其他诸如数据委托处理、数据公开、数据转移、数据跨境、数据删除与销毁的规定均与相应的个人信息处理规则保持一致。
除数据全生命周期之外,《数据安全管理办法》还参考个人信息保护影响评估工作,提出了数据安全评估制度,对银行保险机构处理敏感级及以上数据的业务活动时应当开展的数据安全评估工作的要求进行了明确。其中触发数据安全评估工作的场景以及评估的具体事项内容等亦与个人信息保护影响评估工作基本相同。
可见,上述银行保险机构数据处理合规要求将非个人信息数据与个人信息的数据安全管理要求整体上拉齐至相近的合规红线,提升银行保险机构合规水平的同时,也不免引发银行保险机构对于如何整体调整此前的非个人信息数据处理合规路径的关注与顾虑。仅以银行保险机构在集团内部开展数据共享为例,根据当前的行业实践,不少集团在开展数据融合的相关工作中,要求其子行、子公司提供客户数据、业务数据等,而在业务实践中相应的子行、子公司若严格按照《数据安全管理办法》的规定,对于敏感级以上的数据共享需要获得数据主体的授权,可能会在实操性上给相关子行与公司带来相当的挑战。
(3)新增数据价值开发应用管理措施要求
为应对金融领域日益广泛的AI大模型等人工智能的布局,例如以大模型为底座与原料向用户提供银行、保险服务,相关机构也需持续跟踪科技发展前沿动态,有效应对科技应用与发展可能带来的社会风险、伦理道德风险等。
为了进一步规制银行保险机构在经营与业务实践中可能存在使用模型算法、人工智能的情况,以及对齐当前《生成式人工智能服务管理暂行办法》等要求,《数据安全管理办法》首先提出了数据处理的透明性原则和公平合理原则,并要求银行保险机构对相关模型的开发、引入等进行统一管理机制。其次,从实操层面出发,《数据安全管理办法》明确了银行保险机构需对相关信息系统、模型算法的使用应当从合理性、正当性和可解释性等方面开展数据安全审查,以确保其合规性。最后,针对银行保险机构使用人工智能技术开展业务时,《数据安全管理办法》衔接了针对个人信息自动化决策的内容,包括对决策结果的说明和披露、对运行过程的检测和风险缓释措施等。
对此,我们提示银行保险机构若确涉及开展自动化决策分析、模型算法开发、数据标注等活动的,应尽早根据自身的管理实践构建相应的制度管理体系,以期提供合规指引的同时保障数据安全以及数据主体的合法权益。
三、银行保险机构数据安全监管路径
1. 协同监管
正如我们在《“致广大而尽精微”——<中国人民银行业务领域数据安全管理办法(征求意见稿)>解读》中所述,银行保险机构业等金融业务领域的监管层面,法律法规多线并轨、部门规章与行业标准高效制定,国家及金融业监管部门如金监局、中国人民银行、以及证监会等监管部门分别以各自的侧重点出发进行规制。
对于银行保险机构而言,在诸如支付结算、反洗钱等业务场景中开展数据处理活动,其面临的监管压力源自于金监局与中国人民银行的双重监督机制,并且须在两个独立的监管层面上达到对应的数据安全管理要求。鉴于正式生效后的《数据安全管理办法》与《央行数安管理办法》所带来的新监管要求,如何有效整合多个行业主管机构的监管框架,并确保银行保险机构正常业务开展的同时避免承担过重的合规负担,成为一个亟待深入研究的问题。
从监管职责角度来看,中国人民银行及其分支机构主要针对的是货币政策执行、金融稳定维护以及支付结算体系等业务领域的数据安全,而金监局及其派出机构则更侧重对银行和保险机构日常经营活动中涉及的数据安全进行管理。故在《央行数安管理办法》充分关注宏观审慎管理和系统性风险防控相关的数据安全的基础之上,《数据安全管理办法》在内容上可能更加具体到微观层面的业务操作、客户信息和金融交易数据安全规范等方面。我们理解,中国人民银行与金监局在数据安全监管中各有侧重,实质上形成了一种层次化和互补性的协同监管模式。
