網(wǎng)上投稿
《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》“三法一條例”等法律、法規(guī)形成了中國(guó)數(shù)據(jù)治理的頂層設(shè)計(jì)和網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)的基礎(chǔ)框架和通用規(guī)則。近年來(lái),在特定領(lǐng)域內(nèi)出現(xiàn)了行業(yè)性數(shù)據(jù)安全管理辦法。例如,適用于汽車(chē)行業(yè)的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》已施行三年有余;適用于工業(yè)和信息化領(lǐng)域的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》已施行了兩年;適用于自然資源領(lǐng)域的《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》已于2024年3月22日施行;適用于會(huì)計(jì)師事務(wù)所審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)的《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理辦法》已于2024年10月1日施行;適用于《銀行保險(xiǎn)機(jī)構(gòu)的銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》已于2024年12月27日施行;適用于央行業(yè)務(wù)領(lǐng)域的《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》正在征求意見(jiàn),等等。
中國(guó)的數(shù)據(jù)安全立法和監(jiān)管已經(jīng)開(kāi)始向特定行業(yè)聚焦,針對(duì)特定行業(yè)和領(lǐng)域更具可執(zhí)行性、可操作性的“精準(zhǔn)”數(shù)據(jù)安全管理規(guī)定相繼落地。一方面,日益健全的數(shù)據(jù)法規(guī)體系可以為企業(yè)數(shù)據(jù)處理行為提供更好的合規(guī)指引;但另一方面,逐步完善的監(jiān)管執(zhí)法體系也對(duì)特定行業(yè)和領(lǐng)域(汽車(chē)行業(yè)、自然資源領(lǐng)域、工業(yè)和信息化領(lǐng)域、銀行保險(xiǎn)機(jī)構(gòu)、會(huì)計(jì)師事務(wù)所等)的企業(yè)數(shù)據(jù)處理行為的合規(guī)性提出了更加嚴(yán)格的要求。開(kāi)展更加“精細(xì)”的合規(guī)管理工作,成為企業(yè)數(shù)據(jù)合規(guī)管理2.0階段的基本特征。企業(yè)合規(guī)管理“精細(xì)化”表現(xiàn)在:
(1)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)承擔(dān)主體責(zé)任。除了在管理層面需要建立健全網(wǎng)絡(luò)數(shù)據(jù)安全管理制度,在技術(shù)層面也要采取加密、備份、訪問(wèn)控制、安全認(rèn)證等技術(shù)措施,甚至規(guī)定了技術(shù)措施的種類,諸如:加密、鑒權(quán)、認(rèn)證、脫敏、校驗(yàn)、審計(jì)等技術(shù)手段。
(2)企業(yè)需要對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)管理,并負(fù)有識(shí)別、申報(bào)重要數(shù)據(jù)與核心數(shù)據(jù)的義務(wù)。對(duì)重要數(shù)據(jù)處理活動(dòng)需要進(jìn)行風(fēng)險(xiǎn)評(píng)估或年度風(fēng)險(xiǎn)評(píng)估,并定期進(jìn)行數(shù)據(jù)合規(guī)審計(jì),一些行業(yè)的重要數(shù)據(jù)、核心數(shù)據(jù)還需要向行業(yè)主管部門(mén)進(jìn)行備案、上報(bào)或報(bào)送。
(3)企業(yè)對(duì)所處理的數(shù)據(jù)需要進(jìn)行全生命周期安全管理,并落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)。除了在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)和刪除各環(huán)節(jié)進(jìn)行安全管理外,在特定場(chǎng)景履行更高的數(shù)據(jù)安全保護(hù)要求,確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。
(4)企業(yè)數(shù)據(jù)處理的本地化存儲(chǔ)要求高。特定行業(yè)收集和產(chǎn)生的重要數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。特別規(guī)定了會(huì)計(jì)師事務(wù)所對(duì)于審計(jì)工作底稿出境,還需要按照國(guó)家有關(guān)規(guī)定辦理審批手續(xù)等要求。
一、工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全
