前沿观察,

“致广大而尽精微”——《中国人民银行业务领域数据安全管理办法(征求意见稿)》解读

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:合规业务-网络安全与数据合规银行与融资金融机构-银行

引言

自《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)等数据保护相关法律、行政法规施行以来,我国数据监管框架已初具雏形。由于中国人民银行业务领域数据规模大、价值和敏感程度高的特点,维护相关金融数据的稳定性和可用性有助于维护个人、企业、金融行业乃至国家利益的稳定。同时,随着实践中频发的银行业等金融领域的数据安全事件,金融数据的保护需求愈发迫切。在此背景之下,中国人民银行作为银行业监管机构,牵头制定《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《管理办法》”),并于2023年7月24日公开征求社会意见。

一方面,我国此前虽已有《网络安全法》《数据安全法》作为数据保护与监管的上位法,但其多为概括性的原则或基本义务的规定,难以深入各领域精准治理。另一方面,银行业等金融领域虽存在《个人金融信息保护技术规范(JR/T 0197—2020)》等具体指引,但相关指引行业标准,仍有待监管部门在正式立法或执法中予以确认。中国人民银行作为牵头部门起草《管理办法》,不仅是在积极履行《数据安全法》第六条规定的金融等主管部门“对本行业、本领域数据安全监管职责”,更为银行业等金融领域数据安全管理活动提供了切实的具体方向。

中国人民银行以“小切口法”为抓手,制定《管理办法》,深入货币政策、外汇管理、银行间各类市场交易、金融业综合统计等业务领域,开展多维度的数据安全管理工作,是其在数据安全领域监管方面积极履行职责的有益尝试。

一、《管理办法》之立法背景

(一) 立法沿革:银行业等金融数据保护规范沿革

数据安全与保护是近年来我国立法的重点领域,目前,我国已通过法律、行政法规、部门规章及规范性文件、地方性法规等正式法源以及国家标准、行业标准、指南等非正式法源组成覆盖多领域的数据安全保护框架。

在法律层面,《网络安全法》为我国网络安全治理指明了基本方向,提出了“建立和完善网络安全标准体系”等顶层设计要求,并为网络运营者提出网络安全等级保护制度等。《数据安全法》是数据安全保护领域的基础性法律,强调数据开发利用与安全保障并重,较为全面地构建了我国数据安全治理的各项基本制度框架,为此后各领域数据监管框架的构建提供了上位法依据与基础。《个人信息保护法》聚焦于个人信息的专门保护,在《民法典》的基础上,首次以单独法律的形式确定个人信息处理活动应遵循的基本原则、合法性基础要求以及各方权利义务等。

在前述网络领域治理的“三驾马车”的基础上,国家主管部门制定相应行政法规、部门规章等进行细化,从各层级、各角度、各领域对数据与个人信息保护提出了具体的合规要求。具体而言,垂类至包含中国人民银行业务领域的金融数据监管框架,中国人民银行、银保监会、证监会等行业主管与监管部门针对自身业务领域不断完善监管要求,且相关规定多以部门规章及规范性文件为呈现形式。

同时,标准化工作为金融行业数据的合规治理提供更为具体的指导。具体而言,中国人民银行作为主管部门,已从数据处理全生命周期、个人金融信息监管等多维度制定相应的金融数据行业标准,为商业银行等银行业机构在实践中开展金融业务涉及的金融数据处理提供明确的管理和技术要求:

银行业属于国家重点领域,中国人民银行针对银行业等金融数据的监管发挥了重要作用,不仅就其自身业务领域的数据保护工作牵头制定了一系列部门规章、行业标准,还进一步以相关法律法规和行业标准为基础,结合领域实际情况和具体需求,开展相关制度的布局指导。此外,随着技术发展,银行基础业务和核心流程的运行愈发依赖信息化载体,因此,中国人民银行还致力于推动金融科技的发展,使得科技更好地服务于银行业务及相关数据治理与安全防护,有利于充分挖掘与实现银行业等金融领域数据的价值,并助益于维护国家金融安全和促进银行业健康发展。

