2024年3月22日，國(guó)家金融监督管理(lǐ)总局（“金管局"）发布《银行保险机构数据安全管理(lǐ)办法（征求意见稿）》（以下简称“《征求意见稿》"），向社会公开征求意见。这是继证监会2023年发布的《证券期货业网络和信息安全管理(lǐ)办法》以及人民(mín)银行于2023年7月公布的《中國(guó)人民(mín)银行业務(wù)领域数据安全管理(lǐ)办法（征求意见稿）》（以下简称“《人行领域数安办法（征求意见稿）》"）之后，金融行业主管部门发布的又(yòu)一综合性数据安全部门规章。

随着金融行业数字化变革加速演进，新(xīn)技术、新(xīn)业務(wù)模式不断涌现，数据处理(lǐ)活动日益频繁，《征求意见稿》旨在发挥监管“指挥棒"作用(yòng)，衔接《个人信息保护法》《数据安全法》等上位法律，引导银行保险机构规范相关数据处理(lǐ)活动、保障数据安全，同时有(yǒu)序促进数据合理(lǐ)开发利用(yòng)，稳步提升金融服務(wù)数字化、智能(néng)化水平。

《征求意见稿》共九章八十一条，包括总则、数据安全治理(lǐ)、数据分(fēn)类分(fēn)级、数据安全管理(lǐ)、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理(lǐ)及附则。金管局与之同时还公布了有(yǒu)关负责人就《征求意见稿》征求意见稿的答(dá)记者问，对《征求意见稿》的起草(cǎo)背景、主要内容、重点问题进行补充说明。本文(wén)将结合答(dá)记者问对《征求意见稿》的相关内容要点与亮点进行汇总梳理(lǐ)与解读，以供读者参考。

一、《征求意见稿》的具體(tǐ)适用(yòng)范围

不同于《人行领域数安办法（征求意见稿）》中仅按照具體(tǐ)业務(wù)而非机构类型划定适用(yòng)范围的方式，《征求意见稿》第二条确立了以金管局管辖的金融机构主體(tǐ)类型划定适用(yòng)范围的思路，具體(tǐ)包括在中國(guó)境内设立的下列组织机构：

表1 《征求意见稿》适用(yòng)机构类型

此外，在适用(yòng)的行為(wèi)范围方面，《征求意见稿》规定其适用(yòng)于上述机构除涉及國(guó)家秘密之外的其他(tā)所有(yǒu)数据处理(lǐ)活动。

由于《人行领域数安办法（征求意见稿）》并未具體(tǐ)明确所适用(yòng)的机构类型，而是以是否从事反洗钱、货币政策、支付清算、征信等九大业務(wù)為(wèi)准，其所映射的机构范围也不可(kě)避免地会与《征求意见稿》规定的机构产生重合。因此，银行金融机构可(kě)能(néng)将面临人行、金管局不同条線(xiàn)的双重数据监管压力，需同时满足《人行领域数安办法（征求意见稿）》及《征求意见稿》规定的各项要求。然而，结合后文(wén)所述，二者在数据分(fēn)类分(fēn)级體(tǐ)系、具體(tǐ)合规要求等方面也存在较大的差异，又(yòu)均规定了安全审计、风险评估、监管报告等类似要求。这给相关机构解读、执行造成一定挑战和困难。同时处于两部办法适用(yòng)范围内的金融机构面临需要协调不同监管要求（如同时执行两套不同的数据分(fēn)级制度）以及部分(fēn)相似合规要求叠加（如每年分(fēn)别进行两次风险评估、提交两次报告）等问题，可(kě)能(néng)需要付出更多(duō)的合规精力与成本。

