《數據安全法》在金融行業的落地又進一步。

7月24日上午，中國人民銀行起草的《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》（以下簡稱“《辦法》”）向社會公開征求意見。根據“誰管業務，誰管業務數據，誰管數據安全”基本原則，對境內央行承擔監管職責的各類業務相關數據處理活動提出監管。

《辦法》分為總則、數據分類分級、數據安全保護總體要求、數據安全保護管理措施、數據安全保護技術措施、風險監測評估審計與事件處置措施、法律責任、附則共八章，共五十七條。

具體來說，《辦法》約束的數據處理活動主要包括：貨幣政策業務、跨境人民幣業務、銀行間各類市場交易業務、金融業綜合統計業務、支付清算業務、貨幣管理和數字人民幣業務、經理國庫業務、征信業務、反洗錢業務等領域。

“只要涉及到央行監管、開展中國人民銀行業務領域數據處理的機構都會受到規制?！贝蟪陕蓭熓聞账匣锶诵わS向記者表示，此次《辦法》與現有制度緊密銜接，又作出了金融領域的突破。

基本原則

“在金融科技安全治理方面，特別是數據安全治理，要堅持依法治理、堅持數據應用共享、堅持協同共治、堅持科學治理、關注金融科技倫理?！痹凇掇k法》公開征求意見前四天，第十三屆全國政協經濟委員會委員，中國證券監督管理委員會原主席肖鋼公開表示。

“誰管業務，誰管業務數據，誰管數據安全”成為本次《辦法》的基本原則。

“這是國內金融行業首次明確在全行業范圍要求數據管理、數據安全管理和業務管理三位一體?！彪[私科技和數據要素運營服務商藍象智聯創始人兼CEO徐敏告訴記者，這背后體現出了兩個最主要的變化：第一是數據價值的提升，第二是全行業數據管理和數據安全管理整體能力的提升。

作為央行業務領域的重要一環，多家支付清算機構人士向記者表示近年來已在數據安全管理方面采取相關措施。

一家頭部支付公司有關人士向記者表示，支付領域數據安全主要圍繞個人信息及商戶/機構數據安全展開，包含客戶賬戶信息保護、App個人信息收集與使用、金融消保、反洗錢、支付結算業務等業務場景，并貫穿從數據采集到數據銷毀的全生命周期。其已成立數據安全相關組織，并根據有關標準擬定與公司現狀相匹配的數據分類分級模板，完成各系統數據分類分級標志，便于后續執行進行差異化數據安全措施。

平安付相關專家告訴記者，其已經成立數據管理委員會，近年來在數據脫敏、數據防泄露、數據審計、分類分級、安全風險治理等方面著重發力。

“個人信息保護與數據安全合規是銀行展業的底線?！蹦炒笮薪鹑诳萍疾块T人士向記者表示，大多數銀行都已成立數據治理委員會，制定數據分類分級、消費者保護等相關管理辦法。

在落實數據安全管理職責之外，本次《辦法》還強調數據安全的監管協同，例如《辦法》要求數據處理者向其他數據處理者提供核心數據前，還應當提請國家數據安全工作協調機制辦公室批準。

“可以預見的是，未來會形成金融等主管部門、公安等國家安全機關以及國家網信等有關部門在各自職責范圍內承擔好數據安全監管職責的前提下，協同監督管理數據安全的機制?！毙わS表示，《辦法》嚴格落實和加強了跨地區、跨部門綜合監管的有關要求，進一步強調協同監督管理，將更有效提高數據安全監管效率、彌補數據安全監管漏洞，更有利于我國數據領域的安全發展。

繼承與突破

“與現有制度的銜接是《辦法》的一大亮點?！毙わS表示，《辦法》統合了《數據安全法》、《個人信息保護法》以及其他法律法規的相關規定，基本上在已有法律法規的框架下開展，同時對于特定領域的法律法規，其明確讓位于該特定領域的相關規范。

在相關起草說明中，央行表示《辦法》一是注重與業務管理制度的銜接，二是注重與個人信息保護管理制度的銜接，三是注重與涉密管理制度的銜接，四是注重與非網絡數據管理制度的銜接，五是注重與現行數據相關標準的銜接。