2022年12月8日,工業(yè)和信息化部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,并自2023年1月1日起施行。之后,工信部接連發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則(試行)》《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實(shí)施方案(2024-2026年)》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案(試行)》《工業(yè)領(lǐng)域重要數(shù)據(jù)識(shí)別指南(二次報(bào)批公示)》等文件。此外,十七家行業(yè)組織共同編制并發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》。
(一)主管部門(mén):工業(yè)和信息化部、通信管理局和無(wú)線電管理機(jī)構(gòu)地方行業(yè)監(jiān)管部門(mén)
(二)工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級(jí)
工業(yè)和信息化領(lǐng)域數(shù)據(jù)包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無(wú)線電數(shù)據(jù)等。工業(yè)數(shù)據(jù)是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)行維護(hù)、平臺(tái)運(yùn)營(yíng)等過(guò)程中產(chǎn)生和收集的數(shù)據(jù)。電信數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)。無(wú)線電數(shù)據(jù)是指在開(kāi)展無(wú)線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無(wú)線電頻率、臺(tái)(站)等電波參數(shù)數(shù)據(jù)。
1. 分類:研發(fā)數(shù)據(jù)、生產(chǎn)運(yùn)行數(shù)據(jù)、管理數(shù)據(jù)、運(yùn)維數(shù)據(jù)、業(yè)務(wù)服務(wù)數(shù)據(jù)等。
2. 分級(jí):一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。
3.數(shù)據(jù)全生命周期保護(hù)(參考《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》),見(jiàn)下表所示。
(三)本地化存儲(chǔ)要求:收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù),法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的,應(yīng)當(dāng)在境內(nèi)存儲(chǔ),確需向境外提供的,應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估。
二、自然資源領(lǐng)域數(shù)據(jù)安全
2024年3月22日,自然資源部發(fā)布并施行了《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》,明確了自然資源領(lǐng)域數(shù)據(jù)范圍,分類分級(jí)基本原則,重要數(shù)據(jù)及核心數(shù)據(jù)識(shí)別要素及自然資源領(lǐng)域數(shù)據(jù)全生命周期的管理制度,旨在加強(qiáng)自然資源領(lǐng)域數(shù)據(jù)的安全管理,促進(jìn)數(shù)據(jù)的合法、安全和有效利用。
(一)主管部門(mén):自然資源部、國(guó)家林業(yè)和草原局及地方行業(yè)監(jiān)管部門(mén)
(二)自然資源數(shù)據(jù)分類分級(jí)
自然資源領(lǐng)域數(shù)據(jù),是指在開(kāi)展自然資源活動(dòng)中收集和產(chǎn)生的數(shù)據(jù),主要包括基礎(chǔ)地理信息、遙感影像等地理信息數(shù)據(jù),土地、礦產(chǎn)、森林、草原、水、濕地、海域海島等自然資源調(diào)查監(jiān)測(cè)數(shù)據(jù),總體規(guī)劃、詳細(xì)規(guī)劃、專項(xiàng)規(guī)劃等國(guó)土空間規(guī)劃數(shù)據(jù),用途管制、資產(chǎn)管理、耕地保護(hù)、生態(tài)修復(fù)、開(kāi)發(fā)利用、不動(dòng)產(chǎn)登記等自然資源管理數(shù)據(jù)。
1.分類:(1)基礎(chǔ)地理信息、遙感影像等地理信息數(shù)據(jù);(2)土地、礦產(chǎn)、森林、草原、水、濕地、海域海島等自然資源調(diào)查監(jiān)測(cè)數(shù)據(jù);(3)總體規(guī)劃、詳細(xì)規(guī)劃、專項(xiàng)規(guī)劃等國(guó)土空間規(guī)劃數(shù)據(jù);(4)用途管制、資產(chǎn)管理、耕地保護(hù)、生態(tài)修復(fù)、開(kāi)發(fā)利用、不動(dòng)產(chǎn)登記等自然資源管理數(shù)據(jù)。
