為規(guī)范銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)處理活動(dòng)��,保障數(shù)據(jù)安全�、金融安全,促進(jìn)數(shù)據(jù)合理開發(fā)利用���,維護(hù)社會(huì)公共利益和金融消費(fèi)者合法權(quán)益�����,2024年12月27日���,國(guó)家金融監(jiān)督管理總局(以下簡(jiǎn)稱“金融監(jiān)管總局”)正式對(duì)外發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》(以下簡(jiǎn)稱《辦法》)。該辦法是金融監(jiān)管總局成立后的第一部數(shù)據(jù)安全立法���,此次正式發(fā)布結(jié)束了近9個(gè)月的意見征求階段,意味著我國(guó)金融監(jiān)管行業(yè)的數(shù)據(jù)安全監(jiān)管要求進(jìn)入了新的階段��。
在內(nèi)容上����,《辦法》共八十一條,包括總則、數(shù)據(jù)安全治理��、數(shù)據(jù)分類分級(jí)����、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)��、個(gè)人信息保護(hù)����、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置、監(jiān)督管理及附則九個(gè)章節(jié)���,從治理體系��、管理制度�、技術(shù)機(jī)制以及風(fēng)險(xiǎn)評(píng)估����、監(jiān)測(cè)與處置機(jī)制等方面進(jìn)行了系統(tǒng)規(guī)范。
01 “數(shù)據(jù)安全”定義更為側(cè)重“多場(chǎng)景”
《辦法》對(duì)于數(shù)據(jù)安全的定義是:“通過采取必要措施����,對(duì)數(shù)據(jù)處理活動(dòng)和數(shù)據(jù)應(yīng)用場(chǎng)景進(jìn)行管理與控制,確保數(shù)據(jù)始終處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力�����?�!?/p>
《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)安全的定義是:“通過采取必要措施��,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)��,以及具備保障持續(xù)安全狀態(tài)的能力����。”
《數(shù)據(jù)安全法》中對(duì)于數(shù)據(jù)安全的定義側(cè)重于數(shù)據(jù)本身的保護(hù)和合法利用��,以及保障數(shù)據(jù)持續(xù)安全的能力���;而《辦法》對(duì)于數(shù)據(jù)安全的定義中特別提及數(shù)據(jù)應(yīng)用場(chǎng)景�,強(qiáng)調(diào)了對(duì)數(shù)據(jù)處理活動(dòng)和數(shù)據(jù)應(yīng)用場(chǎng)景的管理和控制��,更貼切銀行和保險(xiǎn)行業(yè)的實(shí)際需求和特點(diǎn)���,提出了更細(xì)化的管理要求和保護(hù)措施。
02 落實(shí)數(shù)據(jù)安全責(zé)任制,明確數(shù)據(jù)安全歸口管理部門
《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)建立與業(yè)務(wù)發(fā)展目標(biāo)相適應(yīng)的數(shù)據(jù)安全治理體系�,落實(shí)數(shù)據(jù)安全責(zé)任制,按照“誰管業(yè)務(wù)�、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則開展數(shù)據(jù)安全保護(hù)工作����。
《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)在機(jī)構(gòu)內(nèi)部建立涵蓋董事會(huì)、高管層在內(nèi)的多層級(jí)治理架構(gòu)����,將數(shù)據(jù)安全歸口管理部門、業(yè)務(wù)部門�、風(fēng)險(xiǎn)合規(guī)與審計(jì)部門、數(shù)據(jù)安全技術(shù)保護(hù)部門等部門均納入到數(shù)據(jù)安全的治理工作中��,明確開展數(shù)據(jù)處理活動(dòng)的具體業(yè)務(wù)部門應(yīng)當(dāng)對(duì)相關(guān)活動(dòng)涉及的數(shù)據(jù)履行數(shù)據(jù)安全保護(hù)義務(wù)���,而非由技術(shù)或風(fēng)控部門統(tǒng)一歸口負(fù)責(zé)�,有效降低出現(xiàn)相互推諉造成責(zé)任盲區(qū)的潛在風(fēng)險(xiǎn)����。