值得關注的是，《辦法》并不只是上位法的延續，而是結合金融領域的相關要求進行細化明確，并在一定程度上作出突破。

此前記者在進行相關報道時，多位采訪對象都提到金融行業更具體、更細節的落實舉措需要等央行的個保法行業細則出臺。

一位深耕金融數字化轉型服務多年的專家認為，隨著本次《辦法》的出臺，可能會進一步加大金融機構數據開放共享的意愿。

思維世紀董事長章明珠告訴記者，《辦法》從監管、執行層面明確了相關部門、單位的職責，并對數據處理者進行量化要求，例如“每年組織更新數據資源目錄”、“每年至少對信息系統業務處理賬號、特權賬號實施一次核驗”、“每年組織開展一次全面的數據安全風險評估工作”等。

特別是在生成式人工智能監管與利用個人信息提供自動化決策方面，肖颯向記者提到，此前并未有針對金融行業相關業務的專門性規定，而此次規定多次提及自動化決策、算法風險評估等方面的規定，具有一定的突破性。

此外，在金融數據跨境流動方面，《辦法》在《數據出境安全評估辦法》的基礎上提出更高的要求。例如《辦法》第二十六條第一款要求“重要數據應當境內存儲”，第二款要求數據處理者在開展數據出境前進行風險自評估和申報數據出境安全評估，均為上位法所明確規定的法定義務，并且相關內容在數據出境安全評估辦法中有具體的操作的辦法。

而第三款規定對數據處理者提出了更高要求，要求相關數據處理者應當于每年1月底前測算或者估算其上兩年累計出境數據規模與范圍，并保存相測算估算結果和對應的境外接收方聯系方式至少三年?！翱梢哉J為這是中國人民銀行對于金融領域的數據處理行為提出了更高也更詳細的標準?！毙わS表示。

新挑戰與新解法

《辦法》對金融領域相關細則的突破性規定，源于近年來相關業務開展過程中面臨的數據安全新挑戰。

一方面是涉及個人隱私敏感信息，以及重要數據與核心數據的流通依然存在挑戰。

“支付清算機構涉及大量的用戶、商戶信息與金融信息，保障數據的安全性和隱私保護是重要任務，必須采取嚴格的數據加密與訪問控制措施?！鼻笆鲱^部支付機構人士告訴記者。

寶付支付技術研發中心負責人王峰告訴記者，如何確保個人隱私數據與敏感數據安全，又要滿足嚴格的合規要求，是目前面臨的一大難題，需要遵循“最小化”收集的基本原則，同時面對涉及大額資金流轉的行為，機構也需要進一步預防與識別欺詐行為。

另一方面，隨著算法與AI技術的快速發展，特別是由于AI訓練決策的“黑箱化”，涉及巨大量級的多樣化數據、算法，帶來了更為復雜的數據安全管理要求。

章明珠也提到，當前的生成式AI發展浪潮下，金融領域應用算法等進行數據加工主要面臨法律合規性風險與加工過程中的安全風險兩方面問題。

面對法律合規性風險，數據處理者進行數據加工時需充分分析數據加工處理必要性和合規性，涉及個人數據的，需進一步評估個人數據的加工處理是否會對個人信息主體帶來不利影響；面對數據加工過程中的安全風險，數據處理者需要防范由于采取的安全保護措施不當，導致的數據泄露及被非法利用的風險。

為使得數據在合規背景下實現融合創新應用，隱私計算技術在《辦法》中被多次提及。

《辦法》第二十五條提到，數據處理者采用隱私計算等技術促進數據融合創新應用時，應當確認原始數據未離開自身控制范圍，且多個數據提供行為關聯后，暴露約定范圍外信息的風險可控。在第三十七條數據提供保護技術措施要求方面，《辦法》要求機構在采用隱私計算技術提供數據時，應當建立統一的技術風險評估和控制策略，明確安全可驗證性、性能可接受性等風險對應的緩釋措施。

對此，徐敏認為，使數據“可用不可見”的隱私計算打開了數據應用的“一扇門”，但也對數據處理者提出了更多應用要求與管理要求。例如在跨機構合作時，需要精準配置和定義哪些數據分別支持哪些應用方式，隱私計算技術結合數據要素管理平臺，對每一個未來有可能參與數據合作的數據項，都需要有數據上架的操作，對它的任何操作都必須得到數據所屬方的授權，并結合事后審計等手段來進行全流程控制。

責任編輯：王超