来源 | 零壹智库
【编者按】
近期,为落实《数据安全法》《网络安全法》要求,加强金融数据安全管理规范,中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《办法》),并面向社会公开征求意见。作为央行业务领域数据安全规范问题的首个重磅法规,《办法》自2023年7月24日向全社会征求意见以来,不仅引发全社会广泛关注,更引起业内专家学者的重视和热议。
2023年9月4日,清华大学公共管理学院政府法制研究中心与对外经贸大学数字经济与法律创新研究中心联合举办了“金融数据安全:实践与监管研讨会”,对央行新近颁布的《办法》进行讨论。
近日,零壹智库对清华大学、北京大学、对外经贸大学、中央财经大学、中国政法大学、北京航空航天大学六位教授进行了专题采访,探讨当前我国央行领域金融数据安全问题,并对《办法》提出修改意见和建议,以期更好推进金融数字立法完善,更好推动我国金融数据安全管理规范发展。
【访谈嘉宾简介】
许 可 对外经贸大学数字经济与法律创新研究中心主任
沈伟伟 中国政法大学大数据和人工智能法律研究中心主任
刘 权 中央财经大学数字经济与法治研究中心执行主任
陈天昊 清华大学公共管理学院政府法制研究中心副主任
赵精武 北京航空航天大学北京科技创新中心研究基地副主任
顾 雷 北京大学普惠金融与法律监管研究基地副主任
【主持人简介】
柏 亮 零壹智库CEO
01
数据市场快速发展,《办法》填补制度空白
柏亮:《办法》不久前已经公开向全社会征求意见了,越来越多业内人士对《办法》开展了讨论。其实,两年前,我国已经颁布了《数据安全法》,为什么今天还要专门起草这样一部法规来规范央行业务领域的金融数据安全管理?《办法》是在何种背景下制定的?其对金融市场数据安全和发展又有哪些作用?
许可:经过多年发展,我国数据要素大市场正在加快布局。在上海,张江科学城正在打造数据要素产业集群。在陕西,20多个省级部门正在启动应用政府数据共享平台,积极探索数据流通新模式、创新场景应用模式。在福建,大数据交易所也正在带动总产值超过42亿元的数据产业集群。在广东,探索建立“首席数据官”机制,加快培育数据管理人才。在深圳,深圳数据交易所推出了1500多个数据产品,交易活跃,深受全国用户欢迎。据我们初步统计,全国已成立48家数据交易机构,数据资产评估、登记结算市场运营主体也在加快建设,全国数据要素产业体系初步形成。截止2022年12月,我国大数据产业规模达1.57万亿元,同比增长18%;数据产量达8.1ZB,同比增长22.7%,占全球数据总产量10.6%。显然,数据资源体系建设在全国范围内蓬勃发展,数据资源供给能力持续提升,数据要素也成为劳动力、土地、资本、技术之外最先进、最活跃的生产要素。但是,海量的数据也构成了金融行业重大安全隐患,诸如数据不规范收集、数据泄漏、数据造假以及数据违规出境不断出现,这些尚未彻底排除的“危险数据”已经构成了我国数据安全主要问题。为了进一步落实《数据安全法》要求,央行审时度势,以数据产权、流通交易、安全治理为抓手,聚焦系统内开展各类业务活动时所产生和收集的数据,组织起草了《办法》,明确中国人民银行业务领域数据安全合规底线,力图解决数据面临的泄露威胁,监测敏感数据流动,加设数据泄露防护系统,填补央行业务领域数据安全管理制度保障空白。
02
六大亮点,并更具针对性
柏亮:确实如此。目前中国人民银行起草的《办法》正在向社会广泛征求意见,进一步完善金融数据立法,促进了数据合规高效流通,推进了国家数据治理体系和治理能力建设。具体讲,《办法》都有哪些亮点?
