21世紀經(jīng)濟報道 記者李愿 北京報道

　　3月22日，金融監(jiān)管總局科技監(jiān)管司就《銀行保險機構數(shù)據(jù)安全管理辦法（公開征求意見稿）》（下稱《辦法》）公開征求意見，旨在規(guī)范銀行業(yè)保險業(yè)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全、金融安全，促進數(shù)據(jù)合理開發(fā)利用，保護個人、組織的合法權益，維護國家安全和社會公共利益。意見反饋截止時間為2024年4月23日。

　　《辦法》共九章八十一條，包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術保護、個人信息保護、數(shù)據(jù)安全風險監(jiān)測與處置、監(jiān)督管理及附則。

　　“近年來，《數(shù)據(jù)安全法》《個人信息保護法》等上位法相繼發(fā)布，對規(guī)范數(shù)據(jù)處理活動、個人信息保護等提出了明確要求。同時，金融行業(yè)數(shù)字化變革加速演進，新技術、新業(yè)務模式不斷涌現(xiàn)，數(shù)據(jù)的使用、加工、傳輸、共享等活動日益頻繁，進一步凸顯數(shù)據(jù)安全保護的重要性?！睂τ凇掇k法》制定的背景，金融監(jiān)管總局有關司局負責人介紹稱，有必要充分發(fā)揮監(jiān)管的“指揮棒”作用，通過強化政策要求引導銀行保險機構壓實主體責任，完善內(nèi)部制度，采取有效的措施加強數(shù)據(jù)管理和保護，確保客戶信息和金融交易數(shù)據(jù)安全。

　　《辦法》的出臺已有一定預期。21世紀經(jīng)濟報道記者注意到，金融監(jiān)管總局科技監(jiān)管司今年初在《深入學習貫徹中央金融工作會議精神全面推進監(jiān)管數(shù)字化智能化轉(zhuǎn)型》文章中表示，進一步強化監(jiān)管數(shù)據(jù)治理，落實監(jiān)管數(shù)據(jù)分類分級管理要求，保障監(jiān)管數(shù)據(jù)安全。

　　值得注意的是，《辦法》還適用于金融監(jiān)管總局批準設立的外國銀行分行、其他金融機構、金融控股公司以及總局管理單位參照適用本辦法。地方金融監(jiān)督管理部門批準設立的金融組織參照適用本辦法。

　　金融監(jiān)管總局表示，將根據(jù)各界反饋意見，對《辦法》進一步修改完善，并適時發(fā)布。《辦法》顯示，該《辦法》自公布之日起施行，《銀行保險機構數(shù)據(jù)安全辦法》（銀保監(jiān)辦發(fā)〔2022〕118號）同時廢止。

　　建立數(shù)據(jù)分類分級標準

　　《辦法》主要內(nèi)容包括七方面：一是明確數(shù)據(jù)安全治理架構，二是建立數(shù)據(jù)分類分級標準，三是強化數(shù)據(jù)安全管理，四是健全數(shù)據(jù)安全技術保護體系，五是加強個人信息保護，六是完善數(shù)據(jù)安全風險監(jiān)測與處置機制，七是明確監(jiān)督管理職責。

　　《辦法》第五條對數(shù)據(jù)安全治理架構做出了明確要求，銀行保險機構應當建立與本機構業(yè)務發(fā)展目標相適應的數(shù)據(jù)安全治理體系，建立健全數(shù)據(jù)安全管理制度，構建覆蓋數(shù)據(jù)全生命周期和應用場景的安全保護機制，開展數(shù)據(jù)安全風險評估、監(jiān)測與處置，保障數(shù)據(jù)開發(fā)利用活動安全穩(wěn)健開展。銀行保險機構利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度基礎上，履行數(shù)據(jù)安全保護義務。

　　數(shù)據(jù)分類分級標準方面，辦法第十六條規(guī)定，銀行保險機構應當制定數(shù)據(jù)分類分級保護制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，動態(tài)管理和維護數(shù)據(jù)目錄，采取差異化安全保護措施。

　　所謂數(shù)據(jù)分類，即銀行保險機構應當對機構業(yè)務及經(jīng)營管理過程中獲取、產(chǎn)生的數(shù)據(jù)進行分類管理，數(shù)據(jù)類型包括客戶數(shù)據(jù)、業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全管理數(shù)據(jù)等。數(shù)據(jù)分級，即銀行保險機構應當根據(jù)數(shù)據(jù)的重要性和敏感程度，將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)，其中一般數(shù)據(jù)細分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)。

　　核心數(shù)據(jù)是指對領域、群體、區(qū)域具有較高覆蓋度或者達到較高精度、較大規(guī)模、一定深度的重要數(shù)據(jù)，一旦被非法使用或者共享，可能直接影響政治安全、國家安全重點領域、國民經(jīng)濟命脈、重要民生、重大公共利益。

