萬(wàn)字長(zhǎng)文 | 六大高校教授建言“央行數(shù)據(jù)安全管理辦法”:要保障安全,也要促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用
來(lái)源 | 零壹智庫(kù)
【編者按】
近期,為落實(shí)《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》要求,加強(qiáng)金融數(shù)據(jù)安全管理規(guī)范,中國(guó)人民銀行起草了《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)《辦法》),并面向社會(huì)公開(kāi)征求意見(jiàn)。作為央行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全規(guī)范問(wèn)題的首個(gè)重磅法規(guī),《辦法》自2023年7月24日向全社會(huì)征求意見(jiàn)以來(lái),不僅引發(fā)全社會(huì)廣泛關(guān)注,更引起業(yè)內(nèi)專(zhuān)家學(xué)者的重視和熱議。
2023年9月4日,清華大學(xué)公共管理學(xué)院政府法制研究中心與對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心聯(lián)合舉辦了“金融數(shù)據(jù)安全:實(shí)踐與監(jiān)管研討會(huì)”,對(duì)央行新近頒布的《辦法》進(jìn)行討論。
近日,零壹智庫(kù)對(duì)清華大學(xué)、北京大學(xué)、對(duì)外經(jīng)貿(mào)大學(xué)、中央財(cái)經(jīng)大學(xué)、中國(guó)政法大學(xué)、北京航空航天大學(xué)六位教授進(jìn)行了專(zhuān)題采訪,探討當(dāng)前我國(guó)央行領(lǐng)域金融數(shù)據(jù)安全問(wèn)題,并對(duì)《辦法》提出修改意見(jiàn)和建議,以期更好推進(jìn)金融數(shù)字立法完善,更好推動(dòng)我國(guó)金融數(shù)據(jù)安全管理規(guī)范發(fā)展。
【訪談嘉賓簡(jiǎn)介】
許 可 對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任
沈偉偉 中國(guó)政法大學(xué)大數(shù)據(jù)和人工智能法律研究中心主任
劉 權(quán) 中央財(cái)經(jīng)大學(xué)數(shù)字經(jīng)濟(jì)與法治研究中心執(zhí)行主任
陳天昊 清華大學(xué)公共管理學(xué)院政府法制研究中心副主任
趙精武 北京航空航天大學(xué)北京科技創(chuàng)新中心研究基地副主任
顧 雷 北京大學(xué)普惠金融與法律監(jiān)管研究基地副主任
【主持人簡(jiǎn)介】
柏 亮 零壹智庫(kù)CEO
01
數(shù)據(jù)市場(chǎng)快速發(fā)展,《辦法》填補(bǔ)制度空白
柏亮:《辦法》不久前已經(jīng)公開(kāi)向全社會(huì)征求意見(jiàn)了,越來(lái)越多業(yè)內(nèi)人士對(duì)《辦法》開(kāi)展了討論。其實(shí),兩年前,我國(guó)已經(jīng)頒布了《數(shù)據(jù)安全法》,為什么今天還要專(zhuān)門(mén)起草這樣一部法規(guī)來(lái)規(guī)范央行業(yè)務(wù)領(lǐng)域的金融數(shù)據(jù)安全管理?《辦法》是在何種背景下制定的?其對(duì)金融市場(chǎng)數(shù)據(jù)安全和發(fā)展又有哪些作用?
許可:經(jīng)過(guò)多年發(fā)展,我國(guó)數(shù)據(jù)要素大市場(chǎng)正在加快布局。在上海,張江科學(xué)城正在打造數(shù)據(jù)要素產(chǎn)業(yè)集群。在陜西,20多個(gè)省級(jí)部門(mén)正在啟動(dòng)應(yīng)用政府?dāng)?shù)據(jù)共享平臺(tái),積極探索數(shù)據(jù)流通新模式、創(chuàng)新場(chǎng)景應(yīng)用模式。在福建,大數(shù)據(jù)交易所也正在帶動(dòng)總產(chǎn)值超過(guò)42億元的數(shù)據(jù)產(chǎn)業(yè)集群。在廣東,探索建立“首席數(shù)據(jù)官”機(jī)制,加快培育數(shù)據(jù)管理人才。在深圳,深圳數(shù)據(jù)交易所推出了1500多個(gè)數(shù)據(jù)產(chǎn)品,交易活躍,深受全國(guó)用戶歡迎。據(jù)我們初步統(tǒng)計(jì),全國(guó)已成立48家數(shù)據(jù)交易機(jī)構(gòu),數(shù)據(jù)資產(chǎn)評(píng)估、登記結(jié)算市場(chǎng)運(yùn)營(yíng)主體也在加快建設(shè),全國(guó)數(shù)據(jù)要素產(chǎn)業(yè)體系初步形成。截止2022年12月,我國(guó)大數(shù)據(jù)產(chǎn)業(yè)規(guī)模達(dá)1.57萬(wàn)億元,同比增長(zhǎng)18%;數(shù)據(jù)產(chǎn)量達(dá)8.1ZB,同比增長(zhǎng)22.7%,占全球數(shù)據(jù)總產(chǎn)量10.6%。顯然,數(shù)據(jù)資源體系建設(shè)在全國(guó)范圍內(nèi)蓬勃發(fā)展,數(shù)據(jù)資源供給能力持續(xù)提升,數(shù)據(jù)要素也成為勞動(dòng)力、土地、資本、技術(shù)之外最先進(jìn)、最活躍的生產(chǎn)要素。