本報記者 吳曉璐
3月22日�,為規(guī)范銀行保險機構(gòu)數(shù)據(jù)處理活動,保障數(shù)據(jù)安全�,促進(jìn)數(shù)據(jù)合理開發(fā)利用,穩(wěn)步提升金融服務(wù)數(shù)字化�����、智能化水平,保護(hù)個人和組織的合法權(quán)益�����,國家金融監(jiān)督管理總局就《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿)》(下稱《辦法》)公開征求意見���。
速覽要點:
要求銀行保險機構(gòu)建立數(shù)據(jù)安全責(zé)任制,指定歸口管理部門負(fù)責(zé)本機構(gòu)的數(shù)據(jù)安全工作
機構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人����,分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責(zé)任人
在開展相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動時應(yīng)當(dāng)進(jìn)行數(shù)據(jù)安全評估
要求銀行保險機構(gòu)建立針對大數(shù)據(jù)、云計算�、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多元異構(gòu)環(huán)境下的數(shù)據(jù)安全技術(shù)保護(hù)體系�,建立數(shù)據(jù)安全技術(shù)架構(gòu),明確數(shù)據(jù)保護(hù)策略方法�����,采取技術(shù)手段保障數(shù)據(jù)安全
要求銀行保險機構(gòu)將數(shù)據(jù)安全風(fēng)險納入本機構(gòu)全面風(fēng)險管理體系
要求銀行保險機構(gòu)在處理個人信息時���,應(yīng)按照“明確告知����、授權(quán)同意”的原則實施,并履行必要的告知義務(wù)����;收集個人信息應(yīng)限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍,不得過度收集���;共享和對外提供個人信息時���,應(yīng)取得個人同意
將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護(hù),對存放或傳輸敏感級及以上數(shù)據(jù)的機房��、網(wǎng)絡(luò)實施重點防護(hù)
規(guī)定國家金融監(jiān)督管理總局及其派出機構(gòu)對銀行保險機構(gòu)數(shù)據(jù)安全保護(hù)情況進(jìn)行監(jiān)督管理��,開展非現(xiàn)場監(jiān)管���、現(xiàn)場檢查���,依法對銀行保險機構(gòu)數(shù)據(jù)安全事件進(jìn)行處置
確保客戶信息和金融交易數(shù)據(jù)安全
據(jù)國家金融監(jiān)督管理總局有關(guān)司局負(fù)責(zé)人介紹�����,近年來,《數(shù)據(jù)安全法》《個人信息保護(hù)法》等上位法相繼發(fā)布�����,對規(guī)范數(shù)據(jù)處理活動����、個人信息保護(hù)等提出了明確要求。同時�����,金融行業(yè)數(shù)字化變革加速演進(jìn)��,新技術(shù)�、新業(yè)務(wù)模式不斷涌現(xiàn)�,數(shù)據(jù)的使用、加工�����、傳輸����、共享等活動日益頻繁���,進(jìn)一步凸顯數(shù)據(jù)安全保護(hù)的重要性。
對此�,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用,通過強化政策要求引導(dǎo)銀行保險機構(gòu)壓實主體責(zé)任�����,完善內(nèi)部制度�,采取有效的措施加強數(shù)據(jù)管理和保護(hù),確?�?蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)安全�。
《辦法》共九章八十一條。包括總則�、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級����、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)�����、個人信息保護(hù)、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置�����、監(jiān)督管理及附則�。
主要內(nèi)容包括:一是明確數(shù)據(jù)安全治理架構(gòu)。要求銀行保險機構(gòu)建立數(shù)據(jù)安全責(zé)任制����,指定歸口管理部門負(fù)責(zé)本機構(gòu)的數(shù)據(jù)安全工作;按照“誰管業(yè)務(wù)���、誰管業(yè)務(wù)數(shù)據(jù)�、誰管數(shù)據(jù)安全”的原則���,明確各業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理責(zé)任,落實數(shù)據(jù)安全保護(hù)管理要求��。
二是建立數(shù)據(jù)分類分級標(biāo)準(zhǔn)���。要求銀行保險機構(gòu)制定數(shù)據(jù)分類分級保護(hù)制度��,建立數(shù)據(jù)目錄和分類分級規(guī)范�,動態(tài)管理和維護(hù)數(shù)據(jù)目錄,并采取差異化的安全保護(hù)措施�。
三是強化數(shù)據(jù)安全管理。要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求����,根據(jù)自身發(fā)展戰(zhàn)略建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機制,在開展相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動時應(yīng)當(dāng)進(jìn)行數(shù)據(jù)安全評估����。
四是健全數(shù)據(jù)安全技術(shù)保護(hù)體系。要求銀行保險機構(gòu)建立針對大數(shù)據(jù)��、云計算�、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多元異構(gòu)環(huán)境下的數(shù)據(jù)安全技術(shù)保護(hù)體系�,建立數(shù)據(jù)安全技術(shù)架構(gòu),明確數(shù)據(jù)保護(hù)策略方法�,采取技術(shù)手段保障數(shù)據(jù)安全。
