-700x525.jpg)
2025年5月9日,为夯实数据安全的法治基础,指导督促金融从业机构依法依规开展涉及货币信贷、支付清算、征信和信用评级、反洗钱等业务领域数据(以下简称“业务数据”)处理活动,中国人民银行发布《中国人民银行业务领域数据安全管理办法》(以下简称《办法》),将于6月30日起施行。
下一步,中国人民银行将组织实施好《办法》,指导金融从业机构依法依规保障业务数据安全,促进业务数据开发利用,保护个人、组织的合法权益,筑牢金融安全防线。
2024年12月,国家金融监督管理总局制定发布《银行保险机构数据安全管理办法》,数治网小编在《超实用!银行保险机构数据安全合规要点和问题一文解析》中提到,通过建立覆盖全员的数据安全组织架构、数据分类分级制度、数据全生命周期安全要求等措施,金融机构可以确保数据安全与业务发展的双向促进。
一、五维核心解析
该文件是继《网络安全法》《数据安全法》等上位法后,针对金融业务数据的专项监管细则,旨在平衡数据安全与开发利用的关系,构建覆盖全生命周期的管理体系。《办法》共七章五十六条:
- 第一章明确《办法》制定依据、适用范围、管理原则、工作机制等;
- 第二章对数据资源目录、分类分级、制度建设、操作规程等方面作出规定;
- 第三章对数据收集、存储、使用、加工、传输、公开、删除等环节明确安全管理规定;
- 第四章从数据存储保护、数据备份、数据传输安全、算法风险防控等方面明确安全技术规定;
- 第五章对数据处理活动的风险监测、通报预警、评估与审计、事件分级、响应处置等方面作出规定;
- 第六章对中国人民银行及其分支机构的监督管理责任落实和数据处理者违反规定行为的处置作出规定;
- 第七章对术语定义、解释权、施行日期作出规定。
《办法》的核心措施聚焦数据分级管理(一般/重要/核心三级)、全流程管控(收集至销毁六环节)和技术防护(权限/日志/隐私计算)。机制上建立”监管-机构-行业”三级责任体系,实施”合规减责”激励与跨部门协作。以下我们从五个维度解析核心内容:
1、监管框架与责任划分
《办法》明确采用“业务数据谁主管谁负责”原则,央行承担指导监管责任,金融机构及经批准机构作为数据处理者负主体责任。通过建立国家数据安全工作协调机制下的跨部门协作、行业协会自律管理双轨制,形成“监管-机构-行业”三级治理体系。特别要求重要数据处理者设立专职安全负责人,直接向央行报告风险。
2、数据分级分类体系
业务数据按敏感性和影响程度实施三级分类:一般数据、重要数据、核心数据。重要数据指可能危害国家安全、经济运行等的数据,核心数据则是对政治安全有直接影响的重要数据。数据处理者需建立动态资源目录,每年更新并标识三类特征:业务关联性(如是否含个人信息)、敏感性(分高、中、低三级)、可用性(按系统恢复目标分级)。
3、全流程管理要求
从收集到销毁的六个环节设置差异化规则:收集环节限制生物识别信息采集,存储环节要求核心数据系统满足四级等保,使用环节原则上禁止导出高敏感数据,加工环节需审查算法伦理,传输环节强制加密,销毁环节规范介质处理。对跨境数据流动,明确不得规避安全评估义务。
4、技术防护与应急机制
要求采取四类关键技术措施:权限管控(特权账号多因素认证)、日志审计(核心数据日志留存3年)、隐私计算(保障数据融合安全)、冗余备份(定期验证可用性)。安全事件按影响范围分级处置,重要数据企业需年开展应急演练,重大事件后启动专项审计。
5、法律责任与合规激励
违规处罚援引《数据安全法》第45条,最高可追责至刑事责任。但设立“合规减责”条款:已采取保护措施且及时补救的可减轻处罚,主动报告风险情报的从轻处理。监管手段包含约谈、联合执法、国家安全审查等,体现“惩防结合”导向。
二、AI标注训练
《办法》中的第十八条、第十九条对金融业务领域AI标注训练中,在数据审查、高敏感性数据以及新数据项给出三个层面的合规要求:
一是在数据审查方面,要检查业务数据加工目的与收集约定是否相符,对训练数据要审查多方面特性,标注数据要抽样审查,建立模型评价激励规则要符合道德规范。
