7月24日，中國人民銀行發布關于《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》公開征求意見的通知。

《辦法》 分成總則、數據分類分級、數據安全保護總體要求、數據安全保護管理措施、數據安全保護技術措施、風險監測評估審計與事件處置措施、法律責任、附則八章，共五十七條。

同時，中國人民銀行還發布了《中國人民銀行業務領域數據安全管理辦法（征求意見稿）起草說明》，對《辦法》的適用范圍、與現有制度的銜接等問題做了說明。

01.擬對業務領域數據分類分級，壓實合規底線

《辦法》提出，中國人民銀行負責組織制定數據分類分級相關行業標準，指導數據處理者開展數據分類分級各項工作，統籌確定重要數據具體目錄并實施動態管理。

具體來看，《辦法》主要內容如下：

一是規范數據分類分級要求。強調數據處理者應當建立數據分類分級制度規程，梳理數據資源目錄標識分類信息，在國家數據安全工作協調機制統籌協調下，根據中國人民銀行制定的重要數據識別標準，統一對數據實施分級，嚴格落實網絡安全等級保護和風險評估等義務，并在此基礎上推動各數據處理者進一步做好數據敏感性、可用性層級劃分，以便在全流程數據安全管理中更好采取精細化、差異化的安全保護管理和技術措施。

數據按照精度、規模和對國家安全的影響程度，分為一般、重要、核心三級。在中國人民銀行組織下，數據處理者應當準確識別判定本單位信息系統存儲的全量數據是否屬于重要數據、核心數據，并填寫報送重要數據目錄內容，由中國人民銀行匯總后確定重要數據具體目錄。數據處理活動中，數據處理者還應當及時準確識別判定所涉及數據是否屬于重要數據、核心數據。

二是提出數據安全保護總體要求。強調數據處理者應當壓實數據安全責任，建立數據安全問責處罰制度和數據處理活動全流程安全管理制度，制定數據安全培訓計劃。

三是壓實數據處理活動全流程安全合規底線。針對收集、存儲、使用、加工、傳輸、提供、公開和刪除各環節，向數據處理者明確采取哪些安全保護管理和技術措施后，可視為總體滿足盡職盡責的合規底線要求。

四是細化風險監測、評估審計、事件處置等合規要求。強調數據處理者應當建立數據處理活動安全風險監測和告警機制，加強數據安全風險情報監測、核查、處置與行業共享，制定數據安全事件定級判定標準和應急預案，規范應急演練、事件處置、風險評估和審計等工作。

五是明確中國人民銀行及其分支機構可對數據處理者數據安全保護義務落實情況開展執法檢查，以及數據處理者違反規定時對應的法律責任。

02.明確相關業務活動，限定數據范圍僅為網絡數據

《辦法》所稱中國人民銀行業務領域數據，指根據法律、行政法規、國務院決定和中國人民銀行規章，開展中國人民銀行承擔監督管理職責的各類業務活動時，所產生和收集的不涉及國家秘密的網絡數據，簡稱“數據”。

《辦法》注重與非網絡數據管理制度的銜接。《中華人民共和國數據安全法》明確，在統計、檔案工作中開展數據處理活動，還應當遵守有關法律、行政法規的規定。國家網信部門組織起草《網絡數據安全管理條例》銜接上位法時，重點規范網絡數據處理活動的安全管理要求。《辦法》也預先與《網絡數據安全管理條例》做好銜接，在中國人民銀行業務領域數據定義中，限定數據范圍僅為網絡數據。

根據“誰管業務，誰管業務數據，誰管數據安全”基本原則，《辦法》明確適用范圍為中華人民共和國境內開展的，中國人民銀行承擔監督管理職責各類業務相關的數據處理活動。此類業務涉及的數據處理者，開展對應數據處理活動時，應當遵守《辦法》提出的管理要求。

當前，《辦法》約束的數據處理活動主要包括:貨幣政策業務、跨境人民幣業務、銀行間各類市場交易業務、金融業綜合統計業務、支付清算業務、貨幣管理和數字人民幣業務、經理國庫業務、征信業務、反洗錢業務等領域的數據處理活動。

03.注重與現有制度銜接，做好監管協同

《辦法》注重與現有制度標準的銜接。

注重與業務管理制度的銜接。《辦法》定位為其適用范圍內數據處理活動的一般性、兜底性安全合規底線，明確國家法律、行政法規和中國人民銀行另有規定的，從其規定，不改變和取代征信、反洗錢等業務領域現有管理制度對數據安全的差異化管理要求。

注重與個人信息保護管理制度的銜接。個人信息作為一類特殊數據，除需要做好分類分級和處理過程全流程安全管理外，還要遵守《中華人民共和國民法典》《中華人民共和國個人信息保護法》有關隱私權、知情權、決定權、查閱復制權、刪除權、解釋說明權等的特別規定。《辦法》明確國家法律、行政法規和中國人民銀行對個人信息相關的數據處理活動另有規定的，應當遵守其規定，既與現有國家法律做好銜接，也為后續出臺中國人民銀行業務領域相關的個人信息保護部門規章預留了空間。

注重與非網絡數據管理制度的銜接。《中華人民共和國數據安全法》明確，在統計、檔案工作中開展數據處理活動，還應當遵守有關法律、行政法規的規定。國家網信部門組織起草《網絡數據安全管理條例》銜接上位法時，重點規范網絡數據處理活動的安全管理要求。《辦法》也預先與《網絡數據安全管理條例》做好銜接，在中國人民銀行業務領域數據定義中，限定數據范圍僅為網絡數據。

注重與涉密數據管理制度的銜接。《中華人民共和國數據安全法》明確，開展涉及國家秘密的數據處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。《辦法》做好相應銜接，在中國人民銀行業務領域數據定義中，限定數據范圍僅為非涉密數據。

注重與現行數據相關標準的銜接。中國人民銀行已相繼出臺《金融數據安全數據安全分級指南》(JR/T0197—2020)、《金融數據安全數據生命周期安全規范》(JR/T0223-2021)等金融業數據安全標準，因數據安全管理要求不斷演進，相關標準在內容與術語定義方面，需要根據《辦法》作對應調整，后續中國人民銀行將加快組織上述標準的修訂工作，確保制度與標準適配統一。

在監督管理協同方面，《辦法》嚴格落實加強跨部門綜合監管的有關指導意見的要求，進一步強調中國人民銀行及其分支機構積極支持其他有關部門依據職責開展數據安全監督管理工作，必要時可以與其他有關主管部門簽署合作協議，進一步約定數據安全監督管理協作模式，并可以與其他有關主管部門聯合組織中國人民銀行業務領域數據安全現場檢查，既有助于強化條塊結合、區域聯動的協同監督管理機制，也可有效避免重復檢查問題，提高監督管理效能。