顾雷:
一是开启了分级分类数据模式。《办法》要求数据处理者应当建立数据分类分级制度,梳理数据资源目录、标识分类信息,进一步做好数据敏感性、可用性层级划分,实现数据分类分级梳理及密级标识,以便在全流程数据管理中更优采取精细化、差异化的安全保护措施,比如《办法》针对收集、存储、使用、加工、传输、提供、公开和删除各环节,明确了向数据处理者采取哪些分级保护措施,细化了风险监测、评估审计、事件处置等合规要求,强调数据处理者应当建立分级数据处理活动安全风险监测和告警机制,解决有意、无意引发的数据泄露风险以及敏感数据泄露,为API使用提供安全保障,有效应对数据处理活动中各类安全隐患。
二是提出了数据安全保护总体要求。首次明确在全行业范围要求数据管理、数据安全管理和业务管理做到三位一体,设定了数据安全保护和数据处理全流程合规底线。比如《办法》建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,规定对于数据被篡改、破坏、泄露、不当牟利等行为要面临法律处罚,压实数据处理者数据安全责任。《办法》还规定第三层级以上数据项需脱敏才能公开,确保不损害国家安全、公共利益、组织及个人隐私权,否则也将被法律追责。
三是界定了各个阶段的数据责任。《办法》规定的数据安全法律责任不止于数据收集存储环节,包括数据收集、存储、使用、提供、加工、传输等数据处理全流程安全保护义务和法律责任,所有主体不仅要对自己业务数据的真实性负责,还要对数据的安全性负责,确保所有数据处于完整、真实以及持续安全状态。
四是落实了隐私数据安全性条款。今天,现在很多人生活和机构运转轨迹都在网络上留下数字痕迹,每一个人实际上都被数据全方位、全时段覆盖。由此看,互联网时代每一个人基本上都是透明人,个人隐私权有可能受到一定程度潜在威胁。为此,《办法》第25条规定数据处理者采用隐私计算等技术促进数据融合创新应用时,应当确认原始数据未离开自身控制范围。《办法》第37条又要求机构在采用隐私计算技术提供数据时,应当进行统一的技术风险评估,明确安全可验证性、性能可接受性等风险缓释措施。
五是对脱敏条款进行了规范。数据流通、应用过程中,存在着大量非公开敏感信息(数据),涉及国家、企业、行业以及个人秘密。在这种情况下,数据脱敏就是一个不错的选择。为此,《办法》鼓励数据处理者在安全合规前提下,对敏感数据进行加工,降低敏感性层级,用匿名、隐名方式将数据和个人、企业的对应关系解除,达到无法识别特定个人、组织的目的,让更多非公开敏感信息(数据)可以进入数据流通市场,被金融机构、金融科技公司用于经营活动,更好促进数据利用和市场开发。
六是规定了跨境数据的限制性条款。《办法》第26条规定数据处理者在中国境内收集和产生的数据,法律、行政法规有境内存储要求的,应当在境内存储。如果向境外提供数据,并涉及国家网信部门规定情形时,数据处理者必须事前开展数据出境风险自评估,不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。显然,《办法》加强了对跨境数据管理的监管力度,强调非经中国人民银行批准,数据处理者不得向其提供境内存储的数据的要求,防止数据出境可能造成的国内数据泄露风险,对我国金融数据稳健运行提供了制度性保障。
柏亮:记得前几年我国就颁布了《网络安全法》(2017年)、《数据安全法》(2021年)以及《个人信息保护法》(2021年),2022年10月国家还出台“数据二十条”,许可教授能不能从立法角度谈谈与过去公布的这些数据法律法规相比,《办法》在哪些方面体现了继承性和突破性?如何在立法上注重与《网络安全法》《数据安全法》统一适配?
