國家金融監(jiān)督管理總局有關司局負責人就《銀行保險機構數(shù)據安全管理辦法》答記者問
近日,金融監(jiān)管總局制定發(fā)布《銀行保險機構數(shù)據安全管理辦法》(以下簡稱《辦法》)。有關司局負責人就相關問題回答了記者提問。
一、《辦法》制定的背景是什么?
答:金融數(shù)據具有高價值和高敏感性,金融數(shù)據安全與國家安全和金融消費者權益密切相關。近年來,銀行業(yè)保險業(yè)數(shù)字化變革加速演進,新技術、新業(yè)態(tài)不斷涌現(xiàn),數(shù)據合作共享日益頻繁。與此同時,金融領域面臨的數(shù)據安全風險形勢復雜嚴峻,也給金融機構數(shù)據安全管理帶來新的挑戰(zhàn)。對此,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用,通過強化政策要求引導銀行保險機構壓實主體責任,完善內部機制,采取有效的管理和技術措施加強數(shù)據安全保護,確保客戶信息和金融交易數(shù)據的安全。
二、《辦法》的主要內容和特點是什么?
答:《辦法》共9章81條。包括總則、數(shù)據安全治理、數(shù)據分類分級、數(shù)據安全管理、數(shù)據安全技術保護、個人信息保護、數(shù)據安全風險監(jiān)測與處置、監(jiān)督管理及附則。主要特點包括:
一是落實數(shù)據安全責任制。明確銀行保險機構黨委(黨組)、董(理)事會對本單位數(shù)據安全工作負主體責任,機構主要負責人為數(shù)據安全第一責任人,分管數(shù)據安全的領導為直接責任人。
二是明確數(shù)據安全歸口管理部門。要求銀行保險機構指定數(shù)據安全歸口管理部門,作為本機構負責數(shù)據安全工作的主責部門,承擔制定數(shù)據安全管理制度標準、建立維護數(shù)據目錄、推動數(shù)據分類分級保護、組織開展風險監(jiān)測、預警及處置等職責。
三是將數(shù)據安全風險納入全面風險管理體系。要求銀行保險機構明確管理流程,主動評估風險,對數(shù)據安全風險進行有效監(jiān)測,防止數(shù)據破壞、泄露、非法利用等安全事件發(fā)生。風險管理、內控合規(guī)和審計部門定期對數(shù)據安全開展審計、監(jiān)督檢查與評價。
四是強化數(shù)據安全評估。要求銀行保險機構開展相關數(shù)據處理活動時,應事先開展安全評估。根據數(shù)據處理目的、性質和范圍,分析數(shù)據安全風險和對數(shù)據主體權益影響,評估數(shù)據處理的必要性、合規(guī)性及防控措施的有效性。
五是建立數(shù)據安全保護基線。將數(shù)據納入網絡安全等級保護,對存放或傳輸敏感級及以上數(shù)據的機房、網絡實施重點防護,在數(shù)據全生命周期內采取有效訪問控制管理措施,采用安全有效的傳輸方式保障數(shù)據完整性、保密性、可用性。
三、《辦法》在數(shù)據分類分級方面提出了哪些具體要求?
答:《辦法》要求銀行保險機構制定數(shù)據分類分級保護制度,建立數(shù)據目錄和分類分級規(guī)范,動態(tài)管理和維護數(shù)據目錄,并采取差異化的安全保護措施。在數(shù)據分類方面,對機構業(yè)務及經營管理過程中獲取、產生的數(shù)據進行分類管理,具體類型包括客戶數(shù)據、業(yè)務數(shù)據、經營管理數(shù)據、系統(tǒng)運行和安全管理數(shù)據等。在數(shù)據分級方面,銀行保險機構應根據數(shù)據的重要性和敏感程度,將數(shù)據分為核心數(shù)據、重要數(shù)據、一般數(shù)據,其中一般數(shù)據細分為敏感數(shù)據和其他一般數(shù)據;當數(shù)據的業(yè)務屬性、重要程度和可能造成的危害程度發(fā)生變化,導致安全級別不再適用的,及時進行動態(tài)調整。
四、《辦法》規(guī)定的數(shù)據安全管理職責有哪些?
