《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》解讀課件

《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》解讀匯報(bào)人：XXX目錄背景與影響1

新規(guī)適用的范圍和主體2

業(yè)務(wù)數(shù)據(jù)分類分級(jí)3

業(yè)務(wù)數(shù)據(jù)的安全管理要求3監(jiān)管措施與責(zé)任3背景與影響第一部分2025年5月9日人民銀行正式對(duì)外公布《業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》，于6月30日正式施行。系個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等數(shù)據(jù)安全上位立法出臺(tái)后，由人行正式出臺(tái)的首部全面規(guī)制人行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全的法規(guī)，對(duì)于義務(wù)機(jī)構(gòu)在組織構(gòu)架、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全全生命周期管理、以及數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)和處置等各個(gè)方面的合規(guī)要求做出了詳細(xì)和明確的規(guī)定。

數(shù)據(jù)安全工作的開(kāi)展以“數(shù)據(jù)分類分級(jí)”為基礎(chǔ)，并在此基礎(chǔ)上針對(duì)不同類別和級(jí)別的數(shù)據(jù)，需要匹配對(duì)應(yīng)的管理措施和技術(shù)措施，對(duì)人行業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理提出了合規(guī)底線要求；而數(shù)據(jù)處理者也應(yīng)當(dāng)明確對(duì)應(yīng)的責(zé)任崗位、建立對(duì)應(yīng)的工作制度和業(yè)務(wù)流程、建立培訓(xùn)機(jī)制等。新規(guī)影響作為人行業(yè)務(wù)領(lǐng)域的首部數(shù)據(jù)安全專門(mén)性法規(guī)，新規(guī)銜接數(shù)據(jù)安全法等上位法，核心意義在于確立了人行數(shù)據(jù)安全工作邏輯：新規(guī)對(duì)于重要數(shù)據(jù)的處理者提出了明確的年度風(fēng)險(xiǎn)評(píng)估和合規(guī)審計(jì)要求。新規(guī)的出臺(tái)亦是在數(shù)據(jù)安全管理領(lǐng)域?qū)τ诠δ鼙O(jiān)管和行為監(jiān)管有機(jī)結(jié)合的體現(xiàn)，有助于提升監(jiān)管質(zhì)效、構(gòu)建全方位的數(shù)據(jù)安全監(jiān)管體系。第42條要求，重要數(shù)據(jù)的處理者應(yīng)當(dāng)自行或者委托第三方評(píng)估機(jī)構(gòu)，每年對(duì)業(yè)務(wù)數(shù)據(jù)開(kāi)展一次風(fēng)險(xiǎn)評(píng)估，并于每年1月15日前向人行或者住所地人行省級(jí)分支機(jī)構(gòu)報(bào)送上一年度風(fēng)險(xiǎn)評(píng)估報(bào)告。此外，第45條進(jìn)一步要求，重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年至少開(kāi)展一次與重要數(shù)據(jù)安全相關(guān)的合規(guī)審計(jì)。新規(guī)適用的范圍和主體第二部分

根據(jù)新規(guī)第2條的定義，主要是指依據(jù)法律、行政法規(guī)，由中國(guó)人民銀行承擔(dān)監(jiān)督和管理職責(zé)的業(yè)務(wù)領(lǐng)域內(nèi)產(chǎn)生和收集的不涉及國(guó)家秘密的網(wǎng)絡(luò)數(shù)據(jù)。（一）數(shù)據(jù)類型

新規(guī)主要規(guī)制的是“中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)”，對(duì)于“不涉及國(guó)家秘密”以及“網(wǎng)絡(luò)數(shù)據(jù)”這兩項(xiàng)限定要素

“中國(guó)人民銀行業(yè)務(wù)領(lǐng)域是指由中國(guó)人民銀行承擔(dān)監(jiān)督和管理職責(zé)的貨幣信貸、宏觀審慎、跨境人民幣、銀行間市場(chǎng)、金融業(yè)綜合統(tǒng)計(jì)、支付清算、人民幣發(fā)行流通、經(jīng)理國(guó)庫(kù)、征信和信用評(píng)級(jí)、反洗錢(qián)等業(yè)務(wù)領(lǐng)域”。