2. 分級(jí):一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。
3. 自然資源重要數(shù)據(jù)、核心數(shù)據(jù)識(shí)別參考指標(biāo),見(jiàn)下表所示:
(三)全生命周期管理
1. 數(shù)據(jù)安全保護(hù)義務(wù):實(shí)行分級(jí)防護(hù),不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的,應(yīng)當(dāng)按照其中級(jí)別最高的要求實(shí)施保護(hù),確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。
2. 數(shù)據(jù)提供:應(yīng)告知接收方采取相關(guān)安全保護(hù)措施。涉及重要數(shù)據(jù)的,與數(shù)據(jù)接收方簽訂數(shù)據(jù)安全協(xié)議,在共享、調(diào)用過(guò)程中應(yīng)當(dāng)加強(qiáng)安全管控,采取技術(shù)措施定期監(jiān)測(cè)數(shù)據(jù)共享、調(diào)用的情況。
3. 委托處理:應(yīng)簽訂合同協(xié)議等法律文件明確雙方數(shù)據(jù)安全責(zé)任和義務(wù),“數(shù)據(jù)安全責(zé)任不因委托而改變”。涉及重要數(shù)據(jù)的,應(yīng)當(dāng)對(duì)受托方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行評(píng)估或核實(shí),并監(jiān)督受托方履行數(shù)據(jù)安全保護(hù)義務(wù)。
4. 本地化存儲(chǔ):對(duì)于自然資源領(lǐng)域重要數(shù)據(jù)的存儲(chǔ)要求為“應(yīng)當(dāng)在境內(nèi)存儲(chǔ)”,確需向境外提供的,應(yīng)當(dāng)落實(shí)國(guó)家網(wǎng)信部門(mén)數(shù)據(jù)出境安全評(píng)估有關(guān)規(guī)定。
三、會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全
2024年4月15日,財(cái)政部、國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》。該辦法主要規(guī)定了數(shù)據(jù)管理,包括總體責(zé)任、責(zé)任人員、數(shù)據(jù)分類分級(jí)、日志管理、數(shù)據(jù)傳輸管理、數(shù)據(jù)加密管理、數(shù)據(jù)備份、業(yè)務(wù)約定書(shū)、技術(shù)保護(hù)手段、日常安全監(jiān)測(cè)、數(shù)據(jù)出境等內(nèi)容;網(wǎng)絡(luò)管理,包括網(wǎng)絡(luò)管理制度、資源投入、訪問(wèn)控制、系統(tǒng)賬戶管理等內(nèi)容;監(jiān)督檢查,包括信息共享、日常檢查、重點(diǎn)檢查對(duì)象、安全審查、行政監(jiān)管措施、行政處罰等內(nèi)容。該辦法自2024年10月1日起施行。
(一)主管部門(mén):財(cái)政部、省級(jí)(含深圳市、新疆生產(chǎn)建設(shè)兵團(tuán))財(cái)政部門(mén)
(二)適用對(duì)象:適用于開(kāi)展四類審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)。
其中,前三類主要以會(huì)計(jì)師事務(wù)所服務(wù)客戶的類型為標(biāo)準(zhǔn)劃分,具體而言,第一類為上市公司以及非上市的國(guó)有金融機(jī)構(gòu)、中央企業(yè)等提供審計(jì)服務(wù)的;第二類為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或者超過(guò)100萬(wàn)用戶的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者提供審計(jì)服務(wù)的;第三類為境內(nèi)企業(yè)境外上市提供審計(jì)服務(wù)的。第四類以數(shù)據(jù)類型為標(biāo)準(zhǔn)劃分,即使會(huì)計(jì)師事務(wù)所從事的審計(jì)業(yè)務(wù)不屬于前三類規(guī)定的范圍,但涉及重要數(shù)據(jù)或者核心數(shù)據(jù)的,亦適用。
(三)會(huì)計(jì)事務(wù)所數(shù)據(jù)分類分級(jí)
會(huì)計(jì)事務(wù)所“數(shù)據(jù)”是指會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)過(guò)程中,從外部獲取和內(nèi)部生成的任何以電子或者其他方式對(duì)信息的記錄。
1.分類分級(jí):按照法律、行政法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)。
2.書(shū)面約定義務(wù):會(huì)計(jì)師事務(wù)所和被審計(jì)單位應(yīng)當(dāng)通過(guò)業(yè)務(wù)約定書(shū)、確認(rèn)函等方式明確審計(jì)資料中核心數(shù)據(jù)和重要數(shù)據(jù)的性質(zhì)、內(nèi)容和范圍等
(四)數(shù)據(jù)本地化存儲(chǔ)
