轉自：國家金融監督管理總局

近日，金融監管總局制定發布《銀行保險機構數據安全管理辦法》（以下簡稱《辦法》）。有關司局負責人就相關問題回答了記者提問。

一、《辦法》制定的背景是什么？

答：金融數據具有高價值和高敏感性，金融數據安全與國家安全和金融消費者權益密切相關。近年來，銀行業保險業數字化變革加速演進，新技術、新業態不斷涌現，數據合作共享日益頻繁。與此同時，金融領域面臨的數據安全風險形勢復雜嚴峻，也給金融機構數據安全管理帶來新的挑戰。對此，有必要充分發揮監管的“指揮棒”作用，通過強化政策要求引導銀行保險機構壓實主體責任，完善內部機制，采取有效的管理和技術措施加強數據安全保護，確保客戶信息和金融交易數據的安全。

二、《辦法》的主要內容和特點是什么？

答：《辦法》共9章81條。包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。主要特點包括：

一是落實數據安全責任制。明確銀行保險機構黨委（黨組）、董（理）事會對本單位數據安全工作負主體責任，機構主要負責人為數據安全第一責任人，分管數據安全的領導為直接責任人。

二是明確數據安全歸口管理部門。要求銀行保險機構指定數據安全歸口管理部門，作為本機構負責數據安全工作的主責部門，承擔制定數據安全管理制度標準、建立維護數據目錄、推動數據分類分級保護、組織開展風險監測、預警及處置等職責。

三是將數據安全風險納入全面風險管理體系。要求銀行保險機構明確管理流程，主動評估風險，對數據安全風險進行有效監測，防止數據破壞、泄露、非法利用等安全事件發生。風險管理、內控合規和審計部門定期對數據安全開展審計、監督檢查與評價。

四是強化數據安全評估。要求銀行保險機構開展相關數據處理活動時，應事先開展安全評估。根據數據處理目的、性質和范圍，分析數據安全風險和對數據主體權益影響，評估數據處理的必要性、合規性及防控措施的有效性。

五是建立數據安全保護基線。將數據納入網絡安全等級保護，對存放或傳輸敏感級及以上數據的機房、網絡實施重點防護，在數據全生命周期內采取有效訪問控制管理措施，采用安全有效的傳輸方式保障數據完整性、保密性、可用性。

三、《辦法》在數據分類分級方面提出了哪些具體要求？

答：《辦法》要求銀行保險機構制定數據分類分級保護制度，建立數據目錄和分類分級規范，動態管理和維護數據目錄，并采取差異化的安全保護措施。在數據分類方面，對機構業務及經營管理過程中獲取、產生的數據進行分類管理，具體類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。在數據分級方面，銀行保險機構應根據數據的重要性和敏感程度，將數據分為核心數據、重要數據、一般數據，其中一般數據細分為敏感數據和其他一般數據；當數據的業務屬性、重要程度和可能造成的危害程度發生變化，導致安全級別不再適用的，及時進行動態調整。

四、《辦法》規定的數據安全管理職責有哪些？

答：《辦法》要求銀行保險機構按照國家政策要求，根據自身發展戰略，制定數據安全保護策略；根據數據處理目的、性質和范圍，按照法律法規和倫理道德規范要求，對相關數據業務處理活動進行安全評估，分析數據安全風險和對數據主體權益影響，評估數據處理的必要性、合規性及防控措施的有效性；收集數據應堅持“合法、正當、必要、誠信”原則，明確數據收集和處理的目的、方式、范圍、規則，保障收集過程的數據安全性、數據來源可追溯；在數據集團內部共享的過程中，應建立總行（公司）與其子公司數據安全隔離的“防火墻”，并對共享數據采取有效保護措施；《辦法》還對數據加工、委托處理、共同處理、數據轉移、數據跨境等具體的數據處理場景分別提出了相應安全管理要求。

五、《辦法》在個人信息保護方面有哪些規定？

答：《辦法》單獨設置“個人信息保護”章節，以進一步落實《數據安全法》《個人信息保護法》等上位法要求，體現保護消費者信息和權益的政策導向。主要規定包括：銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施，并限于實現金融業務處理目的的最小范圍，不得過度收集個人信息。處理、共享和對外提供個人信息時，應當履行必要的告知義務，并取得必要同意。不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務，處理個人信息屬于提供產品或者服務所必需的除外。在開展涉及對個人權益有重大影響的個人信息處理活動時，應當進行個人信息保護影響評估。委托第三方處理個人信息時，應明確受托人對個人信息的保護義務、保護措施和期限等。發生或者可能發生個人信息泄露、篡改、丟失的，銀行保險機構應當立即采取補救措施，并向監管部門報告。

六、《辦法》規定的數據安全事件應急響應與處置機制包含哪些內容？

答：《辦法》將數據安全事件根據影響范圍和程度，分為特別重大、重大、較大和一般四個級別。要求機構建立內部協調聯動機制和外部服務商、第三方機構的報告機制。具體包括：一是制定數據安全事件應急預案，定期開展應急響應培訓和應急演練。二是數據安全事件發生后，立即啟動應急處置，分析事件原因、評估事件影響、開展事件定級，按照預案及時采取業務、技術等措施控制事態。三是建立數據安全事件報告機制，根據事件安全等級制定報告流程，發生數據安全事件時按照規定報告，同時按照合同、協議等有關約定履行客戶及合作方告知義務。四是發生數據安全事件或者使用的產品和服務存在缺陷時，立即開展調查評估，及時采取補救措施。

銀行保險機構應在數據安全事件發生2小時內向總局或其派出機構報告，并在事件發生后24小時內提交正式書面報告。發生特別重大數據安全事件，銀行保險機構應當立即采取處置措施，按照規定及時告知用戶并向屬地公安機關、金融監管機構報告。銀行保險機構應當每2小時將處置進展情況上報，直至處置結束。數據安全事件處置結束后，銀行保險機構應當在五個工作日內將事件及其處置的評估、總結和改進報告報送屬地監管部門。

七、《辦法》公開征求意見情況如何？

答：《辦法》起草過程中已廣泛征求了有關部門及各類銀行保險機構意見，并組織部分機構召開專題會議現場聽取意見建議。2024年3月至4月，總局就《辦法》面向社會公開征求意見。各方反饋的相關合理化意見建議均被采納，未采納意見主要集中在數據審計周期、監管報送時限等方面。

附：《國家金融監督管理總局關于印發銀行保險機構數據安全管理辦法的通知》

https://www.nfra.gov.cn/cn/view/pages/ItemDetail.html?docId=1192308&itemId=926&generaltype=0

海量資訊、精準解讀，盡在新浪財經APP