網絡安全法對基層人民銀行履職的影響及建議

石 易

（中國人民銀行隴南市中心支行，甘肅 隴南 746000）

一、對人民銀行履職的影響

（一）信息科技方面

1.明確了制定金融業信息安全標準和關鍵信息基礎設施安全規劃的職責。按照《網絡安全法》第十五條規定，人民銀行作為國務院組成部門應根據自身的職責，組織制定并適時修訂有關網絡安全管理以及網絡產品、服務和運行安全的國家標準、行業標準；按照第三十二條規定，人民銀行作為金融行業管理部門應編制并組織實施本行業的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。因此規定明確了人民銀行作為全國金融業主管部門，需要承擔制定金融業信息安全標準以及規劃，指導和監督金融業運行網絡安全保護工作。

2.需要加強金融業網絡信息安全的監測預警與應急處置。按照《網絡安全法》第五十二條的規定，人民銀行作為金融業的管理部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息；以及按照第五十三條規定，應當制定本行業、本領域的網絡安全事件應急預案，并定期組織演練。網絡安全事件應急預案應當按照事件發生后的危害程度、影響范圍等因素對網絡安全事件進行分級，并規定相應的應急處置措施。這意味著人民銀行今后需要對金融機構加強網絡信息安全管理，做好監測預警與應急處置工作。

3.需要加強對金融業機構采購網絡產品和服務的管理。根據《網絡安全法》第三十五、三十六條的規定，人民銀行自身及金融業機構在采購相關網絡產品和服務時，應與供應商簽訂安保協議，確保產品和服務提供者履行了安全和保密義務。若上述產品或服務的采購行為可能影響國家安全，相關服務和產品的供應商還應通過國家網信部門會同人民銀行組織的國家安全審查。

4.需要加強網絡金融安全宣傳教育。根據《網絡安全法》第十九條規定，人民銀行須進一步加強金融網絡安全的宣傳教育，在防范網絡新型金融犯罪方面加大投入力度，重點強化互聯網支付、互聯網征信等網絡新型金融業態的監督管理，建立健全網上金融活動安全宣傳長效機制，在宣傳的形式、內容上需要進一步拓展。

5.需加強對大數據、區塊鏈、人工智能等網絡新技術的研發和應用?！毒W絡安全法》第三條規定“鼓勵網絡技術創新和應用，建立健全網絡安全保障體系，提高網絡安全保護能力”，大數據、區塊鏈、人工智能等技術為網絡普惠金融和共享金融提供了基礎工具，人民銀行亟待在這些新興技術方面的研究加快步伐。

6.需要建立金融業網絡安全等級保護制度，金融業網絡產品和服務應當符合相關國家標準的強制性要求。根據《網絡安全法》第二十一條，征信中心、支付清算協會等人民銀行下屬的金融業網絡運營者需要實行網絡安全等級保護制度。

（二）金融消費權益保護方面

1.需要加強網絡個人金融信息的保護。第一，個人金融信息需存儲在境內。根據第三十七條的規定，人民銀行須制定相關規范性文件，規定在中國境內經營的金融機構，將公民個人信息等重要數據存儲在中國境內而非離岸操作。第二，需要出臺個人金融信息保護的實施細則。根據第四十一至四十五條的規定，人民銀行須進一步督促規定各金融機構依法合規收集、保存、使用和對外提供個人網上金融活動信息，不得向任何單位和個人出售客戶個人金融信息，不得違規對外提供客戶個人金融信息。人民銀行目前已經發布《個人信用信息基礎數據庫管理暫行辦法》《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》等規范性文件，下一步須結合《網絡安全法》，出臺配套網絡個人金融信息安全的監管實施細則。

2.需要建立金融業網絡信息安全的投訴、舉報機制?！毒W絡安全法》第四十九條規定，總行應要求征信中心、票據交易所、黃金交易所等下屬有關單位建立網絡信息安全的投訴和舉報機制，確保金融消費者的個人金融信息隱私權等。

（三）征信方面

1.補充了《征信業管理條例》對大數據征信監管的部分?！墩餍艠I管理條例》出臺時大數據征信業態尚未出現?！毒W絡安全法》第四十、四十一、四十二條提出，在網絡上進行個人信息收集、使用和保護時，需要明確使用規則、目的、方式和范圍等，這相當于一部小型的“網絡個人信息保護法”，使征信監管在信息保護和信息技術標準等方面有了上位法，強化了個人信用信息保護。此外，提高了企業和個人征信機構的技術準入門檻，為人民銀行對大數據征信機構監管提供了法律保障。由于目前信息采集、流通仍然缺乏統一規范，導致了大數據征信發展面臨著數據濫用問題、數據竊取問題、大數據核心技術缺乏自主可控問題、數據主權和權屬問題等，需要人民銀行依據《網絡安全法》在配套法律法規等方面加以規范。

2.要求征信業加強信用信息的互聯互通?！毒W絡安全法》要求各信用專業機構的數據庫逐步建立統一的標準和規范，使得數據庫之間能夠互聯互通，改變我國社會信用體系建設中存在的較為嚴重的信用信息割據的局面。

二、政策建議

（一）建立健全金融業網絡安全的規劃、標準和管理機制

一是建議總行牽頭制定金融業信息安全的國家標準和行業標準，包括法律規范、道德規范、技術規范、行業自律規范、網絡自制規范及網站安全管理規范等在內的系統規范體系。二是建議總行牽頭編制并組織實施金融業關鍵信息基礎設施安全規劃，并通過檢查統計等手段加強金融基礎設施運行安全保護工作。三是建立健全金融業網絡安全監測預警、信息通報和應急處置制度，要求金融機構制定網絡安全事件應急預案和加強網絡應急災備能力建設。

（二）建立健全金融業網絡安全管理的組織機制

一是建議總行依據《網絡安全法》，將人民銀行對金融機構的網絡安全指導與協調職責進行細化，明確金融業關鍵基礎設施范圍，以及人民銀行內部對金融業信息安全的組織管理體系。二是加強與國家網信部門及金融業網絡運行單位的溝通協調，明確三方的職責分工和協調機制。三是推動成立銀行、證券、保險、互聯網金融機構等在內的金融業網絡安全協會，建立健全金融業的網絡安全保護規范和協作機制，全面加強自律管理。