央行重磅发声！统一对央行业务领域数据实施分级

为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法》），现面向社会公开征求意见。《办法》共有总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八大章节，共五十七条。

《办法》部分内容如下：

一是数据分类分级方面。《办法》提出，由中国人民银行负责制定数据分类分级标准来统一对数据实施分级，严格落实网络安全等级保护和风险评估等义务，指导数据处理者进行分类分级工作，并实施动态管理。数据按照精度、规模和对国家安全的影响程度分为一般、重要、核心三级。数据处理者应建立健全分类分级实施制度，严格遵循操作规程，识别并报送重要数据目录给中国人民银行。

二是数据安全保护总体要求。《办法》提出，数据处理者应明确数据安全管理内设部门的职责分工，配备足够数量的数据安全管理人员，并制定违规数据处理活动的问责规程，以压实数据安全保护责任。对于重要数据的处理者，还应明确数据安全负责人和牵头管理内设部门，并建立全流程数据安全管理制度，结合数据分类分级结果，明确差异化的安全保护管理和技术措施要求，并规范数据处理活动操作规程和内部审批授权流程。当不同敏感性层级数据项在同一数据处理活动中且难以实施差异化安全保护管理和技术措施时，应统一采取最高敏感性层级数据项的安全保护管理和技术措施要求。在与母公司、子公司、关联公司或附属公司等有关联关系的数据处理者展开合作时，不得降低安全保护管理和技术措施要求。

三是数据安全保护管理措施方面。《办法》提出，数据处理者应根据业务需求明确数据存储期限，并原则上不得在终端设备和移动介质中存储第三层级以上的数据项，除非是履行法定职责或法定义务所必需。如果确实需要存储，数据处理者应在完成内部审批程序的基础上，统一明确存储于终端设备和移动介质中的特定场景、支持此类场景的必要性，并采取相应的风险防范措施。这些防范措施至少应包括仅在授权的终端设备和移动介质中存储，并确保存储期限不超过审批允许的期限。

四是数据安全保护技术措施方面。《办法》提出，数据处理者应建立统一的日志规范，明确数据处理活动日志应完整记录溯源所需信息。对于第三层级的数据项，原则上需要在数据处理活动日志中进行脱敏处理，而第四层级及以上的数据项则原则上不记录于日志中。如果确有需要，数据处理者应统一明确相关日志记录需求场景、支持此类场景的必要性，以及应采取的风险防范措施，并据此进行操作。

此外，数据处理者还应将数据处理活动日志纳入数据分类分级管理，并确保相应的管理和技术措施要求得到落实。数据处理者需要妥善保存数据处理活动日志至少六个月的时间。对于向其他数据处理者提供涉及个人信息或重要数据的行为，相关日志应至少保存三年。

五是风险监测、评估审计与事件处置措施方面。《办法》提出，重要数据的数据处理者每年应组织全面的数据安全风险评估，并向中国人民银行或其分支机构报送风险评估报告，同时按照行政法规的要求向对应的网信部门报送。风险评估报告除了要包含法律和行政法规明确规定的内容外，还应重点评估以下风险并提出改进措施。数据处理者应细化管理数据安全风险评估人员和审计人员对数据的权限，并采取有效措施确保评估过程的安全。同时鼓励数据处理者建立技术平台，统一建立数据安全风险评估与审计的安全管控策略。数据安全风险评估报告和审计报告不得记录第四层级以上的数据项，并且报告的保存期限不短于使用数据的存储期限，并且最短不得少于三年。

当前《办法》提出的约束的数据处理活动，部分内容主要包括以下方面：

1.数据安全培训和创新：数据处理者应根据岗位分工制定数据安全年度培训计划，鼓励积极开展数据安全技术创新，在保障安全合规前提下促进数据的高效流通和创新应用。

2.数据存储和记录：数据处理者应明确数据存储期限，第三层级以上的数据项原则上不得存储于终端设备和移动介质中，必要时需在终端设备和移动介质中存储的数据应按照相关规定进行审批，并采取风险防范措施。同时，数据处理者应建立统一的日志规范，记录数据处理活动日志中的溯源所需信息。

3.数据安全风险评估与管理：重要数据的处理者应每年组织全面的数据安全风险评估，并向相关机构报送风险评估报告，重点评估风险并提出改进措施。数据处理者应细化管理数据安全风险评估人员和审计人员对数据的权限，并建立安全管控策略。

4.数据处理日志保存：数据处理者应将数据处理活动日志纳入数据分类分级管理，并至少保存六个月，涉及个人信息或重要数据的行为相关日志应最少保存三年。

以上方面的约束和要求旨在保障数据的安全合规和风险控制，推动数据处理活动的规范和可持续发展。