《中国人民银行业务领域数据安全管理办 法（征求意见稿）》起草说明 为贯彻落实《中华人民共和国数据安全法》等国家法律、 行政法规，加快推动自身业务监督管理职责范围内数据安全 管理的法制化建设，中国人民银行研究起草《中国人民银行 业务领域数据安全管理办法》（以下简称《办法》），指导 督促相关数据处理者依法依规开展中国人民银行业务领域 数据处理活动，履行数据安全保护义务。 一、起草背景 习近平总书记高度重视数据安全工作，强调要加快法规 制度建设，要把安全贯穿数据治理全过程，守住安全底线， 明确监管红线。《中共中央 国务院关于构建数据基础制度 更好发挥数据要素作用的意见》指出要“强化数据安全保障 体系建设，把安全贯穿数据供给、流通、使用全过程，划定 监管底线和红线。加强数据分类分级管理……”。 《中华人民共和国数据安全法》于 2021 年 9 月正式实 施，第六条明确“工业、电信、交通、金融、自然资源、卫 生健康、教育、科技等主管部门承担本行业、本领域数据安 全监管职责”，党中央、国务院也要求认真落实国家法律， 进一步细化数据分级分类保护、数据目录管理、全流程数据 安全管理、数据安全监测预警和应急处置相关制度。 1 为落实党中央、国务院有关工作部署和国家法律有关要 求，中国人民银行在过去一年充分调研总结行业数据安全成 熟经验做法基础上，组织研究起草《办法》，全面衔接《中 华人民共和国数据安全法》，细化明确中国人民银行业务领 域数据安全合规底线要求，填补本领域数据安全管理制度保 障空白，指导数据处理者优质高效合规开展中国人民银行业 务领域数据处理活动，履行数据安全保护义务，保障消费者 和企业用户的合法权益，促进数据要素市场高质量发展。 二、主要内容 《办法》分成总则、数据分类分级、数据安全保护总体 要求、数据安全保护管理措施、数据安全保护技术措施、风 险监测评估审计与事件处置措施、法律责任、附则八章，共 五十七条，主要内容包括： 一是规范数据分类分级要求。强调数据处理者应当建立 数据分类分级制度规程，梳理数据资源目录标识分类信息， 在国家数据安全工作协调机制统筹协调下，根据中国人民银 行制定的重要数据识别标准，统一对数据实施分级，严格落 实网络安全等级保护和风险评估等义务，并在此基础上推动 各数据处理者进一步做好数据敏感性、可用性层级划分，以 便在全流程数据安全管理中更好采取精细化、差异化的安全 保护管理和技术措施。 二是提出数据安全保护总体要求。强调数据处理者应当 2 压实数据安全责任，建立数据安全问责处罚制度和数据处理 活动全流程安全管理制度，制定数据安全培训计划。 三是压实数据处理活动全流程安全合规底线。针对收 集、存储、使用、加工、传输、提供、公开和删除各环节， 向数据处理者明确采取哪些安全保护管理和技术措施后，可 视为总体满足尽职尽责的合规底线要求。 四是细化风险监测、评估审计、事件处置等合规要求。 强调数据处理者应当建立数据处理活动安全风险监测和告 警机制，加强数据安全风险情报监测、核查、处置与行业共 享，制定数据安全事件定级判定标准和应急预案，规范应急 演练、事件处置、风险评估和审计等工作。 五是明确中国人民银行及其分支机构可对数据处理者 数据安全保护义务落实情况开展执法检查，以及数据处理者 违反规定时对应的法律责任。 三、重点问题说明 （一）关于办法条款设立原则。 一是与现有制度有效衔接。“重要数据应当境内存储”、 “规定情形下申报数据出境安全评估”等条款，均为已出台 上位法所明确法定义务的再次重申，未额外增加合规要求。 二是促进数据开发利用。明确提出鼓励数据处理者在保障安 全合规前提下，积极促进数据高效流通和创新应用，并提出 较敏感数据项加工后无法识别至特定个人、组织时，可降低 3 敏感性层级，更好促进数据依法合规开发利用。