21世紀(jì)經(jīng)濟(jì)報(bào)道記者李覽青、吳立洋 上海報(bào)道 《數(shù)據(jù)安全法》在金融行業(yè)的落地又進(jìn)一步。
7月24日上午,中國人民銀行起草的《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》(以下簡(jiǎn)稱“《辦法》”)向社會(huì)公開征求意見。根據(jù)“誰管業(yè)務(wù),誰管業(yè)務(wù)數(shù)據(jù),誰管數(shù)據(jù)安全”基本原則,對(duì)境內(nèi)央行承擔(dān)監(jiān)管職責(zé)的各類業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)提出監(jiān)管。
《辦法》分為總則、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全保護(hù)總體要求、數(shù)據(jù)安全保護(hù)管理措施、數(shù)據(jù)安全保護(hù)技術(shù)措施、風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估審計(jì)與事件處置措施、法律責(zé)任、附則共八章,共五十七條。
具體來說,《辦法》約束的數(shù)據(jù)處理活動(dòng)主要包括:貨幣政策業(yè)務(wù)、跨境人民幣業(yè)務(wù)、銀行間各類市場(chǎng)交易業(yè)務(wù)、金融業(yè)綜合統(tǒng)計(jì)業(yè)務(wù)、支付清算業(yè)務(wù)、貨幣管理和數(shù)字人民幣業(yè)務(wù)、經(jīng)理國庫業(yè)務(wù)、征信業(yè)務(wù)、反洗錢業(yè)務(wù)等領(lǐng)域。
“只要涉及到央行監(jiān)管、開展中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)處理的機(jī)構(gòu)都會(huì)受到規(guī)制。”大成律師事務(wù)所合伙人肖颯向記者表示,此次《辦法》與現(xiàn)有制度緊密銜接,又作出了金融領(lǐng)域的突破。
基本原則
“在金融科技安全治理方面,特別是數(shù)據(jù)安全治理,要堅(jiān)持依法治理、堅(jiān)持?jǐn)?shù)據(jù)應(yīng)用共享、堅(jiān)持協(xié)同共治、堅(jiān)持科學(xué)治理、關(guān)注金融科技倫理。”在《辦法》公開征求意見前四天,第十三屆全國政協(xié)經(jīng)濟(jì)委員會(huì)委員,中國證券監(jiān)督管理委員會(huì)原主席肖鋼公開表示。
“誰管業(yè)務(wù),誰管業(yè)務(wù)數(shù)據(jù),誰管數(shù)據(jù)安全”成為本次《辦法》的基本原則。
“這是國內(nèi)金融行業(yè)首次明確在全行業(yè)范圍要求數(shù)據(jù)管理、數(shù)據(jù)安全管理和業(yè)務(wù)管理三位一體。”隱私科技和數(shù)據(jù)要素運(yùn)營服務(wù)商藍(lán)象智聯(lián)創(chuàng)始人兼CEO徐敏告訴記者,這背后體現(xiàn)出了兩個(gè)最主要的變化:第一是數(shù)據(jù)價(jià)值的提升,第二是全行業(yè)數(shù)據(jù)管理和數(shù)據(jù)安全管理整體能力的提升。
作為央行業(yè)務(wù)領(lǐng)域的重要一環(huán),多家支付清算機(jī)構(gòu)人士向記者表示近年來已在數(shù)據(jù)安全管理方面采取相關(guān)措施。
一家頭部支付公司有關(guān)人士向記者表示,支付領(lǐng)域數(shù)據(jù)安全主要圍繞個(gè)人信息及商戶/機(jī)構(gòu)數(shù)據(jù)安全展開,包含客戶賬戶信息保護(hù)、App個(gè)人信息收集與使用、金融消保、反洗錢、支付結(jié)算業(yè)務(wù)等業(yè)務(wù)場(chǎng)景,并貫穿從數(shù)據(jù)采集到數(shù)據(jù)銷毀的全生命周期。其已成立數(shù)據(jù)安全相關(guān)組織,并根據(jù)有關(guān)標(biāo)準(zhǔn)擬定與公司現(xiàn)狀相匹配的數(shù)據(jù)分類分級(jí)模板,完成各系統(tǒng)數(shù)據(jù)分類分級(jí)標(biāo)志,便于后續(xù)執(zhí)行進(jìn)行差異化數(shù)據(jù)安全措施。
平安付相關(guān)專家告訴記者,其已經(jīng)成立數(shù)據(jù)管理委員會(huì),近年來在數(shù)據(jù)脫敏、數(shù)據(jù)防泄露、數(shù)據(jù)審計(jì)、分類分級(jí)、安全風(fēng)險(xiǎn)治理等方面著重發(fā)力。
“個(gè)人信息保護(hù)與數(shù)據(jù)安全合規(guī)是銀行展業(yè)的底線。”某大行金融科技部門人士向記者表示,大多數(shù)銀行都已成立數(shù)據(jù)治理委員會(huì),制定數(shù)據(jù)分類分級(jí)、消費(fèi)者保護(hù)等相關(guān)管理辦法。
