來源 | 零壹財經
【編者按】
近期,為落實《數據安全法》《網絡安全法》要求,加強金融數據安全管理規範,中國人民銀行起草了《中國人民銀行業務領域數據安全管理辦法(徵求意見稿)》(以下簡稱《辦法》),並面向社會公開徵求意見。作為央行業務領域數據安全規範問題的首個重磅法規,《辦法》自2023年7月24日向全社會徵求意見以來,不僅引發全社會廣泛關注,更引起業內專家學者的重視和熱議。
2023年9月4日,清華大學公共管理學院政府法制研究中心與對外經貿大學數字經濟與法律創新研究中心聯合舉辦了「金融數據安全:實踐與監管研討會」,對央行新近頒布的《辦法》進行討論。
近日,零壹智庫對清華大學、北京大學、對外經貿大學、中央財經大學、中國政法大學、北京航空航天大學六位教授進行了專題採訪,探討當前我國央行領域金融數據安全問題,並對《辦法》提出修改意見和建議,以期更好推進金融數字立法完善,更好推動我國金融數據安全管理規範發展。
【訪談嘉賓簡介】
許可 對外經貿大學數字經濟與法律創新研究中心主任。
沈偉偉中國政法大學大數據和人工智慧法律研究中心主任。
劉權中央財經大學數字經濟與法治研究中心執行主任。
陳天昊 清華大學公共管理學院政府法制研究中心副主任。
趙精武北京航空航天大學北京科技創新中心研究基地副主任。
顧雷 北京大學普惠金融與法律監管研究基地副主任。
【主持人簡介】
柏亮 零壹智庫CEO。
01
數據市場快速發展,《辦法》填補制度空白
柏亮:《辦法》不久前已經公開向全社會徵求意見了,越來越多業內人士對《辦法》開展了討論。其實,兩年前,我國已經頒布了《數據安全法》,為什麼今天還要專門起草這樣一部法律來規範央行業務領域的金融數據安全管理?《辦法》是在何種背景下制定的?其對金融市場數據安全和發展又有哪些作用?
許可:經過多年發展, 我國數據要素大市場正在加快布局。在上海,張江科學城正在打造數據要素產業集群。在陝西,20多個省級部門正在啟動應用政府數據共享平台,積極探索數據流通新模式、創新場景應用模式。 在福建,大數據交易所也正在帶動總產值超過42億元的數據產業集群。 在廣東,探索建立「首席數據官」機制,加快培育數據管理人才。 在深圳,深圳數據交易所推出了1500多個數據產品,交易活躍,深受全國用戶歡迎。
據我們初步統計,全國已成立48家數據交易機構,數據資產評估、登記結算市場運營主體也在加快建設,全國數據要素產業體系初步形成。截止2022年12月, 我國大數據產業規模達1.57萬億元,同比增長18%;數據產量達8.1ZB,同比增長22.7%,占全球數據總產量10.6%。
顯然,數據資源體系建設在全國範圍內蓬勃發展,數據資源供給能力持續提升,數據要素也成為勞動力、土地、資本、技術之外最先進、最活躍的生產要素。
但是,海量的數據也構成了 金融行業重大安全隱患,諸如數據不規範收集、數據泄漏、數據造假以及數據違規出境不斷出現,這些尚未徹底排除的「危險數據」已經構成了我國數據安全主要問題。
為了進一步落實《數據安全法》要求,央行審時度勢,以數據產權、流通交易、安全治理為抓手,聚焦系統內開展各類業務活動時所產生和收集的數據,組織起草了《辦法》, 明確中國人民銀行業務領域數據安全合規底線,力圖解決數據面臨的泄露威脅,監測敏感數據流動,加設數據泄露防護系統,填補央行業務領域數據安全管理制度保障空白。
02
六大亮點,並更具針對性
柏亮:確實如此。目前中國人民銀行起草的《辦法》正在向社會廣泛徵求意見,進一步完善金融數據立法,促進了數據合規高效流通,推進了國家數據治理體系和治理能力建設。具體講,《辦法》都有哪些亮點?