答:《辦法》要求銀行保險機構按照國家政策要求,根據自身發(fā)展戰(zhàn)略,制定數(shù)據安全保護策略;根據數(shù)據處理目的、性質和范圍,按照法律法規(guī)和倫理道德規(guī)范要求,對相關數(shù)據業(yè)務處理活動進行安全評估,分析數(shù)據安全風險和對數(shù)據主體權益影響,評估數(shù)據處理的必要性、合規(guī)性及防控措施的有效性;收集數(shù)據應堅持“合法、正當、必要、誠信”原則,明確數(shù)據收集和處理的目的、方式、范圍、規(guī)則,保障收集過程的數(shù)據安全性、數(shù)據來源可追溯;在數(shù)據集團內部共享的過程中,應建立總行(公司)與其子公司數(shù)據安全隔離的“防火墻”,并對共享數(shù)據采取有效保護措施;《辦法》還對數(shù)據加工、委托處理、共同處理、數(shù)據轉移、數(shù)據跨境等具體的數(shù)據處理場景分別提出了相應安全管理要求。
五、《辦法》在個人信息保護方面有哪些規(guī)定?
答:《辦法》單獨設置“個人信息保護”章節(jié),以進一步落實《數(shù)據安全法》《個人信息保護法》等上位法要求,體現(xiàn)保護消費者信息和權益的政策導向。主要規(guī)定包括:銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施,并限于實現(xiàn)金融業(yè)務處理目的的最小范圍,不得過度收集個人信息。處理、共享和對外提供個人信息時,應當履行必要的告知義務,并取得必要同意。不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務,處理個人信息屬于提供產品或者服務所必需的除外。在開展涉及對個人權益有重大影響的個人信息處理活動時,應當進行個人信息保護影響評估。委托第三方處理個人信息時,應明確受托人對個人信息的保護義務、保護措施和期限等。發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的,銀行保險機構應當立即采取補救措施,并向監(jiān)管部門報告。
六、《辦法》規(guī)定的數(shù)據安全事件應急響應與處置機制包含哪些內容?
答:《辦法》將數(shù)據安全事件根據影響范圍和程度,分為特別重大、重大、較大和一般四個級別。要求機構建立內部協(xié)調聯(lián)動機制和外部服務商、第三方機構的報告機制。具體包括:一是制定數(shù)據安全事件應急預案,定期開展應急響應培訓和應急演練。二是數(shù)據安全事件發(fā)生后,立即啟動應急處置,分析事件原因、評估事件影響、開展事件定級,按照預案及時采取業(yè)務、技術等措施控制事態(tài)。三是建立數(shù)據安全事件報告機制,根據事件安全等級制定報告流程,發(fā)生數(shù)據安全事件時按照規(guī)定報告,同時按照合同、協(xié)議等有關約定履行客戶及合作方告知義務。四是發(fā)生數(shù)據安全事件或者使用的產品和服務存在缺陷時,立即開展調查評估,及時采取補救措施。
銀行保險機構應在數(shù)據安全事件發(fā)生2小時內向總局或其派出機構報告,并在事件發(fā)生后24小時內提交正式書面報告。發(fā)生特別重大數(shù)據安全事件,銀行保險機構應當立即采取處置措施,按照規(guī)定及時告知用戶并向屬地公安機關、金融監(jiān)管機構報告。銀行保險機構應當每2小時將處置進展情況上報,直至處置結束。數(shù)據安全事件處置結束后,銀行保險機構應當在五個工作日內將事件及其處置的評估、總結和改進報告報送屬地監(jiān)管部門。
七、《辦法》公開征求意見情況如何?
答:《辦法》起草過程中已廣泛征求了有關部門及各類銀行保險機構意見,并組織部分機構召開專題會議現(xiàn)場聽取意見建議。2024年3月至4月,總局就《辦法》面向社會公開征求意見。各方反饋的相關合理化意見建議均被采納,未采納意見主要集中在數(shù)據審計周期、監(jiān)管報送時限等方面。
近日,金融監(jiān)管總局制定發(fā)布《銀行保險機構數(shù)據安全管理辦法》(以下簡稱《辦法》)。有關司局負責人就相關問題回答了記者提問。
一、《辦法》制定的背景是什么?
