七问七答,一文解读《金融数据安全 数据安全分级指南》
吴丹君律师团队移动支付网2020/10/15 11:10:49

作者:吴丹君律师 张振君律师助理

引言

2020年9月28日,中国人民银行正式印发《金融数据安全数据安全分级指南》(JR/T 0197—2020)(以下简称《指南》)。《指南》给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。《指南》不仅适用于金融业机构开展电子数据安全分级工作,亦为第三方评估机构等单位开展数据安全检查与评估工作提供参考。

Q1:金融业机构必须开展数据分类分级工作吗?

A:《指南》虽为推荐性行业标准,但数据分类分级<i>是金融业机构所必须进行的重要工作。

《网络安全法》第二十一条规定网络运营者应当采取数据分类、重要数据备份和加密等措施,以防止网络数据泄露或者被窃取、篡改。2020年4月9日,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确提出“要推动完善适用于大数据环境下的数据分类分级安全保护制度”。2020年7月28日公开征求意见的《数据安全法(草案)》第十九条要求,“国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。”

针对金融行业,中国证券监督管理委员会于2019年6月1日实施的《证券基金经营机构信息技术管理办法》(第152号令)第三十条规定:“证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排”。中国银保监会办公厅于2019年5月22日发布的《关于开展银行业和保险业网络安全专项治理工作的通知》要求:“要制定数据安全分类分级标准,构建覆盖客户信息全生命周期的保护体系,防范数据被窃取。”

数据分类分级制度构建不断深化,相较之前只止步于提出数据分类分级原则性要求的做法,越来越多的法律文件开始探索数据分类分级具体标准的明确,比如证监会于2018年9月27日发布的《证券期货业数据分类分级指引》(JRT 0158-2018)、中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》(JR/T 0171—2020)及工信部于2020年2月27日发布的《工业数据分类分级指南(试行)》等等,《指南》亦为这一探索的成果。

地方政府亦积极推进数据分类分级制度构建,比如2016年贵州省经济和信息化委员会(贵州省大数据发展领导小组办公室)发布《政府数据数据分类分级指南》(DB52/T1123-2016)、2019年上海市经济信息化委发布《上海市公共数据开放分级分类指南(试行)》等等。

<i>《指南》在名称中仅体现了“分级”,但从《指南》提出的“数据安全定级工作流程”及附录A等内容可以看出,数据分类是数据分级的必要前提。

Q2:开展数据分类分级工作对于金融业机构有何作用?

A:从《指南》附录A中可看出,金融数据内涵丰富,种类繁多。数据分类分级工作的开展过程实际上是金融业机构按照一定标准对其所拥有的数据资产进行梳理的过程。

将各类数据按照风险进行分级,有利于金融业机构明晰数据保护重点,合理分配数据保护资源。针对不同级别的数据特征,有的放矢地采取安全保障措施,亦有利于降低数据安全性遭受破坏时对国家安全、公共权益、个人隐私、企业合法权益所带来的负面影响。

中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》将数据列为生产要素之一,正式纳入到市场化配置之中。数字经济新产业、新业态和新模式的培育,离不开数据的开放共享与有序使用。金融业机构若能依据统一规范的数据管理制度开展数据分类分级工作,将有利于促进数据在各机构间的开放共享,进一步挖掘金融数据价值。

Q3:《指南》适用于哪些数据?

A:金融数据是指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。《指南》4.3以正向举例和反向排除的方式界定了金融数据安全定级的适用范围。

安全定级工作所涉及的金融数据包括但不限于:

《指南》排除了未经电子化的金融数据以及涉及国家秘密的金融数据的适用。而对于证券行业数据安全分级工作,金融业机构可参照《证券期货业数据分类分级指引》(JRT 0158-2018)进行。

Q4:应以何种标准确定金融数据安全级别?

A:影响对象和影响程度是开展金融数据安全定级工作的重要考量因素,金融业机构通过评估金融数据安全性(保密性、完整性、可用性)遭到破坏后会对影响对象将造成何种程度的影响来确定数据安全级别。

影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公共权益、个人隐私、企业合法权益等。《指南》将金融业机构数据安全性遭到破坏后会对影响对象造成的影响分为四个等级,从高到低为严重损害、一般损害、轻微损害和无损害。影响程度宜综合数据类型、数据特征与数据规模等因素并结合金融业务属性确定。

《指南》5.3.1根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为五级,并详细描述了各个级别的特征。金融业机构可参考《指南》5.3.2的表2及附录A划定数据安全级别。其中,《指南》明确举例三条通用规则:

①重要数据的安全等级不可低于该标准所述5级;

②个人金融信息相关数据参照《个人金融信息保护技术规范》(JR/T 0171—2020)进行定级,并在数据安全定级过程中从高考虑(对比参考《个人金融信息保护技术规范》,个人金融信息中的C3类信息属于4级数据,C2类信息属于3级信息,C1类信息属于2级数据);

③对于数据体量大,涉及的客户(包括个人客户和单位客户)多、涉及客户(包括个人客户和单位客户)资金量大、涉及多行业及多机构客户的情况,影响程度宜从高确定。

Q5:《指南》要求重要数据的安全等级不可低于该标准所述5级,那什么是重要数据呢?

A:重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能产生严重后果的数据。

重要数据可包括宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的数据,以及关键信息基础设施网络安全缺陷信息等,比如汇聚后覆盖多省份的金融消费者真实交易信息,具体内容可参考《指南》附录C。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

Q6:如何开展金融数据安全定级工作?

A:《指南》5.4.3以流程图加步骤文字表述的方式展现了金融数据安全定级工作流程,金融业机构可据此开展工作:

其中,数据定级流程基本步骤第三步提到“识别数据安全定级关键要素”,这一步骤需结合《指南》5.2规定的“安全影响评估”进行。

金融业机构通过综合考虑保密性、完整性和可用性的影响评估结果来“识别数据安全定级关键要素”。在安全影响评估过程中,根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。

定级要素识别宜至少满足以下要求:

①因不同数据在安全性(保密性、完整性、可用性)方面有不同侧重,以所侧重的安全性评估结果,作为相应数据安全定级的主要依据。

②数据的保密性、完整性和可用性要求基本一致的,则重点以保密性评估所确定的定级要素为主要定级依据。

Q7:机构完成金融数据安全定级后,是否可以一劳永逸?

A:金融数据的安全性并不是一个静态的固定结果,而是一个受到多重因素影响的动态判断过程,金融业机构对某类金融数据的判断并不是“一劳永逸”的,而需根据金融数据所涉及的数据内容、数据规模、数据来源、机构职能和业务特点等因素进行综合判断。

《指南》附录B也提供了数项数据安全级别变化事宜参考,如经过汇聚融合的金融数据的安全级别可能上升,而脱敏后产生的数据的安全级别通常低于脱敏前数据。

数据安全定级是一个需长期持续进行的工作,这能有效避免因忽视金融数据安全性变化而未及时采取有效安全保障措施,有利于保障金融业机构日常运营的平稳进行。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消