會(huì)計(jì)師事務(wù)所存儲(chǔ)核心數(shù)據(jù)的信息系統(tǒng)要落實(shí)四級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求,存儲(chǔ)重要數(shù)據(jù)的信息系統(tǒng)要落實(shí)三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。考慮到數(shù)據(jù)匯聚和關(guān)聯(lián)的影響,如數(shù)據(jù)匯聚、關(guān)聯(lián)后屬于國(guó)家秘密事項(xiàng)的,還應(yīng)當(dāng)依照有關(guān)保守國(guó)家秘密的法律、行政法規(guī)規(guī)定處理。
此外,審計(jì)工作底稿應(yīng)當(dāng)按照法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定存儲(chǔ)在境內(nèi)。相關(guān)加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團(tuán)隊(duì)負(fù)責(zé)運(yùn)行維護(hù),密鑰應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。
(五)數(shù)據(jù)出境限制
會(huì)計(jì)師事務(wù)所不得在業(yè)務(wù)約定書(shū)或者類似合同中包含會(huì)計(jì)師事務(wù)所向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料數(shù)據(jù)等類似條款。會(huì)計(jì)師事務(wù)所向境外提供其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的,應(yīng)當(dāng)遵守國(guó)家數(shù)據(jù)出境管理有關(guān)規(guī)定。會(huì)計(jì)師事務(wù)所對(duì)于審計(jì)工作底稿出境事項(xiàng)應(yīng)當(dāng)建立逐級(jí)復(fù)核機(jī)制,采取必要措施嚴(yán)格落實(shí)數(shù)據(jù)安全管控責(zé)任。對(duì)于需要出境的審計(jì)工作底稿,按照國(guó)家有關(guān)規(guī)定辦理審批手續(xù)。
四、銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全
2024年12月27日,國(guó)家金融監(jiān)督管理總局正式實(shí)施《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》。作為金融監(jiān)管總局成立后的第一部數(shù)據(jù)安全立法,該辦法強(qiáng)化了數(shù)據(jù)治理頂層設(shè)計(jì),按照“誰(shuí)管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數(shù)據(jù)、誰(shuí)管數(shù)據(jù)安全”的原則開(kāi)展數(shù)據(jù)安全保護(hù)工作。在內(nèi)容上,該辦法對(duì)數(shù)據(jù)安全治理、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)、個(gè)人信息保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置、監(jiān)督管理及附則,分別從治理體系、管理制度、技術(shù)機(jī)制以及風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)與處置機(jī)制等方面進(jìn)行了系統(tǒng)規(guī)范。
(一)主管部門(mén):國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)
(二)適用對(duì)象:銀行保險(xiǎn)機(jī)構(gòu),是指在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用合作社、金融資產(chǎn)管理公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司、汽車(chē)金融公司、消費(fèi)金融公司、貨幣經(jīng)紀(jì)公司、信托公司、理財(cái)公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、保險(xiǎn)集團(tuán)(控股)公司。
(三)銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)分類分級(jí)
1.分類:客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全管理數(shù)據(jù)等。
2.分級(jí):核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。其中,一般數(shù)據(jù)細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)。
(四)安全管理:建立數(shù)據(jù)資產(chǎn)地圖,開(kāi)展數(shù)據(jù)安全評(píng)估,建立分區(qū)域數(shù)據(jù)安全保護(hù)基線