　　重要數(shù)據(jù)是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或者篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全。

　　敏感數(shù)據(jù)是指，一旦被泄露或者篡改、損毀，對經(jīng)濟運行、社會穩(wěn)定、公共利益有一定影響，或者對組織自身或者公民個體造成重要影響的數(shù)據(jù)。除以上數(shù)據(jù)之外的數(shù)據(jù)為其他一般數(shù)據(jù)。

　　《辦法》第七十一條還明確，金融監(jiān)管總局按照國家數(shù)據(jù)分類分級要求，制定銀行業(yè)保險業(yè)重要數(shù)據(jù)目錄，提出核心數(shù)據(jù)目錄建議，監(jiān)督指導銀行保險機構開展數(shù)據(jù)分類分級管理和數(shù)據(jù)保護。銀行保險機構應當按要求向國家金融監(jiān)督管理總局或者其派出機構報送重要數(shù)據(jù)目錄。重要數(shù)據(jù)目錄發(fā)生重大變化應當及時報備更新后的數(shù)據(jù)目錄。

　　強化數(shù)據(jù)安全管理

　　強化數(shù)據(jù)安全管理是《辦法》重要內(nèi)容之一，《辦法》也在多處提出了相關要求。

　　在數(shù)據(jù)安全管理職責方面，金融監(jiān)管總局有關司局負責人表示，《辦法》要求銀行保險機構按照國家數(shù)據(jù)安全與發(fā)展政策要求，根據(jù)自身發(fā)展戰(zhàn)略，制定數(shù)據(jù)安全保護策略；根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍，依照法律法規(guī)和倫理道德規(guī)范要求，對相關數(shù)據(jù)業(yè)務處理活動進行安全評估，分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權益影響，評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性；收集數(shù)據(jù)應堅持“合法、正當、必要、誠信”原則，明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則，保障收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯，不得超出數(shù)據(jù)主體同意的范圍收集數(shù)據(jù)；在數(shù)據(jù)集團內(nèi)部共享的過程中，應建立總行（公司）與其子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護措施；《辦法》還對數(shù)據(jù)加工、委托處理、共同處理、數(shù)據(jù)轉(zhuǎn)移等具體的數(shù)據(jù)處理場景分別提出了相應安全管理要求。

　　對于數(shù)據(jù)共享及集團內(nèi)部共享，《辦法》第二十九條明確，銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護措施。銀行保險機構與其母行、集團，或者其子行、子公司共享敏感級及以上數(shù)據(jù)，應當獲得數(shù)據(jù)主體的授權同意，法律、行政法規(guī)另有規(guī)定的除外。不得以數(shù)據(jù)主體拒絕同意共享敏感數(shù)據(jù)而終止或者拒絕單家子行、子公司對其提供金融服務，所共享數(shù)據(jù)屬于提供產(chǎn)品或者服務所必需的除外。

　　在助貸、互聯(lián)網(wǎng)貸款等業(yè)務方面，數(shù)據(jù)處理通常涉及第三方，如何做好安全管理也是重要環(huán)節(jié)。

　　《辦法》第三十一條規(guī)定，銀行保險機構應當將數(shù)據(jù)委托處理納入信息科技外包管理范圍，在實施過程中不得將信息科技管理責任、數(shù)據(jù)安全主體責任外包，涉及信息科技戰(zhàn)略管理、信息科技風險管理、信息科技內(nèi)部審計及其他有關信息科技核心競爭力的職能不得外包。第三十二條規(guī)定，銀行保險機構與第三方機構進行數(shù)據(jù)共同處理時，應當按照“業(yè)務必要授權”原則制定方案并采取有效技術保護措施確保數(shù)據(jù)安全，并以合同協(xié)議方式明確雙方在數(shù)據(jù)處理過程中的數(shù)據(jù)安全責任和義務。第五十三條規(guī)定，銀行保險機構在建設開放銀行、金融生態(tài)或者與第三方數(shù)據(jù)合作時，要實現(xiàn)自身與外部的安全風險隔離，與外部機構的數(shù)據(jù)交互應當通過集中管理的外聯(lián)平臺或者應用程序接口實施，依據(jù)“業(yè)務必需、最小權限”原則，采取有效措施對接口設計、開發(fā)、服務、運行等進行集中安全保護管理。

　　此外，隨著大模型在金融領域的應用逐步落地，《辦法》也對此提出了相關要求：銀行保險機構應當對人工智能模型開發(fā)應用進行統(tǒng)一管理，建立模型算法產(chǎn)品外部引入的準入機制，對模型研發(fā)過程進行主動管理，實現(xiàn)模型算法可驗證、可審核、可追溯。

　?。ㄗ髡撸豪钤?編輯：曾芳）

海量資訊、精準解讀，盡在新浪財經(jīng)APP