但是,不可否认的是,由于在银行业等金融业务领域的监管层面,法律法规多线并轨、部门规章与行业标准高效制定,国家及金融业监管部门如中国人民银行、银保监会(现国家金融监督管理总局)以及证监会等监管部门分别以各自的侧重点出发进行规制。在这样纷繁复杂的立法背景下,银行业如何面对纵横复杂的合规要求,形成不阻碍银行业务开展的数据合规制度体系,是实践中的难点与痛点。

(二) 实践基础:银行业数据安全事件频发

尽管上位法已经对数据保护与规制的整体框架有所部署,例如商业银行可能作为网络运营者而需针对其业务信息系统履行等级保护的要求,但实践中的数据安全事件仍屡见不鲜,其危害后果不容忽视。具体而言,随着银行业务中信息技术的深化应用,数据安全风险也随之凸显。数据泄露、违规收集处理个人信息、网络攻击等问题频发,这不仅会给银行业务领域客户带来负面影响,还可能导致银行业乃至国家利益遭受损失。

以2022年银行业监管处罚状况为例,2022年人民银行、银保监会、国家外汇管理局(含总部及其派出机构)针对银行业金融机构及从业人员下发的罚单中,监管数据报送、信息科技管控、消费者权益保护等领域不合规、落实不到位成为了罚单、尤其是大额罚单频发的重要根源所在。例如,依据相关统计,2022年涉及“个人金融信息处理违规”的罚单共计160张,案由既涉及金融消费者信息管理机制建设,也涉及侵犯金融消费者个人信息的具体行为,包含“提供个人不良信息,未告知信息主体本人”“未按规定查询个人信息”“未按规定保存客户信息”等;罚没金额合计12,139万元。其中,大额罚单合计金额9,195万元,涉及2张千万级罚单及27张百万级罚单,罚没金额最高的单笔罚单达1,674万元。[1]虽然上述高额罚款在一定程度上代表我国在银行业等金融数据监管方面采取的严厉态度,但是也可看出,银行业违反数据安全与个人信息保护要求处理客户数据及个人信息的行为并非个例。此外,实践中银行业机构还常常因APP过度采集用户信息、未公开所有申请访问权限、未经同意查询客户征信报告、未及时销毁客户申请资料、泄露消费者金融数据等问题而受到相应的行政处罚。

因此,对外合规运营、防御攻击,对内完善制度、监督管理都应成为银行业机构在未来发展过程中的关注重点。银行业机构有必要建立更为完善的数据安全管理制度,确保数据处理全生命周期过程中的操作规程和安全控制措施均具有较为清晰的指引与要求;数据分级分类、风险监测等也需要更为明确的指导,以快速、准确地识别潜在的数据安全隐患并恰当地防范应对。有鉴于此,中国人民银行基于规范中国人民银行业务领域数据安全管理要求的目的制定《管理办法》势在必行。

二、《管理办法》体例初探

《管理办法》以数据分类分级(第二章)为基础,以数据安全保护(第三章)为大框架,以安全保护管理措施(第四章)和安全保护技术措施(第五章)两个方面为切入点,对数据全生命周期的保护提出要求。此外,《管理办法》还通过风险监测、评估审计和安全事件处置措施(第六章)整体管控数据安全风险,实现全面系统地保护数据安全。

第一章明确管理原则与目标,《管理办法》以“谁管业务,谁管业务数据,谁管数据安全”为基本原则,以保护数据安全、防范数据风险、维护各方权益为总体目标。

第二章对数据分类分级进行整体规划,一方面,明确中国人民银行总体规划的职责,制定分类分级标准、确定重要数据识别规范等。另一方面,压实数据处理者责任,为其施加建立具体实施制度、操作规程的义务,明确数据分类维度、分级考虑因素,强调定期动态更新的要求。

第三章确定数据安全保护的大框架,明确责任落实、安全管理制度和安全培训的总体要求,并鼓励开展数据安全技术创新应用。

第四、五章围绕第三章全流程安全管理制度的要求展开,从数据处理活动全流程切入,结合数据分类分级结果,设计差异化的保护要求。具体而言,《管理办法》在将数据生命周期分为收集、存储、使用、加工、传输、提供、融合创新应用、出境、被调取、公开、删除等环节的基础上,分别规定数据处理者安全管理和安全技术方面的合规要求。