但是,海量的數(shù)據(jù)也構(gòu)成了金融行業(yè)重大安全隱患,諸如數(shù)據(jù)不規(guī)范收集、數(shù)據(jù)泄漏、數(shù)據(jù)造假以及數(shù)據(jù)違規(guī)出境不斷出現(xiàn),這些尚未徹底排除的“危險(xiǎn)數(shù)據(jù)”已經(jīng)構(gòu)成了我國(guó)數(shù)據(jù)安全主要問(wèn)題。為了進(jìn)一步落實(shí)《數(shù)據(jù)安全法》要求,央行審時(shí)度勢(shì),以數(shù)據(jù)產(chǎn)權(quán)、流通交易、安全治理為抓手,聚焦系統(tǒng)內(nèi)開(kāi)展各類(lèi)業(yè)務(wù)活動(dòng)時(shí)所產(chǎn)生和收集的數(shù)據(jù),組織起草了《辦法》,明確中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全合規(guī)底線,力圖解決數(shù)據(jù)面臨的泄露威脅,監(jiān)測(cè)敏感數(shù)據(jù)流動(dòng),加設(shè)數(shù)據(jù)泄露防護(hù)系統(tǒng),填補(bǔ)央行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理制度保障空白。
02
六大亮點(diǎn),并更具針對(duì)性
柏亮:確實(shí)如此。目前中國(guó)人民銀行起草的《辦法》正在向社會(huì)廣泛征求意見(jiàn),進(jìn)一步完善金融數(shù)據(jù)立法,促進(jìn)了數(shù)據(jù)合規(guī)高效流通,推進(jìn)了國(guó)家數(shù)據(jù)治理體系和治理能力建設(shè)。具體講,《辦法》都有哪些亮點(diǎn)?
顧雷:
一是開(kāi)啟了分級(jí)分類(lèi)數(shù)據(jù)模式。《辦法》要求數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)分類(lèi)分級(jí)制度,梳理數(shù)據(jù)資源目錄、標(biāo)識(shí)分類(lèi)信息,進(jìn)一步做好數(shù)據(jù)敏感性、可用性層級(jí)劃分,實(shí)現(xiàn)數(shù)據(jù)分類(lèi)分級(jí)梳理及密級(jí)標(biāo)識(shí),以便在全流程數(shù)據(jù)管理中更優(yōu)采取精細(xì)化、差異化的安全保護(hù)措施,比如《辦法》針對(duì)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)和刪除各環(huán)節(jié),明確了向數(shù)據(jù)處理者采取哪些分級(jí)保護(hù)措施,細(xì)化了風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估審計(jì)、事件處置等合規(guī)要求,強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)建立分級(jí)數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)和告警機(jī)制,解決有意、無(wú)意引發(fā)的數(shù)據(jù)泄露風(fēng)險(xiǎn)以及敏感數(shù)據(jù)泄露,為API使用提供安全保障,有效應(yīng)對(duì)數(shù)據(jù)處理活動(dòng)中各類(lèi)安全隱患。
二是提出了數(shù)據(jù)安全保護(hù)總體要求。首次明確在全行業(yè)范圍要求數(shù)據(jù)管理、數(shù)據(jù)安全管理和業(yè)務(wù)管理做到三位一體,設(shè)定了數(shù)據(jù)安全保護(hù)和數(shù)據(jù)處理全流程合規(guī)底線。比如《辦法》建立數(shù)據(jù)安全問(wèn)責(zé)處罰制度和數(shù)據(jù)處理活動(dòng)全流程安全管理制度,規(guī)定對(duì)于數(shù)據(jù)被篡改、破壞、泄露、不當(dāng)牟利等行為要面臨法律處罰,壓實(shí)數(shù)據(jù)處理者數(shù)據(jù)安全責(zé)任!掇k法》還規(guī)定第三層級(jí)以上數(shù)據(jù)項(xiàng)需脫敏才能公開(kāi),確保不損害國(guó)家安全、公共利益、組織及個(gè)人隱私權(quán),否則也將被法律追責(zé)。
三是界定了各個(gè)階段的數(shù)據(jù)責(zé)任。《辦法》規(guī)定的數(shù)據(jù)安全法律責(zé)任不止于數(shù)據(jù)收集存儲(chǔ)環(huán)節(jié),包括數(shù)據(jù)收集、存儲(chǔ)、使用、提供、加工、傳輸?shù)?/strong>數(shù)據(jù)處理全流程安全保護(hù)義務(wù)和法律責(zé)任,所有主體不僅要對(duì)自己業(yè)務(wù)數(shù)據(jù)的真實(shí)性負(fù)責(zé),還要對(duì)數(shù)據(jù)的安全性負(fù)責(zé),確保所有數(shù)據(jù)處于完整、真實(shí)以及持續(xù)安全狀態(tài)。
四是落實(shí)了隱私數(shù)據(jù)安全性條款。今天,現(xiàn)在很多人生活和機(jī)構(gòu)運(yùn)轉(zhuǎn)軌跡都在網(wǎng)絡(luò)上留下數(shù)字痕跡,每一個(gè)人實(shí)際上都被數(shù)據(jù)全方位、全時(shí)段覆蓋。由此看,互聯(lián)網(wǎng)時(shí)代每一個(gè)人基本上都是透明人,個(gè)人隱私權(quán)有可能受到一定程度潛在威脅。為此,《辦法》第25條規(guī)定數(shù)據(jù)處理者采用隱私計(jì)算等技術(shù)促進(jìn)數(shù)據(jù)融合創(chuàng)新應(yīng)用時(shí),應(yīng)當(dāng)確認(rèn)原始數(shù)據(jù)未離開(kāi)自身控制范圍!掇k法》第37條又要求機(jī)構(gòu)在采用隱私計(jì)算技術(shù)提供數(shù)據(jù)時(shí),應(yīng)當(dāng)進(jìn)行統(tǒng)一的技術(shù)風(fēng)險(xiǎn)評(píng)估,明確安全可驗(yàn)證性、性能可接受性等風(fēng)險(xiǎn)緩釋措施。
