2024年3月22日，國(guó)家金融監督管理(lǐ)總局（“金管局"）發布《銀行保險機構數據安(ān)全管理(lǐ)辦法（征求意見稿）》（以下簡稱“《征求意見稿》"），向社會公開征求意見。這是繼證監會2023年發布的《證券期貨業網絡和信息安(ān)全管理(lǐ)辦法》以及人民(mín)銀行于2023年7月公布的《中國(guó)人民(mín)銀行業務(wù)領域數據安(ān)全管理(lǐ)辦法（征求意見稿）》（以下簡稱“《人行領域數安(ān)辦法（征求意見稿）》"）之後，金融行業主管部門發布的又一綜合性數據安(ān)全部門規章。

随着金融行業數字化變革加速演進，新(xīn)技(jì )術、新(xīn)業務(wù)模式不斷湧現，數據處理(lǐ)活動日益頻繁，《征求意見稿》旨在發揮監管“指揮棒"作(zuò)用(yòng)，銜接《個人信息保護法》《數據安(ān)全法》等上位法律，引導銀行保險機構規範相關數據處理(lǐ)活動、保障數據安(ān)全，同時有序促進數據合理(lǐ)開發利用(yòng)，穩步提升金融服務(wù)數字化、智能(néng)化水平。

《征求意見稿》共九章八十一條，包括總則、數據安(ān)全治理(lǐ)、數據分(fēn)類分(fēn)級、數據安(ān)全管理(lǐ)、數據安(ān)全技(jì )術保護、個人信息保護、數據安(ān)全風險監測與處置、監督管理(lǐ)及附則。金管局與之同時還公布了有關負責人就《征求意見稿》征求意見稿的答(dá)記者問，對《征求意見稿》的起草(cǎo)背景、主要内容、重點問題進行補充說明。本文(wén)将結合答(dá)記者問對《征求意見稿》的相關内容要點與亮點進行彙總梳理(lǐ)與解讀，以供讀者參考。

一、《征求意見稿》的具體(tǐ)适用(yòng)範圍

不同于《人行領域數安(ān)辦法（征求意見稿）》中僅按照具體(tǐ)業務(wù)而非機構類型劃定适用(yòng)範圍的方式，《征求意見稿》第二條确立了以金管局管轄的金融機構主體(tǐ)類型劃定适用(yòng)範圍的思路，具體(tǐ)包括在中國(guó)境内設立的下列組織機構：

表1 《征求意見稿》适用(yòng)機構類型

此外，在适用(yòng)的行為(wèi)範圍方面，《征求意見稿》規定其适用(yòng)于上述機構除涉及國(guó)家秘密之外的其他(tā)所有數據處理(lǐ)活動。

由于《人行領域數安(ān)辦法（征求意見稿）》并未具體(tǐ)明确所适用(yòng)的機構類型，而是以是否從事反洗錢、貨币政策、支付清算、征信等九大業務(wù)為(wèi)準，其所映射的機構範圍也不可(kě)避免地會與《征求意見稿》規定的機構産生重合。因此，銀行金融機構可(kě)能(néng)将面臨人行、金管局不同條線(xiàn)的雙重數據監管壓力，需同時滿足《人行領域數安(ān)辦法（征求意見稿）》及《征求意見稿》規定的各項要求。然而，結合後文(wén)所述，二者在數據分(fēn)類分(fēn)級體(tǐ)系、具體(tǐ)合規要求等方面也存在較大的差異，又均規定了安(ān)全審計、風險評估、監管報告等類似要求。這給相關機構解讀、執行造成一定挑戰和困難。同時處于兩部辦法适用(yòng)範圍内的金融機構面臨需要協調不同監管要求（如同時執行兩套不同的數據分(fēn)級制度）以及部分(fēn)相似合規要求疊加（如每年分(fēn)别進行兩次風險評估、提交兩次報告）等問題，可(kě)能(néng)需要付出更多(duō)的合規精(jīng)力與成本。

