Redian新闻
>
央行发布数据安全新规!明确数据分类分级要求

央行发布数据安全新规!明确数据分类分级要求

公众号新闻

日报

专栏

热点

国际

活动

《办法》共五十七条,细化明确中国人民银行业务领域数据安全合规底线要求。(首图来自图虫创意)



7月24日,中国人民银行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《办法》),面向社会公开征求意见。

《办法》所称中国人民银行业务领域数据,指根据法律、行政法规、国务院决定和中国人民银行规章,开展中国人民银行承担监督管理职责的各类业务活动时,所产生和收集的不涉及国家秘密的网络数据。

《办法》细化明确中国人民银行业务领域数据安全合规底线要求,填补本领域数据安全管理制度保障空白,指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务,保障消费者和企业用户的合法权益,促进数据要素市场高质量发展。

规范数据分类分级要求

《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条,主要内容包括:

一是规范数据分类分级要求。强调数据处理者应当建立数据分类分级制度规程,梳理数据资源目录标识分类信息,在国家数据安全工作协调机制统筹协调下,根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和风险评估等义务,并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。

二是提出数据安全保护总体要求。强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。

三是压实数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。

四是细化风险监测、评估审计、事件处置等合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。

五是明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。

央行关于四项重点问题的说明

(一)关于办法条款设立原则。

一是与现有制度有效衔接。“重要数据应当境内存储”、“规定情形下申报数据出境安全评估”等条款,均为已出台上位法所明确法定义务的再次重申,未额外增加合规要求。二是促进数据开发利用。明确提出鼓励数据处理者在保障安全合规前提下,积极促进数据高效流通和创新应用,并提出较敏感数据项加工后无法识别至特定个人、组织时,可降低敏感性层级,更好促进数据依法合规开发利用。三是细化规范措施要求。对于上位法“采取相应的技术措施和必要措施”要求,既细化提出原则上应当采取的技术措施和管理措施,又明确特殊情形可通过内部审核审批、统一明确场景等方式弱化措施落实,避免合规义务“一刀切”。

(二)关于办法适用范围。

根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,《办法》明确适用范围为中华人民共和国境内开展的,中国人民银行承担监督管理职责各类业务相关的数据处理活动。此类业务涉及的数据处理者,开展对应数据处理活动时,应当遵守《办法》提出的管理要求。当前,《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。

(三)关于与现有制度标准的衔接。

一是注重与业务管理制度的衔接。《办法》定位为其适用范围内数据处理活动的一般性、兜底性安全合规底线,明确国家法律、行政法规和中国人民银行另有规定的,从其规定,不改变和取代征信、反洗钱等业务领域现有管理制度对数据安全的差异化管理要求。

二是注重与个人信息保护管理制度的衔接。个人信息作为一类特殊数据,除需要做好分类分级和处理过程全流程安全管理外,还要遵守《中华人民共和国民法典》《中华人民共和国个人信息保护法》有关隐私权、知情权、决定权、查阅复制权、删除权、解释说明权等的特别规定。《办法》明确国家法律、行政法规和中国人民银行对个人信息相关的数据处理活动另有规定的,应当遵守其规定,既与现有国家法律做好衔接,也为后续出台中国人民银行业务领域相关的个人信息保护部门规章预留了空间。

三是注重与涉密数据管理制度的衔接。《中华人民共和国数据安全法》明确,开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。《办法》做好相应衔接,在中国人民银行业务领域数据定义中,限定数据范围仅为非涉密数据。

四是注重与非网络数据管理制度的衔接。《中华人民共和国数据安全法》明确,在统计、档案工作中开展数据处理活动,还应当遵守有关法律、行政法规的规定。国家网信部门组织起草《网络数据安全管理条例》衔接上位法时,重点规范网络数据处理活动的安全管理要求。《办法》也预先与《网络数据安全管理条例》做好衔接,在中国人民银行业务领域数据定义中,限定数据范围仅为网络数据。

五是注重与现行数据相关标准的衔接。中国人民银行已相继出台《金融数据安全 数据安全分级指南》(JR/T 0197—2020)、《金融数据安全 数据生命周期安全规范》(JR/T0223-2021)等金融业数据安全标准,因数据安全管理要求不断演进,相关标准在内容与术语定义方面,需要根据《办法》作对应调整,后续中国人民银行将加快组织上述标准的修订工作,确保制度与标准适配统一。

(四)关于监督管理协同。

《中华人民共和国数据安全法》在明确金融等主管部门承担本行业、本领域数据安全监管责任同时,也明确公安机关、国家安全机关和国家网信等有关部门,在各自职责范围内承担数据安全监管职责。《办法》严格落实加强跨部门综合监管的有关指导意见的要求,进一步强调中国人民银行及其分支机构积极支持其他有关部门依据职责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式,并可以与其他有关主管部门联合组织中国人民银行业务领域数据安全现场检查,既有助于强化条块结合、区域联动的协同监督管理机制,也可有效避免重复检查问题,提高监督管理效能。

(点击“阅读原文”查看《办法》全文)


在看”点这里

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
医院数据泄露被罚6.2万元!衡南县网信办依据《数据安全法》开出罚单!存在即永恒上海市网信办推荐案例 |《数据分类分级工作管理制度》日本另类的“紫阳花”附下载!信安标委《网络数据安全风险评估实施指引》发布!5079 血壮山河之武汉会战 黄广战役 11嘶吼安全产业研究院:时维鹰扬 履践致远-2023数据安全细分市场调研报告【金融行业】数据安全纳入操作风险管理——操作风险管理办法征求意见稿点评事关数据安全,央行最新发布!来看六大要点将AI分类分级能力融入数据底座中,「霍因科技」完成数千万元A轮融资|36氪首发国际监管动态 | 美国白宫公布首个AI监管计划,日本央行发布能效与碳中和影响研究报告在家工作时保护数据安全的网络安全技巧《虞美人 - 柳边蝶》住建部发文!明确底线要求央行发布重要报告,告诉我们6大信息上海市网信办推荐案例 | 汽车数据分级管理与应用如何做?有客自大陆来刚刚,央行发布大消息,人民币突然猛拉!国家安全部:数据安全已成为事关国家安全与经济社会发展的重大问题浙江通管局《关于开展“之江数安”2023年浙江省电信和互联网行业数据安全专项行动的通知》发布央行发布大消息!热门板块卷土重来,概念股大涨【金融行业】财务公司如何分类分级监管?—《企业集团财务公司监管评级办法》点评不公布数据,或许会得到更准确的数据摩根士丹利因数据安全法,逾200员工将调离内地?要诊断先分类!一文理清肺结节的分类要点未央播报 | 金融监管总局要求银行保险机构自查 摸清网络和数据安全风险底数国内某TOP大厂,对于运维工程师的评级要求,看看你在哪一级?重磅全文!《中国人民银行业务领域数据安全管理办法(征求意见稿)》发布将AI分类分级能力融入数据底座中,「霍因科技」完成数千万元A轮融资|早起看早期常客:“多在我这儿花钱,少薅我羊毛” 达美航空更新其高级会员保级要求,2024年开始执行【提示】野餐垃圾该如何分类?简单易学的垃圾分类方法来了→国务院2023年度立法工作计划:人工智能法、网络数据安全管理条例来了!抄作业 | 蚂蚁集团更新《数据安全与隐私保护特别约定》TF线下活动报名 | 7月6日,一起探讨数据安全如何破局?应统问答室 | 数据分析这个岗位现在前景是不是不怎么好?来自十年数据分析师的建议
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。