五是對(duì)脫敏條款進(jìn)行了規(guī)范。數(shù)據(jù)流通、應(yīng)用過(guò)程中,存在著大量非公開(kāi)敏感信息(數(shù)據(jù)),涉及國(guó)家、企業(yè)、行業(yè)以及個(gè)人秘密。在這種情況下,數(shù)據(jù)脫敏就是一個(gè)不錯(cuò)的選擇。為此,《辦法》鼓勵(lì)數(shù)據(jù)處理者在安全合規(guī)前提下,對(duì)敏感數(shù)據(jù)進(jìn)行加工,降低敏感性層級(jí),用匿名、隱名方式將數(shù)據(jù)和個(gè)人、企業(yè)的對(duì)應(yīng)關(guān)系解除,達(dá)到無(wú)法識(shí)別特定個(gè)人、組織的目的,讓更多非公開(kāi)敏感信息(數(shù)據(jù))可以進(jìn)入數(shù)據(jù)流通市場(chǎng),被金融機(jī)構(gòu)、金融科技公司用于經(jīng)營(yíng)活動(dòng),更好促進(jìn)數(shù)據(jù)利用和市場(chǎng)開(kāi)發(fā)。
六是規(guī)定了跨境數(shù)據(jù)的限制性條款。《辦法》第26條規(guī)定數(shù)據(jù)處理者在中國(guó)境內(nèi)收集和產(chǎn)生的數(shù)據(jù),法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的,應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。如果向境外提供數(shù)據(jù),并涉及國(guó)家網(wǎng)信部門(mén)規(guī)定情形時(shí),數(shù)據(jù)處理者必須事前開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估,不得有意拆分、縮減出境數(shù)據(jù)規(guī)模以規(guī)避申報(bào)數(shù)據(jù)出境安全評(píng)估。顯然,《辦法》加強(qiáng)了對(duì)跨境數(shù)據(jù)管理的監(jiān)管力度,強(qiáng)調(diào)非經(jīng)中國(guó)人民銀行批準(zhǔn),數(shù)據(jù)處理者不得向其提供境內(nèi)存儲(chǔ)的數(shù)據(jù)的要求,防止數(shù)據(jù)出境可能造成的國(guó)內(nèi)數(shù)據(jù)泄露風(fēng)險(xiǎn),對(duì)我國(guó)金融數(shù)據(jù)穩(wěn)健運(yùn)行提供了制度性保障。
柏亮:記得前幾年我國(guó)就頒布了《網(wǎng)絡(luò)安全法》(2017年)、《數(shù)據(jù)安全法》(2021年)以及《個(gè)人信息保護(hù)法》(2021年),2022年10月國(guó)家還出臺(tái)“數(shù)據(jù)二十條”,許可教授能不能從立法角度談?wù)勁c過(guò)去公布的這些數(shù)據(jù)法律法規(guī)相比,《辦法》在哪些方面體現(xiàn)了繼承性和突破性?如何在立法上注重與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》統(tǒng)一適配?
許可:首先,《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》以及“數(shù)據(jù)二十條”都是數(shù)據(jù)保護(hù)性規(guī)范,更多的是對(duì)金融市場(chǎng)、金融行業(yè)和個(gè)人數(shù)據(jù)的治理,但不是對(duì)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的規(guī)范,這就使得金融機(jī)構(gòu)、金融科技企業(yè)和個(gè)人在使用央行業(yè)務(wù)領(lǐng)域數(shù)據(jù)時(shí)存在法律模糊地帶。與上述幾個(gè)法律法規(guī)相比,《辦法》的出臺(tái),形成了與現(xiàn)行數(shù)據(jù)的良性互動(dòng)和有效銜接,彌補(bǔ)了在央行業(yè)務(wù)領(lǐng)域數(shù)據(jù)使用時(shí)法律規(guī)范不足,減少了法條沖突和矛盾。比如,在金融數(shù)據(jù)跨境流動(dòng)方面,《辦法》在《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》基礎(chǔ)上提出更細(xì)化的要求,《辦法》第26條第1款要求“重要數(shù)據(jù)應(yīng)當(dāng)境內(nèi)存儲(chǔ)”,第2款要求“數(shù)據(jù)處理者在開(kāi)展數(shù)據(jù)出境前進(jìn)行風(fēng)險(xiǎn)自評(píng)估和申報(bào)數(shù)據(jù)出境安全評(píng)估”。
