近日，金融監(jiān)管總局制定發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》(以下簡(jiǎn)稱《辦法》)。有關(guān)司局負(fù)責(zé)人就相關(guān)問題回答了記者提問。

一、《辦法》制定的背景是什么？

答：金融數(shù)據(jù)具有高價(jià)值和高敏感性，金融數(shù)據(jù)安全與國(guó)家安全和金融消費(fèi)者權(quán)益密切相關(guān)。近年來，銀行業(yè)保險(xiǎn)業(yè)數(shù)字化變革加速演進(jìn)，新技術(shù)、新業(yè)態(tài)不斷涌現(xiàn)，數(shù)據(jù)合作共享日益頻繁。與此同時(shí)，金融領(lǐng)域面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)形勢(shì)復(fù)雜嚴(yán)峻，也給金融機(jī)構(gòu)數(shù)據(jù)安全管理帶來新的挑戰(zhàn)。對(duì)此，有必要充分發(fā)揮監(jiān)管的“指揮棒”作用，通過強(qiáng)化政策要求引導(dǎo)銀行保險(xiǎn)機(jī)構(gòu)壓實(shí)主體責(zé)任，完善內(nèi)部機(jī)制，采取有效的管理和技術(shù)措施加強(qiáng)數(shù)據(jù)安全保護(hù)，確?？蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)的安全。

二、《辦法》的主要內(nèi)容和特點(diǎn)是什么？

答：《辦法》共9章81條。包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)、個(gè)人信息保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置、監(jiān)督管理及附則。主要特點(diǎn)包括：

一是落實(shí)數(shù)據(jù)安全責(zé)任制。明確銀行保險(xiǎn)機(jī)構(gòu)黨委(黨組)、董(理)事會(huì)對(duì)本單位數(shù)據(jù)安全工作負(fù)主體責(zé)任，機(jī)構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人，分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責(zé)任人。

二是明確數(shù)據(jù)安全歸口管理部門。要求銀行保險(xiǎn)機(jī)構(gòu)指定數(shù)據(jù)安全歸口管理部門，作為本機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的主責(zé)部門，承擔(dān)制定數(shù)據(jù)安全管理制度標(biāo)準(zhǔn)、建立維護(hù)數(shù)據(jù)目錄、推動(dòng)數(shù)據(jù)分類分級(jí)保護(hù)、組織開展風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警及處置等職責(zé)。

三是將數(shù)據(jù)安全風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系。要求銀行保險(xiǎn)機(jī)構(gòu)明確管理流程，主動(dòng)評(píng)估風(fēng)險(xiǎn)，對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行有效監(jiān)測(cè)，防止數(shù)據(jù)破壞、泄露、非法利用等安全事件發(fā)生。風(fēng)險(xiǎn)管理、內(nèi)控合規(guī)和審計(jì)部門定期對(duì)數(shù)據(jù)安全開展審計(jì)、監(jiān)督檢查與評(píng)價(jià)。

四是強(qiáng)化數(shù)據(jù)安全評(píng)估。要求銀行保險(xiǎn)機(jī)構(gòu)開展相關(guān)數(shù)據(jù)處理活動(dòng)時(shí)，應(yīng)事先開展安全評(píng)估。根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍，分析數(shù)據(jù)安全風(fēng)險(xiǎn)和對(duì)數(shù)據(jù)主體權(quán)益影響，評(píng)估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性。

五是建立數(shù)據(jù)安全保護(hù)基線。將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級(jí)保護(hù)，對(duì)存放或傳輸敏感級(jí)及以上數(shù)據(jù)的機(jī)房、網(wǎng)絡(luò)實(shí)施重點(diǎn)防護(hù)，在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施，采用安全有效的傳輸方式保障數(shù)據(jù)完整性、保密性、可用性。

三、《辦法》在數(shù)據(jù)分類分級(jí)方面提出了哪些具體要求？

答：《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)制定數(shù)據(jù)分類分級(jí)保護(hù)制度，建立數(shù)據(jù)目錄和分類分級(jí)規(guī)范，動(dòng)態(tài)管理和維護(hù)數(shù)據(jù)目錄，并采取差異化的安全保護(hù)措施。在數(shù)據(jù)分類方面，對(duì)機(jī)構(gòu)業(yè)務(wù)及經(jīng)營(yíng)管理過程中獲取、產(chǎn)生的數(shù)據(jù)進(jìn)行分類管理，具體類型包括客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全管理數(shù)據(jù)等。在數(shù)據(jù)分級(jí)方面，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)根據(jù)數(shù)據(jù)的重要性和敏感程度，將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)，其中一般數(shù)據(jù)細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)；當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化，導(dǎo)致安全級(jí)別不再適用的，及時(shí)進(jìn)行動(dòng)態(tài)調(diào)整。