《央行数安管理办法》亦彰显了协同监管的治理思路:一方面,在国家数据安全工作协调机制统筹协调下,中国人民银行及其分支机构对中国人民银行业务领域范围内制定数据安全管理要求,不影响其他行业主管部门制定行业内的数据安全管理要求,共同构建多行业、广维度的数据安全管理框架。另一方面,即便是中国人民银行业务领域范围内的数据,中国人民银行也并非是唯一具有监管权力的部门。例如,国家外汇管理局可就国家外汇领域数据安全管理另行制度规定。
《数据安全管理办法》虽未明确具体的条款直接固定这一监管路径,但诸多条款的设计与实施导向基本遵循了协同监管的思路。以《数据安全管理办法》第三章“数据分类分级”的规定为例,第十九条指出银行保险机构应当加强数据安全级别的时效管理,建立动态调整审批机制,当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致原安全级别不再适用的,应当及时动态调整。我们理解,这在一定程度上赋予了银行保险机构对数据分类分级的自主裁量权。类似的自主性规定在《数据安全技术 数据分类分级规则》《网络安全标准实践指南-数据分类分级指引》《金融数据安全 数据安全分级指南》《证券期货业数据分类分级指引》等分类分级指引文件中也有所体现。在国家数据分类分级规则的框架下,根据自身数据管理需要,行业、领域、地方或组织可以自主细化确定所管辖数据的类目设置和层级划分。
法律规定层面的一致性以及赋予银行保险机构一定的自主裁量权,在实践中能够相当程度地避免数据分类分级相关的法律文件基于发布部门不同而存在监管要求不兼容的问题。事实上,这种隐含的协同监管意识已经成为了当前金融行业监管立法与实践中的一种普遍共识,旨在通过政策协调与资源整合,共同构筑起全方位、立体化的数据安全防护网络,确保金融业机构在数据安全方面的管理措施得以高效落地与执行。
2. 全流程监管
《数据安全管理办法》不仅细致入微地对数据全生命周期内的各个阶段所涉及的行为进行监管,还进一步构架了一个涵盖预防、监控与应对的事前、事中、事后全流程监管机制。具体表现为:
(1)事前监管阶段:数据目录管理
根据《数据安全管理办法》第七十一条的规定:“国家金融监督管理总局按照国家数据分类分级要求,制定银行业保险业重要数据目录,提出核心数据目录建议,监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机构应当按要求向金监局或者其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。”通过事前制定和落实数据目录管理,有利于银行保险机构清晰界定数据的重要程度,提升数据风险管理能力。这种精细化的数据监管模式,有助于确保敏感度高的金融信息得到有效保护,降低了数据泄露和滥用的风险;且通过及时的信息报备机制,监管机构能实时掌握并指导金融机构的数据安全管理。
(2)事中监管阶段:行业监测预警、机构报告
在事中监管阶段,《数据安全管理办法》强调了行业与机构双层风险监测机制的重要性。首先,银行保险业机构被要求积极履行内部数据安全风险的实时监测、预警与有效处置职责,这是金融机构自我风险管理的基础。其次,金监局在行业层面上扮演了统筹领导的角色,负责构建并运行银行业保险业的整体数据安全监测预警和通报处置机制,实现了对行业内数据安全风险的全面把控和快速反应。同时,通过与国家数据安全管理部门建立联防联控管理机制,增强了跨部门间的数据安全信息共享、风险监测预警及协同应对突发事件的能力。此外,《数据安全管理办法》进一步明确了银行保险机构的报告义务。除了常规的年度数据安全风险评估报告提交,相关机构在涉及批量处理敏感级别及以上数据时,必须提前向监管机构进行专门报告,这突显了对高度敏感数据处理活动的高度警惕与严格监管态度。
