本報記者 吳曉璐
3月22日,為規(guī)范銀行保險機構(gòu)數(shù)據(jù)處理活動�,保障數(shù)據(jù)安全,促進數(shù)據(jù)合理開發(fā)利用�����,穩(wěn)步提升金融服務數(shù)字化�����、智能化水平��,保護個人和組織的合法權(quán)益��,國家金融監(jiān)督管理總局就《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿)》(下稱《辦法》)公開征求意見��。
速覽要點:
要求銀行保險機構(gòu)建立數(shù)據(jù)安全責任制�����,指定歸口管理部門負責本機構(gòu)的數(shù)據(jù)安全工作
機構(gòu)主要負責人為數(shù)據(jù)安全第一責任人,分管數(shù)據(jù)安全的領(lǐng)導為直接責任人
在開展相關(guān)數(shù)據(jù)業(yè)務處理活動時應當進行數(shù)據(jù)安全評估
要求銀行保險機構(gòu)建立針對大數(shù)據(jù)���、云計算、移動互聯(lián)網(wǎng)�、物聯(lián)網(wǎng)等多元異構(gòu)環(huán)境下的數(shù)據(jù)安全技術(shù)保護體系,建立數(shù)據(jù)安全技術(shù)架構(gòu)���,明確數(shù)據(jù)保護策略方法���,采取技術(shù)手段保障數(shù)據(jù)安全
要求銀行保險機構(gòu)將數(shù)據(jù)安全風險納入本機構(gòu)全面風險管理體系
要求銀行保險機構(gòu)在處理個人信息時,應按照“明確告知�、授權(quán)同意”的原則實施,并履行必要的告知義務�;收集個人信息應限于實現(xiàn)金融業(yè)務處理目的的最小范圍,不得過度收集�����;共享和對外提供個人信息時����,應取得個人同意
將數(shù)據(jù)納入網(wǎng)絡安全等級保護,對存放或傳輸敏感級及以上數(shù)據(jù)的機房�����、網(wǎng)絡實施重點防護
規(guī)定國家金融監(jiān)督管理總局及其派出機構(gòu)對銀行保險機構(gòu)數(shù)據(jù)安全保護情況進行監(jiān)督管理,開展非現(xiàn)場監(jiān)管����、現(xiàn)場檢查,依法對銀行保險機構(gòu)數(shù)據(jù)安全事件進行處置
確?����?蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)安全
據(jù)國家金融監(jiān)督管理總局有關(guān)司局負責人介紹�����,近年來�,《數(shù)據(jù)安全法》《個人信息保護法》等上位法相繼發(fā)布,對規(guī)范數(shù)據(jù)處理活動�����、個人信息保護等提出了明確要求�����。同時,金融行業(yè)數(shù)字化變革加速演進�����,新技術(shù)�、新業(yè)務模式不斷涌現(xiàn),數(shù)據(jù)的使用�����、加工�����、傳輸���、共享等活動日益頻繁,進一步凸顯數(shù)據(jù)安全保護的重要性���。
對此�,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用��,通過強化政策要求引導銀行保險機構(gòu)壓實主體責任��,完善內(nèi)部制度�,采取有效的措施加強數(shù)據(jù)管理和保護���,確保客戶信息和金融交易數(shù)據(jù)安全�����。
《辦法》共九章八十一條��。包括總則���、數(shù)據(jù)安全治理�、數(shù)據(jù)分類分級�����、數(shù)據(jù)安全管理�、數(shù)據(jù)安全技術(shù)保護、個人信息保護�����、數(shù)據(jù)安全風險監(jiān)測與處置�����、監(jiān)督管理及附則。
主要內(nèi)容包括:一是明確數(shù)據(jù)安全治理架構(gòu)��。要求銀行保險機構(gòu)建立數(shù)據(jù)安全責任制��,指定歸口管理部門負責本機構(gòu)的數(shù)據(jù)安全工作���;按照“誰管業(yè)務�、誰管業(yè)務數(shù)據(jù)���、誰管數(shù)據(jù)安全”的原則,明確各業(yè)務領(lǐng)域的數(shù)據(jù)安全管理責任����,落實數(shù)據(jù)安全保護管理要求。
二是建立數(shù)據(jù)分類分級標準���。要求銀行保險機構(gòu)制定數(shù)據(jù)分類分級保護制度���,建立數(shù)據(jù)目錄和分類分級規(guī)范,動態(tài)管理和維護數(shù)據(jù)目錄���,并采取差異化的安全保護措施�。
三是強化數(shù)據(jù)安全管理。要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求�,根據(jù)自身發(fā)展戰(zhàn)略建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機制,在開展相關(guān)數(shù)據(jù)業(yè)務處理活動時應當進行數(shù)據(jù)安全評估����。
四是健全數(shù)據(jù)安全技術(shù)保護體系。要求銀行保險機構(gòu)建立針對大數(shù)據(jù)�、云計算、移動互聯(lián)網(wǎng)�����、物聯(lián)網(wǎng)等多元異構(gòu)環(huán)境下的數(shù)據(jù)安全技術(shù)保護體系�����,建立數(shù)據(jù)安全技術(shù)架構(gòu)����,明確數(shù)據(jù)保護策略方法,采取技術(shù)手段保障數(shù)據(jù)安全��。
