2024.04.23 董潇 郭超 沈佳旖
2024年3月22日,国家金融监督管理总局(下称“金融监管总局”)发布了《银行保险机构数据安全管理办法(征求意见稿)》(下称“《征求意见稿》”),向社会公开征求意见。
本文拟就《征求意见稿》出台的背景与意义、适用范围及主要亮点进行简要评析。
一、背景与意义
如何防范和降低金融数据处理活动相关安全风险一直以来都是金融监管部门的监管重点之一。原银保监会在2018年发布了我国金融数据治理的第一份规范文件——《银行业金融机构数据治理指引》。随后,《监管数据安全管理办法(试行)》、《保险中介机构信息化工作监管办法》、《金融数据安全 数据安全分级指南》、《金融数据安全 数据生命周期安全规范》等相关法规和标准也陆续发布,完善金融领域数据监管。中国人民银行(下称“央行”)于去年7月发布了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称“《央行征求意见稿》”),针对银行、支付机构等主体的数据安全管理活动进行规制。
而近年来,金融监管总局针对金融领域,尤其是银行保险机构在数据安全管理、个人信息权益保护等方面的不足也采取了针对性措施。2022年8月,金融监管总局组织开展银行保险机构侵害个人信息权益乱象专项整治,并于今年3月向各监管局、多家银行及保险机构下发通报。通报中存在的问题涉及上千家机构,问题总数超过十六万,影响消费者超过两亿人次,涵盖数据全生命周期,包括强制同意、扩大授权、笼统授权、违规查询账户信息、不当使用客户信息、未经授权对外提供、未及时删除等问题。1
在此背景下,金融监管总局发布了其挂牌成立后发布的第一部有关数据安全的规定,旨在规范银行业保险业数据处理活动,履行作为行业主管部门对本行业数据安全监管职责,同时也为银行、保险机构等主体的数据安全管理活动提供了更为明确的指引。
二、适用范围
适用主体。《征求意见稿》适用于在中华人民共和国境内设立的开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用社等银行金融机构;保险集团(控股)公司、保险公司、保险资产管理公司等保险机构;金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、理财公司等其他金融机构。金融监管总局批准设立的外国银行分行、其他金融机构、金融控股公司、总局管理单位以及地方金融监管部门批准设立的金融组织亦参照适用本规范文件。可以看出,《征求意见稿》以机构类型划分适用范围,主体覆盖范围广泛,意图将各类金融主体均纳入《征求意见稿》的适用范围之内予以规制。
适用的数据处理行为。《征求意见稿》排除对开展涉及国家秘密的数据处理活动的适用,即除国家秘密以外的数据处理活动均会适用。
三、亮点简析
《征求意见稿》共分为九章,分别为总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。从具体内容上看,其针对银行保险机构的行业特点与数字化、智能化过程中的特点,结合现行数据安全法律法规引入了更具体、更有针对性的规定。
1. 数据分级分类与重要数据目录
在数据分类方面,《征求意见稿》第十七条将数据分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据四类。
在数据分级方面,《征求意见稿》第十八条明确规定“银行保险机构应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。”这一规定与央行公布的行业标准《金融数据安全 数据安全分级指南》和《央行征求意见稿》所规定的数据分级方式与标准存在一定差异。《金融数据安全 数据安全分级指南》根据金融机构数据使用的业务场景、数据的公开范围、数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。《央行征求意见稿》则采用了三级五层的分级方法,将数据分为了一般数据、重要数据、核心数据三大级别,并按照数据的敏感性进一步分层级,根据数据泄露或被非法获取/利用时可能对个人、组织合法权益或公共利益造成的危害程度分为五个层级。而在《征求意见稿》中则采用四级的分级方式,根据数据的规模与精度、数据泄露或者篡改、损毁所造成的影响进行分级。
