2024年3月22日颁布的《促进和规范数据跨境流动规定》(以下简称“《跨境流动新规》”)对于《数据安全法》确认的自上而下的重要数据识别方式进行了突破。《跨境流动新规》第二条规定,“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。根据该条款,数据处理者首次被赋予了重要数据的识别和申报义务。同时,《跨境流动新规》提出自贸试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”)。对此,业内普遍认为负面清单中所包含的数据类别将囊括部分重要数据,而负面清单的公布则被视为划定重要数据范围的重要风向标,备受瞩目。
本文在结合金融领域重要数据识别相关指导文件的基础上,对负面清单制度下金融机构重要数据识别和保护工作进行分析,提示相关合规风险并给出应对建议,希望对金融机构数据保护工作有所助益。
01
《跨境流动新规》赋予了数据处理者主动识别重要数据的义务
《数据安全法》第二十一条规定,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护……各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。
根据《数据安全法》搭建的框架,重要数据实行“自上而下”的识别方式。简言之,企业应在相关地区和部门制定和公布重要数据目录后,识别和加强保护企业本身的重要数据。但是,该治理框架面临严峻的实践挑战,监管部门逐步发现,企业作为数据的直接处理者,对于数据类别及重要性有最为直接和准确地把握,而监管机构在缺乏业务一线实践经验的前提下难以直接制定重要数据目录。为应对该难题,各地区、各部门在过去的两年间开展了多轮企业数据摸底行动,代表性活动为2023年2月上海市通信管理局组织完成的电信和互联网行业首批重要数据和核心数据认定工作,并在工作中组织上海电信、上海移动、上海联通、东方有线、拼多多、携程、哔哩哔哩、得物、小红书、喜马拉雅等10家重点电信和互联网企业按照工业和信息化领域重要数据和核心数据有关识别指南,开展重要数据和核心数据识别认定及目录备案工作。
然而,于2024年3月22日颁布的《跨境流动新规》对于《数据安全法》确认的自上而下的重要数据识别方式进行了突破。《跨境流动新规》第二条规定,“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。根据该条款,数据处理者首次被赋予了识别和申报义务。因此,企业作为数据处理者应当开始密切关注重要数据识别的相关指导文件。
02
《跨境流动新规》推出的负面清单制度可作为重要数据目录的重要参考
《跨境流动新规》第六条规定,“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。
《跨境流动新规》首次引入经贸规则以调整中国现有数据跨境流动的严苛框架。根据《跨境流动新规》之说理逻辑,负面清单反映了监管在支持经贸发展背景下仍严密管控的数据类别,因而业内普遍认为负面清单中所包含的数据类别将囊括部分重要数据内容。在此背景下,负面清单的公布被视为划定重要数据范围的重要风向标,备受瞩目。
03
自贸区负面清单公布了针对金融领域数据负面清单
2024年5月9日,天津市商务局发布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称“《天津自贸区负面清单》”),该清单将清单内数据划分为46个数据类别,并对各类别数据框定了基本特征和描述,相关数据类别包含银行业金融机构。2024年5月18日,中国(上海)自由贸易试验区临港新片区数据跨境场景化一般数据清单新闻发布会在临港中心顺利举行。会上,临港新片区管委会发布了全国首批数据跨境场景化一般数据清单(以下简称“《上海临港自贸区一般清单》”)及清单配套操作指南。首批一般数据清单包含智能网联汽车、公募基金、生物医药3个领域,划分成64个数据类别,但首批公布的数据清单中尚未包含银行业金融机构数据类型。
针对金融类别数据,《天津自贸区负面清单》列举了下述三类相关数据类型,可供金融机构作为重要数据识别的参考之一:
|
类别 |
数据子类 |
数据基本特征与描述 |
|
四、金融类 |
20.银行 |
一旦遭到泄露,可能会威胁国家安全或者银行机构自身安全,或者100万以上客户安全的数据。如银行安保数据,重要企事业单位账户信息、贷款数据、交易数据等。 |
|
21.保险 |
一旦遭到泄露,可能会威胁100万以上客户安全,或者威胁国家安全或者重要单位、设施运行安全的数据。如涉及国家安全的重要设施、装备、人员的保险和理赔数据,保险机构处理的承担国家重大工程或者国民经济社会发展 重要领域建设项目的企事业单位投保或者理赔数据等。 |
