为规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,维护社会公共利益和金融消费者合法权益,2024年12月27日,国家金融监督管理总局(以下简称“金融监管总局”)正式对外发布《银行保险机构数据安全管理办法》(以下简称《办法》)。该办法是金融监管总局成立后的第一部数据安全立法,此次正式发布结束了近9个月的意见征求阶段,意味着我国金融监管行业的数据安全监管要求进入了新的阶段。
《办法》主要内容与要点分析
在内容上,《办法》共八十一条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则九个章节,从治理体系、管理制度、技术机制以及风险评估、监测与处置机制等方面进行了系统规范。
01 “数据安全”定义更为侧重“多场景”
《办法》对于数据安全的定义是:“通过采取必要措施,对数据处理活动和数据应用场景进行管理与控制,确保数据始终处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
《数据安全法》对数据安全的定义是:“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
《数据安全法》中对于数据安全的定义侧重于数据本身的保护和合法利用,以及保障数据持续安全的能力;而《办法》对于数据安全的定义中特别提及数据应用场景,强调了对数据处理活动和数据应用场景的管理和控制,更贴切银行和保险行业的实际需求和特点,提出了更细化的管理要求和保护措施。
02 落实数据安全责任制,明确数据安全归口管理部门
《办法》要求银行保险机构建立与业务发展目标相适应的数据安全治理体系,落实数据安全责任制,按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。
《办法》要求银行保险机构在机构内部建立涵盖董事会、高管层在内的多层级治理架构,将数据安全归口管理部门、业务部门、风险合规与审计部门、数据安全技术保护部门等部门均纳入到数据安全的治理工作中,明确开展数据处理活动的具体业务部门应当对相关活动涉及的数据履行数据安全保护义务,而非由技术或风控部门统一归口负责,有效降低出现相互推诿造成责任盲区的潜在风险。
同时,通过建立数据安全责任制压实各层级的数据安全责任,明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任,机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人。同时,明确数据安全归口管理部门。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。
03 “三级两类”,落实数据分类分级管理要求
《办法》要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。
- 在数据分类方面,征求意见稿中按照“个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别”进行分类。而正式稿中对机构业务及经营管理过程中获取、产生的数据进行分类管理,按照“客户数据、业务数据、经营管理数据、系统运行和安全管理数据等”进行分类,在范围上涵盖了银行保险机构日常接触和处理的全部数据。
- 在数据分级方面,征求意见稿采用了“三级五层”的分级方式,而正式稿则采用了“三级两类”的分级方式,根据数据的重要性和敏感程度,将数据分为核心数据、重要数据和一般数据,一般数据又细分为敏感数据和其他一般数据。当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致安全级别不再适用的,及时进行动态调整。
04 强化数据安全管理体系,建立数据资产地图、要求“可追溯”
在管理措施方面,《办法》建立了以“建立数据资产地图”为核心的合规思路,银行保险机构应当制定数据安全管理办法,明确管理责任分工,建立包括数据处理全生命周期管控机制,落实保护措施;并对数据外部引入或者合作共享、数据出境等重点关注,制定安全管理实施细则。
具体而言,《办法》要求“银行保险机构应当制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施”。在此基础上,银行保险机构应当建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。
此外,《办法》要求银行保险机构应当按照“业务必要授权”原则,对敏感级及以上数据严格实施授权管理,制定数据访问闭环管理机制,并对数据访问行为实施审计。确因业务需要从生产环境提取数据的,应当建立严格的审批程序,并明确数据使用或者保存期限。同时,《办法》还多处提及“可追溯”的要求,包括“数据来源可追溯”、“数据转移过程可追溯”、“模型算法可追溯”,可能进一步压实机构的合规责任。
05 加强个人信息保护,保护消费者信息和权益
《办法》单独设置“个人信息保护”章节,以进一步落实《数据安全法》《个人信息保护法》等上位法要求,体现保护消费者信息和权益的政策导向。主要规定包括:
- 银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施,并限于实现金融业务处理目的的最小范围,不得过度收集个人信息。
- 处理、共享和对外提供个人信息时,应当履行必要的告知义务,并取得必要同意。不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。
- 在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估。委托第三方处理个人信息时,应明确受托人对个人信息的保护义务、保护措施和期限等。
- 发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,并向监管部门报告。
06 完善风险监测处置机制,将数据安全风险纳入全面风险管理体系
在风险监测与处置方面,《办法》要求将数据安全风险纳入银行保险机构现有的风险管理体系,定期开展数据安全风险评估(每年一次)和数据安全审计(每三年一次),并划分为事前监测评估、事中处置和事后报告三个阶段,明确机构在各阶段的合规义务。另外,需事先就涉及批量敏感级及以上数据的数据处理活动向监管部门报告。
此外,《办法》对“数据安全威胁”范围进行了宽泛界定,主要包含“超范围授权或者使用系统特权账号”、“内部人员异常访问、使用数据”、“对数据集中共享的系统或者平台的网络安全、数据安全威胁”、“敏感级及以上数据在不同区域的异常流动”、“外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改”、“客户有关数据安全的投诉”、“数据泄露、仿冒欺诈等负面舆情”以及其他可能导致数据安全事件发生的情况。
监管趋势分析
综上所述,《办法》中对于数据安全责任制的强化、数据分类分级管理的实施、全面风险管理体系的建立、个人信息保护的加强、数据安全技术保护的重视以及风险监测与处置机制的完善等措施和要求,对于提升银行保险机构的数据安全管理能力,确保客户信息和金融交易数据的安全,同时也为建立数据安全保护基线奠定了坚实基础。整体监管趋势体现为以下几点:
- 监管趋严,从征求意见稿到正式稿的变化可以看出,金融监管总局对数据安全的重视程度不断提高。正式稿在征求意见稿的基础上进一步细化了各项要求,提高了数据安全管理的标准和门槛,表明未来监管部门对银行保险机构的数据安全监管将更加严格。
- 全面覆盖,《办法》采取了“主体监管”的监管方式,对于金融监管总局管辖的所有类型金融机构,采取统一的监管标准。意味着无论机构规模大小、业务类型如何,都需要遵守统一的数据安全标准和管理要求。这将有助于消除监管盲区,确保所有机构都能得到有效监管。
- 技术手段驱动,《办法》中多次提到要利用先进的数据安全技术保护手段来提升数据安全管理水平,如数据加密、访问控制、日志审计等。这表明未来监管部门将鼓励和支持金融机构加大科技投入,利用技术创新来提高数据安全保障能力。
- 风险管理,《办法》通过建立全面的风险管理框架,实施数据分类分级差异化保护、强化数据安全风险评估与审计、制定数据安全事件应急管理机制、明确监管处罚与责任冲突、推动持续监管与信息共享等诸多措施,旨在要求银行保险机构主动评估风险并采取相应的防控措施,更加注重提升机构自身的数据安全管理能力和风险管理能力建设。
