7月24日，人民银行发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法》），为数据安全“加一把锁”。

据介绍，本次出台的《办法》全面衔接了《中华人民共和国数据安全法》，细化明确了人民银行业务领域数据安全合规底线要求，将指导数据处理者优质高效合规开展人民银行业务领域数据处理活动，履行数据安全保护义务，保障消费者和企业用户的合法权益。

数据分成三级管理

从适用范围上看，受《办法》约束的数据处理活动主要包括：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。

根据“谁管业务，谁管业务数据，谁管数据安全”基本原则，数据处理者在中国境内开展的人民银行业务领域数据相关的处理活动，应当遵守《办法》提出的管理要求。

从内容上看，《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章，共五十七条。

在规范数据分类分级要求方面，《办法》强调，数据处理者应当建立数据分类分级制度规程，梳理数据资源目录标识分类信息，根据人民银行制定的重要数据识别标准，统一对数据实施分级，严格落实网络安全等级保护和风险评估等义务。数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。

在数据安全保护方面，《办法》要求，数据处理者应当压实数据安全责任，建立数据安全问责处罚制度和数据处理活动全流程安全管理制度，制订数据安全培训计划。数据处理者在中国境内收集和产生的数据，法律、行政法规有境内存储要求的，应当在境内存储。因自身需要向境外提供数据，存在国家网信部门规定情形的，应当严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估。

为进一步压实数据处理活动全流程安全合规底线，《办法》提出，针对收集、存储、使用、加工、传输、提供、公开和删除各环节，要向数据处理者明确采取哪些安全保护管理和技术措施后，可视为总体满足尽职尽责的合规底线要求。

此外，《办法》明确，细化风险监测、评估审计、事件处置等合规要求。数据处理者应当建立数据处理活动安全风险监测和告警机制，加强数据安全风险情报监测、核查、处置与行业共享。制定数据安全事件定级判定标准和应急预案，规范应急演练、事件处置、风险评估和审计等工作。

细化措施要求

人民银行在《办法》起草说明中明确，上述条款设立主要遵循三个原则：

一是与现有制度有效衔接。“重要数据应当境内存储”“规定情形下申报数据出境安全评估”等条款，均为已出台上位法所明确法定义务的再次重申，未额外增加合规要求。

二是促进数据开发利用。明确提出鼓励数据处理者在保障安全合规前提下，积极促进数据高效流通和创新应用，并提出较敏感数据项加工后无法识别至特定个人、组织时，可降低敏感性层级，更好促进数据依法合规开发利用。

三是细化规范措施要求。对于上位法“采取相应的技术措施和必要措施”要求，既细化提出原则上应当采取的技术措施和管理措施，又明确特殊情形可通过内部审核审批、统一明确场景等方式弱化措施落实，避免合规义务“一刀切”。

此外，在监管方面，《办法》严格落实《中华人民共和国数据安全法》加强跨部门综合监管的有关要求，进一步强调人民银行及其分支机构积极支持其他有关部门依据职责开展数据安全监督管理工作，必要时还可以与其他有关主管部门联合组织数据安全现场检查。这既有助于强化条块结合、区域联动的协同监督管理机制，也可有效避免重复检查问题，提高监督管理效能。

“金融业属于数据密集型行业，数据对金融发展、金融创新和金融安全至关重要。”谈及本次人民银行公布的《办法》，招联金融首席研究员董希淼向《中国银行保险报》记者指出，近段时间来，以ChatGPT为代表的生成式对话产品兴起。生成式对话产品需要接入很多数据库进行大量训练，会涉及大量的信息和数据。金融机构在与第三方合作中，如何加强网络和信息数据的安全防护，相关机构如何依法合规获取数据进行训练，都需要进一步研究。此时起草《办法》，正当其时。