央行阐释数据安全管理办法（征求意见）重点问题：明确适用范围、分级管理、制度衔接等

7月24日，中国人民银行发布关于《中国人民银行业务领域数据安全管理办法（征求意见稿）》公开征求意见的通知。

《办法》 分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章，共五十七条。

同时，中国人民银行还发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）起草说明》，对《办法》的适用范围、与现有制度的衔接等问题做了说明。

01.拟对业务领域数据分类分级，压实合规底线

《办法》提出，中国人民银行负责组织制定数据分类分级相关行业标准，指导数据处理者开展数据分类分级各项工作，统筹确定重要数据具体目录并实施动态管理。

具体来看，《办法》主要内容如下：

一是规范数据分类分级要求。强调数据处理者应当建立数据分类分级制度规程，梳理数据资源目录标识分类信息，在国家数据安全工作协调机制统筹协调下，根据中国人民银行制定的重要数据识别标准，统一对数据实施分级，严格落实网络安全等级保护和风险评估等义务，并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分，以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。

数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。在中国人民银行组织下，数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据，并填写报送重要数据目录内容，由中国人民银行汇总后确定重要数据具体目录。数据处理活动中，数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据。

二是提出数据安全保护总体要求。强调数据处理者应当压实数据安全责任，建立数据安全问责处罚制度和数据处理活动全流程安全管理制度，制定数据安全培训计划。

三是压实数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节，向数据处理者明确采取哪些安全保护管理和技术措施后，可视为总体满足尽职尽责的合规底线要求。

四是细化风险监测、评估审计、事件处置等合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制，加强数据安全风险情报监测、核查、处置与行业共享，制定数据安全事件定级判定标准和应急预案，规范应急演练、事件处置、风险评估和审计等工作。

五是明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查，以及数据处理者违反规定时对应的法律责任。

02.明确相关业务活动，限定数据范围仅为网络数据

《办法》所称中国人民银行业务领域数据，指根据法律、行政法规、国务院决定和中国人民银行规章，开展中国人民银行承担监督管理职责的各类业务活动时，所产生和收集的不涉及国家秘密的网络数据，简称“数据”。

《办法》注重与非网络数据管理制度的衔接。《中华人民共和国数据安全法》明确，在统计、档案工作中开展数据处理活动，还应当遵守有关法律、行政法规的规定。国家网信部门组织起草《网络数据安全管理条例》衔接上位法时，重点规范网络数据处理活动的安全管理要求。《办法》也预先与《网络数据安全管理条例》做好衔接，在中国人民银行业务领域数据定义中，限定数据范围仅为网络数据。

根据“谁管业务，谁管业务数据，谁管数据安全”基本原则，《办法》明确适用范围为中华人民共和国境内开展的，中国人民银行承担监督管理职责各类业务相关的数据处理活动。此类业务涉及的数据处理者，开展对应数据处理活动时，应当遵守《办法》提出的管理要求。

当前，《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。

03.注重与现有制度衔接，做好监管协同

《办法》注重与现有制度标准的衔接。

注重与业务管理制度的衔接。《办法》定位为其适用范围内数据处理活动的一般性、兜底性安全合规底线，明确国家法律、行政法规和中国人民银行另有规定的，从其规定，不改变和取代征信、反洗钱等业务领域现有管理制度对数据安全的差异化管理要求。

注重与个人信息保护管理制度的衔接。个人信息作为一类特殊数据，除需要做好分类分级和处理过程全流程安全管理外，还要遵守《中华人民共和国民法典》《中华人民共和国个人信息保护法》有关隐私权、知情权、决定权、查阅复制权、删除权、解释说明权等的特别规定。《办法》明确国家法律、行政法规和中国人民银行对个人信息相关的数据处理活动另有规定的，应当遵守其规定，既与现有国家法律做好衔接，也为后续出台中国人民银行业务领域相关的个人信息保护部门规章预留了空间。

注重与非网络数据管理制度的衔接。《中华人民共和国数据安全法》明确，在统计、档案工作中开展数据处理活动，还应当遵守有关法律、行政法规的规定。国家网信部门组织起草《网络数据安全管理条例》衔接上位法时，重点规范网络数据处理活动的安全管理要求。《办法》也预先与《网络数据安全管理条例》做好衔接，在中国人民银行业务领域数据定义中，限定数据范围仅为网络数据。

注重与涉密数据管理制度的衔接。《中华人民共和国数据安全法》明确，开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。《办法》做好相应衔接，在中国人民银行业务领域数据定义中，限定数据范围仅为非涉密数据。

注重与现行数据相关标准的衔接。中国人民银行已相继出台《金融数据安全数据安全分级指南》(JR/T0197—2020)、《金融数据安全数据生命周期安全规范》(JR/T0223-2021)等金融业数据安全标准，因数据安全管理要求不断演进，相关标准在内容与术语定义方面，需要根据《办法》作对应调整，后续中国人民银行将加快组织上述标准的修订工作，确保制度与标准适配统一。

在监督管理协同方面，《办法》严格落实加强跨部门综合监管的有关指导意见的要求，进一步强调中国人民银行及其分支机构积极支持其他有关部门依据职责开展数据安全监督管理工作，必要时可以与其他有关主管部门签署合作协议，进一步约定数据安全监督管理协作模式，并可以与其他有关主管部门联合组织中国人民银行业务领域数据安全现场检查，既有助于强化条块结合、区域联动的协同监督管理机制，也可有效避免重复检查问题，提高监督管理效能。