期貨日報
劉威魁
2024-12-28 08:03
12月27日,金融監管總局發布了《銀行保險機構數據安全管理辦法》(下稱《辦法》)。從數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置等方面提出了81條具體管理辦法。
數據安全風險將納入機構全面風險管理體系
金融監管總局有關司局負責人表示,金融數據具有高價值和高敏感性,金融數據安全與國家安全和金融消費者權益密切相關。近年來,銀行業保險業數字化變革加速演進,新技術、新業態不斷涌現,數據合作共享日益頻繁。與此同時,金融領域面臨的數據安全風險形勢復雜嚴峻,也給金融機構數據安全管理帶來新的挑戰。
“有必要充分發揮監管的‘指揮棒’作用,通過強化政策要求引導銀行保險機構壓實主體責任,完善內部機制,采取有效的管理和技術措施加強數據安全保護,確保客戶信息和金融交易數據的安全。”該負責人稱。
其中,《辦法》要求銀行保險機構將數據安全風險納入全面風險管理體系,明確管理流程,主動評估風險,對數據安全風險進行有效監測,防止數據破壞、泄露、非法利用等安全事件發生。風險管理、內控合規和審計部門定期對數據安全開展審計、監督檢查與評價。
同時,要將數據納入網絡安全等級保護,對存放或傳輸敏感級及以上數據的機房、網絡實施重點防護,在數據全生命周期內采取有效訪問控制管理措施,采用安全有效的傳輸方式保障數據完整性、保密性、可用性。
加強個人信息保護
《辦法》要求銀行保險機構應當制定數據分類分級保護制度,建立數據目錄和分類分級規范,動態管理和維護數據目錄,采取差異化安全保護措施。
具體來看,《辦法》將數據分為核心數據、重要數據、一般數據。其中,一般數據細分為敏感數據和其他一般數據。
其中,核心數據是指對領域、群體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度的重要數據,一旦被非法使用或者共享,可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益。
個人信息保護是數據安全的重要內容,此次《辦法》單獨設置了“個人信息保護”章節。主要規定包括:銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施,并限于實現金融業務處理目的的最小范圍,不得過度收集個人信息;處理、共享和對外提供個人信息時,應當履行必要的告知義務,并取得必要同意;在開展涉及對個人權益有重大影響的個人信息處理活動時,應當進行個人信息保護影響評估;發生或者可能發生個人信息泄露、篡改、丟失的,銀行保險機構應當立即采取補救措施,并向監管部門報告。
建立數據安全事件應急響應與處置機制
此外,《辦法》還進一步完善了風險監測處置機制,除了要求銀行保險機構將數據安全風險納入全面風險管理體系,還明確了數據安全風險監測、風險評估、應急響應及報告、事件處置的組織架構和管理流程。
在數據安全事件應急響應與處置中,《辦法》將數據安全事件根據影響范圍和程度,分為特別重大、重大、較大和一般四個級別。要求機構建立內部協調聯動機制和外部服務商、第三方機構的報告機制。具體包括:
一是制定數據安全事件應急預案,定期開展應急響應培訓和應急演練。
二是數據安全事件發生后,立即啟動應急處置,分析事件原因、評估事件影響、開展事件定級,按照預案及時采取業務、技術等措施控制事態。
三是建立數據安全事件報告機制,根據事件安全等級制定報告流程,發生數據安全事件時按照規定報告,同時按照合同、協議等有關約定履行客戶及合作方告知義務。
四是發生數據安全事件或者使用的產品和服務存在缺陷時,立即開展調查評估,及時采取補救措施。
《辦法》要求,銀行保險機構應在數據安全事件發生2小時內向金融監管總局或其派出機構報告,并在事件發生后24小時內提交正式書面報告。發生特別重大數據安全事件,銀行保險機構應當立即采取處置措施,按照規定及時告知用戶并向屬地公安機關、金融監管機構報告。銀行保險機構應當每2小時將處置進展情況上報,直至處置結束。數據安全事件處置結束后,銀行保險機構應當在五個工作日內將事件及其處置的評估、總結和改進報告報送屬地監管部門。
校對:楊立林