一方面，《數(shù)據(jù)安全法》已經(jīng)明確對(duì)于開(kāi)展涉及國(guó)家秘密的數(shù)據(jù)處理活動(dòng)適用《保守國(guó)家秘密法》等法律法規(guī)，因此無(wú)需再適用人民銀行的業(yè)務(wù)領(lǐng)域數(shù)據(jù)規(guī)定；

另一方面，新規(guī)主要是銜接《數(shù)據(jù)安全法》以及《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》，限定數(shù)據(jù)范圍僅為網(wǎng)絡(luò)數(shù)據(jù)（可通俗理解為各種電子數(shù)據(jù)、信息），而對(duì)于統(tǒng)計(jì)、檔案工作中的數(shù)據(jù)處理活動(dòng)（可能涉及非網(wǎng)絡(luò)數(shù)據(jù)，如紙質(zhì)文檔）可適用對(duì)應(yīng)的法律法規(guī)。數(shù)據(jù)類型

人行具有直接管轄權(quán)的金融業(yè)務(wù)相關(guān)機(jī)構(gòu)包括銀行、第三方支付機(jī)構(gòu)、持牌征信機(jī)構(gòu)、銀聯(lián)和網(wǎng)聯(lián)等清算機(jī)構(gòu)，該等機(jī)構(gòu)從主體及行為上，均應(yīng)直接適用新規(guī)。（二）數(shù)據(jù)處理者

新規(guī)明確需要適用的數(shù)據(jù)處理者包括“金融機(jī)構(gòu)”和“經(jīng)中國(guó)人民銀行批準(zhǔn)設(shè)立或者認(rèn)定的其他機(jī)構(gòu)”：但就非人行直接監(jiān)管的金融機(jī)構(gòu)而言，并非其所有數(shù)據(jù)的各個(gè)處理環(huán)節(jié)均需滿足新規(guī)要求，基于人行在我國(guó)當(dāng)前金融監(jiān)管職能劃分中所承擔(dān)的監(jiān)管職責(zé)，其受限于新規(guī)的主要是金融統(tǒng)計(jì)、反洗錢(qián)、征信等相關(guān)數(shù)據(jù)。

除此之外，由于新規(guī)的適用范圍系全面覆蓋“人民銀行承擔(dān)監(jiān)督和管理職責(zé)的業(yè)務(wù)領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)”，因此其約束對(duì)象亦廣泛覆蓋其他金融機(jī)構(gòu)。數(shù)據(jù)處理者數(shù)據(jù)類型業(yè)務(wù)數(shù)據(jù)分類分級(jí)第三部分業(yè)務(wù)數(shù)據(jù)的分類分級(jí)是人行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全工作的基礎(chǔ)，新規(guī)要求數(shù)據(jù)處理者應(yīng)建立相應(yīng)的內(nèi)部制度和操作規(guī)程，并按照國(guó)家規(guī)定及人行要求進(jìn)行分類分級(jí)工作的具體實(shí)施。從分類維度上，《人行數(shù)安辦法》要求數(shù)據(jù)處理者應(yīng)建立業(yè)務(wù)數(shù)據(jù)資源目錄（每年至少更新一次），并從業(yè)務(wù)關(guān)聯(lián)性、敏感性、可用性三個(gè)方面開(kāi)展數(shù)據(jù)分類。業(yè)務(wù)數(shù)據(jù)分類分級(jí)業(yè)務(wù)關(guān)聯(lián)性聚焦數(shù)據(jù)類型（是否為個(gè)人信息）、數(shù)據(jù)來(lái)源（是否為外部收集產(chǎn)生）、存儲(chǔ)系統(tǒng)以及和業(yè)務(wù)類別的關(guān)聯(lián)，解決數(shù)據(jù)資產(chǎn)盤(pán)點(diǎn)問(wèn)題；敏感性分類以數(shù)據(jù)泄露后的危害程度為核心，將“敏感個(gè)人信息”“商業(yè)秘密類客戶信息”“應(yīng)控制知悉范圍的業(yè)務(wù)信息”界定為高敏感數(shù)據(jù)，需施加更加嚴(yán)格的保護(hù)措施，其中非結(jié)構(gòu)化數(shù)據(jù)需按拆分后最高敏感等級(jí)管理（就高不就低），相較于新規(guī)中將數(shù)據(jù)項(xiàng)敏感性分為五個(gè)層級(jí)的要求，新規(guī)的要求相對(duì)原則性，以確保實(shí)踐中的可執(zhí)行性以及與其他相關(guān)法規(guī)的銜接；可用性分類則根據(jù)業(yè)務(wù)數(shù)據(jù)遭到篡改、破壞后對(duì)業(yè)務(wù)正常運(yùn)行造成的影響程度，明確信息系統(tǒng)差異化的數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)，為災(zāi)備建設(shè)提供依據(jù)。從分級(jí)維度上，《人行數(shù)安辦法》將業(yè)務(wù)數(shù)據(jù)分為一般、重要、核心三級(jí)，與《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》等數(shù)據(jù)監(jiān)管領(lǐng)域現(xiàn)行規(guī)定基本保持一致。業(yè)務(wù)數(shù)據(jù)分類分級(jí)