|
|
22.融资租赁 |
一旦遭到泄露或者被他国利用,可能会威胁100万以上客户安全,或者影响相关企业运营的数据。如涉及党政机关、国防军工企业的融资租赁数据等。 |
值得一提的是,除《天津自贸区负面清单》外,天津自贸区曾于2024年2月5日公布了《中国(天津)自由贸易试验区企业数据分类分级标准规范》,其中也涉及了对重要数据的明确认定,可供金融机构作为重要数据识别的参考之二:
-
仅影响组织自身或公民个体的数据,一般不作为重要数据[1]。
-
天津自贸试验区企业掌握的1000万人以上个人信息;100万人以上个人敏感信息;10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息[2]。
-
银行、保险、证券期货及融资租赁领域的机构安保信息,以及其处理的重要企事业单位业务数据,包括国防军工企业、关系国家安全企业的相关信息[3]。
04
国家层面正式推出《重要数据识别指南》
2024年3月23日,全国网络安全标准化技术委员会(原“信安标委”)发布《数据安全技术 数据分类分级规则》,并在附录G中发布规范性文件《重要数据识别指南》。根据该《重要数据识别指南》,如果数据能够“反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密”的,则将被识别为重要数据。与2022年公布的《重要数据识别规则》相比,该指南文件在重要数据识别上仍缺乏明确的指导意义。
05
金融行业已存在可供识别重要数据的规范性文件
5.1
《金融数据安全 数据安全分级指南》
目前,金融领域识别重要数据的参照文件为2020年4月公布的《金融数据安全 数据安全分级指南》,该指南对于金融领域重要数据识别的指导意义,已由2021年《网络安全标准实践指南—数据分类分级指引》,以及2024年3月23日最新公布的《数据分类分级规则》援引确认。该指南可作为金融机构识别重要数据的核心参考文件。根据该指南,金融行业重要数据识别的通用规则为:
-
重要数据以及一旦安全性遭受破坏将直接影响到国家安全、社会秩序、公众利益与金融市场稳定的金融数据,其安全等级应不低于本标准所述5级;
-
按照我国法律法规及行业主管部门有关规定,金融业机构应高度重视个人金融信息相关数据,有关数据应参照JR/T 0171—2020进行定级,并在数据安全定级过程中从高考虑;
-
一般而言,对于数据体量大,涉及的客户(包含个人客户和单位客户)多、涉及客户(包含个人客户和单位客户)资金量大、涉及多行业及多机构客户的情况,影响程度宜考虑从高确定;
-
汇聚融合后的数据,其安全级别应根据原始数据安全级别按照就高原则确定,关于汇聚融合含义及数据安全级别升降措施,详见附录A综上所述,数据安全级别划定规则如表2所示。根据本标准所述定级规则,本标准附录B[4]给出了金融行业典型数据类型及其建议划分的最低安全级别,供各金融业机构在数据资产梳理及定级过程中参考。
根据《金融数据安全 数据安全分级指南》,金融机构判断重要数据的简要方式为:
(1)对照附录B,对现有数据进行分类分级;
(2)对照表A.1,调整数据分类分级结果(升级或降级);
(3)对照表2,确定是否存在5级以上数据,若有则构成重要数据。
附录B数据定级规则参考表(4级数据)
(点击放大查看)
附录A
数据安全级别变化事宜导致数据发生升降级的主要技术手段有数据脱敏、删除关键字段、汇聚融合等。数据脱敏方式详见JR/T 0171—2020《个人金融信息保护技术规范》附录A 信息屏蔽。汇聚融合是指大量数据集中进行一定的清洗、重组、关联分析后形成的新的数据。因数据脱敏或汇聚融合导致数据安全级别发生变化的示例详见表A.1。
表A.1数据安全级别升降示例
|
措施 |
安全级别调整 |
|
汇聚融合 |
3级升至4级 |
|
生产数据脱敏后用于金融业机构内部业务经营或管理工作 |
3级降至2级 |
|
汇聚融合,特定机构特定时间或事件后信息具有高安全等级 |
2级升至4级 |
|
脱敏,从数据中去除能够直接定位到个人金融信息主体的内容、删除涉及商业秘密的内容等,特定时间或事件后信息失去原有敏感性 |
4级降至2级 |
表2数据安全定级规则参考表
|
最低安全级别参考 |
数据定级要素 |
数据一般特征 |
|
|
影响对象 |
影响程度 |
||
|
5 |
国家安全 |
非常严重/严重/中等/轻微 |
重要数据,通常主要用于金融行业大型或特大型机构、金融交易过程中重要核心节点类机构中的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
