本報記者 吳曉璐
3月22日��,為規范銀行保險機構數據處理活動(dòng)��,保障數據安全�,促進(jìn)數據合理開(kāi)發(fā)利用�,穩步提升金融服務(wù)數字化�����、智能化水平��,保護個(gè)人和組織的合法權益����,國家金融監督管理總局就《銀行保險機構數據安全管理辦法(征求意見(jiàn)稿)》(下稱(chēng)《辦法》)公開(kāi)征求意見(jiàn)�。
速覽要點(diǎn):
要求銀行保險機構建立數據安全責任制��,指定歸口管理部門(mén)負責本機構的數據安全工作
機構主要負責人為數據安全第一責任人��,分管數據安全的領(lǐng)導為直接責任人
在開(kāi)展相關(guān)數據業(yè)務(wù)處理活動(dòng)時(shí)應當進(jìn)行數據安全評估
要求銀行保險機構建立針對大數據��、云計算�����、移動(dòng)互聯(lián)網(wǎng)��、物聯(lián)網(wǎng)等多元異構環(huán)境下的數據安全技術(shù)保護體系��,建立數據安全技術(shù)架構�����,明確數據保護策略方法�����,采取技術(shù)手段保障數據安全
要求銀行保險機構將數據安全風(fēng)險納入本機構全面風(fēng)險管理體系
要求銀行保險機構在處理個(gè)人信息時(shí)�,應按照“明確告知���、授權同意”的原則實(shí)施����,并履行必要的告知義務(wù)���;收集個(gè)人信息應限于實(shí)現金融業(yè)務(wù)處理目的的最小范圍����,不得過(guò)度收集����;共享和對外提供個(gè)人信息時(shí)���,應取得個(gè)人同意
將數據納入網(wǎng)絡(luò )安全等級保護��,對存放或傳輸敏感級及以上數據的機房�����、網(wǎng)絡(luò )實(shí)施重點(diǎn)防護
規定國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進(jìn)行監督管理��,開(kāi)展非現場(chǎng)監管�、現場(chǎng)檢查����,依法對銀行保險機構數據安全事件進(jìn)行處置
確?����?蛻?hù)信息和金融交易數據安全
據國家金融監督管理總局有關(guān)司局負責人介紹���,近年來(lái)����,《數據安全法》《個(gè)人信息保護法》等上位法相繼發(fā)布�����,對規范數據處理活動(dòng)����、個(gè)人信息保護等提出了明確要求�。同時(shí)�,金融行業(yè)數字化變革加速演進(jìn)�����,新技術(shù)�、新業(yè)務(wù)模式不斷涌現�����,數據的使用���、加工����、傳輸���、共享等活動(dòng)日益頻繁����,進(jìn)一步凸顯數據安全保護的重要性�。
對此��,有必要充分發(fā)揮監管的“指揮棒”作用��,通過(guò)強化政策要求引導銀行保險機構壓實(shí)主體責任����,完善內部制度����,采取有效的措施加強數據管理和保護����,確?����?蛻?hù)信息和金融交易數據安全���。
《辦法》共九章八十一條�����。包括總則����、數據安全治理��、數據分類(lèi)分級�、數據安全管理�、數據安全技術(shù)保護�、個(gè)人信息保護����、數據安全風(fēng)險監測與處置���、監督管理及附則�。
主要內容包括:一是明確數據安全治理架構��。要求銀行保險機構建立數據安全責任制����,指定歸口管理部門(mén)負責本機構的數據安全工作��;按照“誰(shuí)管業(yè)務(wù)�����、誰(shuí)管業(yè)務(wù)數據��、誰(shuí)管數據安全”的原則��,明確各業(yè)務(wù)領(lǐng)域的數據安全管理責任��,落實(shí)數據安全保護管理要求��。
二是建立數據分類(lèi)分級標準�。要求銀行保險機構制定數據分類(lèi)分級保護制度����,建立數據目錄和分類(lèi)分級規范�����,動(dòng)態(tài)管理和維護數據目錄�����,并采取差異化的安全保護措施�����。
三是強化數據安全管理����。要求銀行保險機構按照國家數據安全與發(fā)展政策要求���,根據自身發(fā)展戰略建立數據安全管理制度和數據處理管控機制�,在開(kāi)展相關(guān)數據業(yè)務(wù)處理活動(dòng)時(shí)應當進(jìn)行數據安全評估����。
四是健全數據安全技術(shù)保護體系�����。要求銀行保險機構建立針對大數據�����、云計算���、移動(dòng)互聯(lián)網(wǎng)����、物聯(lián)網(wǎng)等多元異構環(huán)境下的數據安全技術(shù)保護體系�,建立數據安全技術(shù)架構�,明確數據保護策略方法��,采取技術(shù)手段保障數據安全�����。