顯然,《辦法》明確了央行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全合規(guī)底線要求,指導(dǎo)數(shù)據(jù)處理者高效開(kāi)展央行業(yè)務(wù)領(lǐng)域數(shù)據(jù)處理活動(dòng),落實(shí)了數(shù)據(jù)安全法規(guī)的可操作性,展示出原有數(shù)據(jù)法律規(guī)范的繼承性和發(fā)展性,促進(jìn)數(shù)據(jù)要素市場(chǎng)高質(zhì)量發(fā)展。其次,《辦法》相比國(guó)家網(wǎng)信辦聯(lián)合國(guó)家發(fā)展改革委、教育部、科技部、工業(yè)和信息化部公布的《生成式人工智能服務(wù)管理暫行辦法》,更加具有針對(duì)性!渡墒饺斯ぶ悄芊⻊(wù)管理暫行辦法》只是規(guī)定向國(guó)內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容,而《辦法》聚焦金融行業(yè)生成文本、圖片、音頻、視頻、自動(dòng)化決策、算法風(fēng)險(xiǎn)評(píng)估等內(nèi)容,在范圍上拓展到了金融數(shù)據(jù),在內(nèi)容上延伸到了生成式人工智能算法、風(fēng)險(xiǎn)評(píng)估、自動(dòng)化決策等方面,完善了金融行業(yè)數(shù)據(jù)安全管理制度,具有一定的突破性。
03
一些建議:保障安全,促進(jìn)開(kāi)發(fā)利用
柏亮:許可教授分析得透徹。正因?yàn)橛辛恕掇k法》的繼承和突破,才能加強(qiáng)對(duì)金融數(shù)據(jù)處理者的監(jiān)督,確保數(shù)據(jù)管理制度得到切實(shí)執(zhí)行,及時(shí)糾正存在的金融數(shù)據(jù)安全隱患,這也是我們業(yè)內(nèi)十分期盼的事情。
當(dāng)然,雖然《辦法》在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)和刪除環(huán)節(jié)存在諸多亮點(diǎn),但我們不能要求《辦法》包羅萬(wàn)象、面面俱到,馬上解決金融業(yè)務(wù)領(lǐng)域存在的所有數(shù)據(jù)問(wèn)題。目前,《辦法》可能會(huì)存在需要不斷完善的地方,這正好是我們?cè)诳梢?jiàn)未來(lái)的金融實(shí)踐中加以認(rèn)真總結(jié)和解決。請(qǐng)各位老師談?wù)剬?duì)《辦法》需要完善的建議和意見(jiàn)。許可:我個(gè)人提出若干不成熟的建議和意見(jiàn),以期有裨于《辦法》的完善。
第一,明確數(shù)據(jù)境外調(diào)取的批準(zhǔn)主體。《數(shù)據(jù)安全法》第36條規(guī)定:“中華人民共和國(guó)主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定,或者按照平等互惠原則,處理外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供數(shù)據(jù)的請(qǐng)求。非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn),境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)。”實(shí)踐中,一個(gè)非常重要的困惑是不清楚誰(shuí)是“主管機(jī)關(guān)”。根據(jù)這一條款,《辦法》第27條規(guī)定:“中國(guó)人民銀行根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定,或者按照平等互惠原則,處理國(guó)際組織和外國(guó)金融管理部門(mén)關(guān)于提供數(shù)據(jù)的請(qǐng)求。非經(jīng)中國(guó)人民銀行和其他有關(guān)主管部門(mén)批準(zhǔn),數(shù)據(jù)處理者不得向其提供境內(nèi)存儲(chǔ)的數(shù)據(jù)。”該條盡管明確了人民銀行作為主管機(jī)關(guān)的地位,但另外增加了“其他主管部門(mén)”這一不確定的表述,建議刪除,并將“人民銀行”作為唯一主管機(jī)關(guān),便于后續(xù)執(zhí)法。
第二,進(jìn)一步強(qiáng)化數(shù)據(jù)利用功效。《數(shù)據(jù)安全法》第1條開(kāi)宗明義確立了“數(shù)據(jù)安全與數(shù)據(jù)利用”雙重目標(biāo)。作為《數(shù)據(jù)安全法》下位法,《辦法》對(duì)于數(shù)據(jù)安全濃墨重彩,但對(duì)于數(shù)據(jù)利用稍顯薄弱。例如,《辦法》第21條規(guī)定:“使用第三層級(jí)以上數(shù)據(jù)項(xiàng)加工后產(chǎn)生的數(shù)據(jù)項(xiàng),經(jīng)評(píng)估確認(rèn)無(wú)法識(shí)別至特定個(gè)人、組織,或者反映信息敏感程度明顯低于原數(shù)據(jù)項(xiàng)時(shí),數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后,可視情降低敏感性層級(jí),促進(jìn)數(shù)據(jù)依法合規(guī)開(kāi)發(fā)利用。”這里要求數(shù)據(jù)利用限于無(wú)法識(shí)別特定“個(gè)人、組織”的數(shù)據(jù),大大縮限了數(shù)據(jù)范圍。并且,將特定組織識(shí)別作為敏感要素,也缺乏上位法依據(jù),建議刪除。類(lèi)似《辦法》第17條也規(guī)定:“非直接面向個(gè)人、組織收集數(shù)據(jù)時(shí),應(yīng)當(dāng)要求數(shù)據(jù)提供方依照法律、行政法規(guī)取得個(gè)人、組織的同意”。這里取得“組織同意”既沒(méi)有上位法依據(jù),也與實(shí)踐不符,建議刪除。