许可:首先,《网络安全法》、《数据安全法》以及“数据二十条”都是数据保护性规范,更多的是对金融市场、金融行业和个人数据的治理,但不是对中国人民银行业务领域数据的规范,这就使得金融机构、金融科技企业和个人在使用央行业务领域数据时存在法律模糊地带。与上述几个法律法规相比,《办法》的出台,形成了与现行数据的良性互动和有效衔接,弥补了在央行业务领域数据使用时法律规范不足,减少了法条冲突和矛盾。比如,在金融数据跨境流动方面,《办法》在《数据安全法》《网络安全法》基础上提出更细化的要求,《办法》第26条第1款要求“重要数据应当境内存储”,第2款要求“数据处理者在开展数据出境前进行风险自评估和申报数据出境安全评估”。
显然,《办法》明确了央行业务领域数据安全合规底线要求,指导数据处理者高效开展央行业务领域数据处理活动,落实了数据安全法规的可操作性,展示出原有数据法律规范的继承性和发展性,促进数据要素市场高质量发展。其次,《办法》相比国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部公布的《生成式人工智能服务管理暂行办法》,更加具有针对性。《生成式人工智能服务管理暂行办法》只是规定向国内公众提供生成文本、图片、音频、视频等内容,而《办法》聚焦金融行业生成文本、图片、音频、视频、自动化决策、算法风险评估等内容,在范围上拓展到了金融数据,在内容上延伸到了生成式人工智能算法、风险评估、自动化决策等方面,完善了金融行业数据安全管理制度,具有一定的突破性。
03
一些建议:保障安全,促进开发利用
柏亮:许可教授分析得透彻。正因为有了《办法》的继承和突破,才能加强对金融数据处理者的监督,确保数据管理制度得到切实执行,及时纠正存在的金融数据安全隐患,这也是我们业内十分期盼的事情。
当然,虽然《办法》在收集、存储、使用、加工、传输、提供、公开和删除环节存在诸多亮点,但我们不能要求《办法》包罗万象、面面俱到,马上解决金融业务领域存在的所有数据问题。目前,《办法》可能会存在需要不断完善的地方,这正好是我们在可见未来的金融实践中加以认真总结和解决。请各位老师谈谈对《办法》需要完善的建议和意见。许可:我个人提出若干不成熟的建议和意见,以期有裨于《办法》的完善。
第一,明确数据境外调取的批准主体。《数据安全法》第36条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”实践中,一个非常重要的困惑是不清楚谁是“主管机关”。根据这一条款,《办法》第27条规定:“中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理国际组织和外国金融管理部门关于提供数据的请求。非经中国人民银行和其他有关主管部门批准,数据处理者不得向其提供境内存储的数据。”该条尽管明确了人民银行作为主管机关的地位,但另外增加了“其他主管部门”这一不确定的表述,建议删除,并将“人民银行”作为唯一主管机关,便于后续执法。
第二,进一步强化数据利用功效。《数据安全法》第1条开宗明义确立了“数据安全与数据利用”双重目标。作为《数据安全法》下位法,《办法》对于数据安全浓墨重彩,但对于数据利用稍显薄弱。例如,《办法》第21条规定:“使用第三层级以上数据项加工后产生的数据项,经评估确认无法识别至特定个人、组织,或者反映信息敏感程度明显低于原数据项时,数据处理者履行内部审批手续后,可视情降低敏感性层级,促进数据依法合规开发利用。”这里要求数据利用限于无法识别特定“个人、组织”的数据,大大缩限了数据范围。并且,将特定组织识别作为敏感要素,也缺乏上位法依据,建议删除。类似《办法》第17条也规定:“非直接面向个人、组织收集数据时,应当要求数据提供方依照法律、行政法规取得个人、组织的同意”。这里取得“组织同意”既没有上位法依据,也与实践不符,建议删除。