除此以外，新規(guī)還針對(duì)數(shù)據(jù)處理者的業(yè)務(wù)數(shù)據(jù)安全治理提出了進(jìn)一步要求，主要包括：數(shù)據(jù)處理者應(yīng)明確業(yè)務(wù)數(shù)據(jù)安全保護(hù)相關(guān)內(nèi)設(shè)部門(mén)職責(zé)，配備相適應(yīng)的數(shù)據(jù)安全專業(yè)人員，建立安全管理制度，組織開(kāi)展相關(guān)培訓(xùn)等。特別是針對(duì)重要數(shù)據(jù)處理者，應(yīng)明確業(yè)務(wù)數(shù)據(jù)的安全負(fù)責(zé)人和管理機(jī)構(gòu)，安全負(fù)責(zé)人應(yīng)符合法律法規(guī)的條件并有權(quán)直接向人行報(bào)告數(shù)據(jù)安全情況。業(yè)務(wù)數(shù)據(jù)分類分級(jí)業(yè)務(wù)數(shù)據(jù)的安全管理要求第四部分安全管理要求對(duì)全流程業(yè)務(wù)數(shù)據(jù)提出了對(duì)應(yīng)的安全管理要求與安全技術(shù)要求，并針對(duì)數(shù)據(jù)安全的風(fēng)險(xiǎn)監(jiān)測(cè)與處置設(shè)置了相應(yīng)的規(guī)則。就全流程業(yè)務(wù)數(shù)據(jù)的安全管理要求和安全技術(shù)要求而言，基本按照業(yè)務(wù)數(shù)據(jù)處理的全生命周期環(huán)節(jié)進(jìn)行規(guī)定，并增加了賬號(hào)管理、委托處理的相關(guān)規(guī)定。

收集環(huán)節(jié)：對(duì)業(yè)務(wù)數(shù)據(jù)收集環(huán)節(jié)的安全管理作出系統(tǒng)規(guī)定，特別是對(duì)間接收集數(shù)據(jù)的來(lái)源合法性與真實(shí)性需進(jìn)行審查，夯實(shí)數(shù)據(jù)接收方責(zé)任，即除了在協(xié)議層面約定提供方的義務(wù)，還要獲取授權(quán)文件或必要佐證材料；對(duì)通過(guò)爬蟲(chóng)等自動(dòng)化工具收集數(shù)據(jù)提出更嚴(yán)格要求。安全管理要求賬號(hào)管理：對(duì)數(shù)據(jù)處理者賬號(hào)及權(quán)限管理作出嚴(yán)格規(guī)定，集團(tuán)層面統(tǒng)一對(duì)不同主體及人員賬號(hào)權(quán)限進(jìn)行管理的模式可能因影響機(jī)構(gòu)獨(dú)立性而存在障礙。使用環(huán)節(jié)：對(duì)業(yè)務(wù)數(shù)據(jù)使用與展示作出嚴(yán)格規(guī)范，使用高敏感數(shù)據(jù)原則不導(dǎo)出，身份鑒別數(shù)據(jù)項(xiàng)僅核驗(yàn)，確需例外需規(guī)范場(chǎng)景；展示高敏感數(shù)據(jù)原則脫敏，不脫敏需規(guī)范場(chǎng)景。

