來源 | 零壹智庫

【編者按】

近期，為落實《數據安全法》《網絡安全法》要求，加強金融數據安全管理規(guī)范，中國人民銀行起草了《中國人民銀行業(yè)務領域數據安全管理辦法（征求意見稿）》（以下簡稱《辦法》），并面向社會公開征求意見。作為央行業(yè)務領域數據安全規(guī)范問題的首個重磅法規(guī)，《辦法》自2023年7月24日向全社會征求意見以來，不僅引發(fā)全社會廣泛關注，更引起業(yè)內專家學者的重視和熱議。

2023年9月4日，清華大學公共管理學院政府法制研究中心與對外經貿大學數字經濟與法律創(chuàng)新研究中心聯合舉辦了“金融數據安全：實踐與監(jiān)管研討會”，對央行新近頒布的《辦法》進行討論。

近日，零壹智庫對清華大學、北京大學、對外經貿大學、中央財經大學、中國政法大學、北京航空航天大學六位教授進行了專題采訪，探討當前我國央行領域金融數據安全問題，并對《辦法》提出修改意見和建議，以期更好推進金融數字立法完善，更好推動我國金融數據安全管理規(guī)范發(fā)展。

【訪談嘉賓簡介】

 許   可     對外經貿大學數字經濟與法律創(chuàng)新研究中心主任

 沈偉偉     中國政法大學大數據和人工智能法律研究中心主任

 劉   權     中央財經大學數字經濟與法治研究中心執(zhí)行主任

 陳天昊     清華大學公共管理學院政府法制研究中心副主任

 趙精武     北京航空航天大學北京科技創(chuàng)新中心研究基地副主任

 顧   雷     北京大學普惠金融與法律監(jiān)管研究基地副主任

【主持人簡介】

 柏   亮     零壹智庫CEO

 01 

數據市場快速發(fā)展，《辦法》填補制度空白

柏亮：《辦法》不久前已經公開向全社會征求意見了，越來越多業(yè)內人士對《辦法》開展了討論。其實，兩年前，我國已經頒布了《數據安全法》，為什么今天還要專門起草這樣一部法規(guī)來規(guī)范央行業(yè)務領域的金融數據安全管理？《辦法》是在何種背景下制定的？其對金融市場數據安全和發(fā)展又有哪些作用？

許可：經過多年發(fā)展，我國數據要素大市場正在加快布局。在上海，張江科學城正在打造數據要素產業(yè)集群。在陜西，20多個省級部門正在啟動應用政府數據共享平臺，積極探索數據流通新模式、創(chuàng)新場景應用模式。在福建，大數據交易所也正在帶動總產值超過42億元的數據產業(yè)集群。在廣東，探索建立“首席數據官”機制，加快培育數據管理人才。在深圳，深圳數據交易所推出了1500多個數據產品，交易活躍，深受全國用戶歡迎。據我們初步統計，全國已成立48家數據交易機構，數據資產評估、登記結算市場運營主體也在加快建設，全國數據要素產業(yè)體系初步形成。截止2022年12月，我國大數據產業(yè)規(guī)模達1.57萬億元，同比增長18%；數據產量達8.1ZB，同比增長22.7%，占全球數據總產量10.6%。顯然，數據資源體系建設在全國范圍內蓬勃發(fā)展，數據資源供給能力持續(xù)提升，數據要素也成為勞動力、土地、資本、技術之外最先進、最活躍的生產要素。但是，海量的數據也構成了金融行業(yè)重大安全隱患，諸如數據不規(guī)范收集、數據泄漏、數據造假以及數據違規(guī)出境不斷出現，這些尚未徹底排除的“危險數據”已經構成了我國數據安全主要問題。為了進一步落實《數據安全法》要求，央行審時度勢，以數據產權、流通交易、安全治理為抓手，聚焦系統內開展各類業(yè)務活動時所產生和收集的數據，組織起草了《辦法》，明確中國人民銀行業(yè)務領域數據安全合規(guī)底線，力圖解決數據面臨的泄露威脅，監(jiān)測敏感數據流動，加設數據泄露防護系統，填補央行業(yè)務領域數據安全管理制度保障空白。

