21解读丨央行版数据安全管理办法将出台：谁管业务，谁管业务数据，谁管数据安全

21世纪经济报道记者李览青、吴立洋 上海报道《数据安全法》在金融行业的落地又进一步。
7月24日上午，中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》（以下简称“《办法》”）向社会公开征求意见。根据“谁管业务，谁管业务数据，谁管数据安全”基本原则，对境内央行承担监管职责的各类业务相关数据处理活动提出监管。
《办法》分为总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则共八章，共五十七条。
具体来说，《办法》约束的数据处理活动主要包括：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域。
“只要涉及到央行监管、开展中国人民银行业务领域数据处理的机构都会受到规制。”大成律师事务所合伙人肖飒向记者表示，此次《办法》与现有制度紧密衔接，又作出了金融领域的突破。
基本原则
“在金融科技安全治理方面，特别是数据安全治理，要坚持依法治理、坚持数据应用共享、坚持协同共治、坚持科学治理、关注金融科技伦理。”在《办法》公开征求意见前四天，第十三届全国政协经济委员会委员，中国证券监督管理委员会原主席肖钢公开表示。
“谁管业务，谁管业务数据，谁管数据安全”成为本次《办法》的基本原则。
“这是国内金融行业首次明确在全行业范围要求数据管理、数据安全管理和业务管理三位一体。”隐私科技和数据要素运营服务商蓝象智联创始人兼CEO徐敏告诉记者，这背后体现出了两个最主要的变化：第一是数据价值的提升，第二是全行业数据管理和数据安全管理整体能力的提升。
作为央行业务领域的重要一环，多家支付清算机构人士向记者表示近年来已在数据安全管理方面采取相关措施。
一家头部支付公司有关人士向记者表示，支付领域数据安全主要围绕个人信息及商户/机构数据安全展开，包含客户账户信息保护、App个人信息收集与使用、金融消保、反洗钱、支付结算业务等业务场景，并贯穿从数据采集到数据销毁的全生命周期。其已成立数据安全相关组织，并根据有关标准拟定与公司现状相匹配的数据分类分级模板，完成各系统数据分类分级标志，便于后续执行进行差异化数据安全措施。
平安付相关专家告诉记者，其已经成立数据管理委员会，近年来在数据脱敏、数据防泄露、数据审计、分类分级、安全风险治理等方面着重发力。
“个人信息保护与数据安全合规是银行展业的底线。”某大行金融科技部门人士向记者表示，大多数银行都已成立数据治理委员会，制定数据分类分级、消费者保护等相关管理办法。
在落实数据安全管理职责之外，本次《办法》还强调数据安全的监管协同，例如《办法》要求数据处理者向其他数据处理者提供核心数据前，还应当提请国家数据安全工作协调机制办公室批准。
“可以预见的是，未来会形成金融等主管部门、公安等国家安全机关以及国家网信等有关部门在各自职责范围内承担好数据安全监管职责的前提下，协同监督管理数据安全的机制。”肖飒表示，《办法》严格落实和加强了跨地区、跨部门综合监管的有关要求，进一步强调协同监督管理，将更有效提高数据安全监管效率、弥补数据安全监管漏洞，更有利于我国数据领域的安全发展。
继承与突破
“与现有制度的衔接是《办法》的一大亮点。”肖飒表示，《办法》统合了《数据安全法》、《个人信息保护法》以及其他法律法规的相关规定，基本上在已有法律法规的框架下开展，同时对于特定领域的法律法规，其明确让位于该特定领域的相关规范。
在相关起草说明中，央行表示《办法》一是注重与业务管理制度的衔接，二是注重与个人信息保护管理制度的衔接，三是注重与涉密管理制度的衔接，四是注重与非网络数据管理制度的衔接，五是注重与现行数据相关标准的衔接。