顧雷:一是開啟了分級分類數據模式。《辦法》要求數據處理者 應當建立數據分類分級制度,梳理數據資源目錄、標識分類信息,進一步做好數據敏感性、可用性層級劃分,實現數據分類分級梳理及密級標識,以便在全流程數據管理中更優採取精細化、差異化的安全保護措施,比如《辦法》針對收集、存儲、使用、加工、傳輸、提供、公開和刪除各環節,明確了向數據處理者採取哪些分級保護措施,細化了風險監測、評估審計、事件處置等合規要求,強調數據處理者應當建立分級數據處理活動安全風險監測和告警機制,解決有意、無意引發的數據泄露風險以及敏感數據泄露,為API使用提供安全保障,有效應對數據處理活動中各類安全隱患。
二是提出了數據安全保護總體要求。首次明確在全行業範圍要求 數據管理、數據安全管理和業務管理做到三位一體,設定了數據安全保護和數據處理全流程合規底線。比如《辦法》建立數據安全問責處罰制度和數據處理活動全流程安全管理制度,規定對於數據被篡改、破壞、泄露、不當牟利等行為要面臨法律處罰,壓實數據處理者數據安全責任。《辦法》還規定第三層級以上數據項需脫敏才能公開,確保不損害國家安全、公共利益、組織及個人隱私權,否則也將被法律追責。
三是界定了各個階段的數據責任。《辦法》規定的數據安全法律責任不止於數據收集存儲環節,包括 數據收集、存儲、使用、提供、加工、傳輸等數據處理全流程安全保護義務和法律責任,所有主體不僅要對自己業務數據的真實性負責,還要對數據的安全性負責,確保所有數據處於完整、真實以及持續安全狀態。
四是落實了隱私數據安全性條款。今天,現在很多人生活和機構運轉軌跡都在網絡上留下數字痕跡,每一個人實際上都被數據全方位、全時段覆蓋。由此看,網際網路時代每一個人基本上都是透明人,個人隱私權有可能受到一定程度潛在威脅。為此,《辦法》第25條規定數據處理者採用隱私計算等技術促進數據融合創新應用時,應當確認原始數據未離開自身控制範圍。《辦法》第37條又要求機構在採用隱私計算技術提供數據時, 應當進行統一的技術風險評估,明確安全可驗證性、性能可接受性等風險緩釋措施。
五是對脫敏條款進行了規範。數據流通、應用過程中,存在著大量非公開敏感信息(數據),涉及國家、企業、行業以及個人秘密。在這種情況下,數據脫敏就是一個不錯的選擇。為此,《辦法》鼓勵數據處理者在安全合規前提下, 對敏感數據進行加工,降低敏感性層級,用匿名、隱名方式將數據和個人、企業的對應關係解除,達到無法識別特定個人、組織的目的,讓更多非公開敏感信息(數據)可以進入數據流通市場,被金融機構、金融科技公司用於經營活動,更好促進數據利用和市場開發。
六是規定了跨境數據的限制性條款。《辦法》第26條規定數據處理者在 中國境內收集和產生的數據,法律、行政法規有境內存儲要求的,應當在境內存儲。如果向境外提供數據,並涉及國家網信部門規定情形時,數據處理者必須事前開展數據出境風險自評估,不得有意拆分、縮減出境數據規模以規避申報數據出境安全評估。顯然,《辦法》加強了對跨境數據管理的監管力度,強調非經中國人民銀行批准,數據處理者不得向其提供境內存儲的數據的要求,防止數據出境可能造成的國內數據泄露風險,對我國金融數據穩健運行提供了制度性保障。
柏亮:記得前幾年我國就頒布了《網絡安全法》(2017年)、《數據安全法》(2021年)以及《個人信息保護法》(2021年),2022年10月國家還出台「數據二十條」,許可教授能不能從立法角度談談與過去公布的這些數據法律法規相比,《辦法》在哪些方面體現了繼承性和突破性?如何在立法上注重與《網絡安全法》《數據安全法》統一適配?