第三,增加数据依法流通共享的条款。金融数据的利用和流通不但可以完善我国信用体系,也能够帮助金融机构和监管机构更好地防范金融风险。为此,我们建议在反洗钱、反恐怖融资、反诈和征信场景下,设立数据依法流通共享规则,即无需征得个人或者是相关组织的同意,数据就可以强制流通。
刘权:我也谈谈对《办法》修改的一些建议。
第一,在体系框架上,《办法》“第三章数据安全保护总体要求”同前后部分衔接不畅,建议取消该章,部分条款分别调整到“第一章总则”和“第四章数据安全保护管理措施”之中。
第二,建议在《办法》第1条立法目的增加促进数据创新利用的表述。目前《办法》只规定了“为规范中国人民银行业务领域数据的安全管理”单一立法目的,但有大量促进数据创新利用的条款,而且起草说明也将增加促进数据创新利用作为亮点表述。可以借鉴《个人信息保护法》第一条规定的双重立法目的方式:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”
第三,建议修改《办法》第3条“采取有效措施防范数据被篡改、破坏、泄露、不当获取与利用等风险,确保不损害国家安全、公共利益、金融秩序、个人及组织合法权益”。“有效措施”可能是成本过大的措施,可能造成过大的经济负担而变得不可行。因此个人建议改为“必要措施”,实现利益均衡。
第四,《办法》第11条规定“每年组织更新数据资源目录”,可能跟不上快速发展的形势和不同领域的特点,个人建议修改为“每年至少组织一次更新数据资源目录”更为可操作性,在立法表述上也更明确化。
第五,《办法》第17条规定“数据处理者收集数据应当遵循合法、正当原则”,建议改为“数据处理者收集数据应当遵循合法、正当、必要和诚信原则”。因为“合法”和“正当”并不一定是“必要”的,也未必符合“诚信原则”,为了在立法上更加周全和合理,增加“必要和诚信原则”也是很有必要的。
第六,《办法》第43条规定了“重要数据的数据处理者应当自行或者委托检测机构,每年组织开展一次全面的数据安全风险评估工作”,那么是否应当明确日常风险评估的情形呢?一年评估一次是不够的。可参考《个人信息保护法》规定的个人信息保护影响评估制度进行修改。
顾雷:总体结构上看,《办法》立法宗旨明确,法条逻辑清晰,但《办法》依然存在一些可以改进之处,主要有以下几个方面:
第一,《办法》第1条规定的目的是“为规范中国人民银行业务领域数据的安全管理”,这当然没有问题,但从金融数据安全管理角度看,似乎偏窄了一点。一般讲,金融业务领域数据安全管理是具有双重目的:一是规范数据安全管理,二是促进数据开发和利用,两者缺一不可,相互促进。因此,我们建议在《办法》第1条增加一句“促进数据开发和利用”,更全面完备和有说服力。
第二,《办法》第26条只有对数据出境限制管理措施的规定,但由于《办法》第21条有对脱敏数据可以降低敏感层级的规定。因此,第26条也应该增加对降低敏感层级的脱敏数据采取简易程序审核的规定,追求宽严得体、层次分明的效果。
第三,《办法》第29条要求数据处理者应当主动删除数据,比如要求存储第三层级以上数据项的存储介质不再使用并且离开数据处理者控制范围时,应当及时销毁。这些要求删除相关数据的规定对于保护个人隐私数据、维护社会成员合法权益是绝对必要的。但是,《办法》第七章“法律责任”缺乏对违反个人数据删除的处罚性条款,也就是说,应该销毁而没有及时销毁数据存储介质的行为,《办法》从第48条到第54条均没有处罚规定。因此,我们建议《办法》最好再增加第55条,专门对违反《办法》第29条和39条的行为设定法律处罚规定。这样《办法》在法律责任上就前后呼应,立法结构也更趋平衡和对称。