五是加強個人信息保護�。要求銀行保險機構(gòu)在處理個人信息時���,應按照“明確告知、授權(quán)同意”的原則實施����,并履行必要的告知義務;收集個人信息應限于實現(xiàn)金融業(yè)務處理目的的最小范圍����,不得過度收集;共享和對外提供個人信息時�����,應取得個人同意��。
六是完善數(shù)據(jù)安全風險監(jiān)測與處置機制����。要求銀行保險機構(gòu)將數(shù)據(jù)安全風險納入本機構(gòu)全面風險管理體系����,明確數(shù)據(jù)安全風險監(jiān)測、風險評估��、應急響應及報告、事件處置的組織架構(gòu)和管理流程���,有效防范和處置數(shù)據(jù)安全風險���。
七是明確監(jiān)督管理職責。規(guī)定國家金融監(jiān)督管理總局及其派出機構(gòu)對銀行保險機構(gòu)數(shù)據(jù)安全保護情況進行監(jiān)督管理�,開展非現(xiàn)場監(jiān)管、現(xiàn)場檢查�����,依法對銀行保險機構(gòu)數(shù)據(jù)安全事件進行處置��。對違反《辦法》要求的依法追究相應責任�。
機構(gòu)主要負責人為數(shù)據(jù)安全第一責任人
據(jù)上述負責人介紹,《辦法》有五大特點:
一是落實數(shù)據(jù)安全責任制�����。明確銀行保險機構(gòu)黨委(黨組)���、董(理)事會對本單位數(shù)據(jù)安全工作負主體責任��,機構(gòu)主要負責人為數(shù)據(jù)安全第一責任人���,分管數(shù)據(jù)安全的領(lǐng)導為直接責任人���。
二是明確數(shù)據(jù)安全歸口管理部門。要求銀行保險機構(gòu)指定數(shù)據(jù)安全歸口管理部門����,作為本機構(gòu)負責數(shù)據(jù)安全工作的主責部門,承擔制定數(shù)據(jù)安全管理制度標準����、建立維護數(shù)據(jù)目錄、推動數(shù)據(jù)分類分級保護��、組織開展風險監(jiān)測�����、預警及處置等職責�����。
三是將數(shù)據(jù)安全風險納入全面風險管理體系��。要求銀行保險機構(gòu)明確管理流程����,主動評估風險,對數(shù)據(jù)安全風險進行有效監(jiān)測�,防止數(shù)據(jù)破壞、泄露���、非法利用等安全事件發(fā)生��。風險管理����、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計��、監(jiān)督檢查與評價�����。
四是強化數(shù)據(jù)安全評估��。要求銀行保險機構(gòu)開展相關(guān)數(shù)據(jù)處理活動時�,應事先開展安全評估。根據(jù)數(shù)據(jù)處理目的��、性質(zhì)和范圍�,分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響�����,評估數(shù)據(jù)處理的必要性���、合規(guī)性及防控措施的有效性。
五是建立數(shù)據(jù)安全保護基線���。將數(shù)據(jù)納入網(wǎng)絡安全等級保護�����,對存放或傳輸敏感級及以上數(shù)據(jù)的機房��、網(wǎng)絡實施重點防護���,在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施,采用安全有效的傳輸方式保障數(shù)據(jù)完整性�、保密性、可用性�。
制定數(shù)據(jù)安全保護策略
談及《辦法》規(guī)定的數(shù)據(jù)安全管理職責,上述負責人表示����,《辦法》要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求,根據(jù)自身發(fā)展戰(zhàn)略�����,制定數(shù)據(jù)安全保護策略�����;根據(jù)數(shù)據(jù)處理目的��、性質(zhì)和范圍��,依照法律法規(guī)和倫理道德規(guī)范要求��,對相關(guān)數(shù)據(jù)業(yè)務處理活動進行安全評估��,分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響��,評估數(shù)據(jù)處理的必要性�、合規(guī)性及防控措施的有效性;收集數(shù)據(jù)應堅持“合法���、正當�、必要、誠信”原則����,明確數(shù)據(jù)收集和處理的目的、方式���、范圍�、規(guī)則�����,保障收集過程的數(shù)據(jù)安全性����、數(shù)據(jù)來源可追溯,不得超出數(shù)據(jù)主體同意的范圍收集數(shù)據(jù)�;在數(shù)據(jù)集團內(nèi)部共享的過程中,應建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”���,并對共享數(shù)據(jù)采取有效保護措施��;《辦法》還對數(shù)據(jù)加工��、委托處理���、共同處理�、數(shù)據(jù)轉(zhuǎn)移等具體的數(shù)據(jù)處理場景分別提出了相應安全管理要求��。
(編輯 孫倩)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