許可:首先, 《網絡安全法》、《數據安全法》以及「數據二十條」都是數據保護性規範,更多的是 對金融市場、金融行業和個人數據的治理,但不是對中國人民銀行業務領域數據的規範,這就使得金融機構、金融科技企業和個人在使用央行業務領域數據時存在法律模糊地帶。與上述幾個法律法規相比, 《辦法》的出台,形成了與現行數據的良性互動和有效銜接,彌補了在央行業務領域數據使用時法律規範不足,減少了法條衝突和矛盾。
比如, 在金融數據跨境流動方面,《辦法》在《數據安全法》《網絡安全法》基礎上提出更細化的要求,《辦法》第26條第1款要求「重要數據應當境內存儲」,第2款要求「數據處理者在開展數據出境前進行風險自評估和申報數據出境安全評估」。顯然,《辦法》明確了央行業務領域數據安全合規底線要求,指導數據處理者高效開展央行業務領域數據處理活動,落實了數據安全法規的可操作性,展示出原有數據法律規範的繼承性和發展性,促進數據要素市場高質量發展。
其次,《辦法》相比國家網信辦聯合國家發展改革委、教育部、科技部、工業和信息化部公布的《生成式人工智慧服務管理暫行辦法》, 更加具有針對性。《生成式人工智慧服務管理暫行辦法》只是規定向 國內公眾提供生成文本、圖片、音頻、視頻等內容,而《辦法》聚焦金融行業生成文本、圖片、音頻、視頻、自動化決策、算法風險評估等內容,在範圍上拓展到了金融數據,在內容上延伸到了生成式人工智慧算法、風險評估、自動化決策等方面, 完善了金融行業數據安全管理制度,具有一定的突破性。
03
一些建議:保障安全,促進開發利用
柏亮:許可教授分析得透徹。正因為有了《辦法》的繼承和突破,才能加強對金融數據處理者的監督,確保數據管理制度得到切實執行,及時糾正存在的金融數據安全隱患,這也是我們業內十分期盼的事情。
當然,雖然《辦法》在收集、存儲、使用、加工、傳輸、提供、公開和刪除環節存在諸多亮點,但我們不能要求《辦法》包羅萬象、面面俱到,馬上解決金融業務領域存在的所有數據問題。目前,《辦法》可能會存在需要不斷完善的地方,這正好是我們在可見未來的金融實踐中加以認真總結和解決。請各位老師談談對《辦法》需要完善的建議和意見。
許可:我個人提出若干不成熟的建議和意見,以期有裨於《辦法》的完善。
第一,明確數據境外調取的批准主體。《數據安全法》第36條規定:「中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供數據的請求。非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。」實踐中,一個非常重要的困惑是不清楚誰是「主管機關」。根據這一條款,《辦法》第27條規定:「中國人民銀行根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理國際組織和外國金融管理部門關於提供數據的請求。非經中國人民銀行和其他有關主管部門批准,數據處理者不得向其提供境內存儲的數據。」該條儘管明確了人民銀行作為主管機關的地位,但另外增加了「其他主管部門」這一不確定的表述,建議刪除,並將「人民銀行」作為唯一主管機關,便於後續執法。
第二,進一步強化數據利用功效。《數據安全法》第1條開宗明義確立了「數據安全與數據利用」雙重目標。作為《數據安全法》下位法, 《辦法》對於數據安全濃墨重彩,但對於數據利用稍顯薄弱。例如,《辦法》第21條規定:「使用第三層級以上數據項加工後產生的數據項,經評估確認無法識別至特定個人、組織,或者反映信息敏感程度明顯低於原數據項時,數據處理者履行內部審批手續後,可視情降低敏感性層級,促進數據依法合規開發利用。」這裡要求數據利用限於無法識別特定「個人、組織」的數據,大大縮限了數據範圍,並且,將特定組織識別作為敏感要素,也缺乏上位法依據,建議刪除。類似《辦法》第17條也規定:「非直接面向個人、組織收集數據時,應當要求數據提供方依照法律、行政法規取得個人、組織的同意」。這裡取得「組織同意」既沒有上位法依據,也與實踐不符,建議刪除。