 02 

六大亮點，并更具針對性

柏亮：確實如此。目前中國人民銀行起草的《辦法》正在向社會廣泛征求意見，進一步完善金融數據立法，促進了數據合規(guī)高效流通，推進了國家數據治理體系和治理能力建設。具體講，《辦法》都有哪些亮點？

顧雷：

一是開啟了分級分類數據模式。《辦法》要求數據處理者應當建立數據分類分級制度，梳理數據資源目錄、標識分類信息，進一步做好數據敏感性、可用性層級劃分，實現數據分類分級梳理及密級標識，以便在全流程數據管理中更優(yōu)采取精細化、差異化的安全保護措施，比如《辦法》針對收集、存儲、使用、加工、傳輸、提供、公開和刪除各環(huán)節(jié)，明確了向數據處理者采取哪些分級保護措施，細化了風險監(jiān)測、評估審計、事件處置等合規(guī)要求，強調數據處理者應當建立分級數據處理活動安全風險監(jiān)測和告警機制，解決有意、無意引發(fā)的數據泄露風險以及敏感數據泄露，為API使用提供安全保障，有效應對數據處理活動中各類安全隱患。

二是提出了數據安全保護總體要求。首次明確在全行業(yè)范圍要求數據管理、數據安全管理和業(yè)務管理做到三位一體，設定了數據安全保護和數據處理全流程合規(guī)底線。比如《辦法》建立數據安全問責處罰制度和數據處理活動全流程安全管理制度，規(guī)定對于數據被篡改、破壞、泄露、不當牟利等行為要面臨法律處罰，壓實數據處理者數據安全責任�！掇k法》還規(guī)定第三層級以上數據項需脫敏才能公開，確保不損害國家安全、公共利益、組織及個人隱私權，否則也將被法律追責。

三是界定了各個階段的數據責任。《辦法》規(guī)定的數據安全法律責任不止于數據收集存儲環(huán)節(jié)，包括數據收集、存儲、使用、提供、加工、傳輸等數據處理全流程安全保護義務和法律責任，所有主體不僅要對自己業(yè)務數據的真實性負責，還要對數據的安全性負責，確保所有數據處于完整、真實以及持續(xù)安全狀態(tài)。

四是落實了隱私數據安全性條款。今天，現在很多人生活和機構運轉軌跡都在網絡上留下數字痕跡，每一個人實際上都被數據全方位、全時段覆蓋。由此看，互聯網時代每一個人基本上都是透明人，個人隱私權有可能受到一定程度潛在威脅。為此，《辦法》第25條規(guī)定數據處理者采用隱私計算等技術促進數據融合創(chuàng)新應用時，應當確認原始數據未離開自身控制范圍�！掇k法》第37條又要求機構在采用隱私計算技術提供數據時，應當進行統一的技術風險評估，明確安全可驗證性、性能可接受性等風險緩釋措施。

五是對脫敏條款進行了規(guī)范。數據流通、應用過程中，存在著大量非公開敏感信息（數據），涉及國家、企業(yè)、行業(yè)以及個人秘密。在這種情況下，數據脫敏就是一個不錯的選擇。為此，《辦法》鼓勵數據處理者在安全合規(guī)前提下，對敏感數據進行加工，降低敏感性層級，用匿名、隱名方式將數據和個人、企業(yè)的對應關系解除，達到無法識別特定個人、組織的目的，讓更多非公開敏感信息（數據）可以進入數據流通市場，被金融機構、金融科技公司用于經營活動，更好促進數據利用和市場開發(fā)。

