人行強化數據安全管理 防違規出境

圖：《辦法》明確約束數據處理，適用範圍包括數字人民幣等金融業務。

中國人民銀行就《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》公開徵求意見。人行表示，《辦法》指導督促相關數據處理者依法依規開展人行業務領域處理活動，履行數據安全義務。專家認為，金融業屬於數據密集型行業，數據對金融發展、金融創新和金融安全至關重要。《辦法》細化明確人行業務領域數據安全合規底線要求，填補該數據安全管理制度保障空白，是貫徹《數據安全法》的舉措之一，因此具有積極意義。\大公報記者 倪巍晨

人行表示，數據處理者在內地境內收集和產生的數據，法律、行政法規有境內存儲要求的，應當在境內存儲。非經人行和其他有關主管部門批准，數據處理者不得向國際組織和外國金融管理部門提供境內存儲的數據。數據處理者不得有意拆分、縮減出境數據以規避申報數據出境安全評估。重要數據的數據處理者應自行或者委託檢測機構，每年組織開展一次全面的數據安全風險評估工作。

另外，《辦法》明確約束的數據處理活動主要包括貨幣政策業務、貨幣管理和數字人民幣業務等範圍。

關於辦法條款設立原則，一是與現有制度有效銜接。「重要數據應當境內存儲」、「規定情形下申報數據出境安全評估」等條款，均為已出台上位法所明確法定義務的再次重申，未額外增加合規要求。

數據處理範圍包括數字人幣

二是促進數據開發利用。明確提出鼓勵數據處理者在保障安全合規前提下，積極促進數據高效流通和創新應用，並提出較敏感數據項加工後無法識別至特定個人、組織時，可降低敏感性層級，更好促進數據依法合規開發利用。

三是細化規範措施要求。對於上位法「採取相應的技術措施和必要措施」要求，既細化提出原則上應當採取的技術措施和管理措施，又明確特殊情形可通過內部審核審批、統一明確場景等方式弱化措施落實，避免合規義務「一刀切」。

此外，明確人行及其分支機構可對數據處理者數據安全保護義務落實情況開展執法檢查，以及數據處理者違反規定時對應的法律責任。

招聯首席研究員董希淼受訪時表示，隨着新一輪科技革命的發展，以「大數據」為代表的信息資源向生產要素形態演進。數據要素和其他要素一起融入社會生產過程中，成為全球發展數字經濟的戰略性資源，以及人類社會創新發展的重要推動力。金融機構在與第三方合作中，如何加強網絡和信息數據的安全防護，相關機構如何依法合規獲取數據進行訓練，都需要進一步研究。人行此時起草《辦法》正當其時。如何更好地保障數據安全、保護個人信息、引導數據向善，是金融業必須直面的重要課題。要加強排查，摸清數字生態場景合作的風險底數，以最嚴格的標準和最嚴密的措施確保個人信息安全。

未成年個人信息宜更嚴格保護

管理方面，董希淼建議，金融機構應建立個人信息數據庫分級授權管理制度，依據個人信息重要程度、業務需要、敏感程度等，實行分級管理。他舉例說，對未滿18周歲的未成年人的個人信息，應作為敏感個人信息予以更嚴格保護；對需要向境外提供的個人信息，應通過國家相關部門的安全評估。此外，在個人信息處理過程中，應在技術上對客戶信息複製、查詢有硬約束，如建立分級審批、雙人控制等要求。