2020年9月28日,中国人民银行正式印发《金融数据安全数据安全分级指南》(JR/T0197—2020)(下称《指南》),根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别由高到低划分为五级。
《指南》列出的影响对象包括国家安全、公众权益、个人隐私、企业合法权益等;影响程度从高到低划分为非常严重、严重、中等和轻微;附录中给出了金融行业典型数据类型及建议划分的最低安全级别。值得注意的是,《指南》特别强调金融业机构应高度重视个人金融信息相关数据,在数据安全定级过程中从高考虑。其中,个人金融信息中的C3类信息(主要为用户鉴别信息,如各类账户密码)属于4级数据;C2类信息(主要包括支付账号、动态口令等)为3级数据;C1类信息(主要包括账户开立时间、开立机构等)为2级数据。
金融数据安全分级的大背景是金融数据作为生产要素的价值日益凸显。近年来,随着金融科技和数字经济的发展,金融数据体现出巨大的应用和商业价值。与此同时,数据安全尤其个人隐私保护成为公众关注的焦点。
“在国内金融行业的发展中,数据治理一直以来是一个痛点,制约了整个行业的数字化进程和金融科技的创新成果。” 西南财经大学数字经济研究中心主任陈文对证券时报记者表示。
今年8月,中国首部《数据安全法》草案公开征求意见结束,草案对数据实行分级分类保护,授权各地区、各部门制定本地区、本部门重要数据保护目录。
陈文参与了《指南》的筹划起草工作,他表示,金融数据和其他数据相比有着明显特征,首先在于大部分数据与实名绑定,且涉及到资金的流通;另外,对于金融机构而言,金融数据的流通具有相当的可行性和商业价值。因此要在数据共享和数据保护之间谋求一个平衡。”
陈文指出,在标准制定过程中,数据颗粒度要适度。“《指南》中并没有细分到证券、保险、银行等行业的标准,这说明在某种程度上,金融行业已经在追求一个统一适用的标准,相应的监管也是穿透式的,因为金融数据本身已经渗透到了方方面面。”
该《指南》由中国人民银行科技司发起,全国金融标准化技术委员会归口管理,由国家金融IC卡安全检测中心牵头。证券时报记者注意到,参与标准起草的单位还包括招商银行、农业银行、兴业银行等商业银行机构、平安保险等保险机构以及蚂蚁集团等金融科技公司。这意味着《指南》将对各类金融机构产生广泛影响。“数据分级是让数据参与要素分配的关键一环,有了分级的框架,后续才会有关于数据采集和使用等情形的界定,金融机构能采集什么数据、采集之后能够留存多久、机构内部和机构之间的共享能到什么程度,都要依据分级的标准。”陈文称。来源:证券时报
返回列表