普华永道：解析银行业数据安全与隐私保护监管热点

当前，随着以数据作为新型生产要素的数字经济在我国蓬勃兴起，银行业金融机构作为拥有庞大数据量和多元数据类型的主体，在数字化浪潮中不断发展。国家针对银行业金融机构的数据安全监管逐渐趋严，合规要求不断提升。近期，国家及银行业监管机构先后出台多部数据安全与隐私保护方面的监管规定，本文将通过对近期监管热点的解析，协助银行业金融机构进一步了解国家及行业数据安全领域的合规重点，助力银行有效应对数据安全合规挑战。

国家及银行业数据安全与隐私保护监管热点解析

随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》（以下简称“三法”）的生效，国家在2022年至2023年期间密集出台了多部关于数据安全与个人信息保护的法规细则和监管指引，明晰了“三法”中的各项合规要求，监管执法行动也正走向常态化、体系化、规范化。银行业作为数据密集型行业，监管机构在“三法”的基础上，也陆续出台了一系列行业监管要求与标准指南。

基于对国家及银行业数据安全与隐私保护监管要求分析，可以洞察到监管机构正在逐步加强对企业合规的监督管理和信息报送要求，包括重要数据目录内容报送、年度风险评估结果报送、数据出境申报/备案、合规审计报告等。从银行业金融机构自身数据及隐私管理层面，强化了公司管理层对于企业数据安全和隐私保护合规的监督和管理职责，包括要求公司法人代表签署确认数据出境监管评估/备案材料，要求企业定期执行数据安全风险评估、年度数据安全与个人信息保护合规审计等。

通过对2023年国家及银行业最新发布的数据安全与隐私保护监管规定的解析，普华永道整理总结了如下三大监管热点：

热点1：数据出境合规管理

2023年2月22日国家互联网+信息办公室（以下简称“网信办”）发布了《个人信息出境标准合同办法》（以下简称《办法》），该办法于2023年6月1日起正式施行，并给出了自施行之日起6个月的整改过渡期，要求企业在2023年11月30日之前完成备案流程。至此，《个人信息保护法》第三十八条下的三种数据出境合规路径已完整建立，如下列示了在当前监管体系下，企业数据出境合规路径适用性判断分析图：

基于上图可知，对于个人信息出境体量达到监管阈值的企业，需要完成网信办数据出境安全评估申报工作；对于个人信息出境体量未达到监管阈值的企业而言，企业可基于业务情况和实际需求选择“备案出境”或“个人信息保护认证”路径。

如企业确认选择“备案出境”路径，应尽快开展个人信息数据调研及盘点工作，识别企业涉及的个人信息出境场景并形成个人信息出境场景清单，针对其数据出境场景进行个人信息保护影响评估（以下简称“出境PIA”），并针对发现的问题制定合规整改计划，撰写出境PIA报告。企业需要严格按照《办法》附件《个人信息出境标准合同》（以下简称“标准合同”）订立并签署标准合同，在标准合同生效之日起10个工作日内向所在地省级网信部门备案，并提交标准合同及出境PIA报告。

热点2：数据安全合规管理

2023年7月24日，中国人民银行（以下简称“央行”）发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《管理办法》），公开征求意见至2023年8月24日。《管理办法》用于规范在中国境内开展的中国人民银行业务领域数据相关的处理活动，其约束的数据处理活动主要包括：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。普华永道基于现有的法律法规，并结合即将出台的《管理办法》，总结了银行业数据安全领域的合规要点如下：

• 重要数据识别与保护：《管理办法》提出，央行负责统筹确定重要数据具体目录并实施动态管理，银行业金融机构应识别判定本机构重要数据，并向央行报送重要数据目录。对于识别的重要数据，需要做好责任落实、风险评估、日志保护、落实三级以上网络安全等级保护要求等合规工作。

