2023年7月23日,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《办法》”)向社会公开征求意见,《办法》分总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、 风险监测评估审计与事件处置措施、法律责任、附则共八章、五十七条。《管理办法》全面衔接《中华人民共和国数据安全法》,细化明确中国人民银行业务领域数据安全合规底线要求,填补本领域数据安全管理制度保障空白,指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务。

其中,对数据分类分级制度提出精细化要求是《管理办法》的重要特点。本文对第二章数据分类分级部分进行解读。

数据分类要求

“第七条(数据分类要求)数据处理者应当参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。”

《中国人民银行业务领域数据安全管理办法(征求意见稿)》

解 读:

金融行业的数据安全标准主要参考JR/T 0171-2020《个人金融信息保护技术规范》、JR/T 0197-2020《金融数据安全 数据安全分级指南》,其于2020年发布并实施,JR/T 0223-2021《金融数据安全 数据生命周期安全规范》于2021年发布并实施,引导银行业金融机构加强数据安全治理、数据安全建设,充分发挥数据价值。

JR/T 0197标准附录A金融业典型数据参考表,分为一到四级子类,一级分为客户、业务、经营管理、监管四类数据,具体到四级数据属于什么级别也进行了细化说明,极具参考价值。

JR/T 0223是针对金融数据的生命周期安全规范,规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,建立覆盖数据釆集、传输、存储、使用、删除及销毁过程的安全框架。《办法》第五条数据分类分级保护总体规划、第六条数据分类分级制度规程应参考JR/T 0223,金融数据安全级别依据的是JR/T 0197,对于个人金融信息的保护应同时参考JR/T 0171。

数据敏感性分层级

“第九条(数据敏感性分层级)在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。”

《中国人民银行业务领域数据安全管理办法(征求意见稿)》

解 读:

JR/T 0171针对金融行业个人信息保护,从安全技术和管理两个方面对个人金融信息保护提出了规范性要求。首先我们要明确个人金融信息包括:账户信息、身份鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。标准将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。

JR/T 0197对金融数据进行了分级,与JR/T 0171的关系是将个人金融信息C1、C2、C3三个类别信息分别对应到了2级数据、3级数据和4级数据,整体将金融数据分为5级,5级最高、1级最低。这个标准给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。

JR/T 0197附件中有数据定级参考表,需注意JR/T 0171的三个级别在2、3、4级。

最低安全级别参考

数据定级要求

数据一般特征(数据安全级别概述)

影响对象

影响程度

5

国家安全

严重损害/一般损害/轻微损害

重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。

公众权益

严重损害

4

公众权益

一般损害

数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

个人金融信息中的C3类信息。

数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。

4

个人隐私/企业合法权益

严重损害

3

公众权益

轻微损害

数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

个人金融信息中的C2类信息。

数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。

3

个人隐私/企业合法权益

一般损害

2

个人隐私/企业合法权益

轻微损害

数据用于金融业机构一股业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据。

个人金融信息中的C1类信息。

数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。

1

国家安全/公众权益/个人隐私/企业合法权益

无损害

数据一般可被公开或可被公众获知、使用。

个人金融信息主体主动公开的信息。

数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。

《办法》还给出了非结构化数据可参考结构化数据定级,既非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级。

同时我们还要关注JR/T 0197的附录B,因数据脱敏或汇聚融合导致数据安全级别发生变化的示例。

汇聚融合

3级升至4级

生产数据脱敏后用于金融业机构内部业务经营或管理工作

3级降至2级

汇聚融合,特定机构特定时间或事件后信息具有高安全等级

2级升至4级

脱敏,从数据中去除能够直接定位到个人金融信息主体的内容,删除涉及商业秘密的内容等,特定时间或事件后信息失去原有敏感性

4级降至2级

动态更新要求

“第十一条(动态更新要求)数据处理者应当根据数据和信息系统变化情况,每年组织更新数据资源目录,避免信息系统所涉及数据项未在数据资源目录中记录、数据项标识信息不完整等情形发生。”

《中国人民银行业务领域数据安全管理办法(征求意见稿)》

解 读:

数据处理者不应该只是形成一份数据资产和分类分级清单就结束了,因为数据是动态和流动的,业务也是不断新增和变化的,分类分级清单也会有变化,应建立符合分类分级和审核上报目录的闭环流程,避免信息系统所涉及数据项在数据资源目录中缺失、数据项标识信息不完整等情况发生,注意《办法》中规定的是每年组织更新数据资源目录。

(分类分级动态更新审核流程图)

《办法》的数据分类分级部分第八条数据分级要求可参考国标《数据分类分级保护要求》,在识别和保护重要数据方面,也要参考《重要数据识别指南》和《重要数据处理要求》,第十条数据可用性分层级可参考ISO 22301业务连续性管理体系。

总结

数据分类分级保护是我国数据安全管理基础制度之一,是金融行业数据安全治理体系的基石,面向金融数据和个人金融信息,首先需开展数据资产的发现与梳理,然后基于识别备案的数据资产,落实从金融业务角度出发的数据分类标识以及从安全角度出发的数据定级标识,形成数据分类分级目录,最后对数据目录进行审核、发布,基于数据伴随业务处理活动的持续新增与变化,分类分级也需随之动态变更。

数据处理者做好数据分类分级后,应根据数据的密级和敏感程度制定不同的管理和使用策略,尽可能做到有差别和针对性的防护,避免敏感数据的防护不足,非敏感数据的过度防护。《办法》的第三章数据安全保护总体要求、第四章数据安全保护管理措施、第五章数据安全保护技术措施、第六章风险监测、评估审计与事件处置措施都是基于数据分类分级基础上制定的。

(本文作者:北京安华金和科技有限公司 谭峻楠)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。