意见领袖丨刘典
前言
近日,为落实《中华人民共和国数据安全法》有关要求,加强中国人民银行业务领域数据安全管理,中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》,现面向社会公开征求意见。以下是次征求意见稿的主要内容:
一、本办法的主要作用是为规范中国人民银行业务领域数据的安全管理,根据
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国中国人民银行法》
等有关法律、行政法规,制定本办法。
二、人民银行关于数据安全工作与其他部门一直,都遵循“谁管业务,谁管业务数据,谁管数据安全”基本原则。
开展数据处理活动要求是:
履行数据安全保护义务
采取有效措施防范数据被篡改、破坏、泄露、不当获取与利用等风险
确保不损害国家安全、公共利益、金融秩序、个人及组织合法权益
遵守社会公德伦理、商业道德和职业道德
三、征求意见稿的具体内容主要包括:
数据分类分级
数据安全保护总体要求
数据安全保护管理措施
数据安全保护技术措施
风险监测、评估审计与事件处置措施
法律责任
六个方面。
四、在数据分级方面,中国人民银行负责:
组织制定数据分类分级相关行业标准,
指导数据处理者开展数据分类分级各项工作,
统筹确定重要数据具体目录并实施动态管理。
三部分工作。
数据按照精度、规模和对国家安全的影响程度,
分为:一般、重要、核心三级。
还要求数据处理者在此基础上,将数据项敏感性从低至高进一步分为一至五共五个层级。
结构化数据项应当逐一标识层级;
非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。
数据可用性分层级工作纳入信息系统业务连续性分级保障体系统一考虑。恢复点目标越严格,数据的可用性层级越高。
支撑最基本业务运转、无法承受彻底灭失风险、需要进一步进行容灾备份的数据。
要求数据处理者应当根据数据和信息系统变化情况,每年组织更新数据资源目录。
五、在数据安全保护总体要求方面:
要求数据处理者应当明确职责分工,配足管理人员,细化问责定责规程,重要数据书面明确到人和部门;
要求建立健全全流程数据安全管理制度;
要求根据岗位分工,制定数据安全年度培训计划,组织开展相关教育培训,并对培训结果进行评价;
要求鼓励数据处理者积极开展数据安全技术创新应用。
六、数据安全保护管理措施部分是全篇文字最多的部分,主要包括:
人员管理要求
数据收集保护管理措施要求
数据存储保护管理措施要求
数据使用保护管理措施要求
数据加工保护管理措施要求
促进数据开发利用
数据传输保护管理措施要求
一般性数据提供保护管理措施要求
特殊性数据提供保护管理措施要求
数据融合创新应用管理措施要求
数据出境限制管理措施要求
国际组织和外国金融管理部门数据调取
数据公开保护管理措施要求
数据删除保护管理措施要求
十四个方面。
七、数据安全保护技术措施方面,主要有:
账号权限保护技术措施要求
数据处理活动日志保护技术措施要求
数据收集保护技术措施要求
数据存储保护技术措施要求
数据使用保护技术措施要求
数据加工保护技术措施要求
数据传输保护技术措施要求
数据提供保护技术措施要求
数据公开保护技术措施要求
数据删除保护技术措施要求
十方面要求。
八、风险监测、评估审计与事件处置措施部分,主要有以下:
数据处理活动风险监测
数据安全风险情报监测
数据安全通报预警监测
数据安全风险评估
数据安全审计
数据安全风险评估与审计的安全保障
数据安全事件定级判定
数据安全事件响应处置
八个方面的要求。
九、在法律责任部分,对:
监督管理责任履行
违反数据安全保护义务行为的处理
违反规定数据出境行为的处理
违反规定向国际组织或者外国金融管理部门提供数据行为的处理
非法获取数据行为的处理
处理数据损害合法权益行为的处理
监督管理人员违反规定行为的处理
七个方面提出处理意见。
十、值得注意的是,目前的管理办法是征求意见稿,主要方向以对数据安全的监督管理为主,未来正式的版本或试用版出台时,可能会在推动相关领域数据促进发展方面增加一些内容。
以下是《办法》的全文标注版,条理清晰,值得收藏学习。
——END——
(本文作者介绍:复旦大学中国研究院特聘副研究员、观传媒公共事业部总监。)
责任编辑:张文
新浪财经意见领袖专栏文章均为作者个人观点,不代表新浪财经的立场和观点。
欢迎关注官方微信“意见领袖”,阅读更多精彩文章。点击微信界面右上角的+号,选择“添加朋友”,输入意见领袖的微信号“kopleader”即可,也可以扫描下方二维码添加关注。意见领袖将为您提供财经专业领域的专业分析。