第三,增加數據依法流通共享的條款。金融數據的利用和流通不但可以完善我國信用體系,也能夠幫助金融機構和監管機構更好地防範金融風險。為此,我們建議在 反洗錢、反恐怖融資、反詐和徵信場景下,設立數據依法流通共享規則,即無需徵得個人或者是相關組織的同意,數據就可以強制流通。
劉權:我也談談對《辦法》修改的一些建議。
第一,在體系框架上,《辦法》 「第三章數據安全保護總體要求」同前後部分銜接不暢, 建議取消該章, 部分條款分別 調整到「第一章總則」和「第四章數據安全保護管理措施」之中。
第二,建議在《辦法》第1條立法目的增加促進數據創新利用的表述。目前《辦法》只規定了「為規範中國人民銀行業務領域數據的安全管理」單一立法目的,但有大量促進數據創新利用的條款,而且起草說明也將增加促進數據創新利用作為亮點表述。可以借鑑《個人信息保護法》第一條規定的雙重立法目的方式:「為了保護個人信息權益,規範個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。」
第三,建議修改《辦法》第3條「採取有效措施防範數據被篡改、破壞、泄露、不當獲取與利用等風險,確保不損害國家安全、公共利益、金融秩序、個人及組織合法權益」。 「有效措施」可能是成本過大的措施,可能造成過大的經濟負擔而變得不可行。因此個人建議改為 「必要措施」,實現利益均衡。
第四,《辦法》第11條規定 「每年組織更新數據資源目錄」,可能跟不上快速發展的形勢和不同領域的特點,個人建議修改為 「每年至少組織一次更新數據資源目錄」更為可操作性,在立法表述上也更明確化。
第五,《辦法》第17條規定「數據處理者收集數據應當 遵循合法、正當原則」,建議改為「數據處理者收集數據應當 遵循合法、正當、必要和誠信原則」。因為「合法」和「正當」並不一定是「必要」的,也未必符合「誠信原則」,為了在立法上更加周全和合理,增加「必要和誠信原則」也是很有必要的。
第六,《辦法》第43條規定了「重要數據的數據處理者應當自行或者委託檢測機構,每年組織開展 一次全面的數據安全風險評估工作」,那麼是否應當明確日常風險評估的情形呢? 一年評估一次是不夠的。可參考《個人信息保護法》規定的個人信息保護影響評估制度進行修改。
顧雷:總體結構上看,《辦法》立法宗旨明確,法條邏輯清晰,但《辦法》依然存在一些可以改進之處,主要有以下幾個方面:
第一,《辦法》第1條規定的目的是「為規範中國人民銀行業務領域數據的安全管理」,這當然沒有問題,但從金融數據安全管理角度看,似乎偏窄了一點。一般講,金融業務領域數據安全管理是具有雙重目的:一是規範數據安全管理,二是促進數據開發和利用,兩者缺一不可,相互促進。因此,我們建議 在《辦法》第1條增加一句「促進數據開發和利用」,更全面完備和有說服力。
第二,《辦法》第26條只有對數據出境限制管理措施的規定,但由於《辦法》第21條有對脫敏數據可以降低敏感層級的規定。因此, 第26條也應該增加對降低敏感層級的脫敏數據採取簡易程序審核的規定,追求寬嚴得體、層次分明的效果。
第三,《辦法》第29條要求數據處理者應當主動刪除數據,比如要求存儲第三層級以上數據項的存儲介質不再使用並且離開數據處理者控制範圍時,應當及時銷毀。這些要求刪除相關數據的規定對於保護個人隱私數據、維護社會成員合法權益是絕對必要的。
但是,《辦法》第七章「法律責任」缺乏對違反個人數據刪除的處罰性條款,也就是說,應該銷毀而沒有及時銷毀數據存儲介質的行為,《辦法》從第48條到第54條均沒有處罰規定。因此,我們建議《辦法》最好再增加 第55條,專門對違反《辦法》第29條和39條的行為設定法律處罰規定。這樣《辦法》在法律責任上就前後呼應,立法結構也更趨平衡和對稱。