- 提升数据质量:业务数据加工目的审查能确保数据使用合规,为AI标注训练提供合法的数据基础。训练数据特性审查保证了训练数据的准确性、完整性和一致性,有助于提高AI模型的性能。标注数据抽样审查可及时发现标注错误和偏差,提高标注质量,使模型能学习到更准确的信息。
- 增强模型公平性:模型评价激励规则道德规范审查能避免模型出现偏见和歧视问题,保证AI系统的公平性和公正性,这在金融业务中尤为重要,可提升客户对金融服务的信任度。
二是高敏感性数据处理时,要明确安全保护措施并履行内部审批程序,若基于此提供自动化决策服务需向个人解释说明相关情况。
- 保障数据安全:在处理高敏感性数据时明确安全保护措施并履行内部审批程序,以及在提供自动化决策服务时向个人解释说明情况,能防止数据泄露,保障个人隐私和商业机密,让金融机构在进行AI标注训练时更合规地使用高敏感性数据。
- 提高系统可信度:增强AI系统的透明度和可信度,有助于金融机构推广和应用基于AI标注训练的模型,促进金融业务的创新和发展。
三是对于业务数据加工产生的新数据项,根据其敏感性评估结果,若低于原数据项可按规定降低敏感性标识以促进开发利用,若高于原数据项则要提高敏感性标识并加强安全保护。
- 合理利用数据资源:随着数据的不断更新和处理,及时调整数据项的敏感性标识,有助于合理利用数据资源,在保障数据安全的前提下,充分挖掘数据的价值,为AI标注训练提供更丰富的数据支持。
三、热点问答
在数治网院iDigi数字ABC的“A”从数据分析到治理实务体系课程中,特别推出金融业务领域数据合规框架的构建、运营策略与实务入门以及AI应用的数据治理实践,从数据质量监控到数据多样性保障与清洗,再到模型泛化能力与准确性提升,最后形成一个完整的长效闭环管理体系。
通过这些措施落地,可以帮助从业人员有效提升数据管理水平、AI模型的数据处理能力,确保AI应用在多样化场景下的准确性和稳定性,以及业务的合规性和安全性:
- 建立完善的合规框架、数据分类分级、全生命周期治理、智能风控、合规运营执行路径、AI应用合规管理及持续改进
- 明确制度体系、技术支撑、风险监测与应急机制以及持续的合规审计与优化
在文末按提示免费领取你的数智第一课,以下是课程部分热点问答:
问:数据处理者在业务数据分类分级方面需要履行哪些具体职责?
答:数据处理者需要建立健全业务数据分类分级制度和操作规程,确保分类分级结果的准确性和合理性。具体职责包括:
- 标识各数据项是否为个人信息、是否为外部收集产生、存储该数据项的信息系统清单和关联的业务类别。
- 根据业务数据遭到泄露或被非法获取、非法利用时对个人、组织合法权益或公共利益造成的危害程度,开展敏感性分类。
- 根据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度,明确信息系统差异化的数据恢复点目标,视为对业务数据的可用性分类。
- 将业务数据分为一般数据、重要数据、核心数据三级,并准确识别、申报本机构存储的全量业务数据是否属于重要数据、核心数据。
问:在业务数据安全管理方面,数据处理者需要采取哪些具体的技术措施?
答:数据处理者需要采取以下具体的技术措施来保障业务数据的安全:
- 访问控制:加强访问控制,采取有效技术措施管控业务数据处理账号的数据使用权限,明确特权账号的使用场景并加强使用时的内部审批授权。
- 安全认证:保障业务数据处理账号和特权账号认证口令的强度,支持多因素认证或者二次授权确认,并建立超时退出、访问通信地址变化等情形的重新验证机制。
- 日志记录:规范日志记录,明确业务数据处理活动日志记录信息,满足数据安全风险溯源和事件处置需要,留存业务数据处理活动日志至少六个月。
- 数据存储:采取有效技术措施保障业务数据存储安全,存储重要数据的信息系统应当满足三级网络安全等级保护要求,存储核心数据的信息系统应当满足四级网络安全等级保护要求。
- 数据传输:采取专用线路、虚拟专用网等技术加强业务数据传输安全保护,原则上高敏感性数据项须加密传输。
问:数据处理者在业务数据安全风险与事件管理方面需要履行哪些具体职责?
