本报简介浅谈《中国人民银行业务领域数据安全管理办法(征求意见稿)》的亮点
加快数据安全管理法治化建设 促进数据要素市场高质量发展
——浅谈《中国人民银行业务领域数据安全管理办法(征求意见稿)》的亮点
近日,为贯彻落实《中华人民共和国数据安全法》(以下简称《数据安全法》)等法律法规,中国人民银行研究起草、发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。意见反馈截止时间为2023年8月24日。
数字经济时代,数据已经成为重要的新型生产要素,数据应用逐步加深,数据安全管理的重要性日益凸显。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》指出,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。为落实党中央、国务院有关工作部署和国家法律有关要求,中国人民银行在过去一年充分调研总结行业数据安全成熟经验做法基础上,组织研究起草《征求意见稿》,全面落实《数据安全法》,明确中国人民银行业务领域数据安全合规底线要求,填补该领域数据安全管理制度保障空白,指导数据处理者优质高效合规开展数据处理活动,履行数据安全保护义务,保障消费者和企业用户的合法权益,促进数据要素市场高质量发展。
《征求意见稿》共8章57条,包括总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任等,主要内容在于规范数据分类分级要求,提出数据安全保护总体要求,压实数据处理活动全流程安全合规底线,细化风险监测、评估审计、事件处置等合规要求以及监督数据处理者数据安全保护义务落实情况,明确数据处理者违反规定时对应的法律责任。
填补制度保障空白,最大化释放数据要素价值
随着银行业务中信息技术的深化应用,数据安全风险也随之凸显。数据要素具有非竞争性和部分排他性特点。它的非竞争性在于不同主体都可以通过拥有使用权获取更多收益;排他性不是基于所有权而排他,更多的情景下是通过设置使用限制而排他。不同于其他生产要素,数据资源处于个人用户内部之间、平台企业内部之间的“公地”内,存在众多所有者,这导致数据要素的发展极易诱发“准公地悲剧”“反公地悲剧”等问题。
一方面,数据的排他性不足可能导致市场失灵,即“准公地悲剧”。该理论表示当经济资源不具有排他性或排他性弱时,每个使用者出于“别人少捞一把,自己多捞一把”的心态,会过度使用资源直至枯竭。比如金融机构及金融从业人员对用户个人数据进行过度收集,造成用户重要信息泄露等问题。针对“准公地悲剧”问题,《征求意见稿》第十七条明确规定,除法律、行政法规明确无需说明的情形外,应当在隐私政策协议或者合同协议中以显著方式、清晰易懂的语言说明数据收集的目的、范围、方式、存储期限,以及数据来源不合法、数据不真实情形对应的违约责任。另一方面,如果数据使用费过高、数据的排他性太强会诱发“反公地悲剧”问题。“反公地悲剧”的理论核心是“公地”内产权所有者过多,且每个所有者的权利排他性不足。比如金融机构在经营中对数据进行垄断,会导致数据资源的闲置和使用不足。针对“反公地悲剧”问题,《征求意见稿》第二十条明确规定,确保数据加工不以垄断经营和不正当竞争为目的,不发生误导、欺诈、胁迫或者干扰等限制个人或者组织正当选择与决策的行为,遵循社会公德伦理。
在数字经济中,“准公地悲剧”或“反公地悲剧”问题均需要配套的法律法规规范数据处理者的交易和分享行为。而最大化释放数据要素价值需要完善的制度保障,即构建分配合理、运行高效的数据管理制度。《征求意见稿》的实施将有效地填补数据要素市场制度保障的空白,在数字经济发展中具有关键性和必要性。
规范数据分类分级要求,建立持续动态调整机制
目前,在全球数字化加速转型趋势影响下,数据资源在推动经济发展和保障国家安全稳定中扮演的角色越来越重要,如何界定数据权属及其分配规则已经成为数字经济时代亟待解决的关键问题。《征求意见稿》按精度、规模和对国家安全的影响程度将数据分为一般数据、重要数据、核心数据三大级别。按照数据的敏感性进行分类分级,结合行业标准、数据泄露或被非法获取及利用时可能对个人、组织合法权益或公共利益造成的危害程度,分为由低到高的一至五个层级。《征求意见稿》推动公共数据、企业数据、个人数据的分类分级施策。在维护国家数据安全、保护个人信息和商业秘密的前提下,个人数据关注释放价值,企业数据重在激励共享,公共数据严守安全底线,促进数据要素市场高质量发展。
在数据分类分级完成的基础上,《征求意见稿》还规定了数据分类分级的持续动态调整机制,即将数据分类分级监管视为一个持续、动态的过程,要求数据处理者定期更新、报送数据目录,视具体情况可对相应数据的敏感性层级进行提升或降低。如《征求意见稿》第八条规定,在中国人民银行组织下,数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据,并填写报送重要数据目录内容,由中国人民银行汇总后确定重要数据具体目录。第十一条规定,数据处理者应当根据数据和信息系统变化情况,每年组织更新数据资源目录,避免信息系统所涉及数据项未在数据资源目录中记录、数据项标识信息不完整等情形发生。设立持续动态调整机制,有助于提升数据分类分级立法的有效性,为数据管理制度高效运行建立坚实基础。
压实数据处理活动全流程安全合规底线,促进数据依法合规开发利用
《征求意见稿》针对数据处理的八个主要环节——收集、存储、使用、加工、传输、提供、公开、删除都提出了专门且细致的管理措施和技术措施,总体上满足尽职尽责的合规底线要求。参照《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等行业标准的体例和内容,《征求意见稿》将上述内容内化并上升为法规的一部分。这为数据处理者的安全保护管理措施和技术措施确立了尽职尽责的合规底线要求。
从立法技术看,《征求意见稿》既提出了原则上应当采取的措施,又明确特殊情形可通过内部审批等方式予以规范,这在一定程度上可以避免合规义务“一刀切”现象发生。比如《征求意见稿》第二十一条规定,使用第三层级以上数据项加工后产生的数据项,经评估确认无法识别至特定个人、组织,或者反映信息敏感程度明显低于原数据项时,数据处理者履行内部审批手续后,可酌情降低敏感性层级,促进数据依法合规开发利用。第十五条规定,鼓励数据处理者积极开展数据安全技术创新应用,在保障安全合规前提下,积极促进数据的高效流通和创新应用,鼓励优秀创新成果申报行业表彰奖励。在立法中通过内部审批的方式削弱数据流通屏障,并设立极具特色的开发奖励制度,这可以有效防止数据依法合规流通的障碍,大大增加数据依法合规开发利用的可行性。
《征求意见稿》全面衔接《数据安全法》,有效阐明了“谁管业务,谁管业务数据,谁管数据安全”这一基本原则,在全行业范围要求数据管理、数据安全管理和业务管理三位一体,将为银行业务领域数据安全提供重要的法律规范和制度保障。未来,《征求意见稿》将为金融、公安、网信等有关部门在各自职责范围内承担好数据安全监管职责,协同构建数据安全监管机制,提高数据安全监管效率,弥补数据安全监管漏洞等贡献重要力量,有效促进我国数据安全高质量发展。
本文为教育部人文社会科学重点研究基地重大项目“数字平台行业监管与市场监管的分工与协调研究”(项目编号:22JJD790005)的阶段性成果。
(作者单位:天津财经大学法学院)