答:金融數(shù)據具有高價值和高敏感性,金融數(shù)據安全與國家安全和金融消費者權益密切相關。近年來,銀行業(yè)保險業(yè)數(shù)字化變革加速演進,新技術、新業(yè)態(tài)不斷涌現(xiàn),數(shù)據合作共享日益頻繁。與此同時,金融領域面臨的數(shù)據安全風險形勢復雜嚴峻,也給金融機構數(shù)據安全管理帶來新的挑戰(zhàn)。對此,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用,通過強化政策要求引導銀行保險機構壓實主體責任,完善內部機制,采取有效的管理和技術措施加強數(shù)據安全保護,確保客戶信息和金融交易數(shù)據的安全。
二、《辦法》的主要內容和特點是什么?
答:《辦法》共9章81條。包括總則、數(shù)據安全治理、數(shù)據分類分級、數(shù)據安全管理、數(shù)據安全技術保護、個人信息保護、數(shù)據安全風險監(jiān)測與處置、監(jiān)督管理及附則。主要特點包括:
一是落實數(shù)據安全責任制。明確銀行保險機構黨委(黨組)、董(理)事會對本單位數(shù)據安全工作負主體責任,機構主要負責人為數(shù)據安全第一責任人,分管數(shù)據安全的領導為直接責任人。
二是明確數(shù)據安全歸口管理部門。要求銀行保險機構指定數(shù)據安全歸口管理部門,作為本機構負責數(shù)據安全工作的主責部門,承擔制定數(shù)據安全管理制度標準、建立維護數(shù)據目錄、推動數(shù)據分類分級保護、組織開展風險監(jiān)測、預警及處置等職責。
三是將數(shù)據安全風險納入全面風險管理體系。要求銀行保險機構明確管理流程,主動評估風險,對數(shù)據安全風險進行有效監(jiān)測,防止數(shù)據破壞、泄露、非法利用等安全事件發(fā)生。風險管理、內控合規(guī)和審計部門定期對數(shù)據安全開展審計、監(jiān)督檢查與評價。
四是強化數(shù)據安全評估。要求銀行保險機構開展相關數(shù)據處理活動時,應事先開展安全評估。根據數(shù)據處理目的、性質和范圍,分析數(shù)據安全風險和對數(shù)據主體權益影響,評估數(shù)據處理的必要性、合規(guī)性及防控措施的有效性。
五是建立數(shù)據安全保護基線。將數(shù)據納入網絡安全等級保護,對存放或傳輸敏感級及以上數(shù)據的機房、網絡實施重點防護,在數(shù)據全生命周期內采取有效訪問控制管理措施,采用安全有效的傳輸方式保障數(shù)據完整性、保密性、可用性。
三、《辦法》在數(shù)據分類分級方面提出了哪些具體要求?
答:《辦法》要求銀行保險機構制定數(shù)據分類分級保護制度,建立數(shù)據目錄和分類分級規(guī)范,動態(tài)管理和維護數(shù)據目錄,并采取差異化的安全保護措施。在數(shù)據分類方面,對機構業(yè)務及經營管理過程中獲取、產生的數(shù)據進行分類管理,具體類型包括客戶數(shù)據、業(yè)務數(shù)據、經營管理數(shù)據、系統(tǒng)運行和安全管理數(shù)據等。在數(shù)據分級方面,銀行保險機構應根據數(shù)據的重要性和敏感程度,將數(shù)據分為核心數(shù)據、重要數(shù)據、一般數(shù)據,其中一般數(shù)據細分為敏感數(shù)據和其他一般數(shù)據;當數(shù)據的業(yè)務屬性、重要程度和可能造成的危害程度發(fā)生變化,導致安全級別不再適用的,及時進行動態(tài)調整。
四、《辦法》規(guī)定的數(shù)據安全管理職責有哪些?