值得关注的是，《办法》并不只是上位法的延续，而是结合金融领域的相关要求进行细化明确，并在一定程度上作出突破。
此前记者在进行相关报道时，多位采访对象都提到金融行业更具体、更细节的落实举措需要等央行的个保法行业细则出台。
一位深耕金融数字化转型服务多年的专家认为，随着本次《办法》的出台，可能会进一步加大金融机构数据开放共享的意愿。
思维世纪董事长章明珠告诉记者，《办法》从监管、执行层面明确了相关部门、单位的职责，并对数据处理者进行量化要求，例如“每年组织更新数据资源目录”、“每年至少对信息系统业务处理账号、特权账号实施一次核验”、“每年组织开展一次全面的数据安全风险评估工作”等。
特别是在生成式人工智能监管与利用个人信息提供自动化决策方面，肖飒向记者提到，此前并未有针对金融行业相关业务的专门性规定，而此次规定多次提及自动化决策、算法风险评估等方面的规定，具有一定的突破性。
此外，在金融数据跨境流动方面，《办法》在《数据出境安全评估办法》的基础上提出更高的要求。例如《办法》第二十六条第一款要求“重要数据应当境内存储”，第二款要求数据处理者在开展数据出境前进行风险自评估和申报数据出境安全评估，均为上位法所明确规定的法定义务，并且相关内容在数据出境安全评估办法中有具体的操作的办法。
而第三款规定对数据处理者提出了更高要求，要求相关数据处理者应当于每年1月底前测算或者估算其上两年累计出境数据规模与范围，并保存相测算估算结果和对应的境外接收方联系方式至少三年。“可以认为这是中国人民银行对于金融领域的数据处理行为提出了更高也更详细的标准。”肖飒表示。
新挑战与新解法
《办法》对金融领域相关细则的突破性规定，源于近年来相关业务开展过程中面临的数据安全新挑战。
一方面是涉及个人隐私敏感信息，以及重要数据与核心数据的流通依然存在挑战。
“支付清算机构涉及大量的用户、商户信息与金融信息，保障数据的安全性和隐私保护是重要任务，必须采取严格的数据加密与访问控制措施。”前述头部支付机构人士告诉记者。
宝付支付技术研发中心负责人王峰告诉记者，如何确保个人隐私数据与敏感数据安全，又要满足严格的合规要求，是目前面临的一大难题，需要遵循“最小化”收集的基本原则，同时面对涉及大额资金流转的行为，机构也需要进一步预防与识别欺诈行为。
另一方面，随着算法与AI技术的快速发展，特别是由于AI训练决策的“黑箱化”，涉及巨大量级的多样化数据、算法，带来了更为复杂的数据安全管理要求。
章明珠也提到，当前的生成式AI发展浪潮下，金融领域应用算法等进行数据加工主要面临法律合规性风险与加工过程中的安全风险两方面问题。
面对法律合规性风险，数据处理者进行数据加工时需充分分析数据加工处理必要性和合规性，涉及个人数据的，需进一步评估个人数据的加工处理是否会对个人信息主体带来不利影响；面对数据加工过程中的安全风险，数据处理者需要防范由于采取的安全保护措施不当，导致的数据泄露及被非法利用的风险。
为使得数据在合规背景下实现融合创新应用，隐私计算技术在《办法》中被多次提及。
《办法》第二十五条提到，数据处理者采用隐私计算等技术促进数据融合创新应用时，应当确认原始数据未离开自身控制范围，且多个数据提供行为关联后，暴露约定范围外信息的风险可控。在第三十七条数据提供保护技术措施要求方面，《办法》要求机构在采用隐私计算技术提供数据时，应当建立统一的技术风险评估和控制策略，明确安全可验证性、性能可接受性等风险对应的缓释措施。
对此，徐敏认为，使数据“可用不可见”的隐私计算打开了数据应用的“一扇门”，但也对数据处理者提出了更多应用要求与管理要求。例如在跨机构合作时，需要精准配置和定义哪些数据分别支持哪些应用方式，隐私计算技术结合数据要素管理平台，对每一个未来有可能参与数据合作的数据项，都需要有数据上架的操作，对它的任何操作都必须得到数据所属方的授权，并结合事后审计等手段来进行全流程控制。