网络安全法对基层人民银行履职的影响及建议

石 易

（中国人民银行陇南市中心支行，甘肃 陇南 746000）

一、对人民银行履职的影响

（一）信息科技方面

1.明确了制定金融业信息安全标准和关键信息基础设施安全规划的职责。按照《网络安全法》第十五条规定，人民银行作为国务院组成部门应根据自身的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准；按照第三十二条规定，人民银行作为金融行业管理部门应编制并组织实施本行业的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。因此规定明确了人民银行作为全国金融业主管部门，需要承担制定金融业信息安全标准以及规划，指导和监督金融业运行网络安全保护工作。

2.需要加强金融业网络信息安全的监测预警与应急处置。按照《网络安全法》第五十二条的规定，人民银行作为金融业的管理部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息；以及按照第五十三条规定，应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。这意味着人民银行今后需要对金融机构加强网络信息安全管理，做好监测预警与应急处置工作。

3.需要加强对金融业机构采购网络产品和服务的管理。根据《网络安全法》第三十五、三十六条的规定，人民银行自身及金融业机构在采购相关网络产品和服务时，应与供应商签订安保协议，确保产品和服务提供者履行了安全和保密义务。若上述产品或服务的采购行为可能影响国家安全，相关服务和产品的供应商还应通过国家网信部门会同人民银行组织的国家安全审查。

4.需要加强网络金融安全宣传教育。根据《网络安全法》第十九条规定，人民银行须进一步加强金融网络安全的宣传教育，在防范网络新型金融犯罪方面加大投入力度，重点强化互联网支付、互联网征信等网络新型金融业态的监督管理，建立健全网上金融活动安全宣传长效机制，在宣传的形式、内容上需要进一步拓展。

5.需加强对大数据、区块链、人工智能等网络新技术的研发和应用。《网络安全法》第三条规定“鼓励网络技术创新和应用，建立健全网络安全保障体系，提高网络安全保护能力”，大数据、区块链、人工智能等技术为网络普惠金融和共享金融提供了基础工具，人民银行亟待在这些新兴技术方面的研究加快步伐。

6.需要建立金融业网络安全等级保护制度，金融业网络产品和服务应当符合相关国家标准的强制性要求。根据《网络安全法》第二十一条，征信中心、支付清算协会等人民银行下属的金融业网络运营者需要实行网络安全等级保护制度。

（二）金融消费权益保护方面

1.需要加强网络个人金融信息的保护。第一，个人金融信息需存储在境内。根据第三十七条的规定，人民银行须制定相关规范性文件，规定在中国境内经营的金融机构，将公民个人信息等重要数据存储在中国境内而非离岸操作。第二，需要出台个人金融信息保护的实施细则。根据第四十一至四十五条的规定，人民银行须进一步督促规定各金融机构依法合规收集、保存、使用和对外提供个人网上金融活动信息，不得向任何单位和个人出售客户个人金融信息，不得违规对外提供客户个人金融信息。人民银行目前已经发布《个人信用信息基础数据库管理暂行办法》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等规范性文件，下一步须结合《网络安全法》，出台配套网络个人金融信息安全的监管实施细则。

2.需要建立金融业网络信息安全的投诉、举报机制。《网络安全法》第四十九条规定，总行应要求征信中心、票据交易所、黄金交易所等下属有关单位建立网络信息安全的投诉和举报机制，确保金融消费者的个人金融信息隐私权等。

（三）征信方面

1.补充了《征信业管理条例》对大数据征信监管的部分。《征信业管理条例》出台时大数据征信业态尚未出现。《网络安全法》第四十、四十一、四十二条提出，在网络上进行个人信息收集、使用和保护时，需要明确使用规则、目的、方式和范围等，这相当于一部小型的“网络个人信息保护法”，使征信监管在信息保护和信息技术标准等方面有了上位法，强化了个人信用信息保护。此外，提高了企业和个人征信机构的技术准入门槛，为人民银行对大数据征信机构监管提供了法律保障。由于目前信息采集、流通仍然缺乏统一规范，导致了大数据征信发展面临着数据滥用问题、数据窃取问题、大数据核心技术缺乏自主可控问题、数据主权和权属问题等，需要人民银行依据《网络安全法》在配套法律法规等方面加以规范。

2.要求征信业加强信用信息的互联互通。《网络安全法》要求各信用专业机构的数据库逐步建立统一的标准和规范，使得数据库之间能够互联互通，改变我国社会信用体系建设中存在的较为严重的信用信息割据的局面。

二、政策建议

（一）建立健全金融业网络安全的规划、标准和管理机制

一是建议总行牵头制定金融业信息安全的国家标准和行业标准，包括法律规范、道德规范、技术规范、行业自律规范、网络自制规范及网站安全管理规范等在内的系统规范体系。二是建议总行牵头编制并组织实施金融业关键信息基础设施安全规划，并通过检查统计等手段加强金融基础设施运行安全保护工作。三是建立健全金融业网络安全监测预警、信息通报和应急处置制度，要求金融机构制定网络安全事件应急预案和加强网络应急灾备能力建设。

（二）建立健全金融业网络安全管理的组织机制

一是建议总行依据《网络安全法》，将人民银行对金融机构的网络安全指导与协调职责进行细化，明确金融业关键基础设施范围，以及人民银行内部对金融业信息安全的组织管理体系。二是加强与国家网信部门及金融业网络运行单位的沟通协调，明确三方的职责分工和协调机制。三是推动成立银行、证券、保险、互联网金融机构等在内的金融业网络安全协会，建立健全金融业的网络安全保护规范和协作机制，全面加强自律管理。