三是细化规 范措施要求。对于上位法“采取相应的技术措施和必要措施” 要求，既细化提出原则上应当采取的技术措施和管理措施， 又明确特殊情形可通过内部审核审批、统一明确场景等方式 弱化措施落实，避免合规义务“一刀切”。 （二）关于办法适用范围。 根据“谁管业务，谁管业务数据，谁管数据安全”基本 原则，《办法》明确适用范围为中华人民共和国境内开展的， 中国人民银行承担监督管理职责各类业务相关的数据处理 活动。此类业务涉及的数据处理者，开展对应数据处理活动 时，应当遵守《办法》提出的管理要求。当前，《办法》约 束的数据处理活动主要包括：货币政策业务、跨境人民币业 务、银行间各类市场交易业务、金融业综合统计业务、支付 清算业务、货币管理和数字人民币业务、经理国库业务、征 信业务、反洗钱业务等领域的数据处理活动。 （三）关于与现有制度标准的衔接。 一是注重与业务管理制度的衔接。《办法》定位为其适 用范围内数据处理活动的一般性、兜底性安全合规底线，明 确国家法律、行政法规和中国人民银行另有规定的，从其规 定，不改变和取代征信、反洗钱等业务领域现有管理制度对 数据安全的差异化管理要求。 二是注重与个人信息保护管理制度的衔接。个人信息作 4 为一类特殊数据，除需要做好分类分级和处理过程全流程安 全管理外，还要遵守《中华人民共和国民法典》《中华人民 共和国个人信息保护法》有关隐私权、知情权、决定权、查 阅复制权、删除权、解释说明权等的特别规定。《办法》明 确国家法律、行政法规和中国人民银行对个人信息相关的数 据处理活动另有规定的，应当遵守其规定，既与现有国家法 律做好衔接，也为后续出台中国人民银行业务领域相关的个 人信息保护部门规章预留了空间。 三是注重与涉密数据管理制度的衔接。《中华人民共和 国数据安全法》明确，开展涉及国家秘密的数据处理活动， 适用《中华人民共和国保守国家秘密法》等法律、行政法规 的规定。《办法》做好相应衔接，在中国人民银行业务领域 数据定义中，限定数据范围仅为非涉密数据。 四是注重与非网络数据管理制度的衔接。《中华人民共 和国数据安全法》明确，在统计、档案工作中开展数据处理 活动，还应当遵守有关法律、行政法规的规定。国家网信部 门组织起草《网络数据安全管理条例》衔接上位法时，重点 规范网络数据处理活动的安全管理要求。《办法》也预先与 《网络数据安全管理条例》做好衔接，在中国人民银行业务 领域数据定义中，限定数据范围仅为网络数据。 五是注重与现行数据相关标准的衔接。中国人民银行已 相继出台《金融数据安全 数据安全分级指南》（JR/T 0197 5 —2020）、《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)等金融业数据安全标准，因数据安全管理要求不 断演进，相关标准在内容与术语定义方面，需要根据《办法》 作对应调整，后续中国人民银行将加快组织上述标准的修订 工作，确保制度与标准适配统一。 （四）关于监督管理协同。 《中华人民共和国数据安全法》在明确金融等主管部门 承担本行业、本领域数据安全监管责任同时，也明确公安机 关、国家安全机关和国家网信等有关部门，在各自职责范围 内承担数据安全监管职责。《办法》严格落实加强跨部门综 合监管的有关指导意见的要求，进一步强调中国人民银行及 其分支机构积极支持其他有关部门依据职责开展数据安全 监督管理工作，必要时可以与其他有关主管部门签署合作协 议，进一步约定数据安全监督管理协作模式，并可以与其他 有关主管部门联合组织中国人民银行业务领域数据安全现 场检查，既有助于强化条块结合、区域联动的协同监督管理 机制，也可有效避免重复检查问题，提高监督管理效能。 6