國家金融監(jiān)督管理總局擬規(guī)范銀行保險機構數(shù)據(jù)處理活動

    本報記者 吳曉璐

    3月22日，國家金融監(jiān)督管理總局就《銀行保險機構數(shù)據(jù)安全管理辦法（征求意見稿）》（以下簡稱《辦法》）公開征求意見，規(guī)范銀行保險機構數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)合理開發(fā)利用，穩(wěn)步提升金融服務數(shù)字化、智能化水平，保護個人和組織的合法權益。

    確保客戶信息

    和金融交易數(shù)據(jù)安全

    據(jù)國家金融監(jiān)督管理總局有關司局負責人介紹，近年來，數(shù)據(jù)安全法、個人信息保護法等上位法相繼發(fā)布，對規(guī)范數(shù)據(jù)處理活動、個人信息保護等提出了明確要求。同時，金融行業(yè)數(shù)字化變革加速演進，新技術、新業(yè)務模式不斷涌現(xiàn)，數(shù)據(jù)的使用、加工、傳輸、共享等活動日益頻繁，進一步凸顯數(shù)據(jù)安全保護的重要性。對此，有必要充分發(fā)揮監(jiān)管的“指揮棒”作用，通過強化政策要求引導銀行保險機構壓實主體責任，完善內(nèi)部制度，采取有效的措施加強數(shù)據(jù)管理和保護，確?？蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)安全。

    《辦法》共九章八十一條。包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術保護、個人信息保護、數(shù)據(jù)安全風險監(jiān)測與處置、監(jiān)督管理及附則。主要內(nèi)容包括：

    一是明確數(shù)據(jù)安全治理架構。要求銀行保險機構建立數(shù)據(jù)安全責任制，指定歸口管理部門負責本機構的數(shù)據(jù)安全工作；按照“誰管業(yè)務、誰管業(yè)務數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則，明確各業(yè)務領域的數(shù)據(jù)安全管理責任，落實數(shù)據(jù)安全保護管理要求。

    二是建立數(shù)據(jù)分類分級標準。要求銀行保險機構制定數(shù)據(jù)分類分級保護制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，動態(tài)管理和維護數(shù)據(jù)目錄，并采取差異化的安全保護措施。

    三是強化數(shù)據(jù)安全管理。要求銀行保險機構按照國家數(shù)據(jù)安全與發(fā)展政策要求，根據(jù)自身發(fā)展戰(zhàn)略建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機制，在開展相關數(shù)據(jù)業(yè)務處理活動時應當進行數(shù)據(jù)安全評估。

    四是健全數(shù)據(jù)安全技術保護體系。要求銀行保險機構建立針對大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多元異構環(huán)境下的數(shù)據(jù)安全技術保護體系，建立數(shù)據(jù)安全技術架構，明確數(shù)據(jù)保護策略方法，采取技術手段保障數(shù)據(jù)安全。

    五是加強個人信息保護。要求銀行保險機構在處理個人信息時，應按照“明確告知、授權同意”的原則實施，并履行必要的告知義務；收集個人信息應限于實現(xiàn)金融業(yè)務處理目的的最小范圍，不得過度收集；共享和對外提供個人信息時，應取得個人同意。

    六是完善數(shù)據(jù)安全風險監(jiān)測與處置機制。要求銀行保險機構將數(shù)據(jù)安全風險納入本機構全面風險管理體系，明確數(shù)據(jù)安全風險監(jiān)測、風險評估、應急響應及報告、事件處置的組織架構和管理流程，有效防范和處置數(shù)據(jù)安全風險。

    七是明確監(jiān)督管理職責。規(guī)定國家金融監(jiān)督管理總局及其派出機構對銀行保險機構數(shù)據(jù)安全保護情況進行監(jiān)督管理，開展非現(xiàn)場監(jiān)管、現(xiàn)場檢查，依法對銀行保險機構數(shù)據(jù)安全事件進行處置。對違反《辦法》要求的依法追究相應責任。

    將數(shù)據(jù)安全風險

    納入全面風險管理體系

    據(jù)上述負責人介紹，《辦法》有五大特點：一是落實數(shù)據(jù)安全責任制。明確銀行保險機構黨委（黨組）、董（理）事會對本單位數(shù)據(jù)安全工作負主體責任，機構主要負責人為數(shù)據(jù)安全第一責任人，分管數(shù)據(jù)安全的領導為直接責任人。

    二是明確數(shù)據(jù)安全歸口管理部門。要求銀行保險機構指定數(shù)據(jù)安全歸口管理部門，作為本機構負責數(shù)據(jù)安全工作的主責部門，承擔制定數(shù)據(jù)安全管理制度標準、建立維護數(shù)據(jù)目錄、推動數(shù)據(jù)分類分級保護、組織開展風險監(jiān)測、預警及處置等職責。

    三是將數(shù)據(jù)安全風險納入全面風險管理體系。要求銀行保險機構明確管理流程，主動評估風險，對數(shù)據(jù)安全風險進行有效監(jiān)測，防止數(shù)據(jù)破壞、泄露、非法利用等安全事件發(fā)生。風險管理、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計、監(jiān)督檢查與評價。

    四是強化數(shù)據(jù)安全評估。要求銀行保險機構開展相關數(shù)據(jù)處理活動時，應事先開展安全評估。根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍，分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權益影響，評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性。

    五是建立數(shù)據(jù)安全保護基線。將數(shù)據(jù)納入網(wǎng)絡安全等級保護，對存放或傳輸敏感級及以上數(shù)據(jù)的機房、網(wǎng)絡實施重點防護，在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施，采用安全有效的傳輸方式保障數(shù)據(jù)完整性、保密性、可用性。

    談及《辦法》規(guī)定的數(shù)據(jù)安全管理職責，上述負責人表示，《辦法》要求銀行保險機構按照國家數(shù)據(jù)安全與發(fā)展政策要求，根據(jù)自身發(fā)展戰(zhàn)略，制定數(shù)據(jù)安全保護策略；根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍，依照法律法規(guī)和倫理道德規(guī)范要求，對相關數(shù)據(jù)業(yè)務處理活動進行安全評估，分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權益影響，評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性；收集數(shù)據(jù)應堅持“合法、正當、必要、誠信”原則，明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則，保障收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯，不得超出數(shù)據(jù)主體同意的范圍收集數(shù)據(jù)；在數(shù)據(jù)集團內(nèi)部共享的過程中，應建立總行（公司）與其子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護措施；《辦法》還對數(shù)據(jù)加工、委托處理、共同處理、數(shù)據(jù)轉移等具體的數(shù)據(jù)處理場景分別提出了相應安全管理要求。