阅读： 5

近日，中国人民银行发布《中国人民银行业务领域数据安全管理办法》（以下简称《办法》）。《办法》将于2025年6月30日起施行，旨在规范中国人民银行监管业务领域内的数据安全管理，保障数据安全并促进合理开发利用。

一、主要内容概览

《办法》包括总则、业务数据分类分级与总体要求、全流程业务数据安全管理要求、全流程业务数据安全技术要求、业务数据安全风险与事件管理、法律责任共七章五十六条。

文件链接：http://www.pbc.gov.cn/tiaofasi/144941/144957/5702602/index.html

二、绿盟简评

（一）主要变化

央行曾于2023年7月发布过《征求意见稿》，面向社会开展了为期一个月的意见征集。从本次正式稿比较来看，主要修改变化有四个方面。

一是调整数据分类分级规定，这无疑是最大的一处修改。删除了对敏感性、可用性数据进一步分层的规定，将相应内容作为业务数据分类的标识维度统一纳入数据分类相关规定中。与该处修改相适应，《办法》对业务数据技术要求、管理要求都进行了相应的调整。通过修改，数据分级的线条更加清晰、数据分类的可操作性也将进一步提升。

二是加强衔接。一方面是法规的衔接，增加相关法律法规作为制定依据；另一方面是监管机制的衔接，明确了不同监管部门之间在职责、协调等方面的衔接。

三是进一步体现适度宽松的监管理念。包括精简了相关管理和技术要求、增加了从轻减轻行政处罚的适用情形、优化调整数据出境监管部分要求等。

四是篇章的合并。将原来的“总体要求”章与“分类分级”章合并，并简化了部分总体要求的规定，将细化要求分别归并到管理、技术等章节。

（二）内容要点

《办法》共7章56条，归纳起来看，其核心内容实际可以归纳为三个方面。

一是两个“目录”。即“中国人民银行业务领域重要数据目录”和“业务数据资源目录”，前者由中国人民银行负责组织编制，后者由数据处理者负责编制。《办法》关于业务数据分类分级等一系列要求，最终主要体现在这两个目录上。另外，《办法》对业务数据资源目录还明确了“每年至少更新一次”的频次规定。

二是两类“要求”。《办法》对于业务数据的安全，提出了“管理”和“技术”两大类要求。两类要求都是针对业务数据的“全流程”中提出，包括收集、存储、传输、提供等关键环节。其中，管理要求侧重于制度和机制建设，技术要求侧重于技术实现。

三是两项常态化工作。即风险监测与事件管理。《办法》明确要求重要数据处理者至少每年开展一次风险评估、应急演练、合规审计，要求其他数据处理者至少每三年开展一次应急演练、合规审计。此外还要建立健全风险监测通报和事件分级机制。

（三）影响简析

《办法》与国家金融监管总局2024年12月发布的《银行保险机构数据安全管理办法》一道，共同形成了覆盖银行保险非经营领域、经营领域的行业数据安全管理机制。尤其两项政策规章都对数据安全提出了独立且明确的“技术要求”，这对于银行保险行业的数据安全市场潜力而言，无疑从需求的角度明确了指引。其无论对于合规还是引领数据安全相关产业发展，都将是明确、积极的信号。