习近平总书记高度重视数据安全工作，强调要加快法规制度建设，要把安全贯穿数据治理全过程，守住安全底线，明确监管红线。^[1]同时，2021年9月起正式实施的《数据安全法》第六条也明确，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。在此背景下，为落实《数据安全法》要求、填补金融领域数据安全管理制度空白和保护具有高度敏感性和规模庞大等特征的金融领域数据之目的，中国人民银行（下称“央行”）于2023年7月24日发布关于《中国人民银行业务领域数据安全管理办法（征求意见稿）》（“管理办法”）公开征求意见的通知，为金融机构等数据处理者处理央行业务数据提供规范指引，征求意见反馈截止时间为2023年8月24日。

《管理办法》共八章五十七条，规定了数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施等方面内容。笔者将从《管理办法》的适用范围出发，对《管理办法》项下金融机构等数据处理者义务及法律责任作简要整理，供相关数据处理者参阅。

[1]《中国人民银行业务领域数据安全管理办法（征求意见稿）》起草说明

一、适用范围

《管理办法》第三条奠定了数据安全工作遵循“谁管业务，谁管业务数据，谁管数据安全”的基本原则。基于该原则，《管理办法》适用范围明确为开展数据处理活动的金融机构和其他机构作为数据处理者在中华人民共和国境内开展的央行业务领域数据相关的处理活动，包括数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

《管理办法》调整的央行业务领域数据，是指数据处理者在开展货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等业务活动时，所产生的和收集的网络数据，即通过网络收集、存储、传输、处理和产生的各种电子数据。根据《管理办法》第二条，涉及国家秘密的数据被明确排除在《管理办法》规制范围外，与《数据安全法》一致，涉及国家秘密的数据处理活动应适用《保守国家秘密法》等法律法规规定。

二、《管理办法》项下央行业务数据处理者义务

（一）数据分类分级义务

01、数据分类分级制度规程：

建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程。

02、数据分类要求：

建立业务分类，梳理细化数据资源目录，标识各数据项是否为个人信息、数据来源（生产经营加工产生、外部收集产生等）、存储该数据项的信息系统清单和应用的业务类别。

03、数据分级要求：

（1）将数据按精度、规模和对国家安全的影响程度，分为一般、重要、核心三级；

（2）准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据，并填写报送重要数据目录内容，由中国人民银行汇总后确定重要数据具体目录；对于本单位处理的数据亦需及时准确识别判定是否属于重要或核心数据；

（3）数据敏感性分层级：根据数据遭到泄露或者被非法获取、非法利用时，可能对个人、组织合法权益或者公共利益等造成的危害程度，区分结构化、非结构化数据项，将数据项敏感性从低至高进一步分为五个层级；

（4）数据可用性分层级：评估信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度，明确恢复点目标要求，目标越严格，数据的可用性层级越高。

04、数据资源目录更新要求：

应每年组织更新数据资源目录。

（二）数据安全保护要求

01、总体要求：

1、责任落实总体要求：明确单位内部数据安全管理职责分工，配备足够数量的数据安全管理人员，细化定责问责规程，并书面明确数据安全负责人和数据安全牵头管理内设部门；

2、全流程安全管理制度要求：建立健全全流程数据安全管理制度，明确差异化的安全保护管理和技术措施要求，并制定数据处理活动操作规程，规范各类内部审批和授权流程；

3、安全培训总体要求：根据岗位分工，制定数据安全年度培训计划，组织开展相关教育培训，并对培训结果进行评价。

02、数据安全保护管理措施和技术措施要求

1、人员管理要求：按最小必要和职责分离原则严格管理信息系统各类业务处理账号、数据库管理员等特权账号的设立和权限，并加强账号身份认证管理；

2、数据处理各环节安全保护管理措施要求：《管理办法》对数据收集、数据存储、数据使用、数据加工、促进数据开发利用、数据传输、一般性数据提供、特殊性数据提供、数据融合创新应用、数据出境限制、国际组织和外国金融管理部门数据调取、数据公开保护和数据删除共13个方面提出管理措施要求，明确了数据处理者应满足的央行业务数据合规管理措施层面底线要求。

3、数据处理各环节安全保护技术措施要求：在技术措施层面，《管理办法》提出了账号权限、数据处理活动日志保护技术措施要求，并同样对数据收集、存储、使用、加工、传输、提供、公开和删除环节提出了数据安全保护技术措施要求。

（三）风险监测、评估审计与事件处置措施要求

01、风险监测义务：

数据处理者应强化本单位数据处理活动安全风险监测和告警，并重点关注本单位非公开数据泄漏至互联网、兜售本单位数据的情况等情况，加强数据安全风险情报的监测，同时要及时接收、核查和处置中国人民银行或其分支机构通报的数据安全风险情报，并根据要求按时反馈核查处置结果。

02、数据安全风险评估与审计：

该部分衔接《数据安全法》关于重要数据的处理者数据安全风险评估的要求，明确央行业务数据处理者应自行或者委托检测机构，每年组织开展一次全面的数据安全风险评估工作以及至少一次与数据安全相关的合规审计，于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告，并按照行政法规要求向对应的网信部门报送。

03、数据安全事件定级判定和相应处置：

按照国家网络安全事件应急预案有关事件分级要求，细化明确各等级数据安全事件对应的定级判定标准，并将数据安全事件纳入网络安全事件应急响应机制统一管理，制定相关应急预案，发生数据安全事件时要做好事件定级、处置、总结、报告、整改工作，按照规程向央行或其住所地分支机构、其他有关主管部门报告事件信息。

三、数据处理活动监管及法律责任

《管理办法》明确，数据处理者数据安全保护义务落实情况的执法检查将由央行及其分支机构承担或与其他主管部门联合组织。对于存在较大安全风险的数据处理活动，可以约谈相关数据处理者并要求整改和消除隐患。若央行及其分支机构在执法检查中，发现数据处理者有违反数据安全保护义务行为、违反规定数据出境行为或违反规定向国际组织或者外国金融管理部门提供数据行为的，其有权对数据处理者依据《网络安全法》《数据安全法》相应罚则规定予以处理；若经查发现有非法获取数据行为或处理数据损害合法权益行为的，央行及其分支机构将相关案件信息移送并配合同级公安机关、国家安全机关或执法职责的有关主管部门处理。