第三,增加數(shù)據(jù)依法流通共享的條款。金融數(shù)據(jù)的利用和流通不但可以完善我國(guó)信用體系,也能夠幫助金融機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)更好地防范金融風(fēng)險(xiǎn)。為此,我們建議在反洗錢(qián)、反恐怖融資、反詐和征信場(chǎng)景下,設(shè)立數(shù)據(jù)依法流通共享規(guī)則,即無(wú)需征得個(gè)人或者是相關(guān)組織的同意,數(shù)據(jù)就可以強(qiáng)制流通。
劉權(quán):我也談?wù)剬?duì)《辦法》修改的一些建議。
第一,在體系框架上,《辦法》“第三章數(shù)據(jù)安全保護(hù)總體要求”同前后部分銜接不暢,建議取消該章,部分條款分別調(diào)整到“第一章總則”和“第四章數(shù)據(jù)安全保護(hù)管理措施”之中。
第二,建議在《辦法》第1條立法目的增加促進(jìn)數(shù)據(jù)創(chuàng)新利用的表述。目前《辦法》只規(guī)定了“為規(guī)范中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理”單一立法目的,但有大量促進(jìn)數(shù)據(jù)創(chuàng)新利用的條款,而且起草說(shuō)明也將增加促進(jìn)數(shù)據(jù)創(chuàng)新利用作為亮點(diǎn)表述。可以借鑒《個(gè)人信息保護(hù)法》第一條規(guī)定的雙重立法目的方式:“為了保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息處理活動(dòng),促進(jìn)個(gè)人信息合理利用,根據(jù)憲法,制定本法。”
第三,建議修改《辦法》第3條“采取有效措施防范數(shù)據(jù)被篡改、破壞、泄露、不當(dāng)獲取與利用等風(fēng)險(xiǎn),確保不損害國(guó)家安全、公共利益、金融秩序、個(gè)人及組織合法權(quán)益”。“有效措施”可能是成本過(guò)大的措施,可能造成過(guò)大的經(jīng)濟(jì)負(fù)擔(dān)而變得不可行。因此個(gè)人建議改為“必要措施”,實(shí)現(xiàn)利益均衡。
第四,《辦法》第11條規(guī)定“每年組織更新數(shù)據(jù)資源目錄”,可能跟不上快速發(fā)展的形勢(shì)和不同領(lǐng)域的特點(diǎn),個(gè)人建議修改為“每年至少組織一次更新數(shù)據(jù)資源目錄”更為可操作性,在立法表述上也更明確化。
第五,《辦法》第17條規(guī)定“數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)原則”,建議改為“數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則”。因?yàn)?ldquo;合法”和“正當(dāng)”并不一定是“必要”的,也未必符合“誠(chéng)信原則”,為了在立法上更加周全和合理,增加“必要和誠(chéng)信原則”也是很有必要的。
第六,《辦法》第43條規(guī)定了“重要數(shù)據(jù)的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托檢測(cè)機(jī)構(gòu),每年組織開(kāi)展一次全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作”,那么是否應(yīng)當(dāng)明確日常風(fēng)險(xiǎn)評(píng)估的情形呢?一年評(píng)估一次是不夠的?蓞⒖肌秱(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)影響評(píng)估制度進(jìn)行修改。
顧雷:總體結(jié)構(gòu)上看,《辦法》立法宗旨明確,法條邏輯清晰,但《辦法》依然存在一些可以改進(jìn)之處,主要有以下幾個(gè)方面:
第一,《辦法》第1條規(guī)定的目的是“為規(guī)范中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理”,這當(dāng)然沒(méi)有問(wèn)題,但從金融數(shù)據(jù)安全管理角度看,似乎偏窄了一點(diǎn)。一般講,金融業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理是具有雙重目的:一是規(guī)范數(shù)據(jù)安全管理,二是促進(jìn)數(shù)據(jù)開(kāi)發(fā)和利用,兩者缺一不可,相互促進(jìn)。因此,我們建議在《辦法》第1條增加一句“促進(jìn)數(shù)據(jù)開(kāi)發(fā)和利用”,更全面完備和有說(shuō)服力。
第二,《辦法》第26條只有對(duì)數(shù)據(jù)出境限制管理措施的規(guī)定,但由于《辦法》第21條有對(duì)脫敏數(shù)據(jù)可以降低敏感層級(jí)的規(guī)定。因此,第26條也應(yīng)該增加對(duì)降低敏感層級(jí)的脫敏數(shù)據(jù)采取簡(jiǎn)易程序?qū)徍说囊?guī)定,追求寬嚴(yán)得體、層次分明的效果。