第四,《辦法》第29條「數據處理者發生解散、被宣告破產等情況時, 合法合規完成自身需要的數據轉移處理後,應當及時銷毀全部數據存儲介質」規定中的「及時」不具備可操作性,法律規範性和執行力較低,在金融實踐中容易產生推諉扯皮現象,不利於數據的刪除,由此我建議《辦法》第29條應該界定一個比較明確的時間範圍,建議修改為: 合法合規完成自身需要的數據轉移處理後的三日內,應該銷毀全部數據存儲介質。
如此,在立法上增強了《辦法》前後法條協調一致性,在司法實踐中也更具可操作性。
沈偉偉:網絡法問題總是交織著法律與技術結合的解決之道。我的經驗,法律人總是對技術寄予很大期望,工程師總是對法律寄予很大期望,最後往往雙方彼此一合議,發現自己都高估了對方規制工具箱的效果。《辦法》第21條之所以可以被冠之以「促進數據開發利用」,恰恰是因為法律對於「第三層級以上數據項加工」後所帶來的較低信息敏感程度,使得數據保護和數據安全有了更多保障。此舉確實是在用一個近似於附條件的避風港或者豁免的方式,鼓勵和促進數據開發利用。
但我們需要注意到的是,技術上的降低信息敏感程度,近似於個人信息保護領域討論比較多的「匿名化」,有一個已經被學術討論、且在實踐中多次驗證的觀點:匿名化與其說一個有和無的問題,不如說是一個多或少的問題,而且實踐中常常出現的現象是,匿名化是暫時的,再識別是可能的。換言之,只要一個人的個人金融信息被採集,那麼就存在一種潛在的可識別性,哪怕他暫時處於匿名化狀態。我們金融領域在很早就使用大量的金融風險管理技術,從企業的金融風控技術,到個人銀行類似U盾之類的認證技術,都是技術規制的工作。所以金融行業應該很能理解,金融風險控制技術的優勢以及局限性。這一點,同樣也適用於信息脫敏技術或匿名化技術。
《辦法》第21條(以及第28條第3款)很可能對於脫敏技術抱太高的期待,一旦脫敏技術無法取得預期,那麼這個附條件的避風港或者豁免,就可能成為數據安全的一個短板。因為,金融領域客戶也不斷地變化,金融場景不斷變化,金融服務也不斷變化,技術也不斷變化,這些都可能使得原先不敏感或者被認為是脫敏的數據,重新具備敏感度,威脅數據安全和個人信息權益。 而第21條的處理似乎把「促進數據開發利用」這一重託,都放在脫敏技術這一個單一的技術模塊,此外「明顯低於」、「視情」等模糊用語,也為具體實施過程中的標準認定埋下隱患。
面對金融數據利用、金融數據安全、個人信息保護這一系列錯綜複雜的張力,我個人 建議再仔細斟酌《辦法》第21條,尤其是在對脫敏化、匿名化信息相關技術實踐充分調研的基礎上,並在對其他數據保護和數據利用技術的考察下,重新界定數據安全與數據利用的邊界。
陳天昊:以《辦法》為基礎,要實現金融數據資源的大循環,至少還有下述三方面的工作需要做:
第一,同步修訂金融領域內相關數據安全技術規範,以保持金融數據法律體系完整性和統一性。例如,2020年9月中國人民銀行發布的《金融數據安全數據安全分級指南》,對金融數據的安全定級做了較為嚴苛規定,帳戶金額信息、個人徵信信息皆並劃定為3-5級,為「一般針對特定人員公開,且僅為必須知悉的對象訪問或使用」。更為嚴苛的表達還出現在2020年2月中國人民銀行發布《個人金融信息保護技術規範》第7.1.3條,其明確「金融業機構原則上不應共享、轉讓其收集的個人金融信息,確需共享、轉讓的,應充分重視信息安全風險」。
第二,推動構建金融數據跨部門協同監管機制。《數據安全法》確立了由各主管部門負責本行業、本領域數據安全監管職責的管轄權分配原則,本管理辦法將其更明確地表述為「誰管業務,誰管業務數據,誰管數據安全」的數據安全工作原則。此原則的好處在於提供了簡明的數據安全歸責指引,然而適用該原則所面臨的挑戰在於,數據資源的大循環必定意味著產生於特定行業、領域的數據會向其他行業、領域頻繁流動,從而跨越不同監管者的主管領域,並在不同領域之間反覆穿梭。這便要求建立具備高度整合性的金融數據跨部門協同監管機制。在《數據安全法》規定的國家數據安全工作協調機制之下,《辦法》僅提出中國人民銀行可以與其他監管部門簽訂「合作協議」,以約定數據安全監管協作模式。然而,基於約定的監管協作能夠在多大程度上實現,有賴於各部門之間的談判能力,並且部門之間的協議缺乏剛性的執行保障,在遭遇複雜或突發的問題時,難以約束各部門之間的機會主義行為,未來還需以更高位階的硬法構建專門的協同監管機制。