在落實(shí)數(shù)據(jù)安全管理職責(zé)之外,本次《辦法》還強(qiáng)調(diào)數(shù)據(jù)安全的監(jiān)管協(xié)同,例如《辦法》要求數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)前,還應(yīng)當(dāng)提請(qǐng)國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制辦公室批準(zhǔn)。
“可以預(yù)見的是,未來會(huì)形成金融等主管部門、公安等國家安全機(jī)關(guān)以及國家網(wǎng)信等有關(guān)部門在各自職責(zé)范圍內(nèi)承擔(dān)好數(shù)據(jù)安全監(jiān)管職責(zé)的前提下,協(xié)同監(jiān)督管理數(shù)據(jù)安全的機(jī)制。”肖颯表示,《辦法》嚴(yán)格落實(shí)和加強(qiáng)了跨地區(qū)、跨部門綜合監(jiān)管的有關(guān)要求,進(jìn)一步強(qiáng)調(diào)協(xié)同監(jiān)督管理,將更有效提高數(shù)據(jù)安全監(jiān)管效率、彌補(bǔ)數(shù)據(jù)安全監(jiān)管漏洞,更有利于我國數(shù)據(jù)領(lǐng)域的安全發(fā)展。
繼承與突破
“與現(xiàn)有制度的銜接是《辦法》的一大亮點(diǎn)。”肖颯表示,《辦法》統(tǒng)合了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》以及其他法律法規(guī)的相關(guān)規(guī)定,基本上在已有法律法規(guī)的框架下開展,同時(shí)對(duì)于特定領(lǐng)域的法律法規(guī),其明確讓位于該特定領(lǐng)域的相關(guān)規(guī)范。
在相關(guān)起草說明中,央行表示《辦法》一是注重與業(yè)務(wù)管理制度的銜接,二是注重與個(gè)人信息保護(hù)管理制度的銜接,三是注重與涉密管理制度的銜接,四是注重與非網(wǎng)絡(luò)數(shù)據(jù)管理制度的銜接,五是注重與現(xiàn)行數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)的銜接。
值得關(guān)注的是,《辦法》并不只是上位法的延續(xù),而是結(jié)合金融領(lǐng)域的相關(guān)要求進(jìn)行細(xì)化明確,并在一定程度上作出突破。
此前記者在進(jìn)行相關(guān)報(bào)道時(shí),多位采訪對(duì)象都提到金融行業(yè)更具體、更細(xì)節(jié)的落實(shí)舉措需要等央行的個(gè)保法行業(yè)細(xì)則出臺(tái)。
一位深耕金融數(shù)字化轉(zhuǎn)型服務(wù)多年的專家認(rèn)為,隨著本次《辦法》的出臺(tái),可能會(huì)進(jìn)一步加大金融機(jī)構(gòu)數(shù)據(jù)開放共享的意愿。
思維世紀(jì)董事長章明珠告訴記者,《辦法》從監(jiān)管、執(zhí)行層面明確了相關(guān)部門、單位的職責(zé),并對(duì)數(shù)據(jù)處理者進(jìn)行量化要求,例如“每年組織更新數(shù)據(jù)資源目錄”、“每年至少對(duì)信息系統(tǒng)業(yè)務(wù)處理賬號(hào)、特權(quán)賬號(hào)實(shí)施一次核驗(yàn)”、“每年組織開展一次全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作”等。
特別是在生成式人工智能監(jiān)管與利用個(gè)人信息提供自動(dòng)化決策方面,肖颯向記者提到,此前并未有針對(duì)金融行業(yè)相關(guān)業(yè)務(wù)的專門性規(guī)定,而此次規(guī)定多次提及自動(dòng)化決策、算法風(fēng)險(xiǎn)評(píng)估等方面的規(guī)定,具有一定的突破性。
此外,在金融數(shù)據(jù)跨境流動(dòng)方面,《辦法》在《數(shù)據(jù)出境安全評(píng)估辦法》的基礎(chǔ)上提出更高的要求。例如《辦法》第二十六條第一款要求“重要數(shù)據(jù)應(yīng)當(dāng)境內(nèi)存儲(chǔ)”,第二款要求數(shù)據(jù)處理者在開展數(shù)據(jù)出境前進(jìn)行風(fēng)險(xiǎn)自評(píng)估和申報(bào)數(shù)據(jù)出境安全評(píng)估,均為上位法所明確規(guī)定的法定義務(wù),并且相關(guān)內(nèi)容在數(shù)據(jù)出境安全評(píng)估辦法中有具體的操作的辦法。
