鼓励数据处理者勤勉尽责加强安全保护
转自:法治日报
□ 本报记者 李立娟 近日,中国人民银行发布《中国人民银行业务领域数据安全管理办法》(以下简称《办法》),自2025年6月30日起施行。 《办法》旨在落实数据安全法,进一步夯实数据安全的法治基础,指导督促金融从业机构依法依规开展涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域数据处理活动。
督促合规开展数据处理活动
2022年印发的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线;加强数据分类分级管理。 数据安全法同样明确工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 “中国人民银行在充分调研基础上,全面衔接数据安全法、网络数据安全管理条例等,细化明确中国人民银行业务领域数据安全合规底线要求,督促指导相关数据处理者合规开展数据处理活动、履行数据安全保护义务,保障个人、组织合法权益。”中国人民银行有关部门负责人说。 《办法》所称数据处理者,指金融机构以及经中国人民银行批准设立或者认定的其他机构。 从适用范围看,“《办法》严格遵照党中央、国务院关于数据安全管理的分工原则,依据中国人民银行法、中国人民银行主要职责等,适用范围聚焦于金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动。”上述有关部门负责人表示。 在北京市盈科律师事务所高级合伙人、盈科全球知识产权法律服务中心主任王俊林看来,《办法》不仅关注数据的收集、存储和使用环节,还涵盖了数据的传输、共享、销毁等全流程环节,形成了完整的数据安全管理闭环,有助于金融机构更精准地识别和保护关键数据,提高管理效率和效果。 “此外,《办法》要求金融机构根据技术发展和业务变化,动态调整数据安全管理措施,确保数据安全管理制度的持续有效,以便及时应对金融领域新的数据安全威胁和挑战,保持在数据安全管理方面的前瞻性和适应性。”王俊林说。
提出安全要求细化法律责任
《办法》共七章五十六条,分别在业务数据分类分级与总体要求、全流程业务数据安全管理要求、全流程业务数据安全技术要求、业务数据安全风险与事件管理、法律责任等方面作出了细化规定。 《办法》对中国人民银行及其分支机构的监督管理责任落实和数据处理者违反规定行为的处置作出规定。 例如,《办法》明确中国人民银行及其分支机构发现数据处理者的业务数据处理活动存在较大安全风险时,可以对其进行约谈和要求其采取措施进行整改;发现影响或者可能影响国家安全的业务数据处理活动线索时,可以要求数据处理者按照国家有关规定进行国家安全审查。 中国人民银行及其分支机构按照职责可以对数据处理者与业务数据相关的数据安全保护义务落实情况开展执法检查,必要时可以与其他有关主管部门联合实施执法检查。 上述负责人表示,《办法》既提出数据处理者原则上应当履行的安全保护义务,又明确例外情形下豁免相关义务的措施,相关措施要求不影响正常办理金融业务。明确从轻或减轻行政处罚的情形,鼓励数据处理者勤勉尽责加强数据安全保护,支持数据处理者提供有价值的数据安全风险情报和协助及时发现重大数据安全风险隐患,有利于协同加强数据安全保障。 例如,《办法》明确数据处理者发生业务数据安全事件造成危害后果,如能证明本机构已按照规定采取数据安全保护措施,并立即采取补救措施的,应当对其从轻或者减轻行政处罚。 数据处理者积极提供数据安全风险情报,协助及时发现重大业务数据安全风险的,应当对其未履行数据安全保护义务但尚未造成危害后果的行为,从轻或者减轻行政处罚。
加强配合凝聚行业监管合力
“《办法》贯彻落实《国务院办公厅关于深入推进跨部门综合监管的指导意见》提出的‘完善各司其职、各负其责、相互配合、齐抓共管的协同监管机制’精神,明确其他有关主管部门有规定的,还应当依法遵守;明确中国人民银行加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通,必要时可以与其他有关主管部门联合实施执法检查,凝聚行业监管合力。”上述负责人说。 《办法》明确,在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理,适用《办法》。其他有关主管部门有规定的,还应当依法遵守其规定。 中国人民银行及其分支机构发现数据处理者的业务数据处理活动存在较大安全风险时,可以对其进行约谈和要求其采取措施进行整改;发现影响或者可能影响国家安全的业务数据处理活动线索时,可以要求数据处理者按照国家有关规定进行国家安全审查。 王俊林认为,《办法》强调中国人民银行与其他主管部门之间的跨部门协作,不仅包括信息共享,还可能涉及联合执法检查,以确保监管的有效性和全面性;要求各监管部门之间加强信息沟通,及时共享数据安全问题和监管动态,避免监管空白和重复监管。这一合力监管机制提升了监管效能,增强监管的权威性,为促进数据安全生态建设提供保障。 上述负责人表示,中国人民银行将加强政策宣传,指导金融从业机构更准确地理解把握《办法》条款内容;完善标准指引,做好配套数据安全相关行业标准的制修订工作;规范行政执法,督促相关数据处理者坚守合规底线;强化信息共享利用,逐步建立健全数据安全监测预警机制。