《证券期货业数据安全管理与保护指引》学习笔记
主题:个人信息认证——数据出境的第三条道路 主讲人:何渊,DPOHUB主理人,上海交大数据法律研究中心执行主任 时间:2022年11月27日(本周日)晚8点开始
上周五(11月14日),证监会发布7项金融行业标准,相关标准自公布之日起实施。
一、引言及定义
最开头的内容也是有些信息量的。
本文件基于JR/T 0158—2018 《证券期货业数据分类分级指引》,采用其中根据数据泄露或损坏造成的影响将数据分为不同级别的数据分级方法,提供了各级数据在数据采集、数据展现、数据传输、数据处理、数据存储(包含数据备份与恢复、删除、销毁环节)过程中的数据管理和技术指引,供证券期货业机构参考。
《保护指引》引言
看这个意思,《分级指引》暂时不打算修订,而《分级指引》出台于2018年与现有《个保法》《数安法》中敏感个人信息、重要数据等概念如何衔接。此外,《分级指引》的4级分级,与《分类分级实践指南》及前段时间公开征求意见的《分类分级国标》的5级分级,体系间如何协调(详见:金融机构数据分级分类怎么做?)都需要思考。
而定义部分也依然采用了“数据控制者”的定义,与现有“数据处理者”的话语体系不同。
数据控制者(data controller)可以授权或拒绝访问某些数据、决定数据使用和数据处理目的和方式,并对其完整性、可用性和安全性负责的个人或机构。
《保护指引》3.2
数据处理的定义也与《数据安全法》不太一样。其余还有一些偏技术的定义,如“数据过程域”“可控区域”等。
《数据安全法》 A 3.2 | 《保护指引》 A 3.7 |
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。 | 数据处理 data processing 信息系统和数据接触者对数据进行使用、加工或转移的过程。 |
看了个开头,心里就有些困惑,但无论如何,作为一个强监管行业,还是好好学习监管精神吧。
二、基本原则
(一)过程域,数据保护覆盖全流程。数据安全保护措施需覆盖数据处理全生命周期。而所谓“过程域”,指实现同一数据目标的相关数据活动的集合,可能包括一个或多个活动。《保护指引》定义下的过程域,包括:采集、展现、传输、处理和存储。
(二)实用性,针对不同数据的级别,采取与之相适应的保护措施。这点还是比较感人,监管在原则里面提了实用性,保护措施与数据级别相适应即可,资源有些,把好刚用在刀刃上。此外,监管还强调,制度管理和技术保护的区别指引。两手都要抓,两手都要硬。
(三)安全性,组织、制度、技术均采取措施。建立制度,安排专人,上技术措施,都很好理解,无非是人财物的支持。此外还强调了最小授权原则,不必知道的人不能看到不该看的数据。
(四)可用性,保证数据完整、可用。
(五)适配性,根据自身机构情况量体裁衣。
三、组织架构
本部分内容明确了各个部门在数据安全管理中的责任,可考虑内化至内规中,也是各方就职责发生争执时的参考。首先,要明确数据安全管理的负责人及主管部门。其次,信安、业务、合规风控、IT、审计部门都被安排任务了。
数据安全管理部门,需要负责:(1)建章立制。建立数据管理制度,根据分类分级制度,并对明确不同级别数据的保护措施;(2)操作规程。建立并执行覆盖数据安全生命全周期的运营操作规程;(3)责任人。明确数据安全管理相关岗位及职能;(4)授权机制。明确如何进行数据授权及被授权人的责任、义务。
合规风控部门,需要负责:(1)建立数据安全合规和风险制度;(2)指导、规范、检查相关管理措施的落实情况。
IT部门,需要负责:(1)采取数据安全保护技术措施;(2)制定数据直接接触者的技术防控要求;(3)建立信息系统的数据安全评估、数据安全事件管理和应急响应工作。