第六章围绕风险监测、评估审计与事件处置措施展开。风险监测包括监测内部数据处理活动的风险和外部数据安全风险情报;数据安全风险评估要求针对各项数据安全制度建设与落实等情况进行检测,并提出针对性的改进措施;安全审计制度以定期监督来促进数据安全管理制度落实,防范违反操作规程的数据处理行为;安全事件响应与处置制度确保发生数据安全事件后能有效响应、减少损失、降低影响。

三、《管理办法》重点制度评析

(一) 数据处理者义务概述

(二) 重点数据管理制度详述

如前所述,《管理办法》以数据治理为大框架,以数据处理全生命周期为抓手,形成以管理和技术为核心的制度体系。这些管理与技术措施以《数据安全法》规定的既有制度为基础,因地制宜,进一步细化相关要求,全面构建银行业务领域数据保护的合规体系。

1. 治理思路延续:协同监管

中国人民银行制定《管理办法》属其履行数据保护与安全方面的应尽职责,中国人民银行及其分支机构在“国家统筹发展与安全”的整体机制下,积极践行“谁管业务,谁管业务数据,谁管数据安全”的原则与理念。针对中国人民银行业务领域数据这一监管对象:

首先,一方面,中国人民银行通过制定《管理办法》,以明确数据处理者在货币政策、银行间各类市场交易等中国人民银行业务领域范围内的一般性数据合规要求。另一方面,《管理办法》明确提出中国银行间市场交易商协会、中国支付清算协会等行业协会在业务职责范围加强自律管理的要求。例如,2023年4月10日,中国支付清算协会发布《关于支付行业从业人员谨慎使用ChatGPT等工具的倡议》,倡议行业内人员应提高对ChatGPT等工具的认识,依法依规使用,不上传敏感信息等。我们理解,此为中国支付清算协会倡导行业自律的具体表现之一。

其次,《管理办法》第二条明确规定,中国人民银行业务领域数据是“不涉及国家秘密的网络数据”,而《管理办法》附则明确规定网络数据是指“通过网络收集、存储、传输、处理和产生的各种电子数据”。这一范围明确将以纸质形式存在的文档材料排除在监管范围外。一方面,《管理办法》规定的网络数据与国家互联网信息办公室发布的《网络安全管理条例(征求意见稿)》(以下简称“《网数条例(征求意见稿)》”)规定的网络数据内涵相当,具有高度的延续性。另一方面,将纸质文档排除在规制范围外的思路也承继了中国人民银行此前在《数据安全分级指南》中“未经电子化的数据,依据档案文件等有关管理规范执行”的要求。

再者,除未经电子化的纸质档案材料外,《管理办法》还明确排除了对国家秘密的规制。但这并不代表国家秘密不受监管,相反,正是因为国家秘密的重要性与严肃性,相关监管要求由国家秘密主管与监管部门单独制定更为适宜。此外,《管理办法》还明确规定国家外汇管理局可就国家外汇领域数据安全管理另行制定具体的制度。也即,中国人民银行还将就其监管范围内的数据与其他部门协同监管。

2. 分级分类细化:构建多维度的数据分级分类制度

对数据分级分类制度提出精细化要求是《管理办法》的重要特点。详见《“卧看星河尽意明”——全球首部生成式人工智能法规解读》,分级分类是我国数据保护领域基于风险规制的思路始终坚持的监管手段之一。《数据安全法》虽然确立了“国家建立数据分类分级保护制度”的总体要求,但是如何深入各行业领域落实数据分级分类要求,仍有待各行业主管与监管部门的具体指引。

一方面,《管理办法》重申了《数据安全法》对数据进行三级分级的要求(即一般数据,重要数据和核心数据),并具体规定了中国人民银行业务领域范围内重要数据目录形成路径。我们理解,银行业机构首先依据识别标准报送重要数据目录内容,再由中国人民银行进行汇总并最终确认,形成双向的重要数据目录,在一定程度上可确保监管部门准确识别重要数据,既不会遗漏可能对国家安全造成严重影响的数据,也不会过分扩大重要数据的范畴,致使银行业机构在实践中开展业务时受到过多阻碍。