• 数据分类分级：银行业金融机构应采取数据分类分级管理，《管理办法》重申了《数据安全法》对数据进行三级分级的要求（即一般数据，重要数据和核心数据），并且在前述数据分级的基础上，进一步提出了数据敏感性分层级（从低到高划分为一至五级）、数据可用性分层级的具体分级要求。银行业金融机构可参考《JR/T 0197—2020 金融数据安全数据安全分级指南》和《JR/T 0171—2020 个人金融信息保护技术规范》等金融行业标准指南，指导机构内部开展数据分类分级工作。

• 数据全生命周期管理：识别机构内部各业务条线，以及对外合作过程中涉及的数据处理活动，基于数据类别和级别构建和完善全生命周期安全管理体系，围绕数据采集、传输、存储、使用、删除、销毁等阶段开展相应程度安全防护，并做好组织保障和运维保障建设工作，确保防护机制能够有效落实和严格执行，具体实施细节需要遵循《管理办法》《JR/T 0223—2021 金融数据安全数据生命周期安全规范》等规定。

• 数据安全风险监测与事件应对：建立和持续优化数据安全风险监测与事件应对机制，采取有效的数据安全风险监测手段、告警机制、技术阻断措施等，例如可以考虑使用基于集中式安全事件日志分析引擎的安全运营中心，并与威胁情报和自动响应流程相结合，形成持续有效的安全运营能力。

• 数据安全合规审计：《管理办法》要求数据处理者每年至少开展一次与数据安全相关的合规审计，发生重大以上数据安全事件后，应当及时开展专项审计。银行业金融机构应当尽快设计并完善数据安全合规审计框架，着手开展合规审计工作，并就审计发现提前开展整改，以提升数据安全合规能力，满足合规要求。

• 监管报送：若涉及处理重要数据，银行业金融机构应每年组织开展一次全面的数据安全风险评估工作，并于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告。除上述定期报送要求外，银行业金融机构在发生数据安全事件后，应当按照规程向中国人民银行或其住所地分支机构、其他有关主管部门报告事件信息。

热点3：个人信息保护合规审计

2023年8月3日网信办发布了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《审计办法》）及其附件《个人信息保护合规审计参考要点》（以下简称《参考要点》），公开征求意见至2023年9月2日。《审计办法》在《个人信息保护法》的基础上明确了定期合规审计的要求，并进一步说明了合规审计工作主体，具体分析如下：

而《参考要点》则从下图的7大领域，阐明了个人信息保护合规审计工作中的重点审查要点，为开展个人信息保护合规审计提供参考：

《管理办法》的发布表明我国对个人信息保护监管的不断加强，银行业金融机构应持续关注最新监管动态，基于《管理办法》以及《参考要点》完善内部个人信息保护合规审计框架，细化合规审计评估流程，及时开展个人信息保护合规审计工作并整改审计过程中发现的合规风险点，提高自身个人信息保护能力，满足监管合规要求。

银行业数据安全与隐私保护合规挑战

基于上述监管热点分析可知，国家及行业对数据安全合规的要求正持续更新且不断强化，行业监管对银行业金融机构的数据安全实践也将进行更严格的审查和监督。但银行业务场景复杂，各业务场景均可能涉及不同的内外部相关方、数据流程、数据存储系统/应用、使用目的等，数据合规需要管理非常复杂和多元的数据生态系统。如下总结了银行业数据安全合规的主要挑战：

• 持续更新演变的监管要求

数据安全和隐私保护已成为中国的重点立法领域。国家和行业层面复杂的数据安全及隐私保护法律、法规、标准和指南的快速推出给银行带来了沉重的监管合规压力（例如，有效跟踪新法规、及时识别适用的监管要求等）。

• 监管加强执法力度及信息报送要求

国家和行业监管机构高度重视数据安全及隐私保护，加强了执法力度和监管报送要求。如何准确识别数据安全及隐私保护各类监管机构、监管报告类型和报告要求，与监管机构保持有效的沟通渠道也是银行业面临的主要挑战和难点。