第三,《辦法》第29條要求數(shù)據(jù)處理者應(yīng)當(dāng)主動(dòng)刪除數(shù)據(jù),比如要求存儲(chǔ)第三層級(jí)以上數(shù)據(jù)項(xiàng)的存儲(chǔ)介質(zhì)不再使用并且離開(kāi)數(shù)據(jù)處理者控制范圍時(shí),應(yīng)當(dāng)及時(shí)銷(xiāo)毀。這些要求刪除相關(guān)數(shù)據(jù)的規(guī)定對(duì)于保護(hù)個(gè)人隱私數(shù)據(jù)、維護(hù)社會(huì)成員合法權(quán)益是絕對(duì)必要的。但是,《辦法》第七章“法律責(zé)任”缺乏對(duì)違反個(gè)人數(shù)據(jù)刪除的處罰性條款,也就是說(shuō),應(yīng)該銷(xiāo)毀而沒(méi)有及時(shí)銷(xiāo)毀數(shù)據(jù)存儲(chǔ)介質(zhì)的行為,《辦法》從第48條到第54條均沒(méi)有處罰規(guī)定。因此,我們建議《辦法》最好再增加第55條,專(zhuān)門(mén)對(duì)違反《辦法》第29條和39條的行為設(shè)定法律處罰規(guī)定。這樣《辦法》在法律責(zé)任上就前后呼應(yīng),立法結(jié)構(gòu)也更趨平衡和對(duì)稱(chēng)。
第四,《辦法》第29條“數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況時(shí),合法合規(guī)完成自身需要的數(shù)據(jù)轉(zhuǎn)移處理后,應(yīng)當(dāng)及時(shí)銷(xiāo)毀全部數(shù)據(jù)存儲(chǔ)介質(zhì)”規(guī)定中的“及時(shí)”不具備可操作性,法律規(guī)范性和執(zhí)行力較低,在金融實(shí)踐中容易產(chǎn)生推諉扯皮現(xiàn)象,不利于數(shù)據(jù)的刪除,由此我建議《辦法》第29條應(yīng)該界定一個(gè)比較明確的時(shí)間范圍,建議修改為:合法合規(guī)完成自身需要的數(shù)據(jù)轉(zhuǎn)移處理后的三日內(nèi),應(yīng)該銷(xiāo)毀全部數(shù)據(jù)存儲(chǔ)介質(zhì)。如此,在立法上增強(qiáng)了《辦法》前后法條協(xié)調(diào)一致性,在司法實(shí)踐中也更具可操作性。
沈偉偉:網(wǎng)絡(luò)法問(wèn)題總是交織著法律與技術(shù)結(jié)合的解決之道。我的經(jīng)驗(yàn),法律人總是對(duì)技術(shù)寄予很大期望,工程師總是對(duì)法律寄予很大期望,最后往往雙方彼此一合議,發(fā)現(xiàn)自己都高估了對(duì)方規(guī)制工具箱的效果。《辦法》第21條之所以可以被冠之以“促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用”,恰恰是因?yàn)榉蓪?duì)于“第三層級(jí)以上數(shù)據(jù)項(xiàng)加工”后所帶來(lái)的較低信息敏感程度,使得數(shù)據(jù)保護(hù)和數(shù)據(jù)安全有了更多保障。
此舉確實(shí)是在用一個(gè)近似于附條件的避風(fēng)港或者豁免的方式,鼓勵(lì)和促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用。但我們需要注意到的是,技術(shù)上的降低信息敏感程度,近似于個(gè)人信息保護(hù)領(lǐng)域討論比較多的“匿名化”,有一個(gè)已經(jīng)被學(xué)術(shù)討論、且在實(shí)踐中多次驗(yàn)證的觀點(diǎn):匿名化與其說(shuō)一個(gè)有和無(wú)的問(wèn)題,不如說(shuō)是一個(gè)多或少的問(wèn)題,而且實(shí)踐中常常出現(xiàn)的現(xiàn)象是,匿名化是暫時(shí)的,再識(shí)別是可能的。換言之,只要一個(gè)人的個(gè)人金融信息被采集,那么就存在一種潛在的可識(shí)別性,哪怕他暫時(shí)處于匿名化狀態(tài)。我們金融領(lǐng)域在很早就使用大量的金融風(fēng)險(xiǎn)管理技術(shù),從企業(yè)的金融風(fēng)控技術(shù),到個(gè)人銀行類(lèi)似U盾之類(lèi)的認(rèn)證技術(shù),都是技術(shù)規(guī)制的工作。所以金融行業(yè)應(yīng)該很能理解,金融風(fēng)險(xiǎn)控制技術(shù)的優(yōu)勢(shì)以及局限性。
這一點(diǎn),同樣也適用于信息脫敏技術(shù)或匿名化技術(shù)。《辦法》第21條(以及第28條第3款)很可能對(duì)于脫敏技術(shù)抱太高的期待,一旦脫敏技術(shù)無(wú)法取得預(yù)期,那么這個(gè)附條件的避風(fēng)港或者豁免,就可能成為數(shù)據(jù)安全的一個(gè)短板。因?yàn),金融領(lǐng)域客戶也不斷地變化,金融場(chǎng)景不斷變化,金融服務(wù)也不斷變化,技術(shù)也不斷變化,這些都可能使得原先不敏感或者被認(rèn)為是脫敏的數(shù)據(jù),重新具備敏感度,威脅數(shù)據(jù)安全和個(gè)人信息權(quán)益。
而第21條的處理似乎把“促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用”這一重托,都放在脫敏技術(shù)這一個(gè)單一的技術(shù)模塊,此外“明顯低于”、“視情”等模糊用語(yǔ),也為具體實(shí)施過(guò)程中的標(biāo)準(zhǔn)認(rèn)定埋下隱患。面對(duì)金融數(shù)據(jù)利用、金融數(shù)據(jù)安全、個(gè)人信息保護(hù)這一系列錯(cuò)綜復(fù)雜的張力,我個(gè)人建議再仔細(xì)斟酌《辦法》第21條,尤其是在對(duì)脫敏化、匿名化信息相關(guān)技術(shù)實(shí)踐充分調(diào)研的基礎(chǔ)上,并在對(duì)其他數(shù)據(jù)保護(hù)和數(shù)據(jù)利用技術(shù)的考察下,重新界定數(shù)據(jù)安全與數(shù)據(jù)利用的邊界。
陳天昊:以《辦法》為基礎(chǔ),要實(shí)現(xiàn)金融數(shù)據(jù)資源的大循環(huán),至少還有下述三方面的工作需要做:
