数据已经成为现代社会的重要资源,银行和保险机构作为金融行业的重要组成部分,其数据处理活动日益频繁,数据量呈指数级增长。然而,数据安全问题也随之而来,数据泄露、滥用等事件频发,给个人隐私和企业运营带来了巨大风险。在当前社会数据安全问题的严峻现实下,亟须全面提升银行和保险机构的数据安全治理能力,保障数据安全和隐私保护,促进数据合理开发利用。
国家金管总局印发解答《银行保险机构数据安全管理办法》(以下简称《办法》),有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,采取有效的管理和技术措施加强数据安全保护,确保客户信息和金融交易数据的安全。
完整《银行保险机构数据安全管理办法》实务解析公开课已在数治网院iDigi 上线,请在文末扫码加入数治x一站式服务群@老邪 领取课件和脑图,更有治理、安全与合规体系课程可预约AI共创导师开讲。
《办法》围绕三个亟待解决的问题,一是数据安全治理不足,许多银行和保险机构缺乏系统化的数据安全治理机制,导致数据在收集、存储、使用、加工和传输等环节存在安全隐患。二是数据共享与利用的矛盾,如何在确保数据安全的前提下,推动数据的共享和利用,提升数据的价值。三是个人信息保护不力,导致个人信息的非法处理和利用问题突出,侵犯了个人隐私权,影响了公众对金融机构的信任。
《办法》涵盖了总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护等方面的等实务内容,来切实解决提到的突出问题:
- 建立健全数据安全治理体系:通过明确各方职责,形成有效的协作机制,确保数据在各个环节受到有效管理和控制。
- 提升数据安全技术保护能力:应用先进的加密技术、数据脱敏工具、安全审计系统等手段,有效防止未经授权的访问和数据泄露。
- 加强个人信息保护:明确告知、授权同意,确保个人信息处理合法合规,保障个人合法权益。
01 总则
1. 目的
确保数据在各个环节受到有效管理和控制:包括收集、存储、使用、加工和传输等。
规范数据处理活动:通过实施严格的数据安全措施,维护国家金融市场的稳定和安全。
保障数据安全与金融安全:在确保数据安全的前提下,推动数据的共享和利用,提升数据的价值。
保护个人与组织合法权益:防止数据滥用和泄露,保障个人隐私权、商业秘密和组织的正常运营。
维护国家安全和社会公共利益:避免数据被用于危害国家安全和社会公共利益的活动。
2. 依据
《中华人民共和国数据安全法》:规范数据处理活动,保障数据安全。
《中华人民共和国网络安全法》:加强网络安全管理,保护网络数据。
《中华人民共和国个人信息保护法》:保护个人信息,防止其被非法处理和利用。
《中华人民共和国银行业监督管理法》:监督管理银行业的经营活动,保障其稳健运行。
《中华人民共和国商业银行法》:规范商业银行的经营行为,保护存款人和其他客户的合法权益。
《中华人民共和国保险法》:加强对保险业的监督管理,维护保险市场秩序。
3. 适用范围
适用范围:适用于在中国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。
4. 数据定义
数据定义:指以电子或者其他方式对信息的记录。
数据处理:包括收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等。
数据安全:通过采取必要措施,对数据处理活动和数据应用场景进行管理与控制,确保数据始终处于有效保护和合法利用的状态。
02 数据安全治理
1. 数据安全管理组织架构
设立专门的数据安全管理部门:负责整体的数据安全管理及策略制定。
明确董(理)事会、高管层职责:董(理)事会和高管层对单位的数据安全负有主体责任,需要定期审查和监督数据安全政策。
岗位设置与工作机制:设立数据安全管理员、风险评估员、安全审计员等岗位,明确职责和工作流程。
2. 数据安全责任制
建立健全数据安全责任制:明确党委(党组)、董(理)事会对本单位数据安全负主体责任。
党委(党组)领导责任:推动数据安全管理制度的建设和落实,加强内部宣传和教育。
第一责任人与直接责任人:明确数据安全的第一责任人和直接责任人,分别承担总体领导和具体执行的职责。
3. 数据归口管理部门
指定归口管理部门:负责组织制定数据安全管理原则、规划、制度和标准。
建立数据目录:统筹建立和维护数据目录,明确记录所有数据资产的分类、来源、存储位置和用途等信息。
制定数据安全规范:组织制定数据安全管理制度和操作规范,确保数据的收集、存储、使用、加工和传输等过程符合相关法律法规和标准要求。
完整《银行保险机构数据安全管理办法》实务解析公开课已在数治网院iDigi 上线,请在文末扫码加入数治x一站式服务群@老邪 领取课件和脑图,更有治理、安全与合规体系课程可预约AI共创导师开讲。
03 数据分类分级
1. 数据分类分级保护制度
建立数据分类分级保护制度:确保不同重要性的数据得到适当保护。
建立数据目录和分类分级规范:定期审查和更新数据目录,动态管理和维护数据目录。
2. 数据类型
客户数据:包括客户的个人信息、账户信息、交易记录等。
业务数据:涵盖银行保险机构日常运营中的各类业务数据。