另一方面，《征求意见稿》所辖的适用(yòng)机构类型也较為(wèi)广阔，不仅涵盖商(shāng)业银行、保险集团等传统大型机构，还要求其他(tā)相较而言體(tǐ)量较小(xiǎo)的各类非银行金融机构。对于前述机构“等量齐观"地要求遵循相同的数据安全合规标准，可(kě)能(néng)也会為(wèi)机构的合规工作带来较大的负担与压力。《征求意见稿》对机构设定的数据安全要求及合规要求较為(wèi)严苛，除了传统大型商(shāng)业银行已经建立较為(wèi)完备的信息科(kē)技體(tǐ)系与数据安全管理(lǐ)措施外，其他(tā)中小(xiǎo)型的金融机构可(kě)能(néng)未必有(yǒu)足够的系统建设能(néng)力、安全技术与人力资源、资金财力以满足《征求意见稿》设定的合规标准。如何能(néng)够针对机构的體(tǐ)量与类型设置差异化的合规要求，或许是《征求意见稿》在后续落地过程中需要考量与完善之处。

二、倡导建立数据资产地图和登记管理(lǐ)，全面落实数据分(fēn)类分(fēn)级要求，推动重要数据目录相关工作

《征求意见稿》规定，银行保险机构应当建立企业级数据架构，统筹开展对全域数据资产登记管理(lǐ)，建立数据资产地图，以数据分(fēn)类分(fēn)级為(wèi)基础明确数据保护对象，围绕数据处理(lǐ)活动实施安全管理(lǐ)。

在数据分(fēn)类分(fēn)级方面，《征求意见稿》要求各机构制定数据分(fēn)类分(fēn)级保护制度，建立数据目录和分(fēn)类分(fēn)级规范，并对相关数据目录进行动态管理(lǐ)与维护，加强数据安全级别的时效性管理(lǐ)。

• 对于数据分(fēn)类而言，《征求意见稿》列举了四大维度，指出各机构可(kě)按照客户数据、业務(wù)数据、经营管理(lǐ)数据、系统运行和安全管理(lǐ)数据作為(wèi)数据的一级类别开展分(fēn)类工作。

• 对于数据分(fēn)级而言，《征求意见稿》衔接《数据安全法》的通用(yòng)要求，将数据分(fēn)按照重要性和敏感程度，从高到低分(fēn)為(wèi)核心数据、重要数据、一般数据三大级别。特别地，《征求意见稿》还将一般数据细分(fēn)為(wèi)“敏感数据"和“其他(tā)一般数据"。这一“大三级、小(xiǎo)四级"的分(fēn)级标准是《征求意见稿》中的创新(xīn)性要求，与《人行领域数安办法（征求意见稿）》中的“三级五层、可(kě)用(yòng)性"以及行业标准《金融数据安全 数据安全分(fēn)级指南》（JR/T 0197-2020）（“0197标准"）的分(fēn)级要求均有(yǒu)所差异。

如前所述，目前《征求意见稿》与《人行领域数安办法（征求意见稿）》在适用(yòng)机构范围上存在重合，而二者规定的数据分(fēn)级體(tǐ)系与思路也存在较大差异，特别是针对不同级别的数据还需要根据规定采取不同的安全保护措施，这可(kě)能(néng)导致相关机构（如商(shāng)业银行）在支付、授信数据处理(lǐ)、反洗钱等业務(wù)活动要考虑同时协调两套分(fēn)级标准及对应的安全措施，从而為(wèi)合规工作带来较大的挑战。

《征求意见稿》目前并未对各等级数据识别的具體(tǐ)因素进行展开，但敏感数据的概念包括“对组织自身或者公民(mín)个體(tǐ)造成重要影响的数据"。《个人信息保护法》下的敏感个人信息或《个人金融信息保护技术规范》（JR/T 0171-2020）（“0171标准"）中的C2与C3级别个人信息是否均与《征求意见稿》规定的“敏感数据"存在对应关系，有(yǒu)待监管后续回应。而这也关系着已经按照0197标准和1017标准完成数据资产梳理(lǐ)和分(fēn)类分(fēn)级工作的机构能(néng)否以及如何过渡至新(xīn)规下要求的分(fēn)类分(fēn)级體(tǐ)系。

相关各级数据概念定义见下表：

表2 《征求意见稿》规定的各数据级别定义

此外，《征求意见稿》亦强调，金管局将制定银行业保险业重要数据目录、提出核心数据目录建议，并监导各机构开展数据分(fēn)类分(fēn)级管理(lǐ)和数据保护。这也意味着伴随着《征求意见稿》的后续落地，银行保险领域重要及核心数据目录及识别工作可(kě)能(néng)将逐步开启。根据《征求意见稿》，未来各机构还应当就其自身的重要数据目录按要求向金管局或者其派出机构报送；重要数据目录发生重大变化的，应当及时报备更新(xīn)后的数据目录。