答:数据处理者需要履行以下具体的职责来管理业务数据安全风险与事件:
- 风险监测:加强业务数据处理活动风险监测,有效识别法律、行政法规禁止发布传输的信息、计算机病毒、木马、勒索等恶意程序、高敏感性数据项安全保护措施失效、异常的业务数据处理活动、业务数据传输或者存储承载能力不足等风险。
- 风险评估:重要数据的处理者应当每年对业务数据开展一次风险评估,并报送风险评估报告,内容包括与存储重要数据信息系统相关的人员培训与日常管理情况、网络安全等级保护测评和整改情况、保护措施执行情况、本年度风险监测和事件处置情况等。
- 事件处置:发生业务数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并按照中国人民银行要求及时、准确、完整报告事件情况。重要数据的处理者应当每年至少开展一次针对业务数据安全事件的应急演练。
- 应急演练:重要数据的处理者应当每年至少开展一次针对业务数据安全事件的应急演练,其他数据处理者应当每三年至少开展一次针对业务数据安全事件的应急演练。
问:在数据分类分级基础建设中,如何确保数据资产地图的准确性和实时性?
答:为了确保数据资产地图的准确性和实时性,企业可以采用自动化工具进行数据扫描和识别,定期更新数据资产清单。
此外,通过建立数据变更管理流程,确保每次数据变动都能及时反映在数据资产地图中。还可以利用数据治理平台,集成数据发现、分类和元数据管理功能,从而实现数据资产地图的动态维护。
问:在金融科技企业合规运营实操建议中,如何有效实施自动化合规工具?
答:有效实施自动化合规工具需要以下几个步骤:
- 首先,明确合规需求和目标,确定需要自动化监控和拦截的具体场景;
- 其次,选择合适的自动化工具,并进行定制化开发,确保其能够嵌入现有业务流程;
- 再次,进行充分的测试和验证,确保工具的准确性和有效性;
- 最后,定期对工具进行维护和更新,以适应不断变化的监管要求和业务环境。
问:在金融业务领域AI应用合规中,如何确保AI训练数据的多样性和代表性?
答:确保AI训练数据的多样性和代表性可以通过以下几个方面实现:
- 首先,收集来自多个数据源的数据,避免单一数据源的偏差;
- 其次,进行数据清洗和预处理,去除噪声和异常值;
- 再次,采用数据增强技术,增加数据的多样性;
- 最后,定期对数据进行审查和更新,确保其始终具有代表性和时效性。
结语
该《办法》的出台标志着金融数据监管进入精细化阶段,通过“分类定级-场景规范-技术兜底”三重约束,既防范数据滥用风险,又为合规流通预留创新空间。金融机构需重点完善内部分级制度、技术防护体系及应急响应机制,以适应强监管时代要求。
该办法通过规范数据使用,间接推动数据驱动决策:重要数据的安全共享支持跨机构风控模型优化;权限精细化管控提升业务效率;隐私计算技术保障个性化服务合规开展;应急机制强化系统性风险问题解决能力。
金融机构需升级数据治理体系,短期增加合规成本;但长期看,标准化规则降低数据流通壁垒,为金融科技创新提供制度保障;最终实现安全与发展动态平衡,提升行业整体数据应用水平。
免费领取你的数智第一课
数治网院 iDigi 推出15分钟AI适配搭建微学习、微专业,开启“一人一表”“一人一课”。完成自主学习、预约导师开讲、Q小治答疑、实操练习、分享心得等任务,参与评选“学习显眼包”赢数治Pro学习卡、盲盒!
- 免费课程:完成素养测评即可定制个人微课堂,领取你的数智第一课
- 开卡即赠:¥199开卡预约导师体验单课时,即赠《AI商业进化论》实体书
- 行业资料:更多标准、白皮书、报告等干货,进入公众号菜单“治库”限时下载
- 互动社群:加入数治Pro成长营,一起探讨分析、业务转型及以客户为中心
点击图片查看高清大图:
立即行动:
扫码关注数治网微信公众号,有问题来Q小治,秒懂数字ABC!欢迎在对话框发送“A”、“B”、“C”领取课程示例。
来源:中国人民银行网站,本篇结合生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Piggybank, Unsplash
一条评论