另一方面,在前述数据分级的基础上,《管理办法》还进一步提出了数据敏感性分层级、数据可用性分层级的具体分级要求。

其一,我们理解,中国人民银行已通过行业标准的方式实践了数据敏感性分层级的要求。具体而言,《数据安全分级指南》依据金融业机构数据安全性遭到破坏后的影响对象和所造成的影响程度,将数据安全级别从低到高划分为一至五级。其中,一级数据的安全性遭到破坏后的整体影响最小,五级数据的安全性遭到破坏后可能将对国家安全或对公众权益造成非常严重的影响。同时,《数据安全分级指南》附录B.1还对金融业机构在日常经营管理过程中可能涉及的数据提供了定级示例。《管理办法》第九条规定,“数据处理者应当参考行业标准…..将数据项敏感性从低至高进一步分为一至五共五个层级”,我们理解,此处的行业标准具体指向的即是《数据安全分级指南》。

其二,《管理办法》新增了数据可用性分层级的要求。我们理解,确保数据可用性有助于银行业机构为客户提供稳定、持续的服务。如数据可用性不高,一经篡改、破坏即可能无法继续提供服务,则不利于维护金融领域的秩序与安全。因此,如银行业机构经评估后认为信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度较高,可及时采取容灾备份的工作。

在数据分级分类的基础上,《管理办法》对不同敏感性分层级的数据规定了不同的保护要求,例如,针对可访问二级以上数据的账号,数据处理者应当支持身份验证;而针对可访问三级以上数据的账号,则应支持多因素认证或二次授权,并签署保密协议。我们理解,对不同级别的数据项采取不同层次的保护要求是数据分级分类制度的“题中应有之义”。

3. 挖掘数据价值:新增数据融合创新应用管理措施要求

《管理办法》的另一特点是规定了数据融合创新应用管理措施的要求。具体而言,《管理办法》第二十五条规定,数据处理者采用隐私计算等技术促进数据融合创新应用时,应当确认原始数据未离开自身控制范围,且多个数据提供行为关联后,暴露约定范围外信息的风险可控。

中国人民银行制定《管理办法》的目的不仅在于限制银行业机构等数据处理者的行为,提高相关数据的安全性,其还旨在鼓励数据处理者在维护数据安全的情况下促进数据的流通与应用。例如,数据分级分类的意义不仅在于对不同级别的数据采取不同层次的保护要求,还在于识别梳理对国家、企业和个人权益影响相对较小的数据,从而促进其流通和多维度应用。

早在2021年5月,国家发展改革委、工业和信息化部以及国家网信办等多部委联合印发《全国一体化大数据中心协同创新体系算力枢纽实施方案》,其在“促进数据有序流通”部分明确提出试验包含隐私计算在内的技术模式,构建数据可信流通环境。

中国信息通信研究院曾于2021年发布《隐私保护计算与合规应用研究报告》[2],其载明,隐私计算是一种在保护隐私的同时实现数据价值挖掘的技术,可实现数据的“可用不可见”,其核心在于从技术上实现在数据不出库的情况下,数据的价值和知识也能自由流通。

中国人民银行在《管理办法》中遵循了隐私计算技术的特性,要求数据处理者使用隐私计算技术时,确保原始数据始终未离开自身控制范围。我们理解,这一规定在实践中具有极为重要的实践意义。一方面,随着科技的进步与革新,银行业等机构可采取更为先进和安全的方式处理数据。另一方面,数据传输尤其是规模较大的数据传输往往需要数据处理者施加更高要求的保护措施以防范传输过程中带来的风险。基于隐私计算技术“可用不可见”的特点,多个机构基于精准营销、企业风险等目的进行数据融合时,可无需互相传输数据即可实现数据价值的融合,从而避免因数据传输引发的被攻击、泄露等风险。

4. 数据保护原则:“就高不就低”