同時(shí),通過建立數(shù)據(jù)安全責(zé)任制壓實(shí)各層級(jí)的數(shù)據(jù)安全責(zé)任�,明確銀行保險(xiǎn)機(jī)構(gòu)黨委(黨組)��、董(理)事會(huì)對(duì)本單位數(shù)據(jù)安全工作負(fù)主體責(zé)任�����,機(jī)構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人����,分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責(zé)任人�����。同時(shí)�����,明確數(shù)據(jù)安全歸口管理部門���。要求銀行保險(xiǎn)機(jī)構(gòu)指定數(shù)據(jù)安全歸口管理部門����,作為本機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的主責(zé)部門���,承擔(dān)制定數(shù)據(jù)安全管理制度標(biāo)準(zhǔn)�、建立維護(hù)數(shù)據(jù)目錄�����、推動(dòng)數(shù)據(jù)分類分級(jí)保護(hù)�����、組織開展風(fēng)險(xiǎn)監(jiān)測(cè)���、預(yù)警及處置等職責(zé)�����。
03 “三級(jí)兩類”�,落實(shí)數(shù)據(jù)分類分級(jí)管理要求
《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)制定數(shù)據(jù)分類分級(jí)保護(hù)制度�,建立數(shù)據(jù)目錄和分類分級(jí)規(guī)范,動(dòng)態(tài)管理和維護(hù)數(shù)據(jù)目錄�,并采取差異化的安全保護(hù)措施。
- 在數(shù)據(jù)分類方面���,征求意見稿中按照“個(gè)人信息����、數(shù)據(jù)來源(生產(chǎn)經(jīng)營(yíng)加工產(chǎn)生、外部收集產(chǎn)生等)����、存儲(chǔ)該數(shù)據(jù)項(xiàng)的信息系統(tǒng)清單和應(yīng)用的業(yè)務(wù)類別”進(jìn)行分類。而正式稿中對(duì)機(jī)構(gòu)業(yè)務(wù)及經(jīng)營(yíng)管理過程中獲取�����、產(chǎn)生的數(shù)據(jù)進(jìn)行分類管理��,按照“客戶數(shù)據(jù)�、業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)��、系統(tǒng)運(yùn)行和安全管理數(shù)據(jù)等”進(jìn)行分類���,在范圍上涵蓋了銀行保險(xiǎn)機(jī)構(gòu)日常接觸和處理的全部數(shù)據(jù)����。
- 在數(shù)據(jù)分級(jí)方面����,征求意見稿采用了“三級(jí)五層”的分級(jí)方式,而正式稿則采用了“三級(jí)兩類”的分級(jí)方式���,根據(jù)數(shù)據(jù)的重要性和敏感程度�,將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)����,一般數(shù)據(jù)又細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)����。當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化�,導(dǎo)致安全級(jí)別不再適用的,及時(shí)進(jìn)行動(dòng)態(tài)調(diào)整���。
04 強(qiáng)化數(shù)據(jù)安全管理體系��,建立數(shù)據(jù)資產(chǎn)地圖�����、要求“可追溯”
在管理措施方面�����,《辦法》建立了以“建立數(shù)據(jù)資產(chǎn)地圖”為核心的合規(guī)思路�,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)安全管理辦法,明確管理責(zé)任分工��,建立包括數(shù)據(jù)處理全生命周期管控機(jī)制��,落實(shí)保護(hù)措施����;并對(duì)數(shù)據(jù)外部引入或者合作共享、數(shù)據(jù)出境等重點(diǎn)關(guān)注�����,制定安全管理實(shí)施細(xì)則�����。