該辦法建立了以“全域數(shù)據(jù)資產(chǎn)登記”和“開(kāi)展數(shù)據(jù)安全評(píng)估”為核心抓手的合規(guī)思路。銀行保險(xiǎn)機(jī)構(gòu)在處理敏感級(jí)及以上數(shù)據(jù)的業(yè)務(wù)活動(dòng)時(shí),或者開(kāi)展數(shù)據(jù)委托處理、共同處理、轉(zhuǎn)移、公開(kāi)、共享等對(duì)數(shù)據(jù)主體有較大影響的活動(dòng)時(shí),應(yīng)當(dāng)事先開(kāi)展數(shù)據(jù)安全評(píng)估,并針對(duì)內(nèi)部收集、外部采購(gòu)、加工、使用、對(duì)外提供、跨境提供、備份、刪除與銷毀的數(shù)據(jù)處理全生命周期設(shè)置了合規(guī)要求。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)據(jù)此制定數(shù)據(jù)安全保護(hù)制度,并應(yīng)當(dāng)涵蓋全生命周期管控機(jī)制、數(shù)據(jù)安全保護(hù)措施、數(shù)據(jù)對(duì)外提供和跨境提供等監(jiān)管重點(diǎn)關(guān)注內(nèi)容。銀行保險(xiǎn)機(jī)構(gòu)還應(yīng)建立數(shù)據(jù)安全技術(shù)保護(hù)體系和數(shù)據(jù)安全保護(hù)基線,將數(shù)據(jù)安全保護(hù)納入信息系統(tǒng)開(kāi)發(fā)生命周期框架,以及將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級(jí)保護(hù)。
五、中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全
2023年7月24日,央行就《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn),本次征求意見(jiàn)稿就適用范圍、原則、數(shù)據(jù)分類分級(jí)、總體要求、管理要求、技術(shù)要求、風(fēng)險(xiǎn)監(jiān)測(cè)等內(nèi)容做出了相關(guān)規(guī)定。預(yù)計(jì)本辦法將于2025年上半年正式發(fā)布。
(一)主管部門(mén):中國(guó)人民銀行及其分支機(jī)構(gòu)
(二)適用范圍:根據(jù)“誰(shuí)管業(yè)務(wù),誰(shuí)管業(yè)務(wù)數(shù)據(jù),誰(shuí)管數(shù)據(jù)安全”基本原則,明確適用范圍為中華人民共和國(guó)境內(nèi)開(kāi)展的,中國(guó)人民銀行承擔(dān)監(jiān)督管理職責(zé)各類業(yè)務(wù)相關(guān)的數(shù)據(jù)處理活動(dòng)。
此《辦法》約束的數(shù)據(jù)處理活動(dòng)主要包括:貨幣政策業(yè)務(wù)、跨境人民幣業(yè)務(wù)、銀行間各類市場(chǎng)交易業(yè)務(wù)、金融業(yè)綜合統(tǒng)計(jì)業(yè)務(wù)、支付清算業(yè)務(wù)、貨幣管理和數(shù)字人民幣業(yè)務(wù)、經(jīng)理國(guó)庫(kù)業(yè)務(wù)、征信業(yè)務(wù)、反洗錢(qián)業(yè)務(wù)等領(lǐng)域的數(shù)據(jù)處理活動(dòng)。
(三)銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)分類分級(jí)
1.分類:根據(jù)業(yè)務(wù)開(kāi)展情況建立業(yè)務(wù)分類,梳理細(xì)化數(shù)據(jù)資源目錄,標(biāo)識(shí)各數(shù)據(jù)項(xiàng)是否為個(gè)人信息、數(shù)據(jù)來(lái)源(生產(chǎn)經(jīng)營(yíng)加工產(chǎn)生、外部收集產(chǎn)生等)、存儲(chǔ)該數(shù)據(jù)項(xiàng)的信息系統(tǒng)清單和應(yīng)用的業(yè)務(wù)類別。
2.分級(jí):一般、重要、核心三級(jí)。其中,數(shù)據(jù)項(xiàng)敏感性從低至高進(jìn)一步分為一至五共五個(gè)層級(jí)。結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)逐一標(biāo)識(shí)層級(jí);非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先按照可拆分的各結(jié)構(gòu)化數(shù)據(jù)項(xiàng)所對(duì)應(yīng)最高層級(jí),標(biāo)識(shí)其層級(jí)。
(四)數(shù)據(jù)全生命周期管理與特定場(chǎng)景的數(shù)據(jù)安全保護(hù)要求
該辦法針對(duì)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)和刪除各環(huán)節(jié),向數(shù)據(jù)處理者提出應(yīng)采取的管理和技術(shù)措施,以及可視為總體滿足盡職盡責(zé)的合規(guī)底線。該辦法還對(duì)數(shù)據(jù)處理活動(dòng)中特殊場(chǎng)景的安全保護(hù)措施等重點(diǎn)事項(xiàng)進(jìn)行了說(shuō)明,具體如下表所示。
滬公網(wǎng)安備 31010402007129號(hào)