(3)事后监管阶段:现场检查与事件处置
《数据安全管理办法》第七十五条重申了国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行现场检查、事件调查的职责。这意味着监管机构可以对银行保险机构在数据安全防护的实际操作、制度建设和事件应对等方面进行全面而深入的审查,确保相关机构在数据安全事件发生后,能够迅速有效地查明原因、妥善处置,并从中吸取教训、改进安全措施。
通过一系列的事前、事中、事后全流程监管措施,《数据安全管理办法》旨在全方位构建严密的数据安全防线,推动银行保险机构在数字化转型的过程中切实保障数据安全,有效防范化解数据风险,维护客户合法权益和社会公共利益。
3. 监管工具的更新
值得一提的是,《数据安全管理办法》亦体现了金融业监管手段的与时俱进与创新。第七十条强调了国家金融监督管理总局及其派出机构对银行保险机构数据安全保护的全方位、多层次监管模式,不仅保留了传统的现场检查手段,更是首次明确提出将非现场监管方式纳入常态化的监管框架之中。非现场监管有望通过远程监控、数据分析等手段,实现对银行保险机构日常数据安全状况的连续跟踪和风险评估,克服地域、时间和人力成本的限制,提高监管效率和精确度。此外,将数据安全管理情况纳入监管评级评估体系,意味着数据安全表现将直接影响银行保险机构的合规评价,从而激励银行保险机构自觉提升数据安全防护能力。
整体来看,《数据安全管理办法》致力于构建一套科学、严格的长效监管机制,对银行保险机构数据安全管理的持续监管,既体现了对个人、组织权益的有力保护,也彰显了对金融科技环境下新型风险的有效管控理念。非现场监管的实施将有力补充和完善现有的现场检查手段,共同服务于金融市场的健康、稳定和可持续发展。
四、对《数据安全管理办法》的思考和建议
1. 与《央行数安管理办法》等其他银行保险机构数据安全管理要求之间的衔接
考虑到金监局是统一负责除证券业之外的金融业监管,同时此前央行的对金融控股公司的日常监管职责、有关金融消费者保护职责也一并划入了金监局的职责范畴,结合《数据安全管理办法》所采取的“行为+主体”双重监管进路,不难发现,如落入金监局监管范畴的相关主体(如商业银行等),涉及开展银行间各类市场交易业务、金融业综合统计业务、支付清算业务、征信业务、反洗钱业务等中国人民银行业务领域业务并开展数据处理活动的,那么前述主体的数据处理行为将同时受到《数据安全管理办法》与《央行数安管理办法》的规制。
以数据分级为例,《央行数安管理办法》按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级,并进一步要求参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级;而《数据安全管理办法》则要求根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。可见,看似《数据安全管理办法》与《央行数安管理办法》均将数据划分为了五个不同级别,但二者划分数据分级的标准不完全一致,这也对于受到上述规范交叉监管的主体提出了数据分级精细化管理的新挑战。进一步地,鉴于《数据安全管理办法》与《央行数安管理办法》针对不同级别数据分别提出了对应的数据安全管理要求,例如,《数据安全管理办法》明确要求敏感级及以上数据严格实施授权管理,而《央行数安管理办法》则就数据处理提出了普遍的告知义务。可见,受到上述规范交叉监管的主体需构建完善内部数据分类分级管理机制,明确并落实同一数据在不同监管规范下的数据安全管理义务。
