2024年3月22日，国家金融监督管理总局（“金管局”）发布《银行保险机构数据安全管理办法（征求意见稿）》（以下简称“《征求意见稿》”），向社会公开征求意见。这是继证监会2023年发布的《证券期货业网络和信息安全管理办法》以及人民银行于2023年7月公布的《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称“《人行领域数安办法（征求意见稿）》”）之后，金融行业主管部门发布的又一综合性数据安全部门规章。

随着金融行业数字化变革加速演进，新技术、新业务模式不断涌现，数据处理活动日益频繁，《征求意见稿》旨在发挥监管“指挥棒”作用，衔接《个人信息保护法》《数据安全法》等上位法律，引导银行保险机构规范相关数据处理活动、保障数据安全，同时有序促进数据合理开发利用，稳步提升金融服务数字化、智能化水平。

《征求意见稿》共九章八十一条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。金管局与之同时还公布了有关负责人就《征求意见稿》征求意见稿的答记者问，对《征求意见稿》的起草背景、主要内容、重点问题进行补充说明。本文将结合答记者问对《征求意见稿》的相关内容要点与亮点进行汇总梳理与解读，以供读者参考。

一、《征求意见稿》的具体适用范围

不同于《人行领域数安办法（征求意见稿）》中仅按照具体业务而非机构类型划定适用范围的方式，《征求意见稿》第二条确立了以金管局管辖的金融机构主体类型划定适用范围的思路，具体包括在中国境内设立的下列组织机构：

表1 《征求意见稿》适用机构类型

此外，在适用的行为范围方面，《征求意见稿》规定其适用于上述机构除涉及国家秘密之外的其他所有数据处理活动。

由于《人行领域数安办法（征求意见稿）》并未具体明确所适用的机构类型，而是以是否从事反洗钱、货币政策、支付清算、征信等九大业务为准，其所映射的机构范围也不可避免地会与《征求意见稿》规定的机构产生重合。因此，银行金融机构可能将面临人行、金管局不同条线的双重数据监管压力，需同时满足《人行领域数安办法（征求意见稿）》及《征求意见稿》规定的各项要求。然而，结合后文所述，二者在数据分类分级体系、具体合规要求等方面也存在较大的差异，又均规定了安全审计、风险评估、监管报告等类似要求。这给相关机构解读、执行造成一定挑战和困难。同时处于两部办法适用范围内的金融机构面临需要协调不同监管要求（如同时执行两套不同的数据分级制度）以及部分相似合规要求叠加（如每年分别进行两次风险评估、提交两次报告）等问题，可能需要付出更多的合规精力与成本。

另一方面，《征求意见稿》所辖的适用机构类型也较为广阔，不仅涵盖商业银行、保险集团等传统大型机构，还要求其他相较而言体量较小的各类非银行金融机构。对于前述机构“等量齐观”地要求遵循相同的数据安全合规标准，可能也会为机构的合规工作带来较大的负担与压力。《征求意见稿》对机构设定的数据安全要求及合规要求较为严苛，除了传统大型商业银行已经建立较为完备的信息科技体系与数据安全管理措施外，其他中小型的金融机构可能未必有足够的系统建设能力、安全技术与人力资源、资金财力以满足《征求意见稿》设定的合规标准。如何能够针对机构的体量与类型设置差异化的合规要求，或许是《征求意见稿》在后续落地过程中需要考量与完善之处。

二、倡导建立数据资产地图和登记管理，全面落实数据分类分级要求，推动重要数据目录相关工作

《征求意见稿》规定，银行保险机构应当建立企业级数据架构，统筹开展对全域数据资产登记管理，建立数据资产地图，以数据分类分级为基础明确数据保护对象，围绕数据处理活动实施安全管理。

在数据分类分级方面，《征求意见稿》要求各机构制定数据分类分级保护制度，建立数据目录和分类分级规范，并对相关数据目录进行动态管理与维护，加强数据安全级别的时效性管理。

