國家金融監(jiān)督管理總局發(fā)布《銀行保險機構數據安全管理辦法》——

確保客戶信息和金融交易數據安全

金融數據具有高價值和高敏感性，金融數據安全與國家安全和金融消費者權益密切相關。日前，國家金融監(jiān)督管理總局發(fā)布《銀行保險機構數據安全管理辦法》（以下簡稱《辦法》），為規(guī)范銀行業(yè)保險業(yè)數據處理活動，保障數據安全、金融安全，促進數據合理開發(fā)利用，維護社會公共利益和金融消費者合法權益提供制度保障。

開展數據分類分級

“近年來，銀行業(yè)保險業(yè)數字化變革加速演進，新技術、新業(yè)態(tài)不斷涌現(xiàn)，數據合作共享日益頻繁。與此同時，金融領域面臨的數據安全風險形勢復雜嚴峻，也給金融機構數據安全管理帶來新的挑戰(zhàn)。”在談及《辦法》出臺背景時，國家金融監(jiān)督管理總局有關司局負責人說。

《辦法》共9章81條，要求銀行保險機構制定數據分類分級保護制度，建立數據目錄和分類分級規(guī)范，動態(tài)管理和維護數據目錄，并采取差異化的安全保護措施。

在數據分類方面，銀行保險機構對機構業(yè)務及經營管理過程中獲取、產生的數據進行分類管理，具體類型包括客戶數據、業(yè)務數據、經營管理數據、系統(tǒng)運行和安全管理數據等。

在數據分級方面，銀行保險機構應根據數據的重要性和敏感程度，將數據分為核心數據、重要數據、一般數據，其中一般數據細分為敏感數據和其他一般數據；當數據的業(yè)務屬性、重要程度和可能造成的危害程度發(fā)生變化，導致安全級別不再適用的，及時進行動態(tài)調整。

《辦法》明確，“重要數據”是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模的數據，一旦被泄露或者篡改、損毀，可能直接危害國家安全、經濟運行、社會穩(wěn)定、公共健康和安全。“敏感數據”是指一旦被泄露或者篡改、損毀，對經濟運行、社會穩(wěn)定、公共利益有一定影響，或者對組織自身或者公民個體造成重要影響的數據。

“金融是數字經濟活躍的重點領域，屬于‘數據密集型’行業(yè)。《辦法》及時對數據進行分類分級，對行業(yè)開展有效監(jiān)管約束是十分必要的。”招聯(lián)首席研究員董希淼說。

建立安全“防火墻”

隨著數據加工、數據轉移、數據跨境等場景的增多，保障數據安全也面臨新的要求。

《辦法》提出，銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火墻”，并對共享數據采取有效保護措施。銀行保險機構應當構建覆蓋數據全生命周期和應用場景的安全保護機制，開展數據安全風險評估、監(jiān)測與處置，保障數據開發(fā)利用活動安全穩(wěn)健開展。

同時，《辦法》還對不同場景的數據安全作了具體規(guī)定。比如，銀行保險機構應當將數據委托處理納入信息科技外包管理范圍，在實施過程中不得將信息科技管理責任、數據安全主體責任外包；銀行保險機構與第三方機構進行數據共同處理時，應當以合同協(xié)議方式明確雙方在數據處理過程中的數據安全責任和義務；銀行保險機構因合并、分立、解散、被宣告破產等需要轉移數據的，應當明確數據轉移內容，通過協(xié)議、承諾等方式約定數據接收方全面承接對應數據的安全保護義務……

國家金融監(jiān)督管理總局有關負責人介紹，《辦法》主要特點包括落實數據安全責任制、明確數據安全歸口管理部門、將數據安全風險納入全面風險管理體系、強化數據安全評估、建立數據安全保護基線等。相關舉措的目的，就是通過采取有效的管理和技術措施加強數據安全保護，確保客戶信息和金融交易數據的安全。

壓實機構主體責任

一分部署，九分落實。在壓實銀行保險機構主體責任上，《辦法》強調銀行保險機構主要負責人為數據安全第一責任人，分管數據安全的高級管理人員為直接責任人，同時要求明確各層級負責人的責任。

在實踐中，不少金融機構都在數據安全方面不斷加大工作力度。中國工商銀行從系統(tǒng)層、終端層、網絡層和應用層實施數據全生命周期安全防護，形成體系化的數據安全風險事件應急響應與處置機制；中國建設銀行強化信息技術運用，形成了前中后臺“三道防線”各自獨立、相互協(xié)調、有效制衡的管理機制，推動數據安全分級保護措施在生命周期各個環(huán)節(jié)落地；新華保險加快推進“異地+同城”的多活云數據中心架構布局落地，深化網絡和數據安全防護技術應用，安全管控能力持續(xù)提升……

“銀行保險機構在經營過程中產生并獲得大量數據。這些數據如何使用、處理，與居民個人信息安全息息相關。在數字技術快速發(fā)展的當下，《辦法》的出臺有助于將數據管理與金融消費者保護工作有機結合起來，更好地促進金融業(yè)高質量發(fā)展。”董希淼說。

國家金融監(jiān)督管理總局有關負責人表示，將持續(xù)強化銀行業(yè)保險業(yè)數據安全監(jiān)管工作，加強督促指導，做好《辦法》貫徹落實工作，指導銀行保險機構不斷提升數據安全管理能力，為保障客戶信息和金融交易數據安全、牢牢守住不發(fā)生系統(tǒng)性風險底線奠定堅實基礎。（記者?王俊嶺）