Redian新闻
>
《证券期货业数据安全管理与保护指引》学习笔记

《证券期货业数据安全管理与保护指引》学习笔记

公众号新闻
DPOHUB何谈第3期
直播预约 | 何渊:个人信息认证——数据出境的第三条道路
  • 主题:个人信息认证——数据出境的第三条道路
  • 主讲人:何渊,DPOHUB主理人,上海交大数据法律研究中心执行主任
  • 时间:2022年11月27日(本周日)晚8点开始
入群预约


上周五(11月14日),证监会发布7项金融行业标准,相关标准自公布之日起实施。

其中的《证券期货业数据安全管理与保护指引》(JR/T 0250—2022,以下简称“《保护指引》”)在《证券期货业数据分类分级指引》(JR/T 0158—2018,以下简称分级指引》”)将数据分为4级的基础上,对不同级别数据处理的安全保护提出了更加细颗粒度的要求。还是有必要好好学一下。

价值分三块:(1)明确各部门数据安全管理职责;(2)明确要写哪些制度;(3)明确不同级别的数据需从管理、技术、接触者层面采取哪些保护措施。

不过,在有些问题外部的法律已经作出明确规定的情况下,依然在自己的话语体系自说自话,让人看得真有些难受。

  一、引言及定义


最开头的内容也是有些信息量的。


本文件基于JR/T 0158—2018 《证券期货业数据分类分级指引》,采用其中根据数据泄露或损坏造成的影响将数据分为不同级别的数据分级方法,提供了各级数据在数据采集、数据展现、数据传输、数据处理、数据存储(包含数据备份与恢复、删除、销毁环节)过程中的数据管理和技术指引,供证券期货业机构参考。

《保护指引》引言


看这个意思,《分级指引》暂时不打算修订,而《分级指引》出台于2018年与现有《个保法》《数安法》中敏感个人信息、重要数据等概念如何衔接。此外,《分级指引》的4级分级,与《分类分级实践指南》及前段时间公开征求意见的《分类分级国标》的5级分级,体系间如何协调(详见:金融机构数据分级分类怎么做?)都需要思考。


而定义部分也依然采用了“数据控制者”的定义,与现有“数据处理者”的话语体系不同。


数据控制者(data controller)可以授权或拒绝访问某些数据、决定数据使用和数据处理目的和方式,并对其完整性、可用性和安全性负责的个人或机构。

《保护指引》3.2


数据处理的定义也与《数据安全法》不太一样。其余还有一些偏技术的定义,如“数据过程域”“可控区域”等。


《数据安全法》 A 3.2

《保护指引》 A 3.7

数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据处理

data processing

信息系统和数据接触者对数据进行使用、加工或转移的过程。


看了个开头,心里就有些困惑,但无论如何,作为一个强监管行业,还是好好学习监管精神吧。


  二、基本原则


(一)过程域,数据保护覆盖全流程。数据安全保护措施需覆盖数据处理全生命周期。而所谓“过程域”,指实现同一数据目标的相关数据活动的集合,可能包括一个或多个活动。《保护指引》定义下的过程域,包括:采集、展现、传输、处理和存储。


(二)实用性,针对不同数据的级别,采取与之相适应的保护措施。这点还是比较感人,监管在原则里面提了实用性,保护措施与数据级别相适应即可,资源有些,把好刚用在刀刃上。此外,监管还强调,制度管理和技术保护的区别指引。两手都要抓,两手都要硬。


(三)安全性,组织、制度、技术均采取措施。建立制度,安排专人,上技术措施,都很好理解,无非是人财物的支持。此外还强调了最小授权原则,不必知道的人不能看到不该看的数据。


(四)可用性,保证数据完整、可用。


(五)适配性,根据自身机构情况量体裁衣。


三、组织架构


本部分内容明确了各个部门在数据安全管理中的责任,可考虑内化至内规中,也是各方就职责发生争执时的参考。首先,要明确数据安全管理的负责人及主管部门。其次,信安、业务、合规风控、IT、审计部门都被安排任务了。


数据安全管理部门,需要负责:(1)建章立制。建立数据管理制度,根据分类分级制度,并对明确不同级别数据的保护措施;(2)操作规程。建立并执行覆盖数据安全生命全周期的运营操作规程;(3)责任人。明确数据安全管理相关岗位及职能;(4)授权机制。明确如何进行数据授权及被授权人的责任、义务。


合规风控部门,需要负责:(1)建立数据安全合规和风险制度;(2)指导、规范、检查相关管理措施的落实情况。


IT部门,需要负责:(1)采取数据安全保护技术措施;(2)制定数据直接接触者的技术防控要求;(3)建立信息系统的数据安全评估、数据安全事件管理和应急响应工作。


审计部门,需要负责:对数据安全管理情况进行稽核、检查、评价及督促整改。


上述内容,一定程度起着定分止争的作用。


四、制度指引


这一章其实就是在告诉证券经营机构,需要有哪些制度,未来检查,会不会也对照着查呢?总得来看应该是1个制度+8个细则。


数据安全管理办法:明确组织架构、组织形式、岗位职责、资源配置等;


数据权限管理细则:明确不同员工的数据访问权限、访问方式及申请流程;


数据存储介质管理细则:保障数据存储介质,如硬盘、U盘等,可追踪;明确介质存放周期、存放方式、访问权限的安全性;


场所管理细则:相关场所,如机房、数据库等,物理要求,如温度、湿度,访问要求,如何种门禁,监控要求,如是否24小时,录像存多久;维护、防护要求等等;


数据安全防护细则:根据数据的价值及风险,明确数据保护措施并予以资源倾斜;