六是規(guī)定了跨境數據的限制性條款。《辦法》第26條規(guī)定數據處理者在中國境內收集和產生的數據，法律、行政法規(guī)有境內存儲要求的，應當在境內存儲。如果向境外提供數據，并涉及國家網信部門規(guī)定情形時，數據處理者必須事前開展數據出境風險自評估，不得有意拆分、縮減出境數據規(guī)模以規(guī)避申報數據出境安全評估。顯然，《辦法》加強了對跨境數據管理的監(jiān)管力度，強調非經中國人民銀行批準，數據處理者不得向其提供境內存儲的數據的要求，防止數據出境可能造成的國內數據泄露風險，對我國金融數據穩(wěn)健運行提供了制度性保障。

柏亮：記得前幾年我國就頒布了《網絡安全法》（2017年）、《數據安全法》（2021年）以及《個人信息保護法》（2021年），2022年10月國家還出臺“數據二十條”，許可教授能不能從立法角度談談與過去公布的這些數據法律法規(guī)相比，《辦法》在哪些方面體現了繼承性和突破性？如何在立法上注重與《網絡安全法》《數據安全法》統一適配？

許可：首先，《網絡安全法》、《數據安全法》以及“數據二十條”都是數據保護性規(guī)范，更多的是對金融市場、金融行業(yè)和個人數據的治理，但不是對中國人民銀行業(yè)務領域數據的規(guī)范，這就使得金融機構、金融科技企業(yè)和個人在使用央行業(yè)務領域數據時存在法律模糊地帶。與上述幾個法律法規(guī)相比，《辦法》的出臺，形成了與現行數據的良性互動和有效銜接，彌補了在央行業(yè)務領域數據使用時法律規(guī)范不足，減少了法條沖突和矛盾。比如，在金融數據跨境流動方面，《辦法》在《數據安全法》《網絡安全法》基礎上提出更細化的要求，《辦法》第26條第1款要求“重要數據應當境內存儲”，第2款要求“數據處理者在開展數據出境前進行風險自評估和申報數據出境安全評估”。

顯然，《辦法》明確了央行業(yè)務領域數據安全合規(guī)底線要求，指導數據處理者高效開展央行業(yè)務領域數據處理活動，落實了數據安全法規(guī)的可操作性，展示出原有數據法律規(guī)范的繼承性和發(fā)展性，促進數據要素市場高質量發(fā)展。其次，《辦法》相比國家網信辦聯合國家發(fā)展改革委、教育部、科技部、工業(yè)和信息化部公布的《生成式人工智能服務管理暫行辦法》，更加具有針對性。《生成式人工智能服務管理暫行辦法》只是規(guī)定向國內公眾提供生成文本、圖片、音頻、視頻等內容，而《辦法》聚焦金融行業(yè)生成文本、圖片、音頻、視頻、自動化決策、算法風險評估等內容，在范圍上拓展到了金融數據，在內容上延伸到了生成式人工智能算法、風險評估、自動化決策等方面，完善了金融行業(yè)數據安全管理制度，具有一定的突破性。

 03 

一些建議：保障安全，促進開發(fā)利用

柏亮：許可教授分析得透徹。正因為有了《辦法》的繼承和突破，才能加強對金融數據處理者的監(jiān)督，確保數據管理制度得到切實執(zhí)行，及時糾正存在的金融數據安全隱患，這也是我們業(yè)內十分期盼的事情。

當然，雖然《辦法》在收集、存儲、使用、加工、傳輸、提供、公開和刪除環(huán)節(jié)存在諸多亮點，但我們不能要求《辦法》包羅萬象、面面俱到，馬上解決金融業(yè)務領域存在的所有數據問題。目前，《辦法》可能會存在需要不斷完善的地方，這正好是我們在可見未來的金融實踐中加以認真總結和解決。請各位老師談談對《辦法》需要完善的建議和意見。許可：我個人提出若干不成熟的建議和意見，以期有裨于《辦法》的完善。

