12月27日,银行保险业期待已久的数据安全管理办法正式出台了,如下图所示:
国家金融监督管理总局(以下简称“金融监管总局”)在今年3月22日发布了《银行保险机构数据安全管理办法(征求意见稿)》,时隔6个月之后,12月27日,《银行保险机构数据安全管理办法》(以下简称“正式稿”)正式出台。今天将对这两份文件进行对比分析解读,探讨银行保险业的数据安全监管的趋势。
一、征求意见稿与正式稿的主要变化与区别
1、适用范围
无论是正式稿还是意见稿征求,都是从机构层面进行规范,明确适用于在中国境内设立的各类银行保险机构,包括开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用社、保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司和理财公司等。
2、数据安全治理
征求意见稿提出了数据处理者应当明确其数据安全管理相关内设部门职责分工,配备足够数量的数据安全管理人员,并细化各类违规数据处理活动的定责问责规程。而正式稿则进一步细化了数据安全治理的要求,建立了多层次的数据安全管理组织架构,明确了党委(党组)、董(理)事会对本单位数据安全工作负主体责任,银行保险机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人。
3、数据分类分级
征求意见稿按照“个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别”进行分类。而正式稿则按照“客户数据、业务数据、经营管理数据、系统运行和安全管理数据等”进行分类。在数据分级方面,征求意见稿采用了“三级五层”的分级方式,而正式稿则采用了“三级两类”的分级方式,将一般数据进一步细分为敏感数据和其他一般数据。
4、数据安全评估
征求意见稿要求对重要数据每年组织开展一次全面的数据安全风险评估工作。而正式稿则要求在处理敏感级及以上数据的业务活动时,或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时,应当事先开展数据安全评估。此外,正式稿还要求银行保险机构每年开展一次数据安全风险评估,并于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告。
5、数据安全保护基线
征求意见稿没有设置数据安全保护基线,但给出了账号权限保护、数据处理活动日志保护、数据收集保护等技术措施要求。而正式稿则首次提出了“数据安全保护基线”的概念,明确了信息系统保护、数据访问控制、数据传输和存储保护、数据销毁管理等基线要求。
6、个人信息保护
征求意见稿没有单独进行阐述。而正式稿则单独设置了“个人信息保护”章节,对个人信息的处理原则、告知义务、影响评估、共享和外部提供、跨境传输、委托处理、自动化决策、个人信息风险报告等进行了详细规定。
7、数据安全事件应急响应与处置机制
征求意见稿未明确划分数据安全事件级别。而正式稿则明确了数据安全事件的定义和分级标准,要求机构建立内部协调联动机制和外部服务商、第三方机构的报告机制,并制定了详细的应急预案和处置流程。
二、从正式稿中,我们能看到的数据安全监管趋势
1、监管趋严
从征求意见稿到正式稿的变化可以看出,金融监管总局对数据安全的重视程度不断提高。正式稿在征求意见稿的基础上进一步细化了各项要求,提高了数据安全管理的标准和门槛。这表明未来监管部门对银行保险机构的数据安全监管将更加严格。
2、全面覆盖
正式稿的适用范围更广,涵盖了在中国境内设立的所有银行保险机构。这意味着无论机构规模大小、业务类型如何,都需要遵守统一的数据安全标准和管理要求。这将有助于消除监管盲区,确保所有机构都能得到有效监管。
3、风险为本
正式稿强调将数据安全风险纳入全面风险管理体系,要求银行保险机构主动评估风险并采取相应的防控措施。这体现了监管思路从合规性向风险性的转变,更加注重机构自身的风险管理能力。
4、技术驱动
随着金融科技的快速发展,技术已经成为保障数据安全的重要手段。正式稿中多次提到要利用先进的技术手段来提升数据安全管理水平,如数据加密、访问控制、日志审计等。这表明未来监管部门将鼓励和支持金融机构加大科技投入,利用技术创新来提高数据安全保障能力。
第三、如何理解“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。
在征求意见稿中,对于业务部门最怕的就是“谁管业务、谁管业务数据、谁管数据安全”这一条的变化在最新的正式稿中,并没有发生变化(这与我们唐博士之前在给很多银行、保险机构上课时的判断一致)。
那么,如何理解以及以后如何来做好这一规定呢?