经营管理数据:包括财务数据、战略计划、市场分析报告等。
3. 数据级别
核心数据:对业务运营和风险管理具有极端重要性的数据。
重要数据:影响机构关键业务和决策的数据。
一般数据:对业务运营影响相对较小的数据。
04 数据安全管理
1. 制定数据安全保护策略
全面的数据安全保护策略:包括数据的全生命周期管理,确保数据的有效保护和合法利用。
明确管理责任分工:党委(党组)、董(理)事会对本单位数据安全负主体责任。
2. 外部引入与合作共享
制定安全管理实施细则:包括数据安全评估的要求、数据传输和存储的安全标准等。
事先开展数据安全评估:确保引入的数据不会带来新的安全风险。
明确引入数据的安全保护要求:对敏感数据采取更为严格的安全措施。
3. 数据加工活动
采取匿名化、去标识化或其他必要安全措施:保护数据安全。
及时评估、调整安全保护措施:定期评估数据的安全保护措施,并根据评估结果及时调整。
数据加工过程中的访问控制:实施严格的访问控制措施,确保只有授权人员能够访问和处理敏感数据。
完整《银行保险机构数据安全管理办法》实务解析公开课已在数治网院iDigi 上线,请在文末扫码加入数治x一站式服务群@老邪 领取课件和脑图,更有治理、安全与合规体系课程可预约AI共创导师开讲。
05 数据安全技术保护
1. 建立数据安全技术保护体系
全面的、多层次的数据安全技术保护体系:确保数据的保密性、完整性和可用性。
明确数据保护策略方法:包括数据的分类分级、访问控制、加密、备份和恢复等具体措施。
2. 信息系统开发
将数据安全保护纳入信息系统开发生命周期:确保数据安全要求在系统建设过程中得以全面落实。
针对敏感级及以上数据明确安全保护要求:制定更为严格的安全保护要求。
实施全面的数据安全测试:确保系统能够抵御各类安全威胁,并能够有效保护数据的保密性、完整性和可用性。
3. 网络安全等级保护
将数据纳入网络安全等级保护:确保数据的安全保护措施与数据的敏感程度相匹配。
实施有效的安全控制:如访问控制、数据加密、网络隔离等。
建立网络安全事件应急响应机制:提高应对网络安全事件的能力和效率。
06 个人信息保护
1. 处理原则
明确告知:确保个人知晓其信息被处理的相关信息。
授权同意:在处理个人信息时,必须获得个人的明确授权同意。
合法合规:个人信息处理必须遵守相关法律法规。
2. 信息告知
真实、准确、完整告知:在收集和使用个人信息前,机构需向个人真实、准确、完整地告知信息处理的各项细节。
信息处理规则:制定清晰的个人信息处理规则,明确信息处理的界限和流程。
告知方式:选择便捷且易于理解的方式,确保信息接收者能够充分理解告知内容。
3. 授权同意
获得明确同意:在处理个人信息前,必须获得个人的明确授权。
区分必需与非必需:仅处理那些必需的信息,避免过度收集。
记录授权同意:记录个人的授权同意,定期审查和更新这些记录。
完整《银行保险机构数据安全管理办法》实务解析公开课已在数治网院iDigi 上线,请在文末扫码加入数治x一站式服务群@老邪 领取课件和脑图,更有治理、安全与合规体系课程可预约AI共创导师开讲。
07 数据安全风险监测与处置
1. 风险监测
对数据安全威胁进行有效监测:利用先进的技术手段和工具,对可能面临的数据安全威胁进行持续、全面的监测。
主动评估风险:定期进行风险评估,分析可能的威胁来源和可能受到的危害。
建立风险监测和报告机制:形成详细的风险报告,及时向管理层和相关部门报告。
2. 风险评估
每年开展一次数据安全风险评估:全面掌握机构的数据安全状况。
每三年开展一次数据安全全面审计:确保数据安全政策和管理措施得到有效执行。
采用国际标准进行评估:参考国际和国内的标准和方法,确保评估结果的客观性和准确性。
3. 事件处置
建立数据安全事件应急管理机制:预先制定详细的应急预案。
及时处置风险隐患及安全事件:立即启动应急预案,采取必要的技术手段和管理措施。
事件发生后的分析与改进:深入分析事件原因,总结经验教训,完善安全管理措施。
08 监督管理
1. 监督管理职责
国家金融监督管理总局及其派出机构职责:负责对银行保险机构数据安全保护情况进行监督管理。
银行业保险业金融机构职责:建立健全内部数据安全管理制度,落实数据安全管理责任。
地方金融管理部门职责:负责批准设立的金融组织的日常监管。
2. 监管措施
风险提示与监管谈话:要求限期整改,并书面报告整改情况。
监管通报与责令改正:公开披露违规行为,形成行业警示效应。
责令暂停或终止服务:对于严重违规机构,责令其暂停或终止部分业务。
3. 报告
数据共享与转移的报告:涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移,银行保险机构应当在处理、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告,法律、行政法规另有规定的除外。
数据安全风险评估报告:银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等。
热点关注问题
1:在数据安全管理体系建设中,如何应对数据与业务的强关联关系?