五是加強個(gè)人信息保護�。要求銀行保險機構在處理個(gè)人信息時(shí)�����,應按照“明確告知�、授權同意”的原則實(shí)施��,并履行必要的告知義務(wù)��;收集個(gè)人信息應限于實(shí)現金融業(yè)務(wù)處理目的的最小范圍���,不得過(guò)度收集��;共享和對外提供個(gè)人信息時(shí)�����,應取得個(gè)人同意�。
六是完善數據安全風(fēng)險監測與處置機制��。要求銀行保險機構將數據安全風(fēng)險納入本機構全面風(fēng)險管理體系���,明確數據安全風(fēng)險監測��、風(fēng)險評估��、應急響應及報告�、事件處置的組織架構和管理流程�����,有效防范和處置數據安全風(fēng)險��。
七是明確監督管理職責����。規定國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進(jìn)行監督管理����,開(kāi)展非現場(chǎng)監管�、現場(chǎng)檢查��,依法對銀行保險機構數據安全事件進(jìn)行處置�。對違反《辦法》要求的依法追究相應責任����。
機構主要負責人為數據安全第一責任人
據上述負責人介紹��,《辦法》有五大特點(diǎn):
一是落實(shí)數據安全責任制����。明確銀行保險機構黨委(黨組)�����、董(理)事會(huì )對本單位數據安全工作負主體責任���,機構主要負責人為數據安全第一責任人����,分管數據安全的領(lǐng)導為直接責任人�。
二是明確數據安全歸口管理部門(mén)����。要求銀行保險機構指定數據安全歸口管理部門(mén)���,作為本機構負責數據安全工作的主責部門(mén)�,承擔制定數據安全管理制度標準�、建立維護數據目錄�、推動(dòng)數據分類(lèi)分級保護���、組織開(kāi)展風(fēng)險監測���、預警及處置等職責��。
三是將數據安全風(fēng)險納入全面風(fēng)險管理體系�����。要求銀行保險機構明確管理流程��,主動(dòng)評估風(fēng)險��,對數據安全風(fēng)險進(jìn)行有效監測���,防止數據破壞���、泄露����、非法利用等安全事件發(fā)生����。風(fēng)險管理��、內控合規和審計部門(mén)定期對數據安全開(kāi)展審計�、監督檢查與評價(jià)��。
四是強化數據安全評估���。要求銀行保險機構開(kāi)展相關(guān)數據處理活動(dòng)時(shí)����,應事先開(kāi)展安全評估��。根據數據處理目的����、性質(zhì)和范圍����,分析數據安全風(fēng)險和對數據主體權益影響���,評估數據處理的必要性���、合規性及防控措施的有效性���。
五是建立數據安全保護基線(xiàn)����。將數據納入網(wǎng)絡(luò )安全等級保護�����,對存放或傳輸敏感級及以上數據的機房�、網(wǎng)絡(luò )實(shí)施重點(diǎn)防護�����,在數據全生命周期內采取有效訪(fǎng)問(wèn)控制管理措施��,采用安全有效的傳輸方式保障數據完整性�、保密性��、可用性��。
制定數據安全保護策略
談及《辦法》規定的數據安全管理職責�����,上述負責人表示�����,《辦法》要求銀行保險機構按照國家數據安全與發(fā)展政策要求��,根據自身發(fā)展戰略���,制定數據安全保護策略�����;根據數據處理目的����、性質(zhì)和范圍��,依照法律法規和倫理道德規范要求�,對相關(guān)數據業(yè)務(wù)處理活動(dòng)進(jìn)行安全評估����,分析數據安全風(fēng)險和對數據主體權益影響���,評估數據處理的必要性����、合規性及防控措施的有效性��;收集數據應堅持“合法�����、正當�、必要���、誠信”原則����,明確數據收集和處理的目的�����、方式��、范圍���、規則�,保障收集過(guò)程的數據安全性���、數據來(lái)源可追溯�,不得超出數據主體同意的范圍收集數據��;在數據集團內部共享的過(guò)程中��,應建立總行(公司)與其子公司數據安全隔離的“防火墻”��,并對共享數據采取有效保護措施�����;《辦法》還對數據加工�����、委托處理�����、共同處理��、數據轉移等具體的數據處理場(chǎng)景分別提出了相應安全管理要求�。
(編輯 孫倩)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