具體而言����,《辦法》要求“銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)分類分級(jí)保護(hù)制度,建立數(shù)據(jù)目錄和分類分級(jí)規(guī)范��,動(dòng)態(tài)管理和維護(hù)數(shù)據(jù)目錄�����,采取差異化安全保護(hù)措施”。在此基礎(chǔ)上���,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立企業(yè)級(jí)數(shù)據(jù)架構(gòu)�,統(tǒng)籌開展對(duì)全域數(shù)據(jù)資產(chǎn)登記管理����,建立數(shù)據(jù)資產(chǎn)地圖����,以數(shù)據(jù)分類分級(jí)為基礎(chǔ)明確數(shù)據(jù)保護(hù)對(duì)象,圍繞數(shù)據(jù)處理活動(dòng)實(shí)施安全管理����。
此外,《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照“業(yè)務(wù)必要授權(quán)”原則�����,對(duì)敏感級(jí)及以上數(shù)據(jù)嚴(yán)格實(shí)施授權(quán)管理�����,制定數(shù)據(jù)訪問閉環(huán)管理機(jī)制,并對(duì)數(shù)據(jù)訪問行為實(shí)施審計(jì)��。確因業(yè)務(wù)需要從生產(chǎn)環(huán)境提取數(shù)據(jù)的���,應(yīng)當(dāng)建立嚴(yán)格的審批程序��,并明確數(shù)據(jù)使用或者保存期限����。同時(shí)�����,《辦法》還多處提及“可追溯”的要求���,包括“數(shù)據(jù)來源可追溯”��、“數(shù)據(jù)轉(zhuǎn)移過程可追溯”��、“模型算法可追溯”�����,可能進(jìn)一步壓實(shí)機(jī)構(gòu)的合規(guī)責(zé)任���。
05 加強(qiáng)個(gè)人信息保護(hù)����,保護(hù)消費(fèi)者信息和權(quán)益
《辦法》單獨(dú)設(shè)置“個(gè)人信息保護(hù)”章節(jié)��,以進(jìn)一步落實(shí)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等上位法要求���,體現(xiàn)保護(hù)消費(fèi)者信息和權(quán)益的政策導(dǎo)向�。主要規(guī)定包括:
- 銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息應(yīng)按照“明確告知����、授權(quán)同意”的原則實(shí)施�����,并限于實(shí)現(xiàn)金融業(yè)務(wù)處理目的的最小范圍��,不得過度收集個(gè)人信息����。
- 處理、共享和對(duì)外提供個(gè)人信息時(shí)�,應(yīng)當(dāng)履行必要的告知義務(wù),并取得必要同意。不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由����,拒絕提供產(chǎn)品或者服務(wù),處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外�。
- 在開展涉及對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)時(shí),應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估�����。委托第三方處理個(gè)人信息時(shí)�,應(yīng)明確受托人對(duì)個(gè)人信息的保護(hù)義務(wù)、保護(hù)措施和期限等�����。
- 發(fā)生或者可能發(fā)生個(gè)人信息泄露�、篡改、丟失的��,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)立即采取補(bǔ)救措施����,并向監(jiān)管部門報(bào)告。
06 完善風(fēng)險(xiǎn)監(jiān)測(cè)處置機(jī)制�����,將數(shù)據(jù)安全風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系
在風(fēng)險(xiǎn)監(jiān)測(cè)與處置方面,《辦法》要求將數(shù)據(jù)安全風(fēng)險(xiǎn)納入銀行保險(xiǎn)機(jī)構(gòu)現(xiàn)有的風(fēng)險(xiǎn)管理體系�����,定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估(每年一次)和數(shù)據(jù)安全審計(jì)(每三年一次)���,并劃分為事前監(jiān)測(cè)評(píng)估�����、事中處置和事后報(bào)告三個(gè)階段��,明確機(jī)構(gòu)在各階段的合規(guī)義務(wù)�。另外��,需事先就涉及批量敏感級(jí)及以上數(shù)據(jù)的數(shù)據(jù)處理活動(dòng)向監(jiān)管部門報(bào)告���。