第四,《办法》第29条“数据处理者发生解散、被宣告破产等情况时,合法合规完成自身需要的数据转移处理后,应当及时销毁全部数据存储介质”规定中的“及时”不具备可操作性,法律规范性和执行力较低,在金融实践中容易产生推诿扯皮现象,不利于数据的删除,由此我建议《办法》第29条应该界定一个比较明确的时间范围,建议修改为:合法合规完成自身需要的数据转移处理后的三日内,应该销毁全部数据存储介质。如此,在立法上增强了《办法》前后法条协调一致性,在司法实践中也更具可操作性。
沈伟伟:网络法问题总是交织着法律与技术结合的解决之道。我的经验,法律人总是对技术寄予很大期望,工程师总是对法律寄予很大期望,最后往往双方彼此一合议,发现自己都高估了对方规制工具箱的效果。《办法》第21条之所以可以被冠之以“促进数据开发利用”,恰恰是因为法律对于“第三层级以上数据项加工”后所带来的较低信息敏感程度,使得数据保护和数据安全有了更多保障。
此举确实是在用一个近似于附条件的避风港或者豁免的方式,鼓励和促进数据开发利用。但我们需要注意到的是,技术上的降低信息敏感程度,近似于个人信息保护领域讨论比较多的“匿名化”,有一个已经被学术讨论、且在实践中多次验证的观点:匿名化与其说一个有和无的问题,不如说是一个多或少的问题,而且实践中常常出现的现象是,匿名化是暂时的,再识别是可能的。换言之,只要一个人的个人金融信息被采集,那么就存在一种潜在的可识别性,哪怕他暂时处于匿名化状态。我们金融领域在很早就使用大量的金融风险管理技术,从企业的金融风控技术,到个人银行类似U盾之类的认证技术,都是技术规制的工作。所以金融行业应该很能理解,金融风险控制技术的优势以及局限性。
这一点,同样也适用于信息脱敏技术或匿名化技术。《办法》第21条(以及第28条第3款)很可能对于脱敏技术抱太高的期待,一旦脱敏技术无法取得预期,那么这个附条件的避风港或者豁免,就可能成为数据安全的一个短板。因为,金融领域客户也不断地变化,金融场景不断变化,金融服务也不断变化,技术也不断变化,这些都可能使得原先不敏感或者被认为是脱敏的数据,重新具备敏感度,威胁数据安全和个人信息权益。
而第21条的处理似乎把“促进数据开发利用”这一重托,都放在脱敏技术这一个单一的技术模块,此外“明显低于”、“视情”等模糊用语,也为具体实施过程中的标准认定埋下隐患。面对金融数据利用、金融数据安全、个人信息保护这一系列错综复杂的张力,我个人建议再仔细斟酌《办法》第21条,尤其是在对脱敏化、匿名化信息相关技术实践充分调研的基础上,并在对其他数据保护和数据利用技术的考察下,重新界定数据安全与数据利用的边界。
陈天昊:以《办法》为基础,要实现金融数据资源的大循环,至少还有下述三方面的工作需要做:
第一,同步修订金融领域内相关数据安全技术规范,以保持金融数据法律体系完整性和统一性。例如,2020年9月中国人民银行发布的《金融数据安全 数据安全分级指南》,对金融数据的安全定级做了较为严苛规定,账户金额信息、个人征信信息皆并划定为3-5级,为“一般针对特定人员公开,且仅为必须知悉的对象访问或使用”。更为严苛的表达还出现在2020年2月中国人民银行发布《个人金融信息保护技术规范》第7.1.3条,其明确“金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让的,应充分重视信息安全风险”。
第二,推动构建金融数据跨部门协同监管机制。《数据安全法》确立了由各主管部门负责本行业、本领域数据安全监管职责的管辖权分配原则,本管理办法将其更明确地表述为“谁管业务,谁管业务数据,谁管数据安全”的数据安全工作原则。此原则的好处在于提供了简明的数据安全归责指引,然而适用该原则所面临的挑战在于,数据资源的大循环必定意味着产生于特定行业、领域的数据会向其他行业、领域频繁流动,从而跨越不同监管者的主管领域,并在不同领域之间反复穿梭。这便要求建立具备高度整合性的金融数据跨部门协同监管机制。在《数据安全法》规定的国家数据安全工作协调机制之下,《办法》仅提出中国人民银行可以与其他监管部门签订“合作协议”,以约定数据安全监管协作模式。然而,基于约定的监管协作能够在多大程度上实现,有赖于各部门之间的谈判能力,并且部门之间的协议缺乏刚性的执行保障,在遭遇复杂或突发的问题时,难以约束各部门之间的机会主义行为,未来还需以更高位阶的硬法构建专门的协同监管机制。