一方面,《管理办法》的又一特点是区分了结构化数据项和非结构化数据项,并在此基础上按照“就高不就低”的原则确定了定级标准。具体而言,非结构化数据可能包含众多可拆分的结构化数据,但基于非结构化数据的性质,银行业机构在利用时无法且不能对非结构化数据进行拆分。基于“就高不就低”的原则,《管理办法》要求银行业机构对非结构化数据项按照可拆分的结构化数据项所对应的最高层级。

另一方面,《管理办法》第十三条明确规定,“不同敏感性层级数据项在同一数据处理活动中被处理,且难以采取差异化安全保护管理和技术措施的,应当统一采取最高敏感性层级数据项对应的安全保护管理和技术要求。”实践中,银行业机构常常将同一业务条线下获取的数据在数据库中存储于同一个表单,且各个数据可能对应不同的数据级别。例如,某表单涉及同时存储银行某个人客户的入党时间和银行卡密码。依据《数据安全分级指南》,银行可将个人客户的入党时间定级为二级,而银行卡密码至少需定级为四级。两个数据虽属于不同的保护级别,但由于其共同存储于同一个表单,基于同一表单“难以采取差异化安全保护管理和技术措施”,即使是个人入党时间这一数据,银行此时也需按照四级数据的保护要求对其进行存储。但如银行将个人客户的入党时间和银行卡密码存储于同一数据库的不同表单当中,此时,银行有足够的技术能力对两张表单进行独立地保护,如个人入党时间所处的表单中不存在其他三级及以上的数据,则银行可仅按照二级数据的保护要求对其进行存储。

5. 明确数据收集要求:收集企业数据也需告知

银行业机构在开展业务时,除个人客户外,还将面临法人客户,此外,银行业机构还可能与其他机构就机构自身的经营数据进行共享。在前述过程中,银行业机构可能涉及收集客户数据与其他银行业机构数据,而客户数据和其他银行业机构数据又可能具体包含个人信息和不包含个人信息的企业数据两种类型。针对个人信息,依据《个人信息保护法》第十三条的规定,银行业机构收集客户个人信息以及机构员工个人信息时应具备相应的合法性基础;依据《个人信息保护法》第十七条及相关规定,银行业机构还应履行告知义务。但是针对不包含个人信息的企业数据,银行业机构可能并不当然地清楚了解其应履行的合规要求。因为,《数据安全法》及其他相关法律并未对不包含个人信息的数据设置类似个人信息处理时的告知同意规则。

由于《管理办法》的规制对象为中国人民银行业务领域数据,同时包含个人信息和非个人信息的数据两种类型,因此,其第十七条为银行业机构收集非个人信息的数据提出了明确的合规要求。例如,

  • 除法律、行政法规明确无需说明的情形外,应当在隐私政策协议或者合同协议中以显著方式、清晰易懂的语言说明数据收集的目的、范围、方式、存储期限,以及数据来源不合法、数据不真实情形对应的违约责任。
  • 非直接面向个人、组织收集数据时,应当要求数据提供方依照法律、行政法规取得个人、组织的同意,对于非书面同意情形,应当要求其出具数据来源说明材料,并依据材料评估其合法性、真实性。

我们理解,《管理办法》第十七条明确了银行业机构作为数据处理者在收集数据尤其是非个人信息的企业数据时应履行的合规要求,既包含直接面向客户的收集情形,也涉及未直接面向客户的情形。各银行业机构应按照《管理办法》的要求,逐步制定相关告知文本和评估数据来源材料合法性、真实性的机制,从而构建完善自身收集数据的合法合规体系。

6. 细化数据提供要求:区分一般数据、重要数据与核心数据

基于内部管理要求或业务开展需求,实践中银行业机构常常进行数据交互,或发生于银行集团内部,或发生于不同银行集团之间。除明确数据提供不得违反个人信息处理相关的法律、行政法规,以及不违背相关组织之间有关商业秘密的约定外,《管理办法》的一大特色是要求区分了一般数据和特殊性数据对外提供的要求,并分别进行了细化。