五是加強個人信息保護(hù)����。要求銀行保險機構(gòu)在處理個人信息時,應(yīng)按照“明確告知��、授權(quán)同意”的原則實施��,并履行必要的告知義務(wù);收集個人信息應(yīng)限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍���,不得過度收集�;共享和對外提供個人信息時���,應(yīng)取得個人同意����。
六是完善數(shù)據(jù)安全風(fēng)險監(jiān)測與處置機制�。要求銀行保險機構(gòu)將數(shù)據(jù)安全風(fēng)險納入本機構(gòu)全面風(fēng)險管理體系,明確數(shù)據(jù)安全風(fēng)險監(jiān)測�、風(fēng)險評估、應(yīng)急響應(yīng)及報告���、事件處置的組織架構(gòu)和管理流程�����,有效防范和處置數(shù)據(jù)安全風(fēng)險。
七是明確監(jiān)督管理職責(zé)�。規(guī)定國家金融監(jiān)督管理總局及其派出機構(gòu)對銀行保險機構(gòu)數(shù)據(jù)安全保護(hù)情況進(jìn)行監(jiān)督管理,開展非現(xiàn)場監(jiān)管�、現(xiàn)場檢查,依法對銀行保險機構(gòu)數(shù)據(jù)安全事件進(jìn)行處置。對違反《辦法》要求的依法追究相應(yīng)責(zé)任��。
機構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人
據(jù)上述負(fù)責(zé)人介紹����,《辦法》有五大特點:
一是落實數(shù)據(jù)安全責(zé)任制。明確銀行保險機構(gòu)黨委(黨組)���、董(理)事會對本單位數(shù)據(jù)安全工作負(fù)主體責(zé)任����,機構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人��,分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責(zé)任人����。
二是明確數(shù)據(jù)安全歸口管理部門。要求銀行保險機構(gòu)指定數(shù)據(jù)安全歸口管理部門�����,作為本機構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的主責(zé)部門�����,承擔(dān)制定數(shù)據(jù)安全管理制度標(biāo)準(zhǔn)、建立維護(hù)數(shù)據(jù)目錄��、推動數(shù)據(jù)分類分級保護(hù)�、組織開展風(fēng)險監(jiān)測、預(yù)警及處置等職責(zé)�����。
三是將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系�。要求銀行保險機構(gòu)明確管理流程,主動評估風(fēng)險��,對數(shù)據(jù)安全風(fēng)險進(jìn)行有效監(jiān)測�,防止數(shù)據(jù)破壞、泄露�����、非法利用等安全事件發(fā)生���。風(fēng)險管理��、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計����、監(jiān)督檢查與評價���。
四是強化數(shù)據(jù)安全評估�����。要求銀行保險機構(gòu)開展相關(guān)數(shù)據(jù)處理活動時��,應(yīng)事先開展安全評估�。根據(jù)數(shù)據(jù)處理目的�、性質(zhì)和范圍,分析數(shù)據(jù)安全風(fēng)險和對數(shù)據(jù)主體權(quán)益影響����,評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性���。
五是建立數(shù)據(jù)安全保護(hù)基線��。將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護(hù)���,對存放或傳輸敏感級及以上數(shù)據(jù)的機房、網(wǎng)絡(luò)實施重點防護(hù)�����,在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施,采用安全有效的傳輸方式保障數(shù)據(jù)完整性��、保密性�����、可用性�����。
制定數(shù)據(jù)安全保護(hù)策略
談及《辦法》規(guī)定的數(shù)據(jù)安全管理職責(zé)�����,上述負(fù)責(zé)人表示���,《辦法》要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求�����,根據(jù)自身發(fā)展戰(zhàn)略��,制定數(shù)據(jù)安全保護(hù)策略�;根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍�����,依照法律法規(guī)和倫理道德規(guī)范要求��,對相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動進(jìn)行安全評估���,分析數(shù)據(jù)安全風(fēng)險和對數(shù)據(jù)主體權(quán)益影響,評估數(shù)據(jù)處理的必要性�、合規(guī)性及防控措施的有效性;收集數(shù)據(jù)應(yīng)堅持“合法�、正當(dāng)、必要�、誠信”原則,明確數(shù)據(jù)收集和處理的目的��、方式��、范圍�、規(guī)則,保障收集過程的數(shù)據(jù)安全性�����、數(shù)據(jù)來源可追溯,不得超出數(shù)據(jù)主體同意的范圍收集數(shù)據(jù)���;在數(shù)據(jù)集團(tuán)內(nèi)部共享的過程中�����,應(yīng)建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”���,并對共享數(shù)據(jù)采取有效保護(hù)措施;《辦法》還對數(shù)據(jù)加工��、委托處理����、共同處理、數(shù)據(jù)轉(zhuǎn)移等具體的數(shù)據(jù)處理場景分別提出了相應(yīng)安全管理要求����。
(編輯 孫倩)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
