金融监管总局近日发布《银行保险机构数据安全管理办法》(以下简称《办法》),规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,维护社会公共利益和金融消费者合法权益。
《办法》要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。同时,单独设置“个人信息保护”章节,体现了保护消费者信息和权益的政策导向。
《办法》共9章81条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理、附则等。
一是强化数据治理顶层设计。要求银行保险机构建立与业务发展目标相适应的数据安全治理体系,落实数据安全责任制,按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。
二是落实分类分级管理要求。要求对业务经营管理过程中获取、产生的数据进行分类管理。根据数据的重要性和敏感程度,将数据分为核心、重要、一般三个级别,并将一般数据进一步细分为敏感数据和其他一般数据,并采取差异化的安全保护措施。
三是强化数据安全管理体系。要求银行保险机构建立健全数据安全管理制度,对委托处理、共同处理、转移、公开、共享等相关数据处理活动开展安全评估,采取相应技术手段保障数据全生命周期安全,保障数据开发利用活动安全稳健开展。
四是加强个人信息保护。按照“明确告知、授权同意”的原则处理个人信息,按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息,应履行个人告知及取得同意的义务。
五是完善风险监测处置机制。将数据安全风险纳入全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。
《办法》明确,“重要数据”是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或者篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。“敏感数据”是指一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。
在加强个人信息保护方面,《办法》强调,按照“明确告知、授权同意”的原则处理个人信息,按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息,应履行个人告知及取得同意的义务。业内人士表示,《办法》引导银行保险机构压实主体责任,完善内部机制,采取有效的管理和技术措施加强数据安全保护,确保客户信息和金融交易数据的安全。
来源:国家金融监督管理总局网站
