央广网北京7月24日消息(记者 冯方)7月24日,中国人民银行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《办法》)公开征求意见。《办法》旨在指导督促相关数据处理者依法依规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务。
根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,《办法》明确适用范围为中华人民共和国境内开展的,中国人民银行承担监督管理职责各类业务相关的数据处理活动。此类业务涉及的数据处理者,开展对应数据处理活动时,应当遵守《办法》提出的管理要求。当前,《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。
《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条,主要内容包括:
一是规范数据分类分级要求。强调数据处理者应当建立数据分类分级制度规程,梳理数据资源目录标识分类信息,在国家数据安全工作协调机制统筹协调下,根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和风险评估等义务,并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。
二是提出数据安全保护总体要求。强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。数据处理者应当建立健全全流程数据安全管理制度,结合数据分类分级结果,明确差异化的安全保护管理和技术措施要求,并制定数据处理活动操作规程,规范各类内部审批和授权流程。鼓励数据处理者积极开展数据安全技术创新应用,在保障安全合规前提下,积极促进数据的高效流通和创新应用,鼓励优秀创新成果申报行业表彰奖励。
三是压实数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。数据处理者停止提供其产品服务,合同协议履约终止或者响应个人、组织合法权益要求时,应当主动停止数据收集活动。数据加工前,数据处理者应当审查加工目的与收集约定是否一致,确保数据加工不以垄断经营和不正当竞争为目的,不发生误导、欺诈、胁迫或者干扰等限制个人或者组织正当选择与决策的行为,遵循社会公德伦理。数据处理者因自身需要向境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估。数据处理者不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。
四是细化风险监测、评估审计、事件处置等合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。
五是明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。
更多精彩资讯请在应用市场下载“央广网”客户端。欢迎提供新闻线索,24小时报料热线400-800-0088;消费者也可通过央广网“啄木鸟消费者投诉平台”线上投诉。版权声明:本文章版权归属央广网所有,未经授权不得转载。转载请联系:cnrbanquan@cnr.cn,不尊重原创的行为我们将追究责任。