(1)谁管业务,即业务数据归谁管的责任界定
站在银行业务部门来看,零售业务部门负责客户的储蓄、理财、放贷等等各项业务中会包括数据,即数据成为业务部门管理职责的一部分。他们在精心设计各种储蓄产品和理财方案的业务流程,直接管理着客户风险评估、产品推荐等业务环节。例如,在为客户推荐理财产品时,要根据客户的资产状况、风险偏好等做好业务数据收集设计以及后续的管理与运用设计。另外,信贷业务部门对贷款业务全流程负责,从企业和个人的贷款申请受理、信用调查到贷款发放后的跟踪管理。他们要深入了解贷款业务相关的数据需求,如企业经营数据、个人收入数据等,以确保贷款业务合规开展。
从保险业务部门来看,保险公司的核保部门负责对保险风险的评估和承保决策。这需要他们管理大量的客户健康数据(在健康险业务中)、财产风险评估数据(在财产险业务中)等业务数据,依据这些数据决定是否承保以及确定保险费率等业务要素。保险理赔部门管理着理赔流程,要处理客户报案、损失评估等业务操作,准确核实与理赔相关的数据,如事故损失数据、保险合同条款执行情况等数据。
(2)谁管业务数据,明确的是数据所有权与共享流转权限在谁手上。
站在银行角度,银行的各个业务部门对其产生的业务数据有直接管理责任。如电子银行部管理着网上银行交易数据,包括客户的登录记录、转账交易明细等。这些数据反映了电子银行业务的运营情况,部门要负责数据的收集、整理和初步分析。所以谁管具体的业务,具体业务的数据也归该业务部门管理。
站在保险公司的角度,也是同样。比如保险的销售渠道部门负责管理销售渠道相关的数据,如代理人的销售业绩数据、不同渠道的客户来源数据等。这些数据对评估销售渠道的有效性、调整销售策略至关重要,也归销售渠道部门负责。再比如保险精算部门管理着用于精算定价的数据,如死亡率数据(在寿险业务中)、损失发生率数据(在非寿险业务中)。这些数据就要明确归精算部门这个业务部门管还是产品设计部门这个业务部门管。
相关业务部门数据共享、转移以及分析处理,都归具体的业务部门决定。
(3)谁管数据安全,明确的是谁承担数据安全最终义务。
银行的业务部门是数据安全的前沿防线。例如,客户信息保护是银行业务的重中之重,各个业务部门在与客户交互过程中必须严格遵守数据安全规定。在开户业务中,柜员要确保客户身份证号码、联系方式等业务数据不被泄露。再比如,交易业务部门要通过多因素身份认证等手段保障交易数据安全。如在网上银行大额转账业务中,要及时更新身份认证策略,防止数据被篡改或非法访问。
同样,保险业务部门在数据安全保护方面承担直接责任。如在客户健康信息收集过程中,健康险业务部门要采用加密传输等技术保障数据安全,防止客户隐私数据泄露。保险理赔部门要对理赔数据进行严格的访问控制,只有经过授权的人员才能查看和处理相关数据,防止数据被恶意利用。
另外,对于银行和保险设定的数据安全管理部门如何定义他们的职责呢?我们认为这个部门主要是为业务部门提供数据安全技术框架和标准,更偏向一个咨询顾问角色和监督审计角色。
例如,制定数据加密算法标准,指导业务部门对敏感数据进行加密存储,但最终如何决策还是由业务部门自行决定。
数据安全管理部门对业务部门的数据安全管理进行监督和审计。
定期检查业务部门的数据访问日志、数据备份情况等,及时发现并纠正数据安全隐患,确保银行和保险机构的数据资产在安全的环境下支持业务的稳定发展。这里的监督审计是针对业务部门执行监管法规最低标准的审计和监督,确保业务部门在数据安全管理方面绝对符合监管要求。
如果你觉得这篇文章还挺有意思或者有用的,那就点个赞或者“在看”吧。谢谢啦!如果你想看更多这样的内容,记得关注我哦!
欢迎朋友们关注我的公众号📢📢:【汇智堂30offer】!🤣🤣
欢迎点赞 👍、收藏 💙、关注 💡 三连支持一下~🎈
分享金融圈人与事,我是糖宝哥,下期见~🙇💻
商务合作
请联系微信:chinapepole
咨询、培训业务合作
一对一咨询内容如下:
1、个人职业发展咨询,一次0.2万元/次;
2、投资理财咨询,一次0.5万元/次;
3、企业投融资咨询,一次1万元/次,3万/年;
4、定制化培训服务,一次4万/天,10万/3天;
5、媒体专访,免费2次/年。
联系方式:
添加微信号:chinapepole
