随着大数据处理时代的来临,金融服务产业利用数据处理扩大了服务价值,数据安全越来越成为用户、机构乃至国家重视的财产。党中央、国务院提出“加快培育数据要素市场”,金融机构在经营活动中产生了大量的数据,涉及各类个人信息和商业秘密在手机、传输、储存的过程中或许存在各类越权行为,产生信息泄露的风险。
近年来,金融机构如银行等频频被爆出大量客户信息被泄露引发网络安全事件,因此金融机构如何在信息利用与数据安全保护之间达到平衡,防范信息泄露、信息盗用、信息冒用等问题,保护数据安全已经成为金融机构当前亟待解决的课题之一。
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(以下简称《数据安全法》),于2021年9月1日实施。这部法律既是数据领域的基本性法律,也是我国信息安全领域的一项重大立法,为我国数据安全治理体系建立了立法基础及制度框架,确立了数据安全保护和基本思路和大致方针。在数字经济时代,数据是我国的基础性战略资源,没有数据安全就没有国家安全,因此建立国家数据安全法是保障我国信息安全的必须条件。
《数据安全法》第四章第二十七条至第三十六条对于数据安全保护义务作出了明确细致的规定。在现代社会,“金融是经济发展的血液和重要支撑”,金融机构掌握了大量的个人及企业的数据,维护金融意义重大,因此对金融机构对于数据的安全保护义务提出了更高的要求。总体而言,金融机构需要建立健全数据安全管理体系,以进一步履行国家安全保障之主体责任,定期制作风险评估报告并对其进行上报,在出现数据安全漏洞或者出现突发性数据安全事件时,应当及时采取处置措施并上报。在开展数据采集和交换工作时,双方必须以合法方式开展,并同时表明数据来源和保存记录。而数据服务经营者必须获得国家行政许可,信息服务提供商也必须获得国家批准,金融机构在与公安、安全部门等单位开展刑事犯罪调查活动时,也必须依法协助,而境外金融机构则在调取数据时未获国家许可而不能进行。
但必须注意的是,由于《数据安全法》和《中华人民共和国网络安全法》(以下简称《网络安全法》)存在交叉内容,信息基础设施的运营在我国领域内收集和产生的重要数据的出入境管理适用《网络安全法》之规定,而其他数据处理者在中国领域内形成的重大数据的入境管理,则由我国国家网信行政部门会同国务院相关行政部门实施。在《数据安全法》的规制下,金融机构应当重视数据安全的保护义务,具体如下:
一、建立重要数据的保护制度
《数据安全法》第二十一条规定:重要数据目录由国家数据安全工作协调机制统筹协调有关部门制定,形成国家级的重要数据目录;各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录。”金融机构在运营过程中掌握着海量的数据,其中包含很多重要且关键性的数据,根据前述法律规定金融机构应当建立重要数据的保护制度,以维护金融安全。
(一)确定了开展数据处理活动时的安全防护义务,并要求实施等级防护管理措施工作。
《数据安全法》第四章整章明文规定了“数据安全保护义务”,并作出从事大数据社会活动时应当遵守的具体规范。
1、建立健全全流程与数据安全管理体系;
2、组织开展数据安全教育培训;
3、采取相应的生产技术安全措施以及一些必备预防措施,确保数据安全;
4、使用互联网等信息网络进行信息处理活动,必须在安全分级防护机制的基础上,承担安全保障义务;
5、做好安全危害监测和处理,适时应对处理安全事件;
6、通过合理、公正方法获取统计资料,并在法律、行政法规规定的目的和范围内获取、利用统计资料,不能超出必要限制等。
就金融机构来说,履行数据安全保障义务,实施等级防护管理,仍将是公司开展日常数据安全的重点内容。
(二)明确向境外提供数据的法律监管适用情况,规定不得未经许可而向国外提交中国境内信息或者重大数据信息。
《数据安全法》第三十六条规定:"非经中国主管部门同意,境内外的团体、社会个人不准向境外司法或执行组织提交存放于中国境内外的各种数据。"对金融机构而言,包括信息和关键财务数据的出境,都必须注意遵守相关义务。但是《数据安全法》并没有明确对企业运营所需要的数据跨境流动具体如何管理,《网络数据安全管理条例(征求意见稿)》对此进行了重点规定,对数据跨境流动、安全评估等问题,均有所涉及。
(三)要求数据中介服务组织的数据贸易活动要持牌运营,合规经营。
《数据安全法》第三十三条规定:“将数据信息中介服务商制度列入了规范内容,并规定信息中介构成应需要数据信息提交方表明数据信息源头,以核实交易各方的身分,并保存审核、交易等记录。”同时根据《数据安全法》第三十四条的相关规定,进行数据处理相关服务应当取得行政许可的,信息服务内容提供者必须依法取得许可证。由此可以看出,针对专门进行数据分析业务的公司未来在进行数据分析业务上,将按照监管部门的具体要求,将进行审核,持证运营。