另一方面，《征求意見稿》所轄的适用(yòng)機構類型也較為(wèi)廣闊，不僅涵蓋商業銀行、保險集團等傳統大型機構，還要求其他(tā)相較而言體(tǐ)量較小(xiǎo)的各類非銀行金融機構。對于前述機構“等量齊觀"地要求遵循相同的數據安(ān)全合規标準，可(kě)能(néng)也會為(wèi)機構的合規工作(zuò)帶來較大的負擔與壓力。《征求意見稿》對機構設定的數據安(ān)全要求及合規要求較為(wèi)嚴苛，除了傳統大型商業銀行已經建立較為(wèi)完備的信息科(kē)技(jì )體(tǐ)系與數據安(ān)全管理(lǐ)措施外，其他(tā)中小(xiǎo)型的金融機構可(kě)能(néng)未必有足夠的系統建設能(néng)力、安(ān)全技(jì )術與人力資源、資金财力以滿足《征求意見稿》設定的合規标準。如何能(néng)夠針對機構的體(tǐ)量與類型設置差異化的合規要求，或許是《征求意見稿》在後續落地過程中需要考量與完善之處。

二、倡導建立數據資産地圖和登記管理(lǐ)，全面落實數據分(fēn)類分(fēn)級要求，推動重要數據目錄相關工作(zuò)

《征求意見稿》規定，銀行保險機構應當建立企業級數據架構，統籌開展對全域數據資産登記管理(lǐ)，建立數據資産地圖，以數據分(fēn)類分(fēn)級為(wèi)基礎明确數據保護對象，圍繞數據處理(lǐ)活動實施安(ān)全管理(lǐ)。

在數據分(fēn)類分(fēn)級方面，《征求意見稿》要求各機構制定數據分(fēn)類分(fēn)級保護制度，建立數據目錄和分(fēn)類分(fēn)級規範，并對相關數據目錄進行動态管理(lǐ)與維護，加強數據安(ān)全級别的時效性管理(lǐ)。

• 對于數據分(fēn)類而言，《征求意見稿》列舉了四大維度，指出各機構可(kě)按照客戶數據、業務(wù)數據、經營管理(lǐ)數據、系統運行和安(ān)全管理(lǐ)數據作(zuò)為(wèi)數據的一級類别開展分(fēn)類工作(zuò)。

• 對于數據分(fēn)級而言，《征求意見稿》銜接《數據安(ān)全法》的通用(yòng)要求，将數據分(fēn)按照重要性和敏感程度，從高到低分(fēn)為(wèi)核心數據、重要數據、一般數據三大級别。特别地，《征求意見稿》還将一般數據細分(fēn)為(wèi)“敏感數據"和“其他(tā)一般數據"。這一“大三級、小(xiǎo)四級"的分(fēn)級标準是《征求意見稿》中的創新(xīn)性要求，與《人行領域數安(ān)辦法（征求意見稿）》中的“三級五層、可(kě)用(yòng)性"以及行業标準《金融數據安(ān)全 數據安(ān)全分(fēn)級指南》（JR/T 0197-2020）（“0197标準"）的分(fēn)級要求均有所差異。

如前所述，目前《征求意見稿》與《人行領域數安(ān)辦法（征求意見稿）》在适用(yòng)機構範圍上存在重合，而二者規定的數據分(fēn)級體(tǐ)系與思路也存在較大差異，特别是針對不同級别的數據還需要根據規定采取不同的安(ān)全保護措施，這可(kě)能(néng)導緻相關機構（如商業銀行）在支付、授信數據處理(lǐ)、反洗錢等業務(wù)活動要考慮同時協調兩套分(fēn)級标準及對應的安(ān)全措施，從而為(wèi)合規工作(zuò)帶來較大的挑戰。

《征求意見稿》目前并未對各等級數據識别的具體(tǐ)因素進行展開，但敏感數據的概念包括“對組織自身或者公民(mín)個體(tǐ)造成重要影響的數據"。《個人信息保護法》下的敏感個人信息或《個人金融信息保護技(jì )術規範》（JR/T 0171-2020）（“0171标準"）中的C2與C3級别個人信息是否均與《征求意見稿》規定的“敏感數據"存在對應關系，有待監管後續回應。而這也關系着已經按照0197标準和1017标準完成數據資産梳理(lǐ)和分(fēn)類分(fēn)級工作(zuò)的機構能(néng)否以及如何過渡至新(xīn)規下要求的分(fēn)類分(fēn)級體(tǐ)系。

相關各級數據概念定義見下表：

表2 《征求意見稿》規定的各數據級别定義

此外，《征求意見稿》亦強調，金管局将制定銀行業保險業重要數據目錄、提出核心數據目錄建議，并監導各機構開展數據分(fēn)類分(fēn)級管理(lǐ)和數據保護。這也意味着伴随着《征求意見稿》的後續落地，銀行保險領域重要及核心數據目錄及識别工作(zuò)可(kě)能(néng)将逐步開啓。根據《征求意見稿》，未來各機構還應當就其自身的重要數據目錄按要求向金管局或者其派出機構報送；重要數據目錄發生重大變化的，應當及時報備更新(xīn)後的數據目錄。