四、《辦法》規(guī)定的數(shù)據(jù)安全管理職責(zé)有哪些？

答：《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)按照國(guó)家政策要求，根據(jù)自身發(fā)展戰(zhàn)略，制定數(shù)據(jù)安全保護(hù)策略；根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍，按照法律法規(guī)和倫理道德規(guī)范要求，對(duì)相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動(dòng)進(jìn)行安全評(píng)估，分析數(shù)據(jù)安全風(fēng)險(xiǎn)和對(duì)數(shù)據(jù)主體權(quán)益影響，評(píng)估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性；收集數(shù)據(jù)應(yīng)堅(jiān)持“合法、正當(dāng)、必要、誠(chéng)信”原則，明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則，保障收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯；在數(shù)據(jù)集團(tuán)內(nèi)部共享的過程中，應(yīng)建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”，并對(duì)共享數(shù)據(jù)采取有效保護(hù)措施；《辦法》還對(duì)數(shù)據(jù)加工、委托處理、共同處理、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)跨境等具體的數(shù)據(jù)處理場(chǎng)景分別提出了相應(yīng)安全管理要求。

五、《辦法》在個(gè)人信息保護(hù)方面有哪些規(guī)定？

答：《辦法》單獨(dú)設(shè)置“個(gè)人信息保護(hù)”章節(jié)，以進(jìn)一步落實(shí)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等上位法要求，體現(xiàn)保護(hù)消費(fèi)者信息和權(quán)益的政策導(dǎo)向。主要規(guī)定包括：銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息應(yīng)按照“明確告知、授權(quán)同意”的原則實(shí)施，并限于實(shí)現(xiàn)金融業(yè)務(wù)處理目的的最小范圍，不得過度收集個(gè)人信息。處理、共享和對(duì)外提供個(gè)人信息時(shí)，應(yīng)當(dāng)履行必要的告知義務(wù)，并取得必要同意。不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)，處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。在開展涉及對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)時(shí)，應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。委托第三方處理個(gè)人信息時(shí)，應(yīng)明確受托人對(duì)個(gè)人信息的保護(hù)義務(wù)、保護(hù)措施和期限等。發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)立即采取補(bǔ)救措施，并向監(jiān)管部門報(bào)告。

六、《辦法》規(guī)定的數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置機(jī)制包含哪些內(nèi)容？

答：《辦法》將數(shù)據(jù)安全事件根據(jù)影響范圍和程度，分為特別重大、重大、較大和一般四個(gè)級(jí)別。要求機(jī)構(gòu)建立內(nèi)部協(xié)調(diào)聯(lián)動(dòng)機(jī)制和外部服務(wù)商、第三方機(jī)構(gòu)的報(bào)告機(jī)制。具體包括：一是制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練。二是數(shù)據(jù)安全事件發(fā)生后，立即啟動(dòng)應(yīng)急處置，分析事件原因、評(píng)估事件影響、開展事件定級(jí)，按照預(yù)案及時(shí)采取業(yè)務(wù)、技術(shù)等措施控制事態(tài)。三是建立數(shù)據(jù)安全事件報(bào)告機(jī)制，根據(jù)事件安全等級(jí)制定報(bào)告流程，發(fā)生數(shù)據(jù)安全事件時(shí)按照規(guī)定報(bào)告，同時(shí)按照合同、協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)。四是發(fā)生數(shù)據(jù)安全事件或者使用的產(chǎn)品和服務(wù)存在缺陷時(shí)，立即開展調(diào)查評(píng)估，及時(shí)采取補(bǔ)救措施。

銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在數(shù)據(jù)安全事件發(fā)生2小時(shí)內(nèi)向總局或其派出機(jī)構(gòu)報(bào)告，并在事件發(fā)生后24小時(shí)內(nèi)提交正式書面報(bào)告。發(fā)生特別重大數(shù)據(jù)安全事件，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向?qū)俚毓矙C(jī)關(guān)、金融監(jiān)管機(jī)構(gòu)報(bào)告。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)每2小時(shí)將處置進(jìn)展情況上報(bào)，直至處置結(jié)束。數(shù)據(jù)安全事件處置結(jié)束后，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在五個(gè)工作日內(nèi)將事件及其處置的評(píng)估、總結(jié)和改進(jìn)報(bào)告報(bào)送屬地監(jiān)管部門。

七、《辦法》公開征求意見情況如何？

答：《辦法》起草過程中已廣泛征求了有關(guān)部門及各類銀行保險(xiǎn)機(jī)構(gòu)意見，并組織部分機(jī)構(gòu)召開專題會(huì)議現(xiàn)場(chǎng)聽取意見建議。2024年3月至4月，總局就《辦法》面向社會(huì)公開征求意見。各方反饋的相關(guān)合理化意見建議均被采納，未采納意見主要集中在數(shù)據(jù)審計(jì)周期、監(jiān)管報(bào)送時(shí)限等方面。

(國(guó)家金融監(jiān)督管理總局網(wǎng)站)