央行就数据安全管理征求意见 数据处理者应建立分类分级制度 2023年07月25日  林晓丽

  广州日报讯 (全媒体记者 林晓丽)昨日,人民银行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《办法》)公开征求意见。

  严格规范数据“出境”

  《办法》提出,数据处理者在中华人民共和国境内收集和产生的数据,法律、行政法规有境内存储要求的,应当在境内存储。

  数据处理者因自身需要向境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估。非经中国人民银行和其他有关主管部门批准,数据处理者不得向国际组织和外国金融管理部门提供境内存储的数据。数据处理者不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。

  数据应分三级管理

  《办法》强调数据处理者应当建立数据分类分级制度规程。其中,数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据。在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。

  《办法》强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。

  全面风险评估每年一次

  针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。重要数据的数据处理者应当自行或者委托检测机构,每年组织开展一次全面的数据安全风险评估工作。

  《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。