数据安全事件管理细则:根据《网安法》明确数据安全事件的处理流程(注:对证券行业而言,《证券期货业网络安全事件报告与调查处理办法》中规定的其实很细了,内化其中的要求即可)。并且需要保障相关的制度有效落实。


数据安全应急管理细则:评估风险,制定预案,定期演练,保持有效。


数据安全审计细则:和《个保法》第54条的个人信息保护审计相呼应,要写制度可以一起写了。当然稽核审计部门该怎么做,还存疑。但无论如何,外规的要求是:数据安全内部审计责任和周期,定期进行数据安全专项审计并保障其有效性和时效性。


五、安全管理指引


接下来,才进入正题,需要根据数据的4级,提出不同的要求。先带大家回顾一下,1-4级的数据是怎么分的。《分类分级指引》的附录,还有更加细颗粒度的列举,可供参考。



第七章的体系是这样,一共有4级数据,对每级数据的采集、展现、传输、处理和存储都提出了要求。而高一级的数据在上一级数据的基础上,会额外提出新的要求。


要求又先分为两大类,一部分是“可控区域”,另一部分是“不可控区域”,我个人粗浅地理解就是内网和外网,一般外网进行相关操作又会较内部有更高的要求。



再接下来,又会分为:管理指引、技术指引和接触者指引。


对于这种结构,思前想后还是选择画树状图的方式来进行展示。限于篇幅,每一级数据只会放较上一级新增的要求,老要求就不再重复。


(一)1级数据安全指引

1级数据几乎就是公开数据,但《保护指引》还是提出了茫茫多的要求,感觉比较有难度的内容我都标红了。可能需要和业务部门、IT部门共同协商后再决定如何内化落实。


(二)2级数据安全指引

2级数据是内部针对特定人公开的数据,用于内部管理,不宜广泛公开。要求接触者均签订协议,直接处理或存储时,需双人操作或全程监控,外部人员接触须一事一议授权。也是比较高的要求。


(三)3级数据安全指引


3级数据含个人信息了,开始作妖了。

在参考文献部分,本指引是引用了《个人信息保护法》的,然而本文中的很多定义及规定,并没有遵守上位法的规定。如“脱敏”一词,多次出现,而在《个人信息保护法》中,与之对应的概念应该是“去标识化”,但去标识处理的个人信息依然是个人信息的。不知道为何,在此文件中却成为了对外提供个人信息豁免同意的合法性基础。与《个人信息保护法》相悖。

本以为,可能起草人对“脱敏”的定义其实是“匿名化”,但是后文中“匿名化”这个表述确也出现了。

其他的要求,我也都仔细读了,要求还是非常高,完全落实成本恐怕不低。而这个推荐性行业标准在后续执法过程中,会有多少强制性,也需要再观望。


(四)4级数据安全指引


4级数据,非常重要,正常证券期货经营机构一般没有,要求较3级数据也没有什么特别的额外要求。


  六、总结


这个规定我花了很多时间去学习,但《保护指引》无论是与上位法规和国标的衔接和统一以及可落地性都还是有待商榷。


每天两块钱,实时获取全球数据合规风险预警

如需《英国ICO数据跨境六步法评估工具》PDF版,请加入圈子免费下载

👇

招募讲师:欢迎加入DPOHUB课程平台


  • 平台介绍数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。
  • 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。
  • 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。
  • 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。
  • 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
《证券期货业数据标准规划(2022-2025)》全文正式发布《企业上市全程指引》(第五版)读后感七步走,搞定数据安全风险评估泰矽微电子通过ISO26262功能安全管理体系认证!推荐 |《数据安全和个人信息保护社会责任指南》发布数据治理:企业数据管理制度怎么写?二十大前,重要学习笔记《深度合成管理规定》学习笔记(附逐条对比)官方通报奶茶店“先欢迎后扫码”被关停;首尔市政府一负责安全管理业务官员在家中身亡;特朗普将在下周宣布再次竞选总统 | 每日大新闻希腊圣岛-3:冲击心灵的红与黑晚讯|奥礼生物完成千万级天使轮融资、《新冠病毒感染者居家中医药干预指引》印发《证券公司三年提升计划》深度解读与交流墨鱼炒韭菜《金发女郎》电影中的性暴露和尺度十问数据安全:我们的手机安全吗?为什么总感觉被“偷听”?美国司法部:对TikTok数据安全问题持续担忧?《证券期货业数据标准规划(2022-2025)》全文来了!资料补给站 | 24年人大432专业课复习笔记开卖啦!IPO后过会先拿文!首创证券上市在即,信达证券、东莞证券仍在等待,为何?【提示】《上海市酒店住宿场所生活垃圾分类指引》正式发布2022年佛罗里达州假日消费者保护指南:确保您的假期愉快企业数据安全建设“六步走”,打造完备数据安全体系二十大报告要点:学习笔记(划重点)全文下载 | 最新12项数据安全国标来了香港期货业大事件!这份文件引发热议,将深刻影响香港期货业?业内人士这样详解香港批准比特币与以太坊期货ETF,港交所期货ETF已完成7360万美元募资学习笔记(二十大报告):精细标注版性格决定命运大提琴家卡萨尔斯的中国学生QFII境内商品期货交易首单完成!中国期货市场对外资独具吸引力未央播报 | 央行下发《金融领域科技伦理指引》 三季度小贷公司统计数据公布( 学习笔记 ) 中央经济工作会议精神转存!党的二十大报告学习笔记全文 | 工信部《工业和信息化领域数据安全管理办法(试行)》发布!附一图读懂!预见金兔|弘业期货周剑秋:期货经营机构要走专业化、差异化、特色化道路,护航实体经济发展
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。