答:《辦法》要求銀行保險機構按照國家政策要求,根據自身發(fā)展戰(zhàn)略,制定數(shù)據安全保護策略;根據數(shù)據處理目的、性質和范圍,按照法律法規(guī)和倫理道德規(guī)范要求,對相關數(shù)據業(yè)務處理活動進行安全評估,分析數(shù)據安全風險和對數(shù)據主體權益影響,評估數(shù)據處理的必要性、合規(guī)性及防控措施的有效性;收集數(shù)據應堅持“合法、正當、必要、誠信”原則,明確數(shù)據收集和處理的目的、方式、范圍、規(guī)則,保障收集過程的數(shù)據安全性、數(shù)據來源可追溯;在數(shù)據集團內部共享的過程中,應建立總行(公司)與其子公司數(shù)據安全隔離的“防火墻”,并對共享數(shù)據采取有效保護措施;《辦法》還對數(shù)據加工、委托處理、共同處理、數(shù)據轉移、數(shù)據跨境等具體的數(shù)據處理場景分別提出了相應安全管理要求。
五、《辦法》在個人信息保護方面有哪些規(guī)定?
答:《辦法》單獨設置“個人信息保護”章節(jié),以進一步落實《數(shù)據安全法》《個人信息保護法》等上位法要求,體現(xiàn)保護消費者信息和權益的政策導向。主要規(guī)定包括:銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施,并限于實現(xiàn)金融業(yè)務處理目的的最小范圍,不得過度收集個人信息。處理、共享和對外提供個人信息時,應當履行必要的告知義務,并取得必要同意。不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務,處理個人信息屬于提供產品或者服務所必需的除外。在開展涉及對個人權益有重大影響的個人信息處理活動時,應當進行個人信息保護影響評估。委托第三方處理個人信息時,應明確受托人對個人信息的保護義務、保護措施和期限等。發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的,銀行保險機構應當立即采取補救措施,并向監(jiān)管部門報告。
六、《辦法》規(guī)定的數(shù)據安全事件應急響應與處置機制包含哪些內容?
答:《辦法》將數(shù)據安全事件根據影響范圍和程度,分為特別重大、重大、較大和一般四個級別。要求機構建立內部協(xié)調聯(lián)動機制和外部服務商、第三方機構的報告機制。具體包括:一是制定數(shù)據安全事件應急預案,定期開展應急響應培訓和應急演練。二是數(shù)據安全事件發(fā)生后,立即啟動應急處置,分析事件原因、評估事件影響、開展事件定級,按照預案及時采取業(yè)務、技術等措施控制事態(tài)。三是建立數(shù)據安全事件報告機制,根據事件安全等級制定報告流程,發(fā)生數(shù)據安全事件時按照規(guī)定報告,同時按照合同、協(xié)議等有關約定履行客戶及合作方告知義務。四是發(fā)生數(shù)據安全事件或者使用的產品和服務存在缺陷時,立即開展調查評估,及時采取補救措施。
銀行保險機構應在數(shù)據安全事件發(fā)生2小時內向總局或其派出機構報告,并在事件發(fā)生后24小時內提交正式書面報告。發(fā)生特別重大數(shù)據安全事件,銀行保險機構應當立即采取處置措施,按照規(guī)定及時告知用戶并向屬地公安機關、金融監(jiān)管機構報告。銀行保險機構應當每2小時將處置進展情況上報,直至處置結束。數(shù)據安全事件處置結束后,銀行保險機構應當在五個工作日內將事件及其處置的評估、總結和改進報告報送屬地監(jiān)管部門。
七、《辦法》公開征求意見情況如何?
答:《辦法》起草過程中已廣泛征求了有關部門及各類銀行保險機構意見,并組織部分機構召開專題會議現(xiàn)場聽取意見建議。2024年3月至4月,總局就《辦法》面向社會公開征求意見。各方反饋的相關合理化意見建議均被采納,未采納意見主要集中在數(shù)據審計周期、監(jiān)管報送時限等方面。
- 堅持敏捷治理 依法促進和規(guī)范人工智能氣象應用服務——中國氣象局有關負責人就《人工智能…(2025-04-30)
- 《住宅項目規(guī)范》5月起落地實施,對層高、隔音等作出強制規(guī)定——“好房子”有了“硬杠杠…(2025-04-30)
- 突出針對性和可操作性,注重增強獲得感——因時因勢再出穩(wěn)就業(yè)穩(wěn)經濟新舉措(2025-04-30)
- 穩(wěn)就業(yè)穩(wěn)經濟,政策工具箱將不斷完善(2025-04-30)
- 穩(wěn)就業(yè)穩(wěn)經濟,五方面若干舉措將出臺(2025-04-30)
京公網安備 11010502043458號