诚然,《征求意见稿》第十八条对于核心数据、重要数据、敏感数据与一般数据的定义较为笼统。例如核心数据定义中的“较高精度、较大规模、一定深度”与重要数据定义中的“一定精度和规模”便可能会为银行保险机构在判断时造成不小的困难。不过金融监管总局可能也考虑到这一规定落地的难度,因此在《征求意见稿》第七十一条中明确了金融监管总局制定银行业保险业重要数据目录、提出核心数据目录建议的义务。随着相关配套文件的出台和监管部门提供的指引,“重要数据”这一长久以来困扰企业的难题的实施难度将大大降低。与此同时,《征求意见稿》还对银行与保险机构设定了向金融监管总局或者其派出机构报送重要数据目录的义务。值得注意的是,该条款并未明确监管机关需要对重要数据目录进行批准。因此,这一规定在对银行保险机构施加制定重要数据目录义务的同时,采用报送而非事前审批的方式以降低相关机构的合规义务,在保障数据安全的前提下对有关主体进行减负。
2. 外部数据采购与外包管理
由于金融业务的复杂性与专业性,金融机构委托第三方进行数据处理或从外部机构处采购数据属于常见的情形。但是由于外部主体的数据安全管理能力参差不齐、外部主体与金融机构之间的权利义务不明等原因,外包场景常常是数据安全风险发生的重灾区。因此,与《央行征求意见稿》中简单在条款中列举外部数据采购和外包管理不同,金融监管总局在《征求意见稿》对此问题做了针对性规定,为“外部数据采购”和“外包管理”单列条款以明确这两种场景下银行保险机构的义务,即针对外部数据处理情形下银行保险机构分别以数据委托处理者与数据接收方两种身份所应当承担的义务。
具体而言,在外部数据采购场景下,即银行保险机构作为数据接收方时,其有义务制定外部数据采购的集中审批管理制度、建立管理机制、对数据来源的真实性与合法性进行调查,评估数据提供者的安全保障能力及其数据安全风险,通过合同等方式明确双方数据安全责任及义务。这一条款的核心目的是确保数据来源的合法与真实,并防范其因不具备数据安全保障能力而给银行保险机构带来的数据安全风险。
在外包管理场景下,《征求意见稿》第三十一条明确将数据委托处理纳入信息科技外包管理范围,并对外包的范围加以限制,即信息科技管理责任、数据安全主体责任不外包、信息科技核心竞争力的职能不外包。
这两条规定针对外部数据采购与外包场景下的常见风险,并结合现行数据安全法律法规对其进行规制,能够为银行保险机构提供明晰的合规指引,有效化解外包场景下的数据安全风险。
3. 引入大数据平台、人工智能相关内容
近年来,大数据平台与炙手可热的人工智能被广泛应用于各个行业的业务之中,金融领域也不例外。《征求意见稿》首创性地针对大数据平台与人工智能相关的数据处理活动与安全管理要求进行了规制。
在大数据平台方面,《征求意见稿》将大数据平台界定为“以处理海量数据存储、计算、分析等为目的的基础设施,包括数据统计分析类的平台和大数据处理类平台。”第四十九条则规定大数据平台的安全问题,要求银行保险机构应当对大数据平台采取高可用设计、安全加固、数据备份等措施进行重点保护,并建立大数据服务访问授权机制,动态监测与审计大数据访问行为。由于大数据平台的数据规模大、影响范围广,为了防范重大数据安全风险,需要对其提出较高的安全保护要求。这一条款从技术层面作出了规定,要求银行保险机构采取技术措施、设定访问权限并对其进行动态监测。
在人工智能方面,《征求意见稿》要求银行保险机构在开展模型算法开发活动时,确保数据处理的透明度和结果公平合理。同时,银行保险机构还应当对人工智能模型开发应用进行统一管理,建立模型算法产品外部引入的准入机制,确保模型算法可验证、可审核、可追溯。此外,当使用人工智能技术开展业务时,银行保险机构还应当就数据对决策结果影响履行解释说明义务和信息披露义务,进行实时监测并建立专门针对人工智能应用的风险缓释措施。这些规定主要体现了现行法律法规对于自动化决策的要求,即保证决策的透明度和结果公平、公正,向有关主体履行说明义务等。
4. 设定数据安全保护基线
《征求意见稿》第五章中围绕数据安全技术保护对提出了银行保险机构提出了要求,并在条款中引入了数据安全保护基线的概念。这一概念旨在明确保护和维护数据安全方面所需达到的最低标准。早在2022年7月,国家网信办便在对政务服务云平台进行安全审查和评估时指出,部分云服务商未建立安全基线机制,未结合云平台构成制定相应的安全基线规范2。由此可见,数据安全保护基线早已是国家监管机关所关注的重点之一。金融监管总局在本次《征求意见稿》中对这一概念的引入与明确,既反映了监管的重点,又为有关主体在实践中的制度设计提供指引,推动这一规定有效且有序地落地。