三、建立多(duō)层次数据安全治理(lǐ)架构、压实主體(tǐ)责任，落实数据安全责任制

《征求意见稿》要求银行保险机构建立覆盖董（理(lǐ)）事会、高管层、数据安全统筹、数据安全技术保护等部门的多(duō)层次数据安全管理(lǐ)组织架构，并建立数据安全责任制：

• 其中，党委（党组）、董（理(lǐ)）事会对本单位数据安全工作负主體(tǐ)责任，机构主要负责人為(wèi)数据安全第一责任人，分(fēn)管数据安全的领导為(wèi)直接责任人。

• 银行保险机构应指定数据安全归口管理(lǐ)部门，作為(wèi)本机构负责数据安全工作的主责部门，承担制定数据安全管理(lǐ)制度标准、建立维护数据目录、推动数据分(fēn)类分(fēn)级保护、组织开展风险监测、预警及处置等职责。

• 对于机构内部的各业務(wù)部门和条線(xiàn)，《征求意见稿》则要求遵循“谁管业務(wù)、谁管业務(wù)数据、谁管数据安全"的原则，由各部门负责其业務(wù)领域的数据安全管理(lǐ)责任。

• 此外，《征求意见稿》还要求各机构建立企业级数据服務(wù)管理(lǐ)體(tǐ)系，制定数据服務(wù)规范，建立专职数据服務(wù)团队，统筹内外部数据加工、分(fēn)析，实施数据服務(wù)需求分(fēn)析、服務(wù)开发、服務(wù)部署、服務(wù)监控等活动。

四、规定全流程数据安全管理(lǐ)与安全技术规范，关注金融新(xīn)技术与新(xīn)业态应用(yòng)，细化风险监测、评估审计、事件处置、监管报告多(duō)方面义務(wù)

针对银行保险机构在数据收集、存储、使用(yòng)、加工、传输、公开、删除、销毁等生命周期各环节，以及相关的评估、风险事件处置等重要管理(lǐ)与技术保护要求，《征求意见稿》第四章至七章也提出详实要求。囿于篇幅，我们挑选了其中值得关注的重要制度及亮点内容进行总结：

• 数据全生命周期保护要点列举

《征求意见稿》在数据全生命周期多(duō)个环节中均设置了经“数据主體(tǐ)同意"的要求（例如收集数据环节、共享敏感级以上数据）。因為(wèi)《征求意见稿》中的数据涵盖个人信息以及非个人信息的业務(wù)数据、经营管理(lǐ)数据等数据类型，我们理(lǐ)解数据主體(tǐ)这一概念除个人信息主體(tǐ)外还包括非个人类企业机构类主體(tǐ)。实际上，《人行领域数安办法（征求意见稿）》也存在类似的合规要求，这也彰显出金融行业主管部门希望将金融机构履行“授权同意"要求扩张复用(yòng)至非个人数据的监管思路。但是，这些要求也意味着机构在数据处理(lǐ)活动授权方面将迎来更大的挑战与整改难度，机构从事数据購(gòu)买、爬虫等数据活动也均可(kě)能(néng)面临合法性难题。

表3 各数据处理(lǐ)环节要点归纳

• 关注人工智能(néng)、开放银行等新(xīn)技术、新(xīn)业态

《征求意见稿》倡导统筹安全与发展，推进数据基础设施建设、加大数据创新(xīn)应用(yòng)力度、激活数据要素、提高金融服務(wù)智能(néng)化水平；此外，还要求各机构持续跟踪新(xīn)兴数据开发利用(yòng)和科(kē)技发展前沿动态，有(yǒu)效应对大数据应用(yòng)与科(kē)技创新(xīn)可(kě)能(néng)产生的社会风险、伦理(lǐ)道德风险、误用(yòng)滥用(yòng)风险等。