数据安全性遭到破坏后,影响国家安全,或对公众权益造成非常严重的影响。 |
|
5 |
公众权益 |
非常严重 |
|
|
4 |
公众权益 |
严重 |
数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
个人金融信息中的C2类信息;
数据的安全性遭到破坏后,对公众权益造成中等或轻微影响,或对相关个人隐私及企业合法权益造成严重的影响,但不影响国家安全。 |
|
4 |
个人隐私 |
非常严重 |
|
|
4 |
企业合法权益 |
非常严重 |
|
|
3 |
公众权益 |
中等 |
数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
个人金融信息中的C2类信息;
数据的安全性遭到破坏后,对公众权益造成中等或轻微影响,或对相关个人隐私及企业合法权益造成严重的影响,但不影响国家安全。 |
|
3 |
公众权益 |
轻微 |
|
|
3 |
个人隐私 |
严重 |
|
|
3 |
企业合法权益 |
严重 |
|
|
2 |
个人隐私 |
中等 |
数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据;
个人金融信息中的C1类信息;
数据的安全性遭到破坏后,对相关个人隐私造成中等或轻微影响,或对企业合法权益造成中等影响,但不影响国家安全。 |
|
2 |
个人隐私 |
轻微 |
|
|
2 |
企业合法权益 |
中等 |
|
|
1 |
企业合法权益 |
轻微 |
数据一般可被公开或可被公众获知、使用;
个人消费者在一定情况下主动公开的信息;
数据的安全性遭到破坏后,可能对企业合法权益造成一定影响但不影响国家安全、公众权益及个人隐私。 |
5.2
《中国人民银行业务领域数据安全管理办法(征求意见稿)》
2023年7月24日发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《人行数安办法》”),该办法对于支付清算、征信、反洗钱、银行间各类市场交易等人民银行主管业务范围网络数据处理者的安全组织架构、数据分类分级、全生命周期保护措施提出详尽要求,并对于重要数据的管控提出了相关规定。在正式稿出台前,该办法应作为金融机构识别重要数据的重点参考文件。主要内容包括:
(1)确认由金融机构承担重要数据识别和申报义务
《人行数安办法》第八条规定,“数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。在中国人民银行组织下,数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据,并填写报送重要数据目录内容,由中国人民银行汇总后确定重要数据具体目录。数据处理活动中,数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据”。
(2)对金融机构保护重要数据提出了数据安全保护总体要求
-
数据安全负责人和内设部门组织保障:重要数据的处理者还应当书面明确数据安全负责人和数据安全牵头管理内设部门。
-
重要数据主体变动报告义务:重要数据的处理者发生合并、分立、解散或者申请重整、和解以及破产清算等情况时,法律、行政法规有明确要求的,应当事前向中国人民银行报告重要数据处置方案和数据接收方基本情况。
-
重要数据对外提供须进行风险评估和日志保存义务:重要数据向其他数据处理者提供涉及个人信息的数据或者重要数据的行为,相关日志应当保存至少三年。
-
重要数据网络安全等级保护义务:存储重要数据或者一百万人以上个人信息的信息系统应当落实三级以上网络安全等级保护要求,存储核心数据的信息系统应当落实四级网络安全等级保护要求或者关键信息基础设施保护要求。
-
数据安全风险年度评估和报送工作:重要数据的数据处理者应当自行或者委托检测机构,每年组织开展一次全面的数据安全风险评估工作,于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告,并按照行政法规要求向对应的网信部门报送。除法律、行政法规已明确的内容外,风险评估报告还应当重点评估下列风险,并提出改进应对措施:
(a)数据分类分级实施制度、违规数据处理活动定责规程和问责处罚措施、数据处理活动全流程数据安全管理制度和相关操作规程的建设情况;
(b)数据安全决策、管理、执行、监督各层面职责划分和对应岗位设置是否明确、合理,实际职责落实情况;
(c)人员培训和日常管理情况;