儲(chǔ)存環(huán)節(jié)：對(duì)業(yè)務(wù)數(shù)據(jù)存儲(chǔ)及日志管理作出系統(tǒng)規(guī)定，特別是重要數(shù)據(jù)與核心數(shù)據(jù)的存儲(chǔ)系統(tǒng)應(yīng)分別達(dá)到三級(jí)等保、四級(jí)等保要求，相關(guān)數(shù)據(jù)處理活動(dòng)日志應(yīng)留存對(duì)應(yīng)的期限。加工環(huán)節(jié)：在事前審查中，核對(duì)加工目的與收集約定的一致性，審查訓(xùn)練數(shù)據(jù)的真實(shí)性、標(biāo)注合理性及模型規(guī)則的倫理合規(guī)性；在加工過(guò)程中，處理高敏感數(shù)據(jù)需額外安全措施并履行內(nèi)部審批，基于加工數(shù)據(jù)的自動(dòng)化決策服務(wù)須向個(gè)人解釋處理目的與規(guī)則；建立敏感性動(dòng)態(tài)評(píng)估機(jī)制和加工算法風(fēng)險(xiǎn)評(píng)估策略。提供環(huán)節(jié)：數(shù)據(jù)提供前需核驗(yàn)接收方身份，評(píng)估個(gè)人信息合規(guī)性與商業(yè)秘密保護(hù)，在合同中明確安全義務(wù)、處理目的、存儲(chǔ)時(shí)限等，監(jiān)督接收方履約；提供重要數(shù)據(jù)前應(yīng)開(kāi)展風(fēng)險(xiǎn)評(píng)估，核心數(shù)據(jù)出境需經(jīng)國(guó)家層面評(píng)估，禁止拆分規(guī)避義務(wù)。安全管理要求傳輸環(huán)節(jié)：原則上禁止用互聯(lián)網(wǎng)服務(wù)或移動(dòng)介質(zhì)傳輸高敏感數(shù)據(jù)；技術(shù)措施上，優(yōu)先用專用線路等，健全訪問(wèn)控制與終端準(zhǔn)入，高敏感數(shù)據(jù)原則上需加密傳輸，同時(shí)及時(shí)評(píng)估傳輸容量并做好冗余備份。公開(kāi)環(huán)節(jié)：數(shù)據(jù)公開(kāi)前需審核目的、數(shù)據(jù)合法性等，通過(guò)官方渠道公開(kāi)，其他渠道需審批；不得公開(kāi)身份鑒別數(shù)據(jù)，高敏感數(shù)據(jù)原則脫敏；應(yīng)制定自動(dòng)化工具收集控制規(guī)則，采取技術(shù)措施防篡改。

刪除環(huán)節(jié)：對(duì)業(yè)務(wù)數(shù)據(jù)的刪除、銷毀進(jìn)行規(guī)定，并要求每年至少審查一次以確認(rèn)相關(guān)數(shù)據(jù)不可被使用。委托處理：規(guī)范業(yè)務(wù)數(shù)據(jù)的委托處理，提出更嚴(yán)格的管理措施，包括合同明確受托人義務(wù)并監(jiān)督履約；業(yè)務(wù)數(shù)據(jù)委托處理應(yīng)納入外包管理體系；人行明確不得外包的業(yè)務(wù)，相關(guān)業(yè)務(wù)數(shù)據(jù)不得委托處理等。安全管理要求就數(shù)據(jù)安全的風(fēng)險(xiǎn)監(jiān)測(cè)與處置而言，新規(guī)要求數(shù)據(jù)處理者建立常態(tài)化風(fēng)險(xiǎn)監(jiān)測(cè)體系，針對(duì)數(shù)據(jù)泄露、非法利用、安全漏洞等風(fēng)險(xiǎn)及時(shí)采取補(bǔ)救措施，并依據(jù)數(shù)據(jù)敏感性、影響范圍等標(biāo)準(zhǔn)對(duì)安全事件分級(jí)分類。監(jiān)管措施與責(zé)任第五部分

構(gòu)建了全方位的監(jiān)管與責(zé)任體系，人行及其分支機(jī)構(gòu)對(duì)存在較大安全風(fēng)險(xiǎn)的機(jī)構(gòu)可約談、要求整改，發(fā)現(xiàn)國(guó)家安全相關(guān)線索可啟動(dòng)國(guó)安審查；可開(kāi)展執(zhí)法檢查，必要時(shí)聯(lián)合其他部門(mén)執(zhí)法。就未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任而言：監(jiān)管措施與責(zé)任處罰情形：對(duì)于數(shù)據(jù)處理者未建立安全管理制度、未開(kāi)展培訓(xùn)、未