12月27日,金融监管总局发布了《银行保险机构数据安全管理办法》(下称《办法》)。从数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置等方面提出了81条具体管理办法。
数据安全风险将纳入机构全面风险管理体系
“有必要充分发挥监管的‘指挥棒’作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部机制,采取有效的管理和技术措施加强数据安全保护,确保客户信息和金融交易数据的安全。”该负责人称。
其中,《办法》要求银行保险机构将数据安全风险纳入全面风险管理体系,明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
同时,要将数据纳入网络安全等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据全生命周期内采取有效访问控制管理措施,采用安全有效的传输方式保障数据完整性、保密性、可用性。
具体来看,《办法》将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。
其中,核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或者共享,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
个人信息保护是数据安全的重要内容,此次《办法》单独设置了“个人信息保护”章节。主要规定包括:银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施,并限于实现金融业务处理目的的最小范围,不得过度收集个人信息;处理、共享和对外提供个人信息时,应当履行必要的告知义务,并取得必要同意;在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估;发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,并向监管部门报告。
一是制定数据安全事件应急预案,定期开展应急响应培训和应急演练。
二是数据安全事件发生后,立即启动应急处置,分析事件原因、评估事件影响、开展事件定级,按照预案及时采取业务、技术等措施控制事态。
三是建立数据安全事件报告机制,根据事件安全等级制定报告流程,发生数据安全事件时按照规定报告,同时按照合同、协议等有关约定履行客户及合作方告知义务。
四是发生数据安全事件或者使用的产品和服务存在缺陷时,立即开展调查评估,及时采取补救措施。
责编:汪云鹏
责编:汪云鹏
校对:杨立林
百万用户都在看
违法和不良信息举报电话:0755-83514034 邮箱:bwb@stcn.com
![]()
邮箱:bwb@stcn.com