(d)重要数据识别判定情况,处理重要数据的目的、范围、规模、方式、类型、存储期限和存储地点等情况;
(e)重要数据相关的数据处理活动记录信息的真实性与完整性;
(f)重要数据相关的数据处理活动全流程管理和技术措施执行情况及其有效性;
(g)存储重要数据信息系统的网络安全等级保护测评和问题整改落实情况;
(h)重要数据相关的数据处理活动风险监测预警和溯源排查情况;
(i)数据安全事件定级判定标准建设情况,应急预案、应急处置流程设计与演练实施情况,以及本年度发生的数据安全事件及处置情况;
(j)向其他数据处理者提供重要数据的风险评估报告。
06
其他行业已经存在较为成熟的重要数据管控要求
除《人行数安办法》和《金融数据安全 数据安全分级指南》外,《电信领域重要数据和核心数据识别指南(试行)》办法也对电信领域重要数据处理和安全管控提出了系列要求,我们试图整理如下:
6.1
电信数据的通用安全措施
|
类别 |
一般措施 |
增强措施 |
|
组织保障 |
明确数据安全管理职责部门,配备数据安全管理人员。制定数据安全制度规范和操作规程,配备数据安全技术能力;
建立数据安全保护情况监督检查和考核管理制度,开展数据安全监督检查和考核管理。 |
建立数据安全工作体系,明确数据安全管理机构,设置数据安全管理专职岗位,建立数据安全管理机构与相关部门的协作机制;
明确组织内数据安全管理第一责任人员等关键角色;梳理涉及重要数据和核心数据处理的工作岗位,明确岗位职责,签署数据安全责任书或保密协议。 |
|
数据分类分级 |
定期梳理数据资产,形成并及时更新数据资产清单,按照有关规定开展数据分类分级工作;
根据业务需求、数据来源和用途等因素,划分组织机构数据类别,并根据数据资产变动和分类分级要求变动情况,及时更新数据资产清单。 |
形成更新重要数据和核心数据目录,按照有关规定开展目录备案工作。 |
|
权限管理 |
对开展数据处理活动的平台系统账号,明确审批流程和操作要求;
遵循安全策略和最小授权原则,合理界定数据处理权限,设置相关岗位角色并确保职责分离,形成并定期更新数据处理权限记录表;
对开展数据处理活动的平台系统,使用技术手段进行权限管理和账号管理(如4A:账号管理、授权管理、认证管理、审计管理),同时控制超级管理员权限账户数量;
涉及数据重大操作的,采取多人审批授权或操作监督方式。 |
明确重要数据和核心数据处理权限审批、登记方式和流程,控制权限范围,留存登记、审批记录;
对开展重要数据和核心数据处理活动的平台系统,具备基于IP地址、账号与口令等的用户身份认证和多因子认证的能力,并配备权限管理保障功能。 |
|
日志留存 |
对数据全生命周期处理过程进行日志记录,日志记录内容完整准确,内容包括操作时间、操作账号、处理方式、授权情况、操作对象和数据量级等。日志留存时间不少于6个月,定期对日志进行备份。日志记录可被查询检索。 |
|
|
安全审计 |
明确数据安全审计统筹部门,配备安全审计员,对权限分配审批、数据处理日志等开展安全审计工作;
确定必要的数据安全审计策略,明确审计对象、审计内容和实施周期,开展数据重大操作越权访问数据和远程访问数据等重点场景安全审计和数据分析;
针对审计发现的问题及时处置、整改、跟踪复核,按照有关规定定期形成数据安全审计情况总结。 |
开展数据安全审计技术能力建设(如4A),细化常见风险和易发事件安全审计策略;
按照有关规定定期形成重要数据、核心数据安全审计情况总结。 |
|
风险监测预警 |
电信数据处理者在风险监测预警方面宜采取以下安全措施:开展数据安全风险监测,对数据资产数据处理环境、网络与系统设备、数据处理账号和内外部数据流动等实施监测巡查,对异常流动等行为进行排查和预警,及时采取补救措施。对可能造成较大及以上安全事件的风险,按照有关规定进行上报。 |
|
|
应急响应 |
制定数据安全事件应急预案,根据事件等级明确应急响应责任分工、工作流程和处置措施等;
制定数据安全事件应急演练计划,针对数据泄露、丢失、窃取、损坏、滥用、篡改、非法访问和违规传输等典型数据安全事件定期开展演练,形成演练总结报告;
发生数据安全事件后,按照应急预案及时开展应急处置,事件处置完成后,按照有关规定进行整改,形成总结报告并及时上报。 |
涉及重要数据和核心数据的安全事件,按照有关规定进行上报,同时开展事态跟踪分析,并及时采取相关措施降低事件影响。 |
|
安全评估 |
定期对本单位整体数据安全保护水平、重点业务与平台系统数据安全保障情况进行梳理和自查;
对自查总结过程进行记录,形成总结报告,对发现的问题进行原因分析、明确改进措施和计划。 |
开展重要数据和核心数据风险评估,对于评估中发现的安全风险隐患,结合重要数据处理场景,及时采取有效应对措施消除风险隐患;