(1) 一般性数据提供要求

《管理办法》明确要求银行业机构在提供数据前,应与数据接收方签订合同协议。这一要求实质上改变了《数据生命周期安全规范》第7.4.11条对数据外部共享的要求(具体规定为“应与数据接收方通过合同协议等形式,明确双方在数据安全方面的责任及义务”),将提供方与接收方的约定形式限定为合同协议。我们理解,这是因为通常而言,合同协议才是固定双方权利义务与责任的最佳路径。同时,《管理办法》也考虑到部分银行业机构内部对外签署协议具有较为复杂流程的实际情况,因此,第二十三条也进一步规定,银行业机构可视情况简化合同协议签订和对内审批的要求。

(2) 特殊性数据提供要求

首先,《管理办法》明确了数据提供者对外提供重要数据前应履行的合规要求。具体而言,其一,一方面,《管理办法》第二十四条明确规定,银行业等机构作为数据处理者对外提供重要数据前,应当依据相关法律、行政法规的要求,进行风险评估。另一方面,我们理解,这一要求也和《网数条例(征求意见稿)》相衔接。具体而言,《网数条例(征求意见稿)》第三十二条规定,重要数据处理者应当进行年度数据安全评估,评估报告需包含共享重要数据的安全评估情况。同时,其规定了共享重要数据前应当重点评估的内容。虽然《网数条例(征求意见稿)》目前并未通过,但国务院已将对其进行审议纳入了《国务院2023年立法工作计划》,我们理解,如《网数条例(征求意见稿)》通过审议,则各行业对重要数据对外提供进行风险评估的理解也将得到进一步提高。其二,我们理解“数据处理者应当通过法律、行政法规明确规定的安全评估”既明确了银行业机构向境外提供重要数据需履行数据出境安全评估的相关要求,也为此后监管部门可能针对重要数据共享专门制定的安全评估要求预留了空间。此外,就重要数据处理活动开展风险评估也是相关数据处理者履行《数据安全法》第三十条的必然要求。

其次,《管理办法》首次针对中国人民银行领域数据中核心数据的对外提供明确了合规要求。具体而言,银行业等机构提供核心数据前,应当提请国家数据安全工作协调机制办公室批准。这是银行业等金融数据领域首次对核心数据对外提供提出明确要求的规定,且与数据分级分类的思路进行了有机协调。我们理解,相较评估及通过安全评估,批准在行政法方面是更为严格的要求。如《管理办法》正式通过并施行,中国人民银行可考虑进一步发布名曲的提请批准的流程或程序,便于银行业等机构实际履行相应的合规义务。

四、对《管理办法》的建议

《管理办法》作为在特定领域贯彻落实《数据安全法》《网络安全法》等网络安全与数据合规领域基本法律的下位法,为中国人民银行业务领域数据的合规管理制定了一系列详细和可落地的制度,充分指引数据处理活动中银行业等机构的行为,具有较强的实践作用,是中国人民银行在数据监管方面极为有益的尝试。但我们理解,《管理办法》及配套规范仍可进一步完善与补充:

(一) 及时修订、细化《数据生命周期安全规范》等行业标准

一方面,在《管理办法》发布前,中国人民银行多通过《数据安全分级指南》《数据生命周期安全规范》等行业标准具体指引银行业等机构的具体数据处理活动。随着实践情况的变化以及监管的最新要求,中国人民银行制定精细化、可落地的《管理办法》时,针对相同处理活动的管理要求及技术要求可能也随之更新,或更为完善。因此。中国人民银行有必要及时更新相应的行业标准,以实现中国人民银行业务领域数据监管框架的整体协调性。

另一方面,《管理办法》如正式通过并施行,其作为正式法源,将强制性地要求银行业等机构对自身持有的数据进行五级分级。由于不同级别数据的可用性及保护要求存在较大差异,例如就数据使用保护管理措施而言,三级数据原则上不提供导出使用方式,四级以上数据原则上仅提供核验使用方式,因此,如何指引银行业等机构开展定级工作极为关键。基于此,《管理办法》第九条明确规定“数据处理者应当参照行业标准”进行分级,但是,《数据安全分级指南》为中国人民银行在2020年发布的行业标准,距今已有三年,因此,我们建议中国人民银行等监管部门在更新、协调行业标准所述的管理与技术要求时,适时更新相应的定级附录,并及时补充新出现的数据类型,实现数据安全的动态保护。