(四)加大违法处罚力度
《数据安全法》中对数据的违法活动作出了一系列惩罚规定,其中对不承担法律规定保障权责的,影响国家安全或者侵害个人权益的,向国外提交重要数据的,交易原因为未知的数据的,单位拒绝或者不协助数据调取的,以及未经批准向国外提交重要组织数据等的情况,从单位到个人,都规定了严厉的罚则,最高可达一千万元罚金,并将根据情况责令停止有关服务、停业整顿、注销有关的经营证照,甚至废止经营执照;造成刑事犯罪的,依法追究刑事犯罪负责。
二、企业合规建议
(一)保证数据处理活动的合法合规
《数据安全法》第三十二条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”同时《数据安全法》第五十一条规定:“窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。”
因此,《数据安全法》从数据的来源上给出了"合法、正当"的约束性要求。针对于金融企业,数据的采集,不管是采取由用户自主进行手段或者企业自行进行方法获取数据的,都应当就采集的目的、方法和范围等做出合理授权,以及保证数据收集手段、方法的合理、符合必要性原则。除此之外,数据活动所涉及的"储存、利用、加工、传递、服务、发布"等,都应当符合政府有关立法、监管等法规的要求。
(二)构建全流程的数据安全管理体系,确定主要安全责任人和机构
建立并健全包括数据获取、传递、保存、共享等在内的全过程数据安全管理体系,采取相应的技术手段采取必要措施,以确保合法合规地处置数据。金融机构必须在安全分级防护机制的基础上,落实安全保障义务,确定安全责任人或者机构,履行安全保障责任。
(三)实施企业内部数据分类分级管理工作,并建立了相关制度
针对关键信息及基础资料的识别和管理,目前对我国在金融机构、网络安全等领域信息分类及评级的管理制度也已经相对细化,包含《金融机构信息数据安全安全性评级指引》、《电信和互联网服务用户个人信息防护界限及划分》等。同时,人民银行所制定的技术标准《金融机构数据安全统计安全分级指引》确定了金融数据安全分级的原则,中国人民银行颁布的技术标准《金融机构安全性统计生命周期安全规范》则按照金融机构财务数据的安全性级别,对各个层级金融机构财务数据的收集、传递、利用、清除、销毁等进行了更加细化的规定。
金融机构可结合其数据特点,根据上述标准建立针对关键数据或核心数据的甄别机制,针对不同类别和层次的数据作出差异化的管理需求,建立相关管理体系,完成相关审核程序。
(四)落实网络安全等级保护义务
按照《网络安全法》对等保等机制的要求,提出了措施,包括建立企业内部网络安全规范、明确网络安全主要责任人、制定防止病毒攻击的技术保护措施、监控互联网运行、保存网络日志、制定密码保护措施等。同时,按照《GB/T22239-2019信息安全科技网络安全级别防护要求》、《GB/T22240-2020信息安全科技网络安全类别防护定级指引》等"等保2.0"系统规范规定,认真做好相应系统的等保评估备案工作。
(五)定期进行风险评价,并完成风险评价报告义务
金融机构应当定期进行风险评价工作,根据所管理的关键数据的类型、数量、以及进行数据活动的实际状况,对数据安全风险以及处理措施等问题做出定期的风险评价。具体的风险评价方式,可以参照《中华人民共和国个人信息保护法》项下所规定的对个人安全影响评价的有关规定,及时部署关键数据风险评价工作和评估机制。处置重要数据项目中的数据的,必须根据规范对数据活动定期进行安全性评价,出现数据安全事件的,必须尽快制定应对措施,并保存处理笔录,根据情况适时通知用户或向相关主管报告。
(六)配合公安机关和国家安全机关数据调取
《数据安全法》第三十五条规定:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”从前述法律规定可以看出:
1.调取的主体是公安机关和国家安全机关;
2.调取数据的主要目的,是为了保障国家安全和侦查犯罪活动的需要;
3.应当依法经过严格的批准手续。
(七)定期开展数据安全培训
按照《数据安全法》的规定,金融机构一方面应当定期对安全岗位有关的工作人员进行安全技术培训,培训内容应当包括企业规章制度、管理规定、安全技能训练等内容;另一方面,应当定期对全员进行了数据安全意识培养,提高了公司员工安全意识和技术创新能力。
数据已然变成最关键的产出要素,而数字经济已然来临。《数据安全法》是信息时代的必然产物,同时也将推动中国数字经济社会的健康发展,推动数据要素市场建设的进程。金融机构必须在切实履行数据安全保护义务的基础上才能实现数据资产的合法有效利用。这既是合规的基本要求,也是金融机构发展的动力。对各机构而言,依法依规进行数据管理活动、落实安全保障既是义不容辞的义务,又是发挥大数据要素价值的前提条件。