按照有关规定向相关部门报送风险评估报告。 |
|
教育培训 |
制定数据安全岗位人员教育和培训计划,对数据安全相关岗位人员定期开展教育培训;
明确数据安全岗位年度培训时长,并对参加培训的人员进行考核评定。 |
重要数据和核心数据处理岗位定期开展教育和培训,明确培训内容、培训时长、考核评定等相关要求。 |
6.2
实施数据处理活动中的安全措施
|
数据处理流程 |
一般措施 |
增强措施 |
|
数据收集 |
遵循合法、正当原则开展数据收集活动,规范数据收集渠道、流程和方式; |
通过间接途径获取重要数据和核心数据的,与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任;
开展重要数据和核心数据收集人员设备安全管理,采取安全防护手段防止针对数据收集设备的网络攻击。 |
|
数据存储 |
按照有关规定和用户约定进行数据存储,规范数据存储方式、流程,针对数据存储环境、存储平台系统实施安全管理;
建立数据备份和恢复验证机制,保障存储数据的可用性和完整性。 |
采用校验技术、密码技术等措施保障数据安全存储;
实施容灾备份和存储介质安全管理,定期开展数据恢复测试和灾难恢复演练,对备份数据的有效性和可用性进行检查和恢复验证。 |
|
数据使用加工 |
明确数据使用加工的审批流程及处理规则;
利用数据进行自动化决策的,开展数据处理算法管理,保证自动化决策的透明度和结果的公平合理性。 |
使用访问控制、数据脱敏等技术措施保障重要数据使用加工过程的安全性。 |
|
数据传输 |
根据业务流程、网络部署和安全风险等情况,划分网络系统安全域。根据传输的数据类型、级别和应用场景等,明确数据安全策略并采取保护措施;
制定数据传输接口安全管理工作规范,明确接口安全管理与保护措施。梳理接口情况,形成接口清单并定期更新,对监控发现存在安全问题或已下线的接口采取相应处理措施。 |
对跨网、跨安全域传输重要数据的活动,提前进行安全审批,并采取校验技术、密码技术、安全传输通道(如VPN)或者安全传输协议(如SSL)等措施,保障重要数据传输的安全性;
配备接口认证鉴权能力,支持通过MAC地址、IP地址或端口号绑定等方式限制非授权或违规设备接入,具备接口安全监测能力,支持发现非授权或违规设备的接入,并进行告警和处置;
具备接口流量限速、阻断等能力,支持对接口异常调用行为、重要数据异常传输事件等采取处置措施。 |
|
数据提供 |
明确数据提供的范围、类别、条件、程序等,定期梳理形成数据提供清单,确保清单内容完整准确;
在服务合同或协议中明确数据安全保护条款,明确数据接收方可接触的数据范围、使用权限、目的及安全保护责任;
数据提供涉及数据出境时,按照国家相关规定和相关标准的要求执行。 |
核验数据接收方数据安全保护能力,评估安全风险,并采取数据脱敏、数据加密等安全保障措施。 |
|
数据公开 |
明确数据公开的范围、类别、条件、程序等,在数据公开前分析研判可能对国家安全、公共利益产生的影响程度,存在重大影响的不得公开; |
建立重要数据公开审批机制,对于法律法规要求公开的数据,使用数据脱敏技术实施保护。 |
|
数据销毁 |
建立数据销毁制度,明确销毁场景、规则、流程和技术等要求,制定存储介质销毁处理规范,配备必要的数据销毁工具;
数据批量销毁采用多人操作模式,单人不得拥有完整操作权限。 |
建立重要数据和核心数据销毁活动审批机制,设置销毁监督角色;
销毁重要数据和核心数据后,不以任何理由、任何方式进行恢复,并按照有关规定更新备案。 |
07
金融机构可供实施的下一步重要数据识别计划
根据上述规定,在国家监管层面,《跨境流动新规》已经确认数据处理者对重要数据的识别义务,《数据安全技术 数据分类分级规则》则公布了《重要数据识别指南》供企业理解重要数据的识别边界;在主管部门层面,《人行数安办法》再次确认金融机构为重要数据识别义务的承担者,《金融数据安全 数据安全分级指南》则提供了对重要数据进行识别切实可行的操作方式;在其他领域,《电信领域重要数据和核心数据识别指南(试行)》对电信领域重要数据处理者处理重要数据的一般性义务和全生命周期义务进行了详尽规定。
可见,金融领域重要数据识别工作已经成为企业应当立即着手梳理的合规义务基线。我们建议金融机构:
-
尽快着手开展数据分类分级项目,并按照《重要数据识别指南》和《金融数据安全 数据安全分级指南》的指导识别重要数据;
-
同步建设和规划相关组织和技术保障措施,确保符合《人行数安办法》中的基本要求;
-
参考《电信领域重要数据和核心数据识别指南(试行)》,完善相关技术和保障措施。
注释