(二) 或可考虑将生成式人工智能服务涉及的训练数据纳入《管理办法》的规制范围

《管理办法》第二十条第二款、第三款的规定,对于银行业等相关主体对基于加工生成的数据项面向个人提供自动化决策服务时,应履行相应的算法透明度及算法审计义务。

鉴于当前的实践中,银行业等机构除为客户提供自动化决策服务外,还可能利用生成式人工智能为客户提供服务,从而涉及大量训练数据的使用。因此,在本条基础上,中国人民银行等监管部门或可考虑增加中国人民银行业务领域范围内生成式人工智能服务的训练数据安全要求,进一步与近日国家网信办发布的《生成式人工智能服务管理暂行办法》相衔接,完善和细化银行业等相关主体的算法规制要求,以便进一步构建银行业等金融领域算法与人工智能的监管要求,保障中国人民银行业务领域算法与人工智能服务的健康发展。

扫码订阅“金杜律师事务所”,了解更多业务资讯

毕马威企业咨询(中国)有限公司:鉴过知来 向往而新:2022年度银行业监管处罚分析洞察(https://assets.kpmg.com/content/dam/kpmg/cn/pdf/zh/2023/02/analysing-banking-regulatory-penalties-2022.pdf)。

中国信息通信研究院:《隐私保护计算与合规应用研究报告(2021年)》,http://www.caict.ac.cn/kxyj/qwfb/ztbg/202104/t20210401_372713.htm。

参考资料

  • [1]

    毕马威企业咨询(中国)有限公司:鉴过知来 向往而新:2022年度银行业监管处罚分析洞察(https://assets.kpmg.com/content/dam/kpmg/cn/pdf/zh/2023/02/analysing-banking-regulatory-penalties-2022.pdf)。

  • [2]

    中国信息通信研究院:《隐私保护计算与合规应用研究报告(2021年)》,http://www.caict.ac.cn/kxyj/qwfb/ztbg/202104/t20210401_372713.htm。

最新文章
前沿观察
在各国的专利审查过程中,评价权利要求是否具有新颖性或创造性,需要进行详尽的文献检索,根据找到的对比文件判断该专利是否具备新颖性和创造性。而其中至关重要的一环在于对比文件能否认定为现有技术,这一认定对于专利授权和无效而言非常重要。前不久,笔者收到一个提问:专利申请通过巴黎公约途径进入美国,其申请在先、公开在后的优先权基础专利是否构成现有技术影响其他在后美国专利申请的新创性?相信这也成为许多申请人关心的问题。本文结合《美国发明法案》(America Invents Act, AIA)的相关规定,探讨这个问题背后的逻辑和影响。知识产权-专利

2024/11/28

前沿观察
2024年8月,亚洲开发银行(下称“亚行”)经审核后,认可金杜担任某被制裁企业的合规监管人(Compliance Monitor)。被制裁的是一家水利工程行业的国有企业,该企业在2018年投标时提交了不真实的业绩证明,亚行认为其构成欺诈,因此对该企业及其下属单位做出取消投标资格4年的制裁决定,如果企业完成合规整改等义务则最早可以在制裁决定生效3年后申请解禁。在制裁期限内,企业需聘请合规监管人,对其合规整改的情况进行监督和评价,并向亚行汇报。争议解决与诉讼-合规调查及公司治理,金融机构-多边开发性金融机构

2024/11/27

前沿观察
近年来,越来越多的中国企业将目光投向海外市场,寻求更广阔的发展空间。出海为中国企业带来新的商业机遇的同时,也带来全新的海外税收挑战。如何提高资金利用效率、降低集团整体税负成本;如何优化供应链、构建境内境外公司关联交易安排;如何提升企业税务合规,避免重大税务风险,都是在海外投资中常见的税务问题。 为更好助力企业海外发展战略,我们特推出企业出海税务指南系列文章,对出海企业海外投资架构搭建、业务规划及运营管理等方面涉及的税务规划进行探讨。本篇文章将重点讨论境外控股架构搭建中的税务考量。税务-税务合规及税务筹划

2024/11/27