在数据安全管理体系建设中,应对数据与业务的强关联关系需要采取以下措施:
动态化的安全策略:制定灵活、高弹性的安全策略,能够根据不同业务场景的需求进行调整。
深入业务场景的风险评估:评估不同业务场景下的数据安全风险,明确安全管理优先级,并制定相应的个性化管控方案。
构建数据安全运营管理平台:通过接入各技术工具的能力点,实现对不同技术工具的能力编排与调度,提供统一的安全管理操作入口,确保数据安全策略能够快速适应业务变化。
2:在数据安全技术保护方面,银行保险机构应采取哪些具体措施来保障数据的保密性、完整性和可用性?
银行保险机构在数据安全技术保护方面应采取以下具体措施:
应用先进的加密技术:对敏感数据进行加密存储和传输,防止未经授权的访问和数据泄露。
使用数据脱敏工具:在数据共享和展示时,对敏感信息进行脱敏处理,降低数据泄露风险。
实施安全审计系统:定期进行安全审计,监控和记录数据访问和操作行为,及时发现和应对安全威胁。
网络隔离:通过物理或逻辑手段将不同安全级别的数据隔离,防止数据交叉污染和攻击。
3:银行保险机构在数据分类分级保护制度中,如何具体实施数据目录的建立和维护?
银行保险机构在数据分类分级保护制度中,具体实施数据目录的建立和维护包括以下几个步骤:
建立初始数据目录:详细记录所有数据资产的分类、来源、存储位置和用途等信息。每个数据条目都应附带其分类和分级标签。
定期审查和更新:数据目录需要定期进行审查和更新,以反映新的数据类型、敏感级别的变化以及业务需求的变化。
动态管理和维护:当发现数据存在安全风险或其重要性发生改变时,数据目录也需要及时调整,确保数据管理的及时性和准确性。
4:在数据分类分级过程中,如何确保跨部门协同的高效开展?
在数据分类分级过程中,确保跨部门协同的高效开展需要建立数据分类分级组织保障,明确各相关部门的职责和工作内容。具体措施包括:
成立专门的数据分类分级工作组:由数据、技术、业务、安全等部门的人员组成,负责统筹协调分类分级工作。
制定详细的协作流程:明确各部门在不同阶段的任务和责任,确保信息流通顺畅。
定期召开协调会议:及时讨论和解决跨部门协作中的问题和障碍。
建立统一的分类分级标准和工具:确保各部门在分类分级过程中使用统一的标准和方法,减少沟通成本和误解。
5:在个人信息保护方面,银行保险机构如何确保信息处理的合法合规性?
银行保险机构在个人信息保护方面应确保信息处理的合法合规性,具体措施包括:
明确告知:在收集和使用个人信息前,向个人真实、准确、完整地告知信息处理的各项细节,包括处理目的、方式及信息共享情况。
授权同意:在处理个人信息前,必须获得个人的明确授权同意,可以通过签署协议、点击同意按钮等法律认可的方式获得。
合法合规:个人信息处理必须遵守相关法律法规,如《中华人民共和国网络安全法》和《中华人民共和国个人信息保护法》,确保信息处理的每个环节都有法可依,保障个人合法权益。
6:在个人信息保护方面,企业应如何应对生物识别信息的收集和处理?
在个人信息保护方面,企业应对生物识别信息的收集和处理采取以下措施:
谨慎评估必要性:在业务规则设计阶段,评估采用生物识别技术的必要性,并开展个人信息安全影响评估。
明确告知与授权同意:在收集生物识别信息前,明确告知用户信息的收集目的、方式和范围,并获取用户的主动授权同意。
强化安全保护措施:采取加密、脱敏等技术手段保护生物识别信息,确保信息的安全存储和传输。
建立用户权利保障机制:提供生物识别信息的查询、更正、删除、撤回授权同意和获取用户个人信息副本等机制,确保用户个人权利的实现。
更多解读请扫码加入数治x一站式服务群,@老邪 领取《银行保险机构数据安全管理办法》实务解析课件和脑图,还有治理、安全与合规体系课程可预约AI共创导师开讲。
学习、工作两不误,只需添加老邪企业微信一步,升级为数治Pro一站式简化工作流,10000+ 前沿资料导出框架、脑图、问答帮你高效落政策、学法规、用标准、助招投。
来源:国家金融监督管理总局网站,获取《办法》全文请在数治网微信公众号对话框内发送“250106”。本篇针对政策全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Opal Pierce,Unsplash