审计部门,需要负责:对数据安全管理情况进行稽核、检查、评价及督促整改。
上述内容,一定程度起着定分止争的作用。
四、制度指引
这一章其实就是在告诉证券经营机构,需要有哪些制度,未来检查,会不会也对照着查呢?总得来看应该是1个制度+8个细则。
数据安全管理办法:明确组织架构、组织形式、岗位职责、资源配置等;
数据权限管理细则:明确不同员工的数据访问权限、访问方式及申请流程;
数据存储介质管理细则:保障数据存储介质,如硬盘、U盘等,可追踪;明确介质存放周期、存放方式、访问权限的安全性;
场所管理细则:相关场所,如机房、数据库等,物理要求,如温度、湿度,访问要求,如何种门禁,监控要求,如是否24小时,录像存多久;维护、防护要求等等;
数据安全防护细则:根据数据的价值及风险,明确数据保护措施并予以资源倾斜;
数据安全事件管理细则:根据《网安法》明确数据安全事件的处理流程(注:对证券行业而言,《证券期货业网络安全事件报告与调查处理办法》中规定的其实很细了,内化其中的要求即可)。并且需要保障相关的制度有效落实。
数据安全应急管理细则:评估风险,制定预案,定期演练,保持有效。
数据安全审计细则:和《个保法》第54条的个人信息保护审计相呼应,要写制度可以一起写了。当然稽核审计部门该怎么做,还存疑。但无论如何,外规的要求是:数据安全内部审计责任和周期,定期进行数据安全专项审计并保障其有效性和时效性。
五、安全管理指引
接下来,才进入正题,需要根据数据的4级,提出不同的要求。先带大家回顾一下,1-4级的数据是怎么分的。《分类分级指引》的附录,还有更加细颗粒度的列举,可供参考。
第七章的体系是这样,一共有4级数据,对每级数据的采集、展现、传输、处理和存储都提出了要求。而高一级的数据在上一级数据的基础上,会额外提出新的要求。
要求又先分为两大类,一部分是“可控区域”,另一部分是“不可控区域”,我个人粗浅地理解就是内网和外网,一般外网进行相关操作又会较内部有更高的要求。
再接下来,又会分为:管理指引、技术指引和接触者指引。
对于这种结构,思前想后还是选择画树状图的方式来进行展示。限于篇幅,每一级数据只会放较上一级新增的要求,老要求就不再重复。
(一)1级数据安全指引
1级数据几乎就是公开数据,但《保护指引》还是提出了茫茫多的要求,感觉比较有难度的内容我都标红了。可能需要和业务部门、IT部门共同协商后再决定如何内化落实。
(二)2级数据安全指引
2级数据是内部针对特定人公开的数据,用于内部管理,不宜广泛公开。要求接触者均签订协议,直接处理或存储时,需双人操作或全程监控,外部人员接触须一事一议授权。也是比较高的要求。
(三)3级数据安全指引
3级数据含个人信息了,开始作妖了。
在参考文献部分,本指引是引用了《个人信息保护法》的,然而本文中的很多定义及规定,并没有遵守上位法的规定。如“脱敏”一词,多次出现,而在《个人信息保护法》中,与之对应的概念应该是“去标识化”,但去标识处理的个人信息依然是个人信息的。不知道为何,在此文件中却成为了对外提供个人信息豁免同意的合法性基础。与《个人信息保护法》相悖。
本以为,可能起草人对“脱敏”的定义其实是“匿名化”,但是后文中“匿名化”这个表述确也出现了。
其他的要求,我也都仔细读了,要求还是非常高,完全落实成本恐怕不低。而这个推荐性行业标准在后续执法过程中,会有多少强制性,也需要再观望。
(四)4级数据安全指引
4级数据,非常重要,正常证券期货经营机构一般没有,要求较3级数据也没有什么特别的额外要求。
六、总结
每天两块钱,实时获取全球数据合规风险预警
如需《英国ICO数据跨境六步法评估工具》PDF版,请加入圈子免费下载
👇
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者