第一,同步修訂金融領(lǐng)域內(nèi)相關(guān)數(shù)據(jù)安全技術(shù)規(guī)范,以保持金融數(shù)據(jù)法律體系完整性和統(tǒng)一性。例如,2020年9月中國(guó)人民銀行發(fā)布的《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》,對(duì)金融數(shù)據(jù)的安全定級(jí)做了較為嚴(yán)苛規(guī)定,賬戶金額信息、個(gè)人征信信息皆并劃定為3-5級(jí),為“一般針對(duì)特定人員公開(kāi),且僅為必須知悉的對(duì)象訪問(wèn)或使用”。更為嚴(yán)苛的表達(dá)還出現(xiàn)在2020年2月中國(guó)人民銀行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》第7.1.3條,其明確“金融業(yè)機(jī)構(gòu)原則上不應(yīng)共享、轉(zhuǎn)讓其收集的個(gè)人金融信息,確需共享、轉(zhuǎn)讓的,應(yīng)充分重視信息安全風(fēng)險(xiǎn)”。
第二,推動(dòng)構(gòu)建金融數(shù)據(jù)跨部門(mén)協(xié)同監(jiān)管機(jī)制。《數(shù)據(jù)安全法》確立了由各主管部門(mén)負(fù)責(zé)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)的管轄權(quán)分配原則,本管理辦法將其更明確地表述為“誰(shuí)管業(yè)務(wù),誰(shuí)管業(yè)務(wù)數(shù)據(jù),誰(shuí)管數(shù)據(jù)安全”的數(shù)據(jù)安全工作原則。此原則的好處在于提供了簡(jiǎn)明的數(shù)據(jù)安全歸責(zé)指引,然而適用該原則所面臨的挑戰(zhàn)在于,數(shù)據(jù)資源的大循環(huán)必定意味著產(chǎn)生于特定行業(yè)、領(lǐng)域的數(shù)據(jù)會(huì)向其他行業(yè)、領(lǐng)域頻繁流動(dòng),從而跨越不同監(jiān)管者的主管領(lǐng)域,并在不同領(lǐng)域之間反復(fù)穿梭。這便要求建立具備高度整合性的金融數(shù)據(jù)跨部門(mén)協(xié)同監(jiān)管機(jī)制。在《數(shù)據(jù)安全法》規(guī)定的國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制之下,《辦法》僅提出中國(guó)人民銀行可以與其他監(jiān)管部門(mén)簽訂“合作協(xié)議”,以約定數(shù)據(jù)安全監(jiān)管協(xié)作模式。然而,基于約定的監(jiān)管協(xié)作能夠在多大程度上實(shí)現(xiàn),有賴(lài)于各部門(mén)之間的談判能力,并且部門(mén)之間的協(xié)議缺乏剛性的執(zhí)行保障,在遭遇復(fù)雜或突發(fā)的問(wèn)題時(shí),難以約束各部門(mén)之間的機(jī)會(huì)主義行為,未來(lái)還需以更高位階的硬法構(gòu)建專(zhuān)門(mén)的協(xié)同監(jiān)管機(jī)制。
第三,對(duì)金融數(shù)據(jù)開(kāi)發(fā)利用中各個(gè)主體的數(shù)據(jù)權(quán)屬進(jìn)行合理配置。不對(duì)主體進(jìn)行明確的權(quán)屬確認(rèn),就不可能激發(fā)數(shù)據(jù)要素在不同主體之間的高效配置!稊(shù)據(jù)二十條》以“數(shù)據(jù)處理者”和“企業(yè)數(shù)據(jù)”為中心,提出數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營(yíng)權(quán)的數(shù)據(jù)三權(quán)分置的權(quán)利配置構(gòu)想。然而,在金融領(lǐng)域內(nèi)不同主體分別在何種條件下享有哪些權(quán)利?需要結(jié)合金融數(shù)據(jù)開(kāi)發(fā)利用的具體場(chǎng)景予以明確。否則,即便解決了金融數(shù)據(jù)的安全問(wèn)題,各個(gè)主體仍然將會(huì)缺乏推動(dòng)金融數(shù)據(jù)高效流動(dòng)及交易的有效激勵(lì)。
趙精武:從現(xiàn)有征求意見(jiàn)稿來(lái)看,《辦法》內(nèi)容詳實(shí),完全能夠貼合金融、銀行業(yè)務(wù)領(lǐng)域的數(shù)據(jù)處理實(shí)踐現(xiàn)狀。不過(guò),結(jié)合我國(guó)現(xiàn)行《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》立法體系來(lái)看,《辦法》依然存在部分細(xì)節(jié)問(wèn)題,建議予以微調(diào),具體包括下列內(nèi)容:
第一,建議《辦法》第二章“數(shù)據(jù)分級(jí)分類(lèi)”與《辦法》第三章的“數(shù)據(jù)安全保護(hù)總體要求”進(jìn)行內(nèi)容合并。因?yàn)閺哪壳皵?shù)據(jù)安全立法體系來(lái)看,數(shù)據(jù)分級(jí)分類(lèi)保護(hù)已經(jīng)是我國(guó)數(shù)據(jù)安全法律制度的基礎(chǔ)制度,諸如數(shù)據(jù)安全責(zé)任人、重要數(shù)據(jù)目錄清單等具體制度均是以數(shù)據(jù)分級(jí)分類(lèi)為基礎(chǔ)。因此,數(shù)據(jù)分級(jí)分類(lèi)顯然屬于“數(shù)據(jù)安全保護(hù)總體要求”的內(nèi)容之一。從內(nèi)容篇幅和修改難易程度考慮,可以考慮采取類(lèi)似《網(wǎng)絡(luò)安全法》的規(guī)定模式,該法第三章第一小節(jié)是“一般規(guī)定”,第二小節(jié)則根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的條款篇幅,單獨(dú)規(guī)定了一小節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”。因此,可以考慮在第三章“數(shù)據(jù)安全保護(hù)總體要求”中專(zhuān)門(mén)單列一小節(jié)“數(shù)據(jù)分級(jí)分類(lèi)”。