第三,對金融數據開發利用中各個主體的數據權屬進行合理配置。不對主體進行明確的權屬確認,就不可能激發數據要素在不同主體之間的高效配置。《數據二十條》以「數據處理者」和「企業數據」為中心,提出數據資源持有權、數據加工使用權、數據產品經營權的數據三權分置的權利配置構想。然而,在金融領域內不同主體分別在何種條件下享有哪些權利?需要結合金融數據開發利用的具體場景予以明確。否則,即便解決了金融數據的安全問題,各個主體仍然將會缺乏推動金融數據高效流動及交易的有效激勵。
趙精武:從現有徵求意見稿來看,《辦法》內容詳實,完全能夠貼合金融、銀行業務領域的數據處理實踐現狀。不過,結合我國現行《網絡安全法》《數據安全法》立法體系來看,《辦法》依然存在部分細節問題,建議予以微調,具體包括下列內容:
第一,建議《辦法》第二章「數據分級分類」與《辦法》第三章的「數據安全保護總體要求」進行內容合併。因為從目前數據安全立法體系來看,數據分級分類保護已經是我國數據安全法律制度的基礎制度,諸如數據安全責任人、重要數據目錄清單等具體制度均是以數據分級分類為基礎。因此,數據分級分類顯然屬於「數據安全保護總體要求」的內容之一。從內容篇幅和修改難易程度考慮,可以考慮採取類似《網絡安全法》的規定模式,該法第三章第一小節是「一般規定」,第二小節則根據關鍵信息基礎設施保護的條款篇幅,單獨規定了一小節「關鍵信息基礎設施的運行安全」。因此,可以考慮在第三章「數據安全保護總體要求」中專門單列一小節「數據分級分類」。
第二,建議將《辦法》第11條「更新數據資源目錄」修改為「更新數據資源目錄和重要數據目錄」,並且要求數據處理者將更新後的重要數據目錄填報至中國人民銀行。這是因為為了更有效、更動態化地更新本行業的重要數據,有必要根據數據處理者提交的重要數據目錄進行制定總體性的重要數據目錄,而且如此調整也能夠與我國行業標準保持同步一致。
第三,建議在《辦法》第12條中增加有關數據安全負責人的兩款內容。一是「重要數據處理者應當書面明確數據安全負責人和數據安全牽頭管理內設部門,並將數據安全負責人的聯繫方式與重要數據目錄一併填報至中國人民銀行。」二是「重要數據處理者的數據安全負責人應當能夠獨立履職,落實數據安全保護責任。」單獨規定重要數據處理者聯繫方式應當予以上報,是為了方便監管機構直接確認和聯繫直接責任人,避免淪為「空架子」,也便於監管機構能夠明確相應的責任主體。
第四,建議在《辦法》第14條的培訓內容中增加一項「員工調崗、離職時數據訪問權限的同步變更管理制度」。這是因為在現有的數據泄露事件中,員工操作不當或員工惡意泄露數據已成為「重災區」,尤其在員工離職、調崗時,原有的數據訪問權限未能關閉、擅自拷貝企業內部數據等問題頻出有二有必要在安全培訓階段予以規範,這樣也能夠與《辦法》第16條「人員管理要求」的內容實現體系銜接。
柏亮:感謝六位老師提出的立法建議,希望《辦法》在廣泛聽取社會意見和專家學者建議基礎上,能夠更快更好完善起來,早日正式頒布執行,支持已經到來的金融數據3.0時代。
未來,國家將進一步 落實數據安全審查、數據安全監測、數據交易制度,細化重要金融數據目錄、金融數據風險評估、金融數據出境等重點工作規範,完善金融數據開發技術標準和金融數據安全標準體系。我們相信,金融數據安全技術在未來我國金融科技發展中將扮演越來越重要的角色,推動金融機構實現多方數據融合,促進我國數據安全技術持續、公平發展,在數字產業標準化方面發揮越來越大的支撐和引領作用。
註:本文參考了六位教授會議發言和相關文字材料。