编者按:
9月1日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行。作为我国第一部有关数据安全的专门法律,将与《网络安全法》及即将实施的《个人信息保护法》一起,全面构筑信息及数据安全领域的法律框架。对于金融行业来说,此次实施的《数据安全法》将会带来哪些深刻影响?本期专题旨在深入探讨相关问题。
随着金融业迈入数字化时代,数据安全、数据管理成为重要议题。《数据安全法》施行,金融行业如何构建数据安全体系,防止数据泄露,满足监管合规要求?多位法律人士与金融行业人士给出了答案。
金融数据安全事关重大
作为数据领域的基础性法律,《数据安全法》的出台标志着我国各行业的数据安全建设工作及监管工作将进入有法可循、有法可依的新时代。
金融是产生和积累数据量最大、数据类型最丰富的领域之一,当前数据的作用也不断凸显,数据安全与个人信息保护在新时代也面临新的风险与挑战。根据《中国银行保险报》与亚信网络安全产业技术研究院发布的《金融行业网络安全白皮书(2020)》显示,金融隐私泄露事件大约以每年35%的数据在增长。
浙江垦丁律师事务所律师吴旭华表示,《数据安全法》的出台,为金融行业数据安全保护工作提供了指导依据。《数据安全法》以及《网络安全法》《个人信息保护法》三位一体,横向细分行业领域,如医疗、金融、外贸、旅游、运输、娱乐、健康等,纵向细分数据治理涉及的各类问题,如数据保护、数据分类分级、数据出境、个人信息保护等,并通过各类下位法及相关规范性文件,对不同领域及不同问题加以规制,形成了一个完整的数据安全保护体系。
融联易云相关负责人表示,对于金融机构而言,要充分考虑在提供优质金融服务的同时,评估好数据开发所引发的各种安全风险,包括个人隐私数据泄漏、数据合规使用等,做好数据治理和数据安全风险防控工作。
破解金融数据安全治理痛点
在数据安全体系建设工作中,一个重要任务就是对数据资产进行识别梳理、实行分类分级、做好数据全生命周期的安全防护,这一直是金融数据安全治理的核心痛点。
《数据安全法》在法律层面将数据分类分级保护规定为一项基本制度,规定了分类分级的基本方法、明确了责任部门和保护思路,要求各地区、各部门和各行业制定各自范围内的“重要数据目录”。并首次提出了“国家核心数据”的概念,特别指出:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”数据分类分级因此成为了一项法定义务。
实际上,在《数据安全法》出台之前,针对数据安全,互联网、金融业的相关监管部门已出台了大量的政策和标准规范,包括《网络安全法》《个人金融信息保护技术规范》《金融消费者权益保护实施办法》《银行业金融机构数据治理指引》《金融数据安全数据安全分级指南》等。此外,2021年8月20日,第十三届全国人大常委会第三十次会议审议通过的《个人信息保护法》,将于2021年11月1日起施行。
泰和泰律师事务所律师陈福中认为,由于金融企业所处理的数据大多数与金融有关,完全可以将金融行业的有关标准作为参考工具来开展数据识别和分类分级相关工作。如果涉及重要数据,则需要按照规定采取对应的特别保护措施,比如明确数据安全负责人和管理机构、落实数据安全保护责任,定期开展风险评估并向主管部门报告,采取更高级别的技术安全措施等。
工商银行业务研发中心专家苏建明认为,根据《数据安全法》的要求,金融机构应结合业务处理、应用使用、对外数据交换和生产测试运维等业务场景,实施重要数据的打标识别、分类分级工作,落实数据全生命周期安全监控、安全保护和风险审计评估机制,确保数据可视、合规和安全可控,显著提升数据使用价值保障能力。
明确数据交易制度
值得注意的是,此次《数据安全法》提到“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”
对此,北京观韬中茂(上海)律师事务所合伙人王渝伟认为,这是我国法律首次明确了国家对于数据交易制度的支持。“当然,并非所有数据交易都合法,目前,数据交易制度仍然是建构在数据相关立法基础之上,交易是否合法仍然需要以符合其他法律法规为前提。”
今年1月,央行发布的《征信业务管理办法(征求意见稿)》,从保护个人和企业合法权益角度对信用信息采集、整理、保存和加工进行了规定。要求征信机构采集信息遵循“最少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等,采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。
王渝伟表示,《商业银行互联网贷款管理暂行办法》也曾针对商业银行与合作机构的合作行为提出诸多规制举措,包括“商业银行如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,并已获得信息主体本人的明确授权”,这可以视作监管部门对商业银行及合作机构在“数据合作或者交易”过程中行为的规制,对《数据安全法》在金融业务领域的直接践行。
“目前来看,推动和实现金融机构数字化转型、金融科技创新突破的大数据、人工智能等技术的应用都有赖于大量的数据支撑,因此,下一步如何在关注数据安全、个人隐私保护的前提下,利用好数据交易制度带来的数据红利,将是众多金融机构亟须思考的。”王渝伟说。
王渝伟认为,未来数据交易的模式可能会随着联邦学习、多方安全计算、可信执行环境等隐私计算解决方案的成熟而发生根本性变化,一种既能保证数据安全及隐私合规又能完全释放数据流动价值的数据交易或合作模式,将改变传统数据交易一直游走在法规政策灰色地带的尴尬,或将成为建构未来数据交易制度的一条绿色通道。
加大数据安全违法处罚力度
基于数据安全的违规场景,《数据安全法》细化了违规法律责任,并制定了直接负责的主管人员和其他直接责任人的处罚细节,相对《网络安全法》,大幅提高了对违法行为的处罚力度,增加了违法成本,提高了威慑力。
《数据安全法》第四十五条明确,“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。”
苏建明认为,随着法律的不断完善,金融机构在数据安全工作的监管合规上面临巨大挑战,金融机构应当厘清国家和行业监管的边界范围和权责,严格遵守监管要求,强化组织架构,明确组织内人员分工,从源头上杜绝可能存在的安全合规风险,构建涵盖数据运行全过程的全方位合规审查机制,将安全合规贯穿整体数据安全治理体系。
“金融企业除了密切关注后续配套立法的进程和具体要求外,建议尽早根据《数据安全法》的规定和其他现行有效的法律法规、规范性文件,建立、完善符合自身实际情况的数据合规组织体系和制度体系,以防范相关风险,保障数据安全,并为可能的监管挑战做好准备。”陈福中说。