第二,建議將《辦法》第11條“更新數(shù)據(jù)資源目錄”修改為“更新數(shù)據(jù)資源目錄和重要數(shù)據(jù)目錄”,并且要求數(shù)據(jù)處理者將更新后的重要數(shù)據(jù)目錄填報(bào)至中國(guó)人民銀行。這是因?yàn)闉榱烁行、更?dòng)態(tài)化地更新本行業(yè)的重要數(shù)據(jù),有必要根據(jù)數(shù)據(jù)處理者提交的重要數(shù)據(jù)目錄進(jìn)行制定總體性的重要數(shù)據(jù)目錄,而且如此調(diào)整也能夠與我國(guó)行業(yè)標(biāo)準(zhǔn)保持同步一致。
第三,建議在《辦法》第12條中增加有關(guān)數(shù)據(jù)安全負(fù)責(zé)人的兩款內(nèi)容。一是“重要數(shù)據(jù)處理者應(yīng)當(dāng)書(shū)面明確數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全牽頭管理內(nèi)設(shè)部門(mén),并將數(shù)據(jù)安全負(fù)責(zé)人的聯(lián)系方式與重要數(shù)據(jù)目錄一并填報(bào)至中國(guó)人民銀行。”二是“重要數(shù)據(jù)處理者的數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)能夠獨(dú)立履職,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。”單獨(dú)規(guī)定重要數(shù)據(jù)處理者聯(lián)系方式應(yīng)當(dāng)予以上報(bào),是為了方便監(jiān)管機(jī)構(gòu)直接確認(rèn)和聯(lián)系直接責(zé)任人,避免淪為“空架子”,也便于監(jiān)管機(jī)構(gòu)能夠明確相應(yīng)的責(zé)任主體。
第四,建議在《辦法》第14條的培訓(xùn)內(nèi)容中增加一項(xiàng)“員工調(diào)崗、離職時(shí)數(shù)據(jù)訪問(wèn)權(quán)限的同步變更管理制度”。這是因?yàn)樵诂F(xiàn)有的數(shù)據(jù)泄露事件中,員工操作不當(dāng)或員工惡意泄露數(shù)據(jù)已成為“重災(zāi)區(qū)”,尤其在員工離職、調(diào)崗時(shí),原有的數(shù)據(jù)訪問(wèn)權(quán)限未能關(guān)閉、擅自拷貝企業(yè)內(nèi)部數(shù)據(jù)等問(wèn)題頻出有二有必要在安全培訓(xùn)階段予以規(guī)范,這樣也能夠與《辦法》第16條“人員管理要求”的內(nèi)容實(shí)現(xiàn)體系銜接。
柏亮:感謝六位老師提出的立法建議,希望《辦法》在廣泛聽(tīng)取社會(huì)意見(jiàn)和專(zhuān)家學(xué)者建議基礎(chǔ)上,能夠更快更好完善起來(lái),早日正式頒布執(zhí)行,支持已經(jīng)到來(lái)的金融數(shù)據(jù)3.0時(shí)代。未來(lái),國(guó)家將進(jìn)一步落實(shí)數(shù)據(jù)安全審查、數(shù)據(jù)安全監(jiān)測(cè)、數(shù)據(jù)交易制度,細(xì)化重要金融數(shù)據(jù)目錄、金融數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估、金融數(shù)據(jù)出境等重點(diǎn)工作規(guī)范,完善金融數(shù)據(jù)開(kāi)發(fā)技術(shù)標(biāo)準(zhǔn)和金融數(shù)據(jù)安全標(biāo)準(zhǔn)體系。我們相信,金融數(shù)據(jù)安全技術(shù)在未來(lái)我國(guó)金融科技發(fā)展中將扮演越來(lái)越重要的角色,推動(dòng)金融機(jī)構(gòu)實(shí)現(xiàn)多方數(shù)據(jù)融合,促進(jìn)我國(guó)數(shù)據(jù)安全技術(shù)持續(xù)、公平發(fā)展,在數(shù)字產(chǎn)業(yè)標(biāo)準(zhǔn)化方面發(fā)揮越來(lái)越大的支撐和引領(lǐng)作用。 注:本文參考了六位教授會(huì)議發(fā)言和相關(guān)文字材料。
原文標(biāo)題 : 萬(wàn)字長(zhǎng)文 | 六大高校教授建言“央行數(shù)據(jù)安全管理辦法”:要保障安全,也要促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
即日-12.5立即觀看>> 松下新能源中國(guó)布局:鋰一次電池新品介紹
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024 智能家居出海論壇
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專(zhuān)家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市