三、建立多(duō)層次數據安(ān)全治理(lǐ)架構、壓實主體(tǐ)責任，落實數據安(ān)全責任制

《征求意見稿》要求銀行保險機構建立覆蓋董（理(lǐ)）事會、高管層、數據安(ān)全統籌、數據安(ān)全技(jì )術保護等部門的多(duō)層次數據安(ān)全管理(lǐ)組織架構，并建立數據安(ān)全責任制：

• 其中，黨委（黨組）、董（理(lǐ)）事會對本單位數據安(ān)全工作(zuò)負主體(tǐ)責任，機構主要負責人為(wèi)數據安(ān)全第一責任人，分(fēn)管數據安(ān)全的領導為(wèi)直接責任人。

• 銀行保險機構應指定數據安(ān)全歸口管理(lǐ)部門，作(zuò)為(wèi)本機構負責數據安(ān)全工作(zuò)的主責部門，承擔制定數據安(ān)全管理(lǐ)制度标準、建立維護數據目錄、推動數據分(fēn)類分(fēn)級保護、組織開展風險監測、預警及處置等職責。

• 對于機構内部的各業務(wù)部門和條線(xiàn)，《征求意見稿》則要求遵循“誰管業務(wù)、誰管業務(wù)數據、誰管數據安(ān)全"的原則，由各部門負責其業務(wù)領域的數據安(ān)全管理(lǐ)責任。

• 此外，《征求意見稿》還要求各機構建立企業級數據服務(wù)管理(lǐ)體(tǐ)系，制定數據服務(wù)規範，建立專職數據服務(wù)團隊，統籌内外部數據加工、分(fēn)析，實施數據服務(wù)需求分(fēn)析、服務(wù)開發、服務(wù)部署、服務(wù)監控等活動。

四、規定全流程數據安(ān)全管理(lǐ)與安(ān)全技(jì )術規範，關注金融新(xīn)技(jì )術與新(xīn)業态應用(yòng)，細化風險監測、評估審計、事件處置、監管報告多(duō)方面義務(wù)

針對銀行保險機構在數據收集、存儲、使用(yòng)、加工、傳輸、公開、删除、銷毀等生命周期各環節，以及相關的評估、風險事件處置等重要管理(lǐ)與技(jì )術保護要求，《征求意見稿》第四章至七章也提出詳實要求。囿于篇幅，我們挑選了其中值得關注的重要制度及亮點内容進行總結：

• 數據全生命周期保護要點列舉

《征求意見稿》在數據全生命周期多(duō)個環節中均設置了經“數據主體(tǐ)同意"的要求（例如收集數據環節、共享敏感級以上數據）。因為(wèi)《征求意見稿》中的數據涵蓋個人信息以及非個人信息的業務(wù)數據、經營管理(lǐ)數據等數據類型，我們理(lǐ)解數據主體(tǐ)這一概念除個人信息主體(tǐ)外還包括非個人類企業機構類主體(tǐ)。實際上，《人行領域數安(ān)辦法（征求意見稿）》也存在類似的合規要求，這也彰顯出金融行業主管部門希望将金融機構履行“授權同意"要求擴張複用(yòng)至非個人數據的監管思路。但是，這些要求也意味着機構在數據處理(lǐ)活動授權方面将迎來更大的挑戰與整改難度，機構從事數據購(gòu)買、爬蟲等數據活動也均可(kě)能(néng)面臨合法性難題。

表3 各數據處理(lǐ)環節要點歸納

• 關注人工智能(néng)、開放銀行等新(xīn)技(jì )術、新(xīn)業态

《征求意見稿》倡導統籌安(ān)全與發展，推進數據基礎設施建設、加大數據創新(xīn)應用(yòng)力度、激活數據要素、提高金融服務(wù)智能(néng)化水平；此外，還要求各機構持續跟蹤新(xīn)興數據開發利用(yòng)和科(kē)技(jì )發展前沿動态，有效應對大數據應用(yòng)與科(kē)技(jì )創新(xīn)可(kě)能(néng)産生的社會風險、倫理(lǐ)道德(dé)風險、誤用(yòng)濫用(yòng)風險等。