而第三款規(guī)定對(duì)數(shù)據(jù)處理者提出了更高要求,要求相關(guān)數(shù)據(jù)處理者應(yīng)當(dāng)于每年1月底前測(cè)算或者估算其上兩年累計(jì)出境數(shù)據(jù)規(guī)模與范圍,并保存相測(cè)算估算結(jié)果和對(duì)應(yīng)的境外接收方聯(lián)系方式至少三年。“可以認(rèn)為這是中國人民銀行對(duì)于金融領(lǐng)域的數(shù)據(jù)處理行為提出了更高也更詳細(xì)的標(biāo)準(zhǔn)。”肖颯表示。
新挑戰(zhàn)與新解法
《辦法》對(duì)金融領(lǐng)域相關(guān)細(xì)則的突破性規(guī)定,源于近年來相關(guān)業(yè)務(wù)開展過程中面臨的數(shù)據(jù)安全新挑戰(zhàn)。
一方面是涉及個(gè)人隱私敏感信息,以及重要數(shù)據(jù)與核心數(shù)據(jù)的流通依然存在挑戰(zhàn)。
“支付清算機(jī)構(gòu)涉及大量的用戶、商戶信息與金融信息,保障數(shù)據(jù)的安全性和隱私保護(hù)是重要任務(wù),必須采取嚴(yán)格的數(shù)據(jù)加密與訪問控制措施。”前述頭部支付機(jī)構(gòu)人士告訴記者。
寶付支付技術(shù)研發(fā)中心負(fù)責(zé)人王峰告訴記者,如何確保個(gè)人隱私數(shù)據(jù)與敏感數(shù)據(jù)安全,又要滿足嚴(yán)格的合規(guī)要求,是目前面臨的一大難題,需要遵循“最小化”收集的基本原則,同時(shí)面對(duì)涉及大額資金流轉(zhuǎn)的行為,機(jī)構(gòu)也需要進(jìn)一步預(yù)防與識(shí)別欺詐行為。
另一方面,隨著算法與AI技術(shù)的快速發(fā)展,特別是由于AI訓(xùn)練決策的“黑箱化”,涉及巨大量級(jí)的多樣化數(shù)據(jù)、算法,帶來了更為復(fù)雜的數(shù)據(jù)安全管理要求。
章明珠也提到,當(dāng)前的生成式AI發(fā)展浪潮下,金融領(lǐng)域應(yīng)用算法等進(jìn)行數(shù)據(jù)加工主要面臨法律合規(guī)性風(fēng)險(xiǎn)與加工過程中的安全風(fēng)險(xiǎn)兩方面問題。
面對(duì)法律合規(guī)性風(fēng)險(xiǎn),數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)加工時(shí)需充分分析數(shù)據(jù)加工處理必要性和合規(guī)性,涉及個(gè)人數(shù)據(jù)的,需進(jìn)一步評(píng)估個(gè)人數(shù)據(jù)的加工處理是否會(huì)對(duì)個(gè)人信息主體帶來不利影響;面對(duì)數(shù)據(jù)加工過程中的安全風(fēng)險(xiǎn),數(shù)據(jù)處理者需要防范由于采取的安全保護(hù)措施不當(dāng),導(dǎo)致的數(shù)據(jù)泄露及被非法利用的風(fēng)險(xiǎn)。
為使得數(shù)據(jù)在合規(guī)背景下實(shí)現(xiàn)融合創(chuàng)新應(yīng)用,隱私計(jì)算技術(shù)在《辦法》中被多次提及。
《辦法》第二十五條提到,數(shù)據(jù)處理者采用隱私計(jì)算等技術(shù)促進(jìn)數(shù)據(jù)融合創(chuàng)新應(yīng)用時(shí),應(yīng)當(dāng)確認(rèn)原始數(shù)據(jù)未離開自身控制范圍,且多個(gè)數(shù)據(jù)提供行為關(guān)聯(lián)后,暴露約定范圍外信息的風(fēng)險(xiǎn)可控。在第三十七條數(shù)據(jù)提供保護(hù)技術(shù)措施要求方面,《辦法》要求機(jī)構(gòu)在采用隱私計(jì)算技術(shù)提供數(shù)據(jù)時(shí),應(yīng)當(dāng)建立統(tǒng)一的技術(shù)風(fēng)險(xiǎn)評(píng)估和控制策略,明確安全可驗(yàn)證性、性能可接受性等風(fēng)險(xiǎn)對(duì)應(yīng)的緩釋措施。
對(duì)此,徐敏認(rèn)為,使數(shù)據(jù)“可用不可見”的隱私計(jì)算打開了數(shù)據(jù)應(yīng)用的“一扇門”,但也對(duì)數(shù)據(jù)處理者提出了更多應(yīng)用要求與管理要求。例如在跨機(jī)構(gòu)合作時(shí),需要精準(zhǔn)配置和定義哪些數(shù)據(jù)分別支持哪些應(yīng)用方式,隱私計(jì)算技術(shù)結(jié)合數(shù)據(jù)要素管理平臺(tái),對(duì)每一個(gè)未來有可能參與數(shù)據(jù)合作的數(shù)據(jù)項(xiàng),都需要有數(shù)據(jù)上架的操作,對(duì)它的任何操作都必須得到數(shù)據(jù)所屬方的授權(quán),并結(jié)合事后審計(jì)等手段來進(jìn)行全流程控制。
(作者:李覽青,吳立洋)
責(zé)任編輯:張文
VIP課程推薦
APP專享直播
熱門推薦
收起
24小時(shí)滾動(dòng)播報(bào)最新的財(cái)經(jīng)資訊和視頻,更多粉絲福利掃描二維碼關(guān)注(sinafinance)
