央行拟明确业务领域数据安全合规底线要求,数据处理者应建立数据分类分级制度规程
为落实《中华人民共和国数据安全法》有关要求,加强中国人民银行业务领域数据安全管理,7月24日,中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《办法》),并现面向社会公开征求意见。《办法》所称中国人民银行业务领域数据(下称“数据”),指根据法律、 行政法规、国务院决定和中国人民银行规章,开展中国人民银行承担监督管理职责的各类业务活动时,所产生和收集的不涉及国家秘密的网络数据。当前,《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。央行在《起草说明》中指出,《办法》细化明确中国人民银行业务领域数据安全合规底线要求,填补本领域数据安全管理制度保障空白,指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务,保障消费者 和企业用户的合法权益,促进数据要素市场高质量发展。《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条。《办法》明确,数据安全工作遵循“谁管业务,谁管业务数据,谁管数据安全”基本原则。开展数据处理活动应当履行数据安全保护义务,采取有效措施防范数据被篡改、破坏、泄露、不当获取与利用等风险,确保不损害国家安全、公共利益、金融秩序、个人及组织合法权益,遵守社会公德伦理、商业道德和职业道德。在规范数据分类分级要求方面,《办法》强调数据处理者应当建立数据分类分级制度规程,梳理数据资源目录标识分类信息, 在国家数据安全工作协调机制统筹协调下,根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和风险评估等义务,并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全 保护管理和技术措施。《办法》还明确了数据安全保护总体要求,强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。《办法》明确了压实数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节, 向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。《办法》同时细化了风险监测、评估审计、事件处置等合规要求。 强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。央行在《起早说明》中指出,“重要数据应当境内存储”、 “规定情形下申报数据出境安全评估”等条款,均为已出台上位法所明确法定义务的再次重申,未额外增加合规要求。
本信息由网络用户发布,本站只提供信息展示,内容详情请与官方联系确认。