在金融科(kē)技(jì )監管與治理(lǐ)方面，《征求意見稿》中有多(duō)處條款設定了人工智能(néng)、算法模型的應用(yòng)合規要求，并關注了大數據平台、開發銀行等新(xīn)興業态模式。我們将相關要求整理(lǐ)如下：

表4 《征求意見稿》涉及新(xīn)興技(jì )術業态相關規則彙總

• 風險監測、安(ān)全事件處置與重要報告義務(wù)

《征求意見稿》亦對于銀行保險機構數據處理(lǐ)活動的風險監測、評估、審計以及應急處置等方面提出了若幹要求：

表5 《征求意見稿》規定的風險監測、評估、審計與報告義務(wù)

• 個人信息保護

《征求意見稿》第六章專章規定了個人信息保護相關内容，其規定相對簡明，基本沿襲了《個人信息保護法》以及《銀行保險機構消費者權益保護管理(lǐ)辦法》（“9号令"）等金融消保規範中的“明确告知、授權同意"要求。值得注意的是，《征求意見稿》首次在金融行業相關規範中明确機構應當履行個人信息保護影響評估（PIA）義務(wù)。另一方面，考慮到除評估對象有所差異（PIA僅包含個人信息）、PIA有三年的報告留存要求，前述數據安(ān)全評估與PIA的評估關注要素、觸發場景等也大體(tǐ)相同，企業是否能(néng)将兩者合并統一在同一程序下進行，仍有待後續監管澄清。

除此之外，《征求意見稿》中的個保要求如何與金融消保規範協調也值得讨論。近年來，金融領域的個保監管議題與相關工作(zuò)一直是金融消費者權益保護下的重要闆塊，在9号令等文(wén)件中也有相關規定。從适用(yòng)範圍角度，《征求意見稿》中的相關個保要求似乎可(kě)以延伸至機構自身的内部員工、對公客戶聯系人等主體(tǐ)，較消費者個人信息範疇更為(wèi)寬廣。

另外，根據《征求意見稿》的規定，違反該辦法的相關行為(wèi)，相關主管部門将根據《銀行業監督管理(lǐ)法》《保險法》處以罰款，罰款最高可(kě)至50萬元（銀行金融機構）和30萬元（保險機構）；而9号令要求違反消費者個人信息保護的相關要求，主管部門還可(kě)以根據《消費者權益保護法》進行處罰。對于銀行金融機構，其個人信息違規行為(wèi)還受制于《人行領域數安(ān)辦法（征求意見稿）》，該規定的罰則依據包括《數據安(ān)全法》《個人信息保護法》。上述法規的罰則并不完全相同一緻。因此，如果相關機構發生侵犯消費者個人信息的行為(wèi)，上述法規競合情況下如何适用(yòng)的問題也有待主管部門更多(duō)的說明指導。

五、結語

2023年6月，金管局曾下發《關于加強第三方合作(zuò)中網絡和數據安(ān)全管理(lǐ)的通知》，要求各機構切實履行網絡和數據安(ān)全保護義務(wù)、采取針對性安(ān)全保護措施、建立健全應急處置機制。近日，金管局又向各監管局、銀行保險機構内部下發了《關于銀行保險機構侵害個人信息權益亂象專項整治發現主要問題的通報》，對于此前開展的個保集中整治專項中的突出問題進行總結，并要求各機構将個人信息保護作(zuò)為(wèi)一項基礎性、長(cháng)期性工作(zuò)抓實抓細。

由此可(kě)見，金融領域數據合規監管将在《數據安(ān)全法》《個人信息保護法》所構建的基礎法律框架下，結合本行業領域的特點持續深入進行，并随着金管局、人行等行業主管部門的監管細則、業務(wù)指引的陸續出台呈現出精(jīng)細化的管理(lǐ)特點。

各機構依然需要将自身的數據合規工作(zuò)放在重要位置、持續跟蹤相關立法動态，對于所需遵循的合規義務(wù)進行梳理(lǐ)，以迎接《征求意見稿》及《人行領域數安(ān)辦法（征求意見稿）》正式落地時代的到來；同時，也應持續做好數據安(ān)全體(tǐ)系、分(fēn)類分(fēn)級、全生命周期保護等各環節。對于新(xīn)業态與模式應當注意從數據安(ān)全角度做好合規論證，必要時可(kě)以請外部顧問協助。