金融数据分类分级的的主要法律问题与合规实践
发布时间:2020-06-18
文 | 黄春林 合伙人 冯莉 合伙人 汇业律师事务所
近日,金标委秘书处发布【2020】38号通知,在委员单位内部投票审查《金融数据安全 数据安全分级指南(送审稿)》(下称“分级指南”)。据悉,这是金融行业落地《网络安全法》等法律法规的合规要求,并提升金融机构数据治理能力的重要行业标准。值得注意的是,虽然类似标准仅适用于金融业机构,但对于与金融机构合作频繁的金融科技、大数据、人工智能等公司仍然具有重要的参考意义。
根据行业最新立法/标准制定趋势以及数据合规近期执法实践,结合类似项目经验,汇业律师事务所黄春林律师团队简要分析金融数据分类分级的主要法律问题及合规实践如下:
一、为什么要开展数据分类分级
尽管《分级指南》的效力仅为推荐性行标,但金融机构开展数据分类分级工作,不仅是满足法规依从性的要求,也具有极强的现实意义。具体表现在:
(1)数据分类分级是法律明确规定的金融机构合规责任,是金融机构满足法规依从性的重要举措。根据《网络安全法》第二十一条规定,企业应当按照网络安全等级保护制度的要求,采取数据分类等措施,并应当对其中的重要数据采取备份、加密等措施。此外,正在制定中的《数据安全法》、《网络安全等级保护条例》、《数据安全管理办法》等也明确规定了数据分类分级的合规要求。在此之前,工业行业、证券期货行业也制定了各自领域内的数据分类分级指南。此外,《个人金融信息保护技术规范》等金融行业标准中也明确了该等要求。
(2)数据分类分级有利于金融机构统筹了解、掌握数据资产状况,全面提升有效性、可用性以及数据质量。
(3)数据分类分级有利于金融机构识别数据风险,全面掌握暴露面。
(4)数据分类分级有利于金融机构采取针对性的配套安全措施及管理制度,便于相关措施/制度的落地执行,具体详见本文第三部分。
二、如何开展数据分类分级
根据汇业黄春林律师团队经验,金融机构开展数据分类分级是一项系统性项目。需要项目组统筹确定项目原则、目标、分工、资源及里程碑等,充分调动金融机构业务、技术及功能等业务条线积极性,根据业务实际制定数据字典、数据标准,采取问卷、访谈等调研方式,充分平衡业务效率与安全风险,对标本文第一部分所列数据分类分级目的,采取多维度的数据分类分级策略,具体包括:
(1)根据法规/标准等的合规要求差异分类分级。此种分类分级策略的好处在于,有利于金融机构的法规依从性,进而有效避免相应的法律合规风险。例如,根据《网络安全法》等规定将金融机构数据分类为重要数据、个人信息及其他业务数据(《信息安全技术 数据安全分类分级实施指南(草案)》亦采取该种分类方法),进一步根据《网络安全等级保护条例(送审稿)》、《关键信息基础设施安全保护条例(送审稿)》等规定将金融机构数据分级为CII数据及非CII数据,以及参照不同系统的等保定级的分级数据等。针对其中的个人信息部分,还可以参照《个人金融信息保护技术规范》规定,将个人金融信息划分为C3、C2、C1类信息。
(2)根据数据资产的有用性、价值性及权属情况等因素分类分级。此种分类分级策略的好处在于,有利于金融机构充分摸清、掌握数据资产情况,并采取投入与产出比例相适应的安全与合规策略。实践中,大多数项目都会根据企业所属行业、数据性质、数据有用性及数据权利归属等情况,将数据资产划分不同的类别,分类管控,分级利用。
(3)根据数据的敏感程度、风险状况等因素分类分级。此种分类分级策略的好处在于,有利于金融机构识别数据风险和暴露面,采取有针对性的安全措施和管理策略。《分级指南》和之前发布的《证券期货业数据分类分级指引》(JR/T 0158—2018)、《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)等均倡导该种策略。例如根据《分级指南》,参照影响对象、影响程度等因素,将金融数据分为五级安全影响级别,具体如下图:
事实上,根据实际项目经验,考虑到行业特征、组织架构、数据现状及合规成本等因素,金融机构在开展数据分类分级时,很难仅按照一个维度分类分级数据,通常会采用多个维度交叉验证,统筹实施。
三、数据分类分级项目的合规衔接
开展数据分类分级不是终点,而是整个数据合规项目的起点。数据分类分级后,需要采取包括但不限于如下合规策略,进而实现业务及数据的全面合规:
(1)制定数据分类分级的制度、流程及指引,尤其包括分类分级的启动、实施及更新机制等。
(2)设置数据分类分级的机构和岗位,明确相应岗位的职责,开展相关人员贯穿全职业生命周期的背调、管理、考核及培训等。
(3)根据数据分类分级项目成果,实施相适应的配套管理机制,包括但不限于明确数据分级存储(包括但不限于软硬件要求、加密机制、存储期限、去标识化要求等)及分类备份机制,制定并实施内外部数据访问及使用权限机制,明确不同数据在上下游流动中的合规策略(包括但不限于外包或合作红线、供应商资质、审批层级、合同文本及审计要求等),明确不同类型的数据生命周期管理指引,等等。