此外,《辦法》對(duì)“數(shù)據(jù)安全威脅”范圍進(jìn)行了寬泛界定����,主要包含“超范圍授權(quán)或者使用系統(tǒng)特權(quán)賬號(hào)”�、“內(nèi)部人員異常訪問�、使用數(shù)據(jù)”、“對(duì)數(shù)據(jù)集中共享的系統(tǒng)或者平臺(tái)的網(wǎng)絡(luò)安全�����、數(shù)據(jù)安全威脅”��、“敏感級(jí)及以上數(shù)據(jù)在不同區(qū)域的異常流動(dòng)”�����、“外包�、第三方合作中的數(shù)據(jù)處理異常或者數(shù)據(jù)泄露�����、丟失和篡改”��、“客戶有關(guān)數(shù)據(jù)安全的投訴”�����、“數(shù)據(jù)泄露����、仿冒欺詐等負(fù)面輿情”以及其他可能導(dǎo)致數(shù)據(jù)安全事件發(fā)生的情況���。
綜上所述,《辦法》中對(duì)于數(shù)據(jù)安全責(zé)任制的強(qiáng)化���、數(shù)據(jù)分類分級(jí)管理的實(shí)施��、全面風(fēng)險(xiǎn)管理體系的建立���、個(gè)人信息保護(hù)的加強(qiáng)、數(shù)據(jù)安全技術(shù)保護(hù)的重視以及風(fēng)險(xiǎn)監(jiān)測(cè)與處置機(jī)制的完善等措施和要求���,對(duì)于提升銀行保險(xiǎn)機(jī)構(gòu)的數(shù)據(jù)安全管理能力��,確?�?蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)的安全�,同時(shí)也為建立數(shù)據(jù)安全保護(hù)基線奠定了堅(jiān)實(shí)基礎(chǔ)����。整體監(jiān)管趨勢(shì)體現(xiàn)為以下幾點(diǎn):
監(jiān)管趨嚴(yán)����,從征求意見稿到正式稿的變化可以看出���,金融監(jiān)管總局對(duì)數(shù)據(jù)安全的重視程度不斷提高。正式稿在征求意見稿的基礎(chǔ)上進(jìn)一步細(xì)化了各項(xiàng)要求�,提高了數(shù)據(jù)安全管理的標(biāo)準(zhǔn)和門檻,表明未來監(jiān)管部門對(duì)銀行保險(xiǎn)機(jī)構(gòu)的數(shù)據(jù)安全監(jiān)管將更加嚴(yán)格�。
全面覆蓋,《辦法》采取了“主體監(jiān)管”的監(jiān)管方式�,對(duì)于金融監(jiān)管總局管轄的所有類型金融機(jī)構(gòu),采取統(tǒng)一的監(jiān)管標(biāo)準(zhǔn)�。意味著無論機(jī)構(gòu)規(guī)模大小、業(yè)務(wù)類型如何�����,都需要遵守統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)和管理要求�����。這將有助于消除監(jiān)管盲區(qū)�,確保所有機(jī)構(gòu)都能得到有效監(jiān)管。
技術(shù)手段驅(qū)動(dòng)�,《辦法》中多次提到要利用先進(jìn)的數(shù)據(jù)安全技術(shù)保護(hù)手段來提升數(shù)據(jù)安全管理水平,如數(shù)據(jù)加密���、訪問控制���、日志審計(jì)等��。這表明未來監(jiān)管部門將鼓勵(lì)和支持金融機(jī)構(gòu)加大科技投入����,利用技術(shù)創(chuàng)新來提高數(shù)據(jù)安全保障能力�����。
風(fēng)險(xiǎn)管理����,《辦法》通過建立全面的風(fēng)險(xiǎn)管理框架,實(shí)施數(shù)據(jù)分類分級(jí)差異化保護(hù)�����、強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與審計(jì)�、制定數(shù)據(jù)安全事件應(yīng)急管理機(jī)制、明確監(jiān)管處罰與責(zé)任沖突�、推動(dòng)持續(xù)監(jiān)管與信息共享等諸多措施,旨在要求銀行保險(xiǎn)機(jī)構(gòu)主動(dòng)評(píng)估風(fēng)險(xiǎn)并采取相應(yīng)的防控措施,更加注重提升機(jī)構(gòu)自身的數(shù)據(jù)安全管理能力和風(fēng)險(xiǎn)管理能力建設(shè)���。
