央行数据新规施行,如何筑牢金融数据安全屏障?
近期,中国人民银行正式发布的《中国人民银行业务领域数据安全管理办法》(以下简称《办法》)已于2025年6月30日起施行。《办法》共七章五十六条,旨在督促指导相关金融行业从业机构合规开展数据处理活动。
《办法》严格遵照党中央、国务院关于数据安全管理的分工原则,依据《中华人民共和国中国人民银行法》、中国人民银行主要职责等,适用范围聚焦于金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动。
-01-
核心内容解读
《办法》的核心措施聚焦数据分级管理(一般/重要/核心三级)、全流程管控(收集至销毁六环节)和技术防护(权限/日志/隐私计算)。机制上建立”监管-机构-行业”三级责任体系,实施”合规减责”激励与跨部门协作。我们从五个维度解析核心内容:
1、监管框架与责任划分
《办法》明确采用“业务数据谁主管谁负责”原则,央行承担指导监管责任,金融机构及经批准机构作为数据处理者负主体责任。通过建立国家数据安全工作协调机制下的跨部门协作、行业协会自律管理双轨制,形成“监管-机构-行业”三级治理体系。特别要求重要数据处理者设立专职安全负责人,直接向央行报告风险。
2、数据分级分类体系
业务数据按敏感性和影响程度实施三级分类:一般数据、重要数据、核心数据。重要数据指可能危害国家安全、经济运行等的数据,核心数据则是对政治安全有直接影响的重要数据。数据处理者需建立动态资源目录,每年更新并标识三类特征:业务关联性(如是否含个人信息)、敏感性(分高、中、低三级)、可用性(按系统恢复目标分级)。
3、全流程管理要求
从收集到销毁的六个环节设置差异化规则:收集环节限制生物识别信息采集,存储环节要求核心数据系统满足四级等保,使用环节原则上禁止导出高敏感数据,加工环节需审查算法伦理,传输环节强制加密,销毁环节规范介质处理。对跨境数据流动,明确不得规避安全评估义务。
4、技术防护与应急机制
要求采取四类关键技术措施:权限管控(特权账号多因素认证)、日志审计(核心数据日志留存3年)、隐私计算(保障数据融合安全)、冗余备份(定期验证可用性)。安全事件按影响范围分级处置,重要数据企业需年开展应急演练,重大事件后启动专项审计。
5、法律责任与合规激励
违规处罚援引《数据安全法》第45条,最高可追责至刑事责任。但设立“合规减责”条款:已采取保护措施且及时补救的可减轻处罚,主动报告风险情报的从轻处理。监管手段包含约谈、联合执法、国家安全审查等,体现“惩防结合”导向。
-02-
全流程安全合规,护航业务数据安全
天威诚信拥有《电子认证服务许可证》、《电子认证服务使用密码许可证》等国家授权资质,以及公安部信息系统等保3级、ISO/IEC27001、CMMI-DEV_V1.3 成熟度三级认证等多项安全认证资质,依据“数据20条”以及《数据安全法》《电子认证服务管理办法》等法律法规要求,天威诚信可为金融机构提供基于场景化的数据安全解决方案,助力满足监管层面数据合规要求。
数据收集过程
数据收集过程中,天威诚信基于可靠的CA运营机制,结合客户数据收集需求,实现系统内数据确权,并以加密方式存储数据。同时依据《数据安全法》《个人信息保护法》等规范协助企业梳理数据收集规则,使之符合数据收集的合法性、正当性、必要性三原则。
数据存储方面
天威诚信依托加解密、数据脱敏、信息摘要等技术,明确重要数据的安全存储与使用级别,对重要数据进行必要强度的加密存储,为企业构建数据资产台账。同时根据企业需求提供包括软硬件等方式在内的数据存储解决方案,对于敏感行业数据采取数据不出客户本地的方式,确保企业业务合规、数据安全。
▲数据全生命周期安全管理
数据传输方面
在数据传输方面,天威诚信采用密码信封封装技术实现发送方和接收方之间文件的加密传输,保证只有规定的特定收信人才能阅读通信的内容,确保传输内容真实可信。同时,通过SSL证书构建数据传输加密通道,实现数据信息在客户端和服务器之间的加密传输,保证双方传递信息的安全完整。
在保障客户数据安全的基础上,天威诚信可在保障业务数据安全的前提下实现业务操作关键节点的电子数据证据留存,保护数据在存储、传输过程中不被窃取和篡改,为企业打造覆盖业务关键节点的可信证据链条,方便后期责任认定,维护企业合法权益。
▲点击图片查看天威诚信数据安全防护方案架构
随着《办法》全面实施,金融数据安全已从“被动合规”迈向“主动防御”的新阶段。
天威诚信将持续加强技术创新与研究,持续关注数据安全领域最新监管要求与企业痛点,从法律、技术、规则等角度推动数据开发开放和流通使用,帮助企业机构有效防范化解风险,为企业机构高质量发展保驾护航。
*本文中部分图片、资料均来源于网络,如涉及版权问题可联系删除。
