央行就数据安全管理征求意见：促进数据开发利用，多次提及隐私计算

在数字化的大趋势下，数据被视为“资产”之一，更逐渐成为和土地、劳动力、资本、技术并列的最新“生产要素”。如何做好数据安全已成为各行各业面临的“必修课”。

随着《数据安全法》、“数据二十条”、《个人信息保护法》等相关法规的出台，数据安全的行业细则也在陆续落地。7月24日，《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法》）正式发布，在加强业务领域数据安全管理的同时，积极促进数据高效流通和创新应用。其中有关数据安全的制度衔接、分级管理、隐私计算被重点提及。

央行指出，本次公布的《办法》旨在全面衔接《中华人民共和国数据安全法》，细化明确中国人民银行业务领域数据安全合规底线要求，填补本领域数据安全管理制度保障空白。

关键词1：制度衔接

《办法》分为总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则共八章。

当前，《办法》约束的数据处理活动包括货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域。

央行在《办法》的相关说明指出，在过去一年充分调研总结行业数据安全成熟经验做法基础上，组织研究起草《办法》，全面衔接《中华人民共和国数据安全法》，细化明确中国人民银行业务领域数据安全合规底线要求，填补本领域数据安全管理制度保障空白，指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动，履行数据安全保护义务，保障消费者和企业用户的合法权益，促进数据要素市场高质量发展。

央行提到，办法条款设立的原则除了与现有制度进行有效衔接，更为了促进数据的开发利用，以及细化规范措施要求。

关键词2：分级管理

值得注意的是，《办法》针对央行所涉及的业务数据安全管理，特别对数据分级分类管理、数据处理者的权责、建立安全监测和告警机制等方面作出细致的要求，这也标志着金融业的数据管理规范进一步细化。

在规范数据分类分级要求方面，《办法》强调数据处理者应当建立数据分类分级制度规程，梳理数据资源目录标识分类信息，在国家数据安全工作协调机制统筹协调下，根据中国人民银行制定的重要数据识别标准，统一对数据实施分级，严格落实网络安全等级保护和风险评估等义务，并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分，以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。

据金杜研究院分析，一方面，《办法》重申了《数据安全法》对数据进行三级分级的要求（即一般数据，重要数据和核心数据），并具体规定了中国人民银行业务领域范围内重要数据目录形成路径。另一方面，《办法》进一步提出了数据敏感性分层级、数据可用性分层级的具体分级要求。

同时《办法》明确了数据安全工作遵循“谁管业务，谁管业务数据，谁管数据安全”的基本原则。开展数据处理活动应当履行数据安全保护义务，采取有效措施防范数据被篡改、破坏、泄露、不当获取与利用等风险，确保不损害国家安全、公共利益、金融秩序、个人及组织合法权益，遵守社会公德伦理、商业道德和职业道德。

关键词3：隐私计算

完善数据要素的流通离不开技术支持，为了使得数据在合规背景下能够更好地实现融合创新应用，相关技术的应用尤其是隐私计算在本次发布的《办法》中被多次提及。其中包括：

第十五条鼓励数据处理者积极开展数据安全技术创新应用，在保障安全合规前提下，积极促进数据的高效流通和创新应用，鼓励优秀创新成果申报行业表彰奖励。

第二十五条提到数据处理者采用隐私计算等技术促进数据融合创新应用时，应当确认原始数据未离开自身控制范围，且多个数据提供行为关联后，暴露约定范围外信息的风险可控。

第三十七条要求在采用隐私计算技术提供数据时，应当建立统一的技术风险评估和控制策略，明确安全可验证性、性能可接受性等风险对应的缓释措施。

对于金融行业这一数据集中型行业来说，隐私计算的出现和应用无疑推动了数据安全及其合规分享方面的技术发展。联易融数据隐私负责人陈曦博士表示，隐私计算多次在《办法》被提及，体现了对于这项技术促进数据高效流通和数据融合创新积极作用的高度认可。

据信通院消息，近两年来国内多部门出台一系列政策文件，提出支持隐私计算技术探索，促进数据要素市场流通，隐私计算产业迎来良好发展环境。在政策与需求的双重驱动下，隐私计算技术和产品的成熟度快速提升，逐渐由研发阶段转化到实施阶段。根据隐私计算联盟统计，截至2021年年底，进入实施阶段的产品比例由2020年的38%上升至48%，部分产品能够支持较大规模应用的实施。

《办法》将给供应链金融科技及数据安全流通带来哪些影响？

在《数据安全法》《个人信息保护法》等数据保护与监管的上位法律法规出台以后，本次《办法》的公布也代表着金融行业率先发布与数据安全管理相关的细则。业内分析，作为一个数据集中型、对数据有高敏感度的行业，金融业率先落地相关细则安排有助于给其他行业的数据安全保护作出示范作用。

目前隐私计算已在多个行业实现落地应用，银行业是隐私计算的最大场景之一。通过隐私计算技术，银行可以安全接入多方外部数据，数据模型更加真实可靠。陈曦博士分析，《办法》具有极为重要的实践意义，一方面银行等金融机构在开展数据相关业务，不仅有法可依，还能够“有章可循”，在运用隐私计算等新兴技术进行数据保护，挖掘数据价值时可以减少顾虑。另一方面，对于第三方供应链金融科技解决方案提供商来说，《办法》对于隐私计算在数据融合创新中应用提出了明确要求，有利于隐私计算产品的规范发展，对整个隐私计算行业和数据流通产业来说更有落地示范作用，能更好地促进数字金融的发展。

金杜研究院认为，央行制定《办法》的目的不仅在于限制银行业机构等数据处理者的行为，提高相关数据的安全性，其还旨在鼓励数据处理者在维护数据安全的情况下促进数据的流通与应用。“数据分级分类的意义不仅在于对不同级别的数据采取不同层次的保护要求，还在于识别梳理对国家、企业和个人权益影响相对较小的数据，从而促进其流通和多维度应用。”