《征求意见稿》第四十一条首先提出银行保险机构存在根据数据安全级别,划分网络逻辑安全域,建立分区域数据安全保护基线的义务。接着,第四十二条至第四十六条分别从信息系统保护、数据访问控制、数据传输保护、数据存储保护、数据销毁管理五方面提出安全保护基线的具体内容。同时,数据安全保护基线的适用范围主要集中于敏感级及以上的数据,即《征求意见稿》数据分级中的核心数据、重要数据与敏感数据。这是数据分级分类在具体实践中的应用,体现对不同重要程度的数据所采取的不同保护措施和安全要求。
5. 数据安全评估义务
《征求意见稿》第二十二条明确了银行保险机构的数据安全评估义务,要求相关主体在处理敏感级及以上数据的业务活动,或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时,应当事先开展数据安全评估工作。评估内容主要为根据数据处理目的、性质和范围,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性,评估数据安全风险及防控措施的有效性。
这一规定实则是将《个人信息保护法》第五十五条、第五十六条中对个人信息保护影响评估的适用情形与评估内容移植到了非个人信息的数据上,将影响评估的适用范围进行扩展,对敏感级及以上的数据或特定数据处理场景中的数据保护提出更高要求。
6. 数据安全风险管理
《征求意见稿》从数据安全风险评估、数据安全审计、数据安全事件应急管理等方面对银行保险机构提出了数据安全风险管理的要求。
在数据安全风险评估方面,相关主体应当开展一次数据安全风险评估,并应当于每年1月15日前向金融监管总局或者其派出机构报送上一年度数据安全风险评估报告。报告的内容需要囊括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况。值得注意的是,此处采取的监管方式与重要数据目录的监管方式相同,均为“报送”而非审批。此种监管方式,既能够要求相关机构履行相关风险监管义务,又减轻其合规义务,防止因履行合规义务而对业务的正常开展造成影响。
在数据安全审计方面,《征求意见稿》明确了数据安全审计的两种触发场景,即每三年开展至少一次数据安全全面审计,与在发生重大数据安全事件后应当开展专项审计。审计对象包括但不限于数据访问活动、数据委托处理、网络安全、日志、大数据访问等。同时,《征求意见稿》第六十六条明确要求保障审计机构的独立性,银行保险机构委托专业机构进行数据安全审计时,不得使用该机构提供的产品和其他服务,防止审计结果受到影响。
在数据安全事件应急管理方面,《征求意见稿》要求银行保险机构建立数据安全事件应急管理机制,包括:制定数据安全事件应急预案,定期开展应急响应培训和应急演练;发生数据安全事件后,应当立即启动应急处置;建立数据安全事件报告机制,发生数据安全事件时按照规定报告,并履行客户及合作方告知义务;发生数据安全事件或者使用的网络产品和服务存在安全缺陷、漏洞时,立即开展调查评估,及时采取补救措施。此外,金融监管总局还对相关机构施加了向金融监管总局及其派出机构等监管机关进行安全事件报告的义务。
四、结语
本次《征求意见稿》在上位法的指引下,为银行保险机构在数据安全管理层面制定了一系列详细和可落地的制度,是对我国金融数据领域的违法行为与金融强监管要求的回应,具有较大的指导意义与实践意义。值得注意的是,去年发布的《央行征求意见稿》同样在数据安全管理方面对开展特定金融业务相关的数据处理活动的金融机构提出了要求,《央行征求意见稿》与《征求意见稿》的适用范围存在一定的重叠。由于这两部规定对相关主体设定的义务存在一定差异(如数据分级标准等),具体二者在法律适用上如何衔接和协调仍待金融监管机关进一步明确。
我们建议在《征求意见稿》适用范围内的主体仔细研究学习新规内容,梳理合规义务清单,提前准备《征求意见稿》正式出台后的合规工作。
1. 参见:https://www.ccn.com.cn/Content/2024/03-29/1756190840.html
2. 中国网信网,“专家解读|夯实政务云安全基础,保障政务系统安全”,参见https://www.cac.gov.cn/2022-07/23/c_1660196909987785.htm