第三,对金融数据开发利用中各个主体的数据权属进行合理配置。不对主体进行明确的权属确认,就不可能激发数据要素在不同主体之间的高效配置。《数据二十条》以“数据处理者”和“企业数据”为中心,提出数据资源持有权、数据加工使用权、数据产品经营权的数据三权分置的权利配置构想。然而,在金融领域内不同主体分别在何种条件下享有哪些权利?需要结合金融数据开发利用的具体场景予以明确。否则,即便解决了金融数据的安全问题,各个主体仍然将会缺乏推动金融数据高效流动及交易的有效激励。
赵精武:从现有征求意见稿来看,《办法》内容详实,完全能够贴合金融、银行业务领域的数据处理实践现状。不过,结合我国现行《网络安全法》《数据安全法》立法体系来看,《办法》依然存在部分细节问题,建议予以微调,具体包括下列内容:
第一,建议《办法》第二章“数据分级分类”与《办法》第三章的“数据安全保护总体要求”进行内容合并。因为从目前数据安全立法体系来看,数据分级分类保护已经是我国数据安全法律制度的基础制度,诸如数据安全责任人、重要数据目录清单等具体制度均是以数据分级分类为基础。因此,数据分级分类显然属于“数据安全保护总体要求”的内容之一。从内容篇幅和修改难易程度考虑,可以考虑采取类似《网络安全法》的规定模式,该法第三章第一小节是“一般规定”,第二小节则根据关键信息基础设施保护的条款篇幅,单独规定了一小节“关键信息基础设施的运行安全”。因此,可以考虑在第三章“数据安全保护总体要求”中专门单列一小节“数据分级分类”。
第二,建议将《办法》第11条“更新数据资源目录”修改为“更新数据资源目录和重要数据目录”,并且要求数据处理者将更新后的重要数据目录填报至中国人民银行。这是因为为了更有效、更动态化地更新本行业的重要数据,有必要根据数据处理者提交的重要数据目录进行制定总体性的重要数据目录,而且如此调整也能够与我国行业标准保持同步一致。
第三,建议在《办法》第12条中增加有关数据安全负责人的两款内容。一是“重要数据处理者应当书面明确数据安全负责人和数据安全牵头管理内设部门,并将数据安全负责人的联系方式与重要数据目录一并填报至中国人民银行。”二是“重要数据处理者的数据安全负责人应当能够独立履职,落实数据安全保护责任。”单独规定重要数据处理者联系方式应当予以上报,是为了方便监管机构直接确认和联系直接责任人,避免沦为“空架子”,也便于监管机构能够明确相应的责任主体。
第四,建议在《办法》第14条的培训内容中增加一项“员工调岗、离职时数据访问权限的同步变更管理制度”。这是因为在现有的数据泄露事件中,员工操作不当或员工恶意泄露数据已成为“重灾区”,尤其在员工离职、调岗时,原有的数据访问权限未能关闭、擅自拷贝企业内部数据等问题频出有二有必要在安全培训阶段予以规范,这样也能够与《办法》第16条“人员管理要求”的内容实现体系衔接。
柏亮:感谢六位老师提出的立法建议,希望《办法》在广泛听取社会意见和专家学者建议基础上,能够更快更好完善起来,早日正式颁布执行,支持已经到来的金融数据3.0时代。未来,国家将进一步落实数据安全审查、数据安全监测、数据交易制度,细化重要金融数据目录、金融数据风险评估、金融数据出境等重点工作规范,完善金融数据开发技术标准和金融数据安全标准体系。我们相信,金融数据安全技术在未来我国金融科技发展中将扮演越来越重要的角色,推动金融机构实现多方数据融合,促进我国数据安全技术持续、公平发展,在数字产业标准化方面发挥越来越大的支撑和引领作用。 注:本文参考了六位教授会议发言和相关文字材料。
原文标题 : 万字长文 | 六大高校教授建言“央行数据安全管理办法”:要保障安全,也要促进数据开发利用
