意見領袖丨劉典
前言
近日,為落實《中華人民共和國數據安全法》有關要求,加強中國人民銀行業務領域數據安全管理,中國人民銀行起草了《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》,現面向社會公開征求意見。以下是次征求意見稿的主要內容:
一、本辦法的主要作用是為規范中國人民銀行業務領域數據的安全管理,根據
《中華人民共和國網絡安全法》
《中華人民共和國數據安全法》
《中華人民共和國中國人民銀行法》
等有關法律、行政法規,制定本辦法。
二、人民銀行關于數據安全工作與其他部門一直,都遵循“誰管業務,誰管業務數據,誰管數據安全”基本原則。
開展數據處理活動要求是:
履行數據安全保護義務
采取有效措施防范數據被篡改、破壞、泄露、不當獲取與利用等風險
確保不損害國家安全、公共利益、金融秩序、個人及組織合法權益
遵守社會公德倫理、商業道德和職業道德
三、征求意見稿的具體內容主要包括:
數據分類分級
數據安全保護總體要求
數據安全保護管理措施
數據安全保護技術措施
風險監測、評估審計與事件處置措施
法律責任
六個方面。
四、在數據分級方面,中國人民銀行負責:
組織制定數據分類分級相關行業標準,
指導數據處理者開展數據分類分級各項工作,
統籌確定重要數據具體目錄并實施動態管理。
三部分工作。
數據按照精度、規模和對國家安全的影響程度,
分為:一般、重要、核心三級。
還要求數據處理者在此基礎上,將數據項敏感性從低至高進一步分為一至五共五個層級。
結構化數據項應當逐一標識層級;
非結構化數據項應當優先按照可拆分的各結構化數據項所對應最高層級,標識其層級。
數據可用性分層級工作納入信息系統業務連續性分級保障體系統一考慮。恢復點目標越嚴格,數據的可用性層級越高。
支撐最基本業務運轉、無法承受徹底滅失風險、需要進一步進行容災備份的數據。
要求數據處理者應當根據數據和信息系統變化情況,每年組織更新數據資源目錄。
五、在數據安全保護總體要求方面:
要求數據處理者應當明確職責分工,配足管理人員,細化問責定責規程,重要數據書面明確到人和部門;
要求建立健全全流程數據安全管理制度;
要求根據崗位分工,制定數據安全年度培訓計劃,組織開展相關教育培訓,并對培訓結果進行評價;
要求鼓勵數據處理者積極開展數據安全技術創新應用。
六、數據安全保護管理措施部分是全篇文字最多的部分,主要包括:
人員管理要求
數據收集保護管理措施要求
數據存儲保護管理措施要求
數據使用保護管理措施要求
數據加工保護管理措施要求
促進數據開發利用
數據傳輸保護管理措施要求
一般性數據提供保護管理措施要求
特殊性數據提供保護管理措施要求
數據融合創新應用管理措施要求
數據出境限制管理措施要求
國際組織和外國金融管理部門數據調取
數據公開保護管理措施要求
數據刪除保護管理措施要求
十四個方面。
七、數據安全保護技術措施方面,主要有:
賬號權限保護技術措施要求
數據處理活動日志保護技術措施要求
數據收集保護技術措施要求
數據存儲保護技術措施要求
數據使用保護技術措施要求
數據加工保護技術措施要求
數據傳輸保護技術措施要求
數據提供保護技術措施要求
數據公開保護技術措施要求
數據刪除保護技術措施要求
十方面要求。
八、風險監測、評估審計與事件處置措施部分,主要有以下:
數據處理活動風險監測
數據安全風險情報監測
數據安全通報預警監測
數據安全風險評估
數據安全審計
數據安全風險評估與審計的安全保障
數據安全事件定級判定
數據安全事件響應處置
八個方面的要求。
九、在法律責任部分,對:
監督管理責任履行
違反數據安全保護義務行為的處理
違反規定數據出境行為的處理
違反規定向國際組織或者外國金融管理部門提供數據行為的處理
非法獲取數據行為的處理
處理數據損害合法權益行為的處理
監督管理人員違反規定行為的處理
七個方面提出處理意見。
十、值得注意的是,目前的管理辦法是征求意見稿,主要方向以對數據安全的監督管理為主,未來正式的版本或試用版出臺時,可能會在推動相關領域數據促進發展方面增加一些內容。
以下是《辦法》的全文標注版,條理清晰,值得收藏學習。
——END——
(本文作者介紹:復旦大學中國研究院特聘副研究員、觀傳媒公共事業部總監。)
責任編輯:張文
新浪財經意見領袖專欄文章均為作者個人觀點,不代表新浪財經的立場和觀點。
歡迎關注官方微信“意見領袖”,閱讀更多精彩文章。點擊微信界面右上角的+號,選擇“添加朋友”,輸入意見領袖的微信號“kopleader”即可,也可以掃描下方二維碼添加關注。意見領袖將為您提供財經專業領域的專業分析。