第一，明確數據境外調取的批準主體。《數據安全法》第36條規(guī)定：“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數據。”實踐中，一個非常重要的困惑是不清楚誰是“主管機關”。根據這一條款，《辦法》第27條規(guī)定：“中國人民銀行根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理國際組織和外國金融管理部門關于提供數據的請求。非經中國人民銀行和其他有關主管部門批準，數據處理者不得向其提供境內存儲的數據。”該條盡管明確了人民銀行作為主管機關的地位，但另外增加了“其他主管部門”這一不確定的表述，建議刪除，并將“人民銀行”作為唯一主管機關，便于后續(xù)執(zhí)法。

第二，進一步強化數據利用功效。《數據安全法》第1條開宗明義確立了“數據安全與數據利用”雙重目標。作為《數據安全法》下位法，《辦法》對于數據安全濃墨重彩，但對于數據利用稍顯薄弱。例如，《辦法》第21條規(guī)定：“使用第三層級以上數據項加工后產生的數據項，經評估確認無法識別至特定個人、組織，或者反映信息敏感程度明顯低于原數據項時，數據處理者履行內部審批手續(xù)后，可視情降低敏感性層級，促進數據依法合規(guī)開發(fā)利用。”這里要求數據利用限于無法識別特定“個人、組織”的數據，大大縮限了數據范圍。并且，將特定組織識別作為敏感要素，也缺乏上位法依據，建議刪除。類似《辦法》第17條也規(guī)定：“非直接面向個人、組織收集數據時，應當要求數據提供方依照法律、行政法規(guī)取得個人、組織的同意”。這里取得“組織同意”既沒有上位法依據，也與實踐不符，建議刪除。

第三，增加數據依法流通共享的條款。金融數據的利用和流通不但可以完善我國信用體系，也能夠幫助金融機構和監(jiān)管機構更好地防范金融風險。為此，我們建議在反洗錢、反恐怖融資、反詐和征信場景下，設立數據依法流通共享規(guī)則，即無需征得個人或者是相關組織的同意，數據就可以強制流通。

劉權：我也談談對《辦法》修改的一些建議。

第一，在體系框架上，《辦法》“第三章數據安全保護總體要求”同前后部分銜接不暢，建議取消該章，部分條款分別調整到“第一章總則”和“第四章數據安全保護管理措施”之中。

第二，建議在《辦法》第1條立法目的增加促進數據創(chuàng)新利用的表述。目前《辦法》只規(guī)定了“為規(guī)范中國人民銀行業(yè)務領域數據的安全管理”單一立法目的，但有大量促進數據創(chuàng)新利用的條款，而且起草說明也將增加促進數據創(chuàng)新利用作為亮點表述�？梢越梃b《個人信息保護法》第一條規(guī)定的雙重立法目的方式：“為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。”

第三，建議修改《辦法》第3條“采取有效措施防范數據被篡改、破壞、泄露、不當獲取與利用等風險，確保不損害國家安全、公共利益、金融秩序、個人及組織合法權益”。“有效措施”可能是成本過大的措施，可能造成過大的經濟負擔而變得不可行。因此個人建議改為“必要措施”，實現利益均衡。

第四，《辦法》第11條規(guī)定“每年組織更新數據資源目錄”，可能跟不上快速發(fā)展的形勢和不同領域的特點，個人建議修改為“每年至少組織一次更新數據資源目錄”更為可操作性，在立法表述上也更明確化。

第五，《辦法》第17條規(guī)定“數據處理者收集數據應當遵循合法、正當原則”，建議改為“數據處理者收集數據應當遵循合法、正當、必要和誠信原則”。因為“合法”和“正當”并不一定是“必要”的，也未必符合“誠信原則”，為了在立法上更加周全和合理，增加“必要和誠信原則”也是很有必要的。

第六，《辦法》第43條規(guī)定了“重要數據的數據處理者應當自行或者委托檢測機構，每年組織開展一次全面的數據安全風險評估工作”，那么是否應當明確日常風險評估的情形呢？一年評估一次是不夠的。可參考《個人信息保護法》規(guī)定的個人信息保護影響評估制度進行修改。

