《中国人民银行业务领域数据安全管理办法（征求意见稿）》与《银行保险机构数据安全管理办法》的差异和侧重点

一、发布背景与目的

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 发布背景：为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理。
  • 目的：规范中国人民银行业务领域数据的安全管理，细化明确数据安全合规底线要求，填补本领域数据安全管理制度保障空白。

• 《银行保险机构数据安全管理办法》

  • 发布背景：为规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用。
  • 目的：通过强化政策要求，引导银行保险机构压实主体责任，完善内部机制，加强数据安全保护，保障客户信息和金融交易数据安全。

二、适用范围与主体

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 适用范围：适用于中华人民共和国境内开展的，中国人民银行承担监督管理职责各类业务相关的数据处理活动。
  • 适用主体：涉及中国人民银行业务领域的所有数据处理者。

• 《银行保险机构数据安全管理办法》

  • 适用范围：适用于中华人民共和国境内设立的银行保险机构的数据处理活动。
  • 适用主体：包括政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团（控股）公司等银行保险机构。

三、主要内容与侧重点

（一）数据分类分级

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 侧重点：强调数据处理者应当建立数据分类分级制度规程，根据数据的精度、规模和对国家安全的影响程度，将数据分为一般、重要、核心三级。同时，进一步将数据项敏感性从低至高分为一至五共五个层级。
  • 要求：数据处理者应当梳理数据资源目录标识分类信息，参考行业标准，根据业务开展情况建立业务分类，细化数据资源目录。

• 《银行保险机构数据安全管理办法》

  • 侧重点：要求银行保险机构对业务经营管理过程中获取、产生的数据进行分类管理，根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其他一般数据。
  • 要求：银行保险机构应当制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，采取差异化安全保护措施。

（二）数据安全保护总体要求

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 侧重点：强调数据处理者应当压实数据安全责任，建立数据安全问责处罚制度和数据处理活动全流程安全管理制度，制定数据安全培训计划。
  • 要求：数据处理者应当加强账号身份认证管理，对高敏感性数据项的账号支持多因素认证或二次授权，相关账号使用人员应当签署保密协议。

• 《银行保险机构数据安全管理办法》

  • 侧重点：要求银行保险机构建立与业务发展目标相适应的数据安全治理体系，落实数据安全责任制，明确各层级负责人的责任，落实问责处置机制。
  • 要求：银行保险机构应当建立数据安全责任制，明确党委（党组）、董（理）事会对本单位数据安全工作负主体责任，主要负责人为数据安全第一责任人，分管数据安全的高级管理人员为直接责任人。同时，要求银行保险机构指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门。

（三）数据处理活动全流程安全要求

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 侧重点：针对收集、存储、使用、加工、传输、提供、公开和删除各环节，向数据处理者明确采取哪些安全保护管理和技术措施后，可视为总体满足尽职尽责的合规底线要求。
  • 要求：数据处理者应当加强数据安全风险情报监测、核查、处置与行业共享，制定数据安全事件定级判定标准和应急预案，规范应急演练、事件处置、风险评估和审计等工作。

• 《银行保险机构数据安全管理办法》

  • 侧重点：强调银行保险机构应当对数据处理活动全生命周期进行安全评估和管理，确保数据在各个环节得到妥善保护。
  • 要求：银行保险机构应当开展数据安全的技术基础设施建设，支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能。同时，要求银行保险机构在涉及敏感数据的数据共享、委托处理、转让交易、数据转移等场景前，向监管部门报告，并履行相应的安全评估和管理义务。

（四）个人信息保护

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 侧重点：虽然未专门设立个人信息保护章节，但在数据收集、使用、提供等环节也均有个人信息保护的相关要求。
  • 要求：数据处理者应当遵守《中华人民共和国民法典》《中华人民共和国个人信息保护法》有关隐私权、知情权、决定权、查阅复制权、删除权、解释说明权等的特别规定。

• 《银行保险机构数据安全管理办法》

  • 侧重点：单独设置“个人信息保护”章节，详细规定了处理个人信息的原则、告知义务、数据共享/提供、跨境传输、委托处理、自动化决策等方面的要求。
  • 要求：银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息。处理、共享和对外提供个人信息时，应当履行必要的告知义务，并取得必要同意。

（五）风险监测与处置

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 侧重点：强调数据处理者应当建立数据处理活动安全风险监测和告警机制，加强数据安全风险情报监测、核查、处置与行业共享。
  • 要求：数据处理者应当制定数据安全事件定级判定标准和应急预案，规范应急演练、事件处置、风险评估和审计等工作。

• 《银行保险机构数据安全管理办法》

  • 侧重点：要求银行保险机构将数据安全风险纳入全面风险管理体系，明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程。
  • 要求：银行保险机构应当制定数据安全事件应急预案，定期开展应急响应培训和应急演练。数据安全事件发生后，应当立即启动应急处置，分析事件原因、评估事件影响、开展事件定级，并及时向监管部门报告。

四、法律责任与监管要求

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 法律责任：明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查，以及数据处理者违反规定时对应的法律责任。
  • 监管要求：注重与现有制度标准的衔接，包括与业务管理制度、个人信息保护管理制度、涉密数据管理制度、非网络数据管理制度以及现行数据相关标准的衔接。

• 《银行保险机构数据安全管理办法》

  • 法律责任：未直接列出具体的法律责任条款，但强调了银行保险机构应当遵守相关法律法规，承担数据安全保护责任。
  • 监管要求：要求银行保险机构接受国家金融监督管理总局及其派出机构的监督管理，定期报送数据安全风险评估报告和其他相关材料。

五、总结

• 《中国人民银行业务领域数据安全管理办法（征求意见稿）》

  • 特点：侧重于中国人民银行业务领域的数据安全管理，对数据分类分级、数据安全保护总体要求、数据处理活动全流程安全、风险监测与处置等方面进行了详细规定。
  • 适用场景：主要适用于中国人民银行承担监督管理职责的各类业务相关的数据处理活动。

• 《银行保险机构数据安全管理办法》

  • 特点：侧重于银行保险机构的数据安全管理，对数据治理体系、数据安全责任制、数据分类分级、数据安全保护技术措施、个人信息保护、数据安全风险监测与处置等方面进行了全面规范。
  • 适用场景：主要适用于中华人民共和国境内设立的银行保险机构的数据处理活动，涵盖了银行业和保险业的各个领域。

两者差异总结