• 对于数据分类而言，《征求意见稿》列举了四大维度，指出各机构可按照客户数据、业务数据、经营管理数据、系统运行和安全管理数据作为数据的一级类别开展分类工作。

• 对于数据分级而言，《征求意见稿》衔接《数据安全法》的通用要求，将数据分按照重要性和敏感程度，从高到低分为核心数据、重要数据、一般数据三大级别。特别地，《征求意见稿》还将一般数据细分为“敏感数据”和“其他一般数据”。这一“大三级、小四级”的分级标准是《征求意见稿》中的创新性要求，与《人行领域数安办法（征求意见稿）》中的“三级五层、可用性”以及行业标准《金融数据安全 数据安全分级指南》（JR/T 0197-2020）（“0197标准”）的分级要求均有所差异。

如前所述，目前《征求意见稿》与《人行领域数安办法（征求意见稿）》在适用机构范围上存在重合，而二者规定的数据分级体系与思路也存在较大差异，特别是针对不同级别的数据还需要根据规定采取不同的安全保护措施，这可能导致相关机构（如商业银行）在支付、授信数据处理、反洗钱等业务活动要考虑同时协调两套分级标准及对应的安全措施，从而为合规工作带来较大的挑战。

《征求意见稿》目前并未对各等级数据识别的具体因素进行展开，但敏感数据的概念包括“对组织自身或者公民个体造成重要影响的数据”。《个人信息保护法》下的敏感个人信息或《个人金融信息保护技术规范》（JR/T 0171-2020）（“0171标准”）中的C2与C3级别个人信息是否均与《征求意见稿》规定的“敏感数据”存在对应关系，有待监管后续回应。而这也关系着已经按照0197标准和1017标准完成数据资产梳理和分类分级工作的机构能否以及如何过渡至新规下要求的分类分级体系。

相关各级数据概念定义见下表：

表2 《征求意见稿》规定的各数据级别定义

此外，《征求意见稿》亦强调，金管局将制定银行业保险业重要数据目录、提出核心数据目录建议，并监导各机构开展数据分类分级管理和数据保护。这也意味着伴随着《征求意见稿》的后续落地，银行保险领域重要及核心数据目录及识别工作可能将逐步开启。根据《征求意见稿》，未来各机构还应当就其自身的重要数据目录按要求向金管局或者其派出机构报送；重要数据目录发生重大变化的，应当及时报备更新后的数据目录。

三、建立多层次数据安全治理架构、压实主体责任，落实数据安全责任制

《征求意见稿》要求银行保险机构建立覆盖董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门的多层次数据安全管理组织架构，并建立数据安全责任制：

• 其中，党委（党组）、董（理）事会对本单位数据安全工作负主体责任，机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。

• 银行保险机构应指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。

• 对于机构内部的各业务部门和条线，《征求意见稿》则要求遵循“谁管业务、谁管业务数据、谁管数据安全”的原则，由各部门负责其业务领域的数据安全管理责任。

• 此外，《征求意见稿》还要求各机构建立企业级数据服务管理体系，制定数据服务规范，建立专职数据服务团队，统筹内外部数据加工、分析，实施数据服务需求分析、服务开发、服务部署、服务监控等活动。

四、规定全流程数据安全管理与安全技术规范，关注金融新技术与新业态应用，细化风险监测、评估审计、事件处置、监管报告多方面义务

针对银行保险机构在数据收集、存储、使用、加工、传输、公开、删除、销毁等生命周期各环节，以及相关的评估、风险事件处置等重要管理与技术保护要求，《征求意见稿》第四章至七章也提出详实要求。囿于篇幅，我们挑选了其中值得关注的重要制度及亮点内容进行总结：

• 数据全生命周期保护要点列举

《征求意见稿》在数据全生命周期多个环节中均设置了经“数据主体同意”的要求（例如收集数据环节、共享敏感级以上数据）。因为《征求意见稿》中的数据涵盖个人信息以及非个人信息的业务数据、经营管理数据等数据类型，我们理解数据主体这一概念除个人信息主体外还包括非个人类企业机构类主体。实际上，《人行领域数安办法（征求意见稿）》也存在类似的合规要求，这也彰显出金融行业主管部门希望将金融机构履行“授权同意”要求扩张复用至非个人数据的监管思路。但是，这些要求也意味着机构在数据处理活动授权方面将迎来更大的挑战与整改难度，机构从事数据购买、爬虫等数据活动也均可能面临合法性难题。