顧雷：總體結構上看，《辦法》立法宗旨明確，法條邏輯清晰，但《辦法》依然存在一些可以改進之處，主要有以下幾個方面：

第一，《辦法》第1條規(guī)定的目的是“為規(guī)范中國人民銀行業(yè)務領域數據的安全管理”，這當然沒有問題，但從金融數據安全管理角度看，似乎偏窄了一點。一般講，金融業(yè)務領域數據安全管理是具有雙重目的：一是規(guī)范數據安全管理，二是促進數據開發(fā)和利用，兩者缺一不可，相互促進。因此，我們建議在《辦法》第1條增加一句“促進數據開發(fā)和利用”，更全面完備和有說服力。

第二，《辦法》第26條只有對數據出境限制管理措施的規(guī)定，但由于《辦法》第21條有對脫敏數據可以降低敏感層級的規(guī)定。因此，第26條也應該增加對降低敏感層級的脫敏數據采取簡易程序審核的規(guī)定，追求寬嚴得體、層次分明的效果。

第三，《辦法》第29條要求數據處理者應當主動刪除數據，比如要求存儲第三層級以上數據項的存儲介質不再使用并且離開數據處理者控制范圍時，應當及時銷毀。這些要求刪除相關數據的規(guī)定對于保護個人隱私數據、維護社會成員合法權益是絕對必要的。但是，《辦法》第七章“法律責任”缺乏對違反個人數據刪除的處罰性條款，也就是說，應該銷毀而沒有及時銷毀數據存儲介質的行為，《辦法》從第48條到第54條均沒有處罰規(guī)定。因此，我們建議《辦法》最好再增加第55條，專門對違反《辦法》第29條和39條的行為設定法律處罰規(guī)定。這樣《辦法》在法律責任上就前后呼應，立法結構也更趨平衡和對稱。

第四，《辦法》第29條“數據處理者發(fā)生解散、被宣告破產等情況時，合法合規(guī)完成自身需要的數據轉移處理后，應當及時銷毀全部數據存儲介質”規(guī)定中的“及時”不具備可操作性，法律規(guī)范性和執(zhí)行力較低，在金融實踐中容易產生推諉扯皮現象，不利于數據的刪除，由此我建議《辦法》第29條應該界定一個比較明確的時間范圍，建議修改為：合法合規(guī)完成自身需要的數據轉移處理后的三日內，應該銷毀全部數據存儲介質。如此，在立法上增強了《辦法》前后法條協調一致性，在司法實踐中也更具可操作性。

沈偉偉：網絡法問題總是交織著法律與技術結合的解決之道。我的經驗，法律人總是對技術寄予很大期望，工程師總是對法律寄予很大期望，最后往往雙方彼此一合議，發(fā)現自己都高估了對方規(guī)制工具箱的效果�！掇k法》第21條之所以可以被冠之以“促進數據開發(fā)利用”，恰恰是因為法律對于“第三層級以上數據項加工”后所帶來的較低信息敏感程度，使得數據保護和數據安全有了更多保障。

此舉確實是在用一個近似于附條件的避風港或者豁免的方式，鼓勵和促進數據開發(fā)利用。但我們需要注意到的是，技術上的降低信息敏感程度，近似于個人信息保護領域討論比較多的“匿名化”，有一個已經被學術討論、且在實踐中多次驗證的觀點：匿名化與其說一個有和無的問題，不如說是一個多或少的問題，而且實踐中常常出現的現象是，匿名化是暫時的，再識別是可能的。換言之，只要一個人的個人金融信息被采集，那么就存在一種潛在的可識別性，哪怕他暫時處于匿名化狀態(tài)。我們金融領域在很早就使用大量的金融風險管理技術，從企業(yè)的金融風控技術，到個人銀行類似U盾之類的認證技術，都是技術規(guī)制的工作。所以金融行業(yè)應該很能理解，金融風險控制技術的優(yōu)勢以及局限性。