在金融科(kē)技监管与治理(lǐ)方面，《征求意见稿》中有(yǒu)多(duō)处条款设定了人工智能(néng)、算法模型的应用(yòng)合规要求，并关注了大数据平台、开发银行等新(xīn)兴业态模式。我们将相关要求整理(lǐ)如下：

表4 《征求意见稿》涉及新(xīn)兴技术业态相关规则汇总

• 风险监测、安全事件处置与重要报告义務(wù)

《征求意见稿》亦对于银行保险机构数据处理(lǐ)活动的风险监测、评估、审计以及应急处置等方面提出了若干要求：

表5 《征求意见稿》规定的风险监测、评估、审计与报告义務(wù)

• 个人信息保护

《征求意见稿》第六章专章规定了个人信息保护相关内容，其规定相对简明，基本沿袭了《个人信息保护法》以及《银行保险机构消费者权益保护管理(lǐ)办法》（“9号令"）等金融消保规范中的“明确告知、授权同意"要求。值得注意的是，《征求意见稿》首次在金融行业相关规范中明确机构应当履行个人信息保护影响评估（PIA）义務(wù)。另一方面，考虑到除评估对象有(yǒu)所差异（PIA仅包含个人信息）、PIA有(yǒu)三年的报告留存要求，前述数据安全评估与PIA的评估关注要素、触发场景等也大體(tǐ)相同，企业是否能(néng)将两者合并统一在同一程序下进行，仍有(yǒu)待后续监管澄清。

除此之外，《征求意见稿》中的个保要求如何与金融消保规范协调也值得讨论。近年来，金融领域的个保监管议题与相关工作一直是金融消费者权益保护下的重要板块，在9号令等文(wén)件中也有(yǒu)相关规定。从适用(yòng)范围角度，《征求意见稿》中的相关个保要求似乎可(kě)以延伸至机构自身的内部员工、对公客户联系人等主體(tǐ)，较消费者个人信息范畴更為(wèi)宽广。

另外，根据《征求意见稿》的规定，违反该办法的相关行為(wèi)，相关主管部门将根据《银行业监督管理(lǐ)法》《保险法》处以罚款，罚款最高可(kě)至50万元（银行金融机构）和30万元（保险机构）；而9号令要求违反消费者个人信息保护的相关要求，主管部门还可(kě)以根据《消费者权益保护法》进行处罚。对于银行金融机构，其个人信息违规行為(wèi)还受制于《人行领域数安办法（征求意见稿）》，该规定的罚则依据包括《数据安全法》《个人信息保护法》。上述法规的罚则并不完全相同一致。因此，如果相关机构发生侵犯消费者个人信息的行為(wèi)，上述法规竞合情况下如何适用(yòng)的问题也有(yǒu)待主管部门更多(duō)的说明指导。

五、结语

2023年6月，金管局曾下发《关于加强第三方合作中网络和数据安全管理(lǐ)的通知》，要求各机构切实履行网络和数据安全保护义務(wù)、采取针对性安全保护措施、建立健全应急处置机制。近日，金管局又(yòu)向各监管局、银行保险机构内部下发了《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》，对于此前开展的个保集中整治专项中的突出问题进行总结，并要求各机构将个人信息保护作為(wèi)一项基础性、長(cháng)期性工作抓实抓细。

由此可(kě)见，金融领域数据合规监管将在《数据安全法》《个人信息保护法》所构建的基础法律框架下，结合本行业领域的特点持续深入进行，并随着金管局、人行等行业主管部门的监管细则、业務(wù)指引的陆续出台呈现出精细化的管理(lǐ)特点。

各机构依然需要将自身的数据合规工作放在重要位置、持续跟踪相关立法动态，对于所需遵循的合规义務(wù)进行梳理(lǐ)，以迎接《征求意见稿》及《人行领域数安办法（征求意见稿）》正式落地时代的到来；同时，也应持续做好数据安全體(tǐ)系、分(fēn)类分(fēn)级、全生命周期保护等各环节。对于新(xīn)业态与模式应当注意从数据安全角度做好合规论证，必要时可(kě)以请外部顾问协助。