从中不难看出,《数据安全管理办法》细化了银行保险机构相关数据安全管理的具体要求,作为行业垂直监管的典型,体现了网络安全和数据安全正在从一般性法律规则向具体和细分行业纵深发展的趋势。需要注意的是,同一企业不仅在整体上面临着一般数据安全管理规则及所在行业细分规则的交叉监管,而行业内部的赛道细分与业态更新趋势也将推动着传统行业监管规范在数据合规领域的异化重塑。
一方面,数据安全领域的“统筹领导+分业监管”路径为企业数据安全管理提供了精细化、场景化指引的同时也难免引发金融数据安全监管“九龙治水”的顾虑,而如何打好“分业监管”组合拳,仍需充分协调市场结构与法律结构,整合细分行业监管资源,从而平稳迈步走向金融业数据安全的综合治理体系。另一方面,银行保险机构的数据安全管理责任体系不可避免地体现出多元化、业态驱动性转向,而银行保险机构也就因此需要基于所处细分行业的相关监管规范“组装”企业内部的数据安全管理机制,方可更好地协调与适用《数据安全管理办法》与《央行数安管理办法》等相关数据安全管理要求。
2. 银行保险机构企业数据安全管理与个人信息保护的边界
在《数据安全管理办法》公布之前的行业实践中,银行保险机构收集、共享非个人信息数据时暂不涉及对于数据处理必要性的评估判断,而需侧重于关注是否涉及基于《反洗钱法》等法律法规层面规定的客户资料保密要求而对相关数据的收集、对外提供进行限制,而对于不涉及客户信息的数据,例如企业的经营数据、不含客户信息的交易数据、财务数据等,理论上不适用上述有关客户信息保密原则、个人(金融)信息保护规则的约束而需关注国家秘密保护、商业秘密保护以及重要数据保护等维度。
而如前所述,《数据安全管理办法》在数据处理的全生命周期管控中借鉴了个人信息保护领域的合规思路,例如,从个人信息处理必要性出发进一步将“必要”原则纳入了银行保险机构数据收集的原则性要求中,同时参考个人信息处理合法新要求,明确要求数据收集、共享等需要获取数据主体的授权同意。
对此,我们理解,《数据安全管理办法》给依法依规经营的银行保险机构带来的应是信心而非阻力,尽管必不可免地将带来一定的数据合规成本,但《数据安全管理办法》旨在有效地防止“劣币驱除良币”效应,合理必要的数据合规成本将相应转化为竞争优势与安全门槛,使得银行保险机构在安全的基础上盘活数据资源,从而更为精准、有力地把握市场机遇。故而,《数据安全管理办法》如何理顺银行保险机构数据安全管理监管逻辑仍有赖于以行业实践为基础推动厘清银行保险机构个人信息与非个人信息数据保护的边界厘清,而人格权益与财产权益的单一划分已无从满足个人信息与非个人信息数据保护的边界判断需求,对此,我们从“统筹安全与发展”的基本原则出发,建议综合数据价值功能与数据安全风险两方面的考量,结合数字经济发展阶段和数据应用场景重点评估数据生产、流动路径以及监管部门的行动空间,从而形成数上权益的多层次区分,并据此评估行政、市场化手段如何结合方可更好地满足相关数据安全管理的监管目标。
结语
在金融服务数字化、智能化变革转型背景下,《数据安全管理办法》充分彰显了我国对于强化数据安全管理、压实银行保险机构主体责任、确保客户信息和金融交易数据安全的高度重视与坚定决心,而后续《数据安全管理办法》的完善、落地,无疑在银行业、保险业领域为保障数据安全,促进数据合理开发利用筑起一道更为坚实的防护墙。
尽管我国银行保险业数据安全治理建设目前未必尽善尽美,而仍为个人信息与企业数据权益保护边界等问题留有一定空间,但也为银行保险机构提供了把握数字化、智能化转型新机遇的重要制度指引,并锻造了保障金融安全风险防控与长足发展的重要武器,而如何统筹“组装”银行保险机构数据安全管理合规体系也将成为银行保险机构在智能化新变局从容“亮剑”的前置课题。
扫码订阅“金杜律师事务所”,了解更多业务资讯
详见金杜研究院:“致广大而尽精微”——《中国人民银行业务领域数据安全管理办法(征求意见稿)》解读一文。