這一點，同樣也適用于信息脫敏技術或匿名化技術。《辦法》第21條（以及第28條第3款）很可能對于脫敏技術抱太高的期待，一旦脫敏技術無法取得預期，那么這個附條件的避風港或者豁免，就可能成為數據安全的一個短板。因為，金融領域客戶也不斷地變化，金融場景不斷變化，金融服務也不斷變化，技術也不斷變化，這些都可能使得原先不敏感或者被認為是脫敏的數據，重新具備敏感度，威脅數據安全和個人信息權益。

而第21條的處理似乎把“促進數據開發(fā)利用”這一重托，都放在脫敏技術這一個單一的技術模塊，此外“明顯低于”、“視情”等模糊用語，也為具體實施過程中的標準認定埋下隱患。面對金融數據利用、金融數據安全、個人信息保護這一系列錯綜復雜的張力，我個人建議再仔細斟酌《辦法》第21條，尤其是在對脫敏化、匿名化信息相關技術實踐充分調研的基礎上，并在對其他數據保護和數據利用技術的考察下，重新界定數據安全與數據利用的邊界。

陳天昊：以《辦法》為基礎，要實現金融數據資源的大循環(huán)，至少還有下述三方面的工作需要做：

第一，同步修訂金融領域內相關數據安全技術規(guī)范，以保持金融數據法律體系完整性和統一性。例如，2020年9月中國人民銀行發(fā)布的《金融數據安全 數據安全分級指南》，對金融數據的安全定級做了較為嚴苛規(guī)定，賬戶金額信息、個人征信信息皆并劃定為3-5級，為“一般針對特定人員公開，且僅為必須知悉的對象訪問或使用”。更為嚴苛的表達還出現在2020年2月中國人民銀行發(fā)布《個人金融信息保護技術規(guī)范》第7.1.3條，其明確“金融業(yè)機構原則上不應共享、轉讓其收集的個人金融信息，確需共享、轉讓的，應充分重視信息安全風險”。

第二，推動構建金融數據跨部門協同監(jiān)管機制。《數據安全法》確立了由各主管部門負責本行業(yè)、本領域數據安全監(jiān)管職責的管轄權分配原則，本管理辦法將其更明確地表述為“誰管業(yè)務，誰管業(yè)務數據，誰管數據安全”的數據安全工作原則。此原則的好處在于提供了簡明的數據安全歸責指引，然而適用該原則所面臨的挑戰(zhàn)在于，數據資源的大循環(huán)必定意味著產生于特定行業(yè)、領域的數據會向其他行業(yè)、領域頻繁流動，從而跨越不同監(jiān)管者的主管領域，并在不同領域之間反復穿梭。這便要求建立具備高度整合性的金融數據跨部門協同監(jiān)管機制。在《數據安全法》規(guī)定的國家數據安全工作協調機制之下，《辦法》僅提出中國人民銀行可以與其他監(jiān)管部門簽訂“合作協議”，以約定數據安全監(jiān)管協作模式。然而，基于約定的監(jiān)管協作能夠在多大程度上實現，有賴于各部門之間的談判能力，并且部門之間的協議缺乏剛性的執(zhí)行保障，在遭遇復雜或突發(fā)的問題時，難以約束各部門之間的機會主義行為，未來還需以更高位階的硬法構建專門的協同監(jiān)管機制。

第三，對金融數據開發(fā)利用中各個主體的數據權屬進行合理配置。不對主體進行明確的權屬確認，就不可能激發(fā)數據要素在不同主體之間的高效配置。《數據二十條》以“數據處理者”和“企業(yè)數據”為中心，提出數據資源持有權、數據加工使用權、數據產品經營權的數據三權分置的權利配置構想。然而，在金融領域內不同主體分別在何種條件下享有哪些權利？需要結合金融數據開發(fā)利用的具體場景予以明確。否則，即便解決了金融數據的安全問題，各個主體仍然將會缺乏推動金融數據高效流動及交易的有效激勵。