表3 各数据处理环节要点归纳

• 关注人工智能、开放银行等新技术、新业态

《征求意见稿》倡导统筹安全与发展，推进数据基础设施建设、加大数据创新应用力度、激活数据要素、提高金融服务智能化水平；此外，还要求各机构持续跟踪新兴数据开发利用和科技发展前沿动态，有效应对大数据应用与科技创新可能产生的社会风险、伦理道德风险、误用滥用风险等。

在金融科技监管与治理方面，《征求意见稿》中有多处条款设定了人工智能、算法模型的应用合规要求，并关注了大数据平台、开发银行等新兴业态模式。我们将相关要求整理如下：

表4 《征求意见稿》涉及新兴技术业态相关规则汇总

• 风险监测、安全事件处置与重要报告义务

《征求意见稿》亦对于银行保险机构数据处理活动的风险监测、评估、审计以及应急处置等方面提出了若干要求：

表5 《征求意见稿》规定的风险监测、评估、审计与报告义务

• 个人信息保护

《征求意见稿》第六章专章规定了个人信息保护相关内容，其规定相对简明，基本沿袭了《个人信息保护法》以及《银行保险机构消费者权益保护管理办法》（“9号令”）等金融消保规范中的“明确告知、授权同意”要求。值得注意的是，《征求意见稿》首次在金融行业相关规范中明确机构应当履行个人信息保护影响评估（PIA）义务。另一方面，考虑到除评估对象有所差异（PIA仅包含个人信息）、PIA有三年的报告留存要求，前述数据安全评估与PIA的评估关注要素、触发场景等也大体相同，企业是否能将两者合并统一在同一程序下进行，仍有待后续监管澄清。

除此之外，《征求意见稿》中的个保要求如何与金融消保规范协调也值得讨论。近年来，金融领域的个保监管议题与相关工作一直是金融消费者权益保护下的重要板块，在9号令等文件中也有相关规定。从适用范围角度，《征求意见稿》中的相关个保要求似乎可以延伸至机构自身的内部员工、对公客户联系人等主体，较消费者个人信息范畴更为宽广。

另外，根据《征求意见稿》的规定，违反该办法的相关行为，相关主管部门将根据《银行业监督管理法》《保险法》处以罚款，罚款最高可至50万元（银行金融机构）和30万元（保险机构）；而9号令要求违反消费者个人信息保护的相关要求，主管部门还可以根据《消费者权益保护法》进行处罚。对于银行金融机构，其个人信息违规行为还受制于《人行领域数安办法（征求意见稿）》，该规定的罚则依据包括《数据安全法》《个人信息保护法》。上述法规的罚则并不完全相同一致。因此，如果相关机构发生侵犯消费者个人信息的行为，上述法规竞合情况下如何适用的问题也有待主管部门更多的说明指导。

五、结语

2023年6月，金管局曾下发《关于加强第三方合作中网络和数据安全管理的通知》，要求各机构切实履行网络和数据安全保护义务、采取针对性安全保护措施、建立健全应急处置机制。近日，金管局又向各监管局、银行保险机构内部下发了《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》，对于此前开展的个保集中整治专项中的突出问题进行总结，并要求各机构将个人信息保护作为一项基础性、长期性工作抓实抓细。

由此可见，金融领域数据合规监管将在《数据安全法》《个人信息保护法》所构建的基础法律框架下，结合本行业领域的特点持续深入进行，并随着金管局、人行等行业主管部门的监管细则、业务指引的陆续出台呈现出精细化的管理特点。

各机构依然需要将自身的数据合规工作放在重要位置、持续跟踪相关立法动态，对于所需遵循的合规义务进行梳理，以迎接《征求意见稿》及《人行领域数安办法（征求意见稿）》正式落地时代的到来；同时，也应持续做好数据安全体系、分类分级、全生命周期保护等各环节。对于新业态与模式应当注意从数据安全角度做好合规论证，必要时可以请外部顾问协助。