概述
2023年7月23日,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《办法》”)向社会公开征求意见,《办法》共八章,共五十七条。作为数据安全企业,我们应认真学习和解读《办法》中数据分类分级、数据安全保护、管理和技术措施等有关数据安全治理方面的相关内容,为国内金融行业的数据安全合规和个人信息保护做好服务,本文对第二章数据分类分级部分进行解读。
《办法》之分类分级解读数据分类要求
《办法》“第七条(数据分类要求)数据处理者应当参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。”
解读:金融行业的数据安全标准主要参考JR/T 0171-2020《个人金融信息保护技术规范》于2020-02-13发布并实施,JR/T 0197-2020《金融数据安全 数据安全分级指南》于2020-09-23发布并实施,JR/T 0223-2021《金融数据安全 数据生命周期安全规范》于2021-04-08发布并实施,引导银行业金融机构加强数据安全治理、数据安全建设,充分发挥数据价值。
JR/T 0197标准附录A金融业典型数据参考表,分为一到四级子类,一级分为客户、业务、经营管理、监管四类数据,具体到四级数据属于什么级别也进行了说明,非常值得参考。
JR/T 0223是针对金融数据的生命周期安全规范,规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,建立覆盖数据釆集、传输、存储、使用、删除及销毁过程的安全框架。《办法》第五条数据分类分级保护总体规划、第六条数据分类分级制度规程应参考JR/T 0223,金融数据安全级别依据的是JR/T 0197,对于个人金融信息的保护应同时参考JR/T 0171。
数据敏感性分层级
《办法》“第九条(数据敏感性分层级)在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。”
解读:
JR/T 0171是针对金融行业个人信息保护的,规定了个人金融信息在数据处理过程中,从安全技术和管理两个方面,对个人金融信息保护提出了规范性要求。首先我们要明确个人金融信息包括:账户信息、身份鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。这个标准将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
JR/T 0197是对金融数据进行了分级,与JR/T 0171的关系是将个人金融信息C1、C2、C3三个类别信息分别对应到了2级数据、3级数据和4级数据,整体将金融数据分为5级,5级最高、1级最低。这个标准给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。
JR/T 0197附件中有数据定级参考表,注意JR/T 0171的三个级别在2、3、4级。
《办法》还给出了非结构化数据可参考结构化数据定级,既非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级。
同时我们还要关注JR/T 0197的附录B,因数据脱敏或汇聚融合导致数据安全级别发生变化的示例。
动态更新要求
《办法》“第十一条(动态更新要求)数据处理者应当根据数据和信息系统变化情况,每年组织更新数据资源目录,避免信息系统所涉及数据项未在数据资源目录中记录、数据项标识信息不完整等情形发生。”
解读:
数据处理者不应该只是形成一份数据资产和分类分级清单就结束了,因为数据是动态和流动的,业务也是不断新增和变化的,分类分级清单也会有变化,应建立符合分类分级和审核上报目录的闭环流程,避免信息系统所涉及数据项在数据资源目录中缺失、数据项标识信息不完整等情况发生,注意《办法》中规定的是每年组织更新数据资源目录。
分类分级动态更新审核流程图《办法》的数据分类分级部分第八条数据分级要求可参考国标《数据分类分级保护要求》,在识别和保护重要数据方面,也要参考《重要数据识别指南》和《重要数据处理要求》,第十条数据可用性分层级可参考ISO 22301业务连续性管理体系。
总结
数据分类分级保护是我国数据安全管理基础制度之一,是金融行业数据安全治理体系的基石,面向金融数据和个人金融信息,首先需开展数据资产的发现与梳理,然后基于识别备案的数据资产,落实从金融业务角度出发的数据分类标识以及从安全角度出发的数据定级标识,形成数据分类分级目录,最后对数据目录进行审核、发布,基于数据伴随业务处理活动的持续新增与变化,分类分级也需随之动态变更。
数据处理者做好数据分类分级后,应根据数据的密级和敏感程度制定不同的管理和使用策略,尽可能做到有差别和针对性的防护,避免敏感数据的防护不足,非敏感数据的过度防护。《办法》的第三章数据安全保护总体要求、第四章数据安全保护管理措施、第五章数据安全保护技术措施、第六章风险监测、评估审计与事件处置措施都是基于数据分类分级基础上制定的,比较科学严谨。总之,《办法》细化明确了中国人民银行业务领域数据安全合规底线要求,填补本领域数据安全管理制度保障空白,具有积极意义。