趙精武：從現有征求意見稿來看，《辦法》內容詳實，完全能夠貼合金融、銀行業(yè)務領域的數據處理實踐現狀。不過，結合我國現行《網絡安全法》《數據安全法》立法體系來看，《辦法》依然存在部分細節(jié)問題，建議予以微調，具體包括下列內容：

第一，建議《辦法》第二章“數據分級分類”與《辦法》第三章的“數據安全保護總體要求”進行內容合并。因為從目前數據安全立法體系來看，數據分級分類保護已經是我國數據安全法律制度的基礎制度，諸如數據安全責任人、重要數據目錄清單等具體制度均是以數據分級分類為基礎。因此，數據分級分類顯然屬于“數據安全保護總體要求”的內容之一。從內容篇幅和修改難易程度考慮，可以考慮采取類似《網絡安全法》的規(guī)定模式，該法第三章第一小節(jié)是“一般規(guī)定”，第二小節(jié)則根據關鍵信息基礎設施保護的條款篇幅，單獨規(guī)定了一小節(jié)“關鍵信息基礎設施的運行安全”。因此，可以考慮在第三章“數據安全保護總體要求”中專門單列一小節(jié)“數據分級分類”。

第二，建議將《辦法》第11條“更新數據資源目錄”修改為“更新數據資源目錄和重要數據目錄”，并且要求數據處理者將更新后的重要數據目錄填報至中國人民銀行。這是因為為了更有效、更動態(tài)化地更新本行業(yè)的重要數據，有必要根據數據處理者提交的重要數據目錄進行制定總體性的重要數據目錄，而且如此調整也能夠與我國行業(yè)標準保持同步一致。

第三，建議在《辦法》第12條中增加有關數據安全負責人的兩款內容。一是“重要數據處理者應當書面明確數據安全負責人和數據安全牽頭管理內設部門，并將數據安全負責人的聯系方式與重要數據目錄一并填報至中國人民銀行。”二是“重要數據處理者的數據安全負責人應當能夠獨立履職，落實數據安全保護責任。”單獨規(guī)定重要數據處理者聯系方式應當予以上報，是為了方便監(jiān)管機構直接確認和聯系直接責任人，避免淪為“空架子”，也便于監(jiān)管機構能夠明確相應的責任主體。

第四，建議在《辦法》第14條的培訓內容中增加一項“員工調崗、離職時數據訪問權限的同步變更管理制度”。這是因為在現有的數據泄露事件中，員工操作不當或員工惡意泄露數據已成為“重災區(qū)”，尤其在員工離職、調崗時，原有的數據訪問權限未能關閉、擅自拷貝企業(yè)內部數據等問題頻出有二有必要在安全培訓階段予以規(guī)范，這樣也能夠與《辦法》第16條“人員管理要求”的內容實現體系銜接。

柏亮：感謝六位老師提出的立法建議，希望《辦法》在廣泛聽取社會意見和專家學者建議基礎上，能夠更快更好完善起來，早日正式頒布執(zhí)行，支持已經到來的金融數據3.0時代。未來，國家將進一步落實數據安全審查、數據安全監(jiān)測、數據交易制度，細化重要金融數據目錄、金融數據風險評估、金融數據出境等重點工作規(guī)范，完善金融數據開發(fā)技術標準和金融數據安全標準體系。我們相信，金融數據安全技術在未來我國金融科技發(fā)展中將扮演越來越重要的角色，推動金融機構實現多方數據融合，促進我國數據安全技術持續(xù)、公平發(fā)展，在數字產業(yè)標準化方面發(fā)揮越來越大的支撐和引領作用。 注：本文參考了六位教授會議發(fā)言和相關文字材料。

       原文標題 : 萬字長文 | 六大高校教授建言“央行數據安全管理辦法”：要保障安全，也要促進數據開發(fā)利用