【专栏】“石以砥焉，化钝为利”——数据安全的央行之举

 
作者 | 肖飒团队 来源 | 零壹财经专栏

数据安全作为近年来最受重视的立法领域，短短几年之间，出台了多部法律、行政法规以及部门规章，各地方政府也多次出台相关的法律规范就当地的数据发展作出规定。在这样的大环境下，就在昨日，中国人民银行对外发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（下称《征求意见稿》）并面向社会公开征求意见。作为一部由金融领域主管部门制定的数据安全相关的法律规范，尽管仍然是征求意见稿，但其重要性毋庸置疑，由于其篇幅不小，内容众多，飒姐团队今日文章便对《征求意见稿》的部分要点进行解读。

中国人民银行发布《征求意见稿》并非心血来潮，事实上，对于数据领域立法的布局，早在2021年《数据安全法》中便初见端倪，其第六条明确规定，“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”因而，对于中国人民银行这一在金融领域承担监管职责的主管部门而言，其应当在其监管范围内发挥作用。

而在去年年底发布的“数据二十条”（即《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》）则进一步对于各监管部门的监督和治理制度提出了要求，其第二条工作原则中强调要“完善治理体系，保障安全发展”，指出应“统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线。

加强数据分类分级管理，把该管的管住、该放的放开，积极有效防范和化解各种数据风险，形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。”

正是在内部立法要求以及外部客观需要的双重要求下，中国人民银行起草了《征求意见稿》。值得注意的是，本次《征求意见稿》并非所有数据处理者均适用。

根据《征求意见稿》第二条第一款的规定，“数据处理者在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动，适用本办法。法律、行政法规或者中国人民银行另有规定的，从其规定。”因此，适用该办法的前提是：（1）数据处理活动开展在境内；（2）需为中国人民银行业务领域数据相关；（3）法律、行政法规或者中国人民银行没有其他规定。

其中，第一、三项要求都很好理解，值得注意的是所谓的中国人民银行业务领域，其范围在《征求意见稿》并非进行规定。对此，中国人民银行在起草说明中予以明确，“《办法》约束的数据处理活动主要包括：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。”因此，仅有前述业务范围内的数据处理活动才属于中国人民银行业务领域数据相关的处理活动。

此外，应当明确的是，《征求意见稿》的规制对象，数据处理者并不包括个人，其在负责中明确指出，数据处理者，是指开展数据处理活动的金融机构和其他机构。

现有的数据安全领域立法，由于涉及到多方面主体，且数据本身时常具备其他法律属性，如个人信息、国家秘密等，这使得数据安全领域的规范往往复杂、抽象，不够具体，缺乏操作性，需要很多其他法律法规的配合才能构建出完成的框架。因而对于《征求意见稿》而言，其必须与现有制度体系相协调：一方面要遵守上位法的规定，另一方面要体现出该规范本身的独特性。这就对《征求意见稿》的立法技术提出了极大的挑战。

对此，《征求意见稿》定位明确，其准确将自身定义为在中国人民银行业务领域内数据处理活动的一般性、兜底性的法律规范。

1、与现有特定业务领域规范的协调。在此基础上，如果法律法规、中国人民银行另有规定的，当然以该等规定为准，从而不取代现有的特定领域的立法规定，如征信、反洗钱等业务领域所特有的管理要求（见《征求意见稿》第二条）。

2、与国家秘密相关规范的协调。《征求意见稿》第二条第二款对中国人民银行业务领域数据进行了定义，根据该定义，其明确排除了具有国家秘密属性的数据作为《征求意见稿》适用范围，换言之，如果开展涉及国家秘密的数据处理活动，应当适用其他法律（如《保守国家秘密法》），即便该数据处理活动是在中国人民银行业务领域内。

3、与个人信息保护相关规范的协调。数据完全可能具有个人信息的属性，因而在相关数据处理活动中，需要依照《个人信息保护法》的相关规定，予以协调。对此，《征求意见稿》多处对涉及个人信息的数据处理活动要求应当按照相关法律规范进行处理，如第二十三条第一项规定“涉及个人信息的数据提供行为，应当评估确认遵守有关法律、行政法规的规定”，第二十九条规定“涉及个人信息的数据，满足法律、行政法规规定应当删除情形时，数据处理者应当主动删除数据”，第三十一条第二款规定“向其他数据处理者提供涉及个人信息的数据或者重要数据的行为，相关日志应当保存至少三年”，第五十一条规定“所提供数据涉及个人信息的，依照《中华人民共和国个人信息保护法》第六十六条规定予以处理”。

数据分类分级制度是《数据安全法》下的重要制度之一，对此，《征求意见稿》第二章对其进行了细化，由中国人民银行负责组织制定相关行业标准并指导数据处理者开展相关工作。在此基础上，数据处理者应建立业务分类，梳理细化数据资源目录，以此进行数据分类。

而在具体的数据分级上，《征求意见稿》要求数据处理者根据精度、规模和对国家安全的影响程度分为一般、重要、核心三级，并在此基础上进一步根据数据敏感性（数据遭到泄露或者被非法获取、非法利用时，可能对个人、组织合法权益或者公共利益等造成的危害程度）和数据可用性（信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度）对数据进一步分层级，后续的数据安全保护管理措施以及数据安全保护技术措施，都是在分类分级的基础上进行开展，因而理解此等分类分级制度至关重要。

（二）数据安全保护措施

数据安全保护作为《征求意见稿》的重点内容，占了其中三章的篇幅，主要包括管理措施和技术措施两方面内容，分别从管理层面和技术层面保障相关数据的安全性。由于内容过多，本文不做完整的分析，仅针对其中部分内容进行解读。

其一，数据出境限制管理措施方面。对于数据出境，《征求意见稿》第二十六条明确要求境内产生和收集的数据原则上存储在境内，如确需向境外提供，应当严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估。此项规定完全符合《数据安全法》与《数据出境安全评估办法》的要求，但在此基础上，本条的第三款额外要求相关数据处理者应当于每年1月底前测算或者估算其上两年累计出境数据规模与范围，并保存测算估算结果和对应的境外接收方联系方式至少三年。可以说，这是中国人民银行根据具体情况对金融领域的数据处理活动提出了更高的要求。

其二，数据加工安全保护方面。其中重点提及了利用加工数据进行自动化决策的相关规定。该等规定在此前可见于《个人信息保护法》，其第二十四条提出第一款，“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。”对此，《征求意见稿》进行了相似的处理，要求“基于加工生成的数据项面向个人提供自动化决策服务时，应当以适当方式说明加工目的、加工依赖数据基本情况和加工基本逻辑，提升决策的透明度”，并且在技术措施上，要求明确“退出算法自动化决策的替代方案”。

其三，数据使用保护方面。《征求意见稿》明确要求“第三层级数据项原则上不提供导出使用方式，第四层级以上数据项原则上仅提供核验使用方式，确需提供其他使用方式时，应当说明相关必要性，经内部审批并明确对应的风险防范措施后，据此开展。”同时其要求技术上采取加密、数字水印或者脱敏处理等安全保护措施，这无疑极大程度保障了数据使用的安全性。

数据领域立法愈发完善固然可以极大程度保障数据的安全使用，规范各项数据处理活动，正如以后《征求意见稿》正式发布后无疑会促使相关机构在中国人民银行业务领域更加合规地进行数据处理。但同时，应当明确的是，这也会在一定程度上加深运营成本，同时数据领域目前过于繁杂的规范体系单靠机构本身并不能很好的把握，因此需要外部律师提供相关服务，协助机构搭建合规体系，如此才能解决合规发展。