• 本地合规与总部治理寻求平衡

对于跨国银行来说，由于中国和总部所在国的数据安全及隐私保护合规要求存在差异，中国本地的银行需要与总部沟通当地的具体合规要求，并在总部整体管理和中国当地特殊合规要求之间寻求平衡点。

• 充分的合规运营能力

随着不断涌现的合规要求和强有力的监管执法，对于银行来说，须要有充分能力的合规人才配备，包括全面理解所有适用的监管要求，并恰当地推进合规运营任务，包括数据分类分级、隐私影响评估、数据出境风险评估等，才能有效推动银行持续合规运营。

• 海量的复杂业务运营数据

银行业务场景复杂，处理的数据量庞大，系统纷繁复杂。对海量数据进行盘点、识别和分级分类需要投入大量的人力资源。此外，目前银行业监管尚未出台明细的重要数据目录，重要数据的识别也是银行合规实施的另一个重要挑战。

银行业数据安全与隐私保护合规应对路径建议

为有效应对银行业数据安全合规挑战，普华永道建议通过以下步骤，尽快推动银行的数据安全合规工作：

步骤一：数据资产识别与梳理

建立跨部门、跨职能的合作与协调机制，尽快梳理关键业务活动和数据场景，开展数据调研及盘点工作，包括数据类型分析、个人信息和敏感个人信息梳理、数据全生命周期流转分析等。通过前述数据资源目录（数据资产）梳理工作，银行可建立完整的数据资产清单，作为后续数据管理的基础，并应指定相关负责人持续更新该清单以反映最新情况。

步骤二：数据安全与隐私保护管理现状及合规差距识别

基于步骤一的业务及数据资产梳理，盘点适用的数据安全监管要求，包括《网络安全法》《数据安全法》《个人信息保护法》，以及网信办、工信部、中国人民银行、国家金融监督管理局出台的监管要求和金融行业指南等。银行应对标适用的监管要求，了解并分析自身当前数据全生命周期安全管理现状，识别潜在的合规差距，评估合规风险，并制定整体合规行动计划。

步骤三：数据安全与隐私保护合规整改路径规划

根据识别的合规差距，建立具体的整改方案，并根据合规风险评估结果对各项整改工作进行优先排序，明确整改完成时间，指定各项整改工作的负责人，建立具体的整改实施路线图。特别是针对合规高风险领域，如数据出境合规、数据分级分类管控、重要数据识别与定期监管报送、数据风险监测等，需要制定有效的合规方案以应对监管合规风险。

步骤四：数据安全与隐私保护管理体系完善

加强数据安全与隐私保护合规管理体系，包括完善机构内的合规管理架构与职责划分，建立数据生命周期安全管理的制度及流程，包括管理措施、技术措施以及第三方安全管理措施，个人信息保护管理流程（包括“同意”与“单独同意”管理流程、个人信息保护影响评估流程、数据主体权利响应流程、数据出境合规流程等）以及对监管机构报告及响应流程等。

步骤五：持续风险监测与合规监督

采取有效技术措施，强化数据处理活动安全风险监测和告警，加强数据安全风险情报的监测以及风险缓释措施的制定，建立数据安全事件定级判定、响应处置以及向监管报告的流程，以便实时跟踪异常活动，增强数据安全保护水平。此外，银行业金融机构应加强对数据安全与个人信息保护合规的监督管理，定期开展数据安全风险评估以及数据安全与个人信息保护合规审计。

普华永道根据数据安全监管要求、自身洞察和项目经验总结了银行业数据安全合规框架图，以帮助行业企业更好的提升自身数据安全能力，满足监管合规要求。

结语

在我国不断完善的数据安全和隐私保护监管治理体系下，银行业金融机构应积极关注各类相关动态和监管政策，及早进行内部评估与分析，以制定有效的数据安全合规战略规划，并展开相应的能力体系建设，从而为银行业务的稳定开展，数据安全及个人信息保护的有效执行奠定扎实基础。