近日��,金融監(jiān)管總局制定發(fā)布《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》(以下簡稱《辦法》)��。有關(guān)司局負(fù)責(zé)人就相關(guān)問題回答了記者提問�。
一�、《辦法》制定的背景是什么?
答:金融數(shù)據(jù)具有高價值和高敏感性���,金融數(shù)據(jù)安全與國家安全和金融消費者權(quán)益密切相關(guān)�。近年來,銀行業(yè)保險業(yè)數(shù)字化變革加速演進(jìn)�����,新技術(shù)���、新業(yè)態(tài)不斷涌現(xiàn)�,數(shù)據(jù)合作共享日益頻繁�。與此同時,金融領(lǐng)域面臨的數(shù)據(jù)安全風(fēng)險形勢復(fù)雜嚴(yán)峻��,也給金融機(jī)構(gòu)數(shù)據(jù)安全管理帶來新的挑戰(zhàn)����。對此�,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用,通過強(qiáng)化政策要求引導(dǎo)銀行保險機(jī)構(gòu)壓實主體責(zé)任���,完善內(nèi)部機(jī)制���,采取有效的管理和技術(shù)措施加強(qiáng)數(shù)據(jù)安全保護(hù),確保客戶信息和金融交易數(shù)據(jù)的安全��。
二����、《辦法》的主要內(nèi)容和特點是什么?
答:《辦法》共9章81條����。包括總則、數(shù)據(jù)安全治理�����、數(shù)據(jù)分類分級�����、數(shù)據(jù)安全管理��、數(shù)據(jù)安全技術(shù)保護(hù)��、個人信息保護(hù)���、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置�����、監(jiān)督管理及附則����。主要特點包括:
一是落實數(shù)據(jù)安全責(zé)任制。明確銀行保險機(jī)構(gòu)黨委(黨組)��、董(理)事會對本單位數(shù)據(jù)安全工作負(fù)主體責(zé)任�,機(jī)構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人,分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責(zé)任人�。
二是明確數(shù)據(jù)安全歸口管理部門。要求銀行保險機(jī)構(gòu)指定數(shù)據(jù)安全歸口管理部門���,作為本機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的主責(zé)部門�,承擔(dān)制定數(shù)據(jù)安全管理制度標(biāo)準(zhǔn)�����、建立維護(hù)數(shù)據(jù)目錄���、推動數(shù)據(jù)分類分級保護(hù)、組織開展風(fēng)險監(jiān)測��、預(yù)警及處置等職責(zé)。
三是將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系�����。要求銀行保險機(jī)構(gòu)明確管理流程�����,主動評估風(fēng)險�,對數(shù)據(jù)安全風(fēng)險進(jìn)行有效監(jiān)測,防止數(shù)據(jù)破壞�、泄露、非法利用等安全事件發(fā)生��。風(fēng)險管理��、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計�、監(jiān)督檢查與評價。
四是強(qiáng)化數(shù)據(jù)安全評估�����。要求銀行保險機(jī)構(gòu)開展相關(guān)數(shù)據(jù)處理活動時����,應(yīng)事先開展安全評估��。根據(jù)數(shù)據(jù)處理目的�����、性質(zhì)和范圍���,分析數(shù)據(jù)安全風(fēng)險和對數(shù)據(jù)主體權(quán)益影響,評估數(shù)據(jù)處理的必要性����、合規(guī)性及防控措施的有效性。
五是建立數(shù)據(jù)安全保護(hù)基線����。將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護(hù),對存放或傳輸敏感級及以上數(shù)據(jù)的機(jī)房����、網(wǎng)絡(luò)實施重點防護(hù),在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施�,采用安全有效的傳輸方式保障數(shù)據(jù)完整性、保密性�、可用性�。
三����、《辦法》在數(shù)據(jù)分類分級方面提出了哪些具體要求�����?
答:《辦法》要求銀行保險機(jī)構(gòu)制定數(shù)據(jù)分類分級保護(hù)制度��,建立數(shù)據(jù)目錄和分類分級規(guī)范���,動態(tài)管理和維護(hù)數(shù)據(jù)目錄�����,并采取差異化的安全保護(hù)措施��。在數(shù)據(jù)分類方面��,對機(jī)構(gòu)業(yè)務(wù)及經(jīng)營管理過程中獲取��、產(chǎn)生的數(shù)據(jù)進(jìn)行分類管理�����,具體類型包括客戶數(shù)據(jù)�、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)��、系統(tǒng)運行和安全管理數(shù)據(jù)等���。在數(shù)據(jù)分級方面����,銀行保險機(jī)構(gòu)應(yīng)根據(jù)數(shù)據(jù)的重要性和敏感程度���,將數(shù)據(jù)分為核心數(shù)據(jù)����、重要數(shù)據(jù)����、一般數(shù)據(jù),其中一般數(shù)據(jù)細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)����;當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化����,導(dǎo)致安全級別不再適用的��,及時進(jìn)行動態(tài)調(diào)整。
四�����、《辦法》規(guī)定的數(shù)據(jù)安全管理職責(zé)有哪些���?
答:《辦法》要求銀行保險機(jī)構(gòu)按照國家政策要求�����,根據(jù)自身發(fā)展戰(zhàn)略���,制定數(shù)據(jù)安全保護(hù)策略;根據(jù)數(shù)據(jù)處理目的�����、性質(zhì)和范圍���,按照法律法規(guī)和倫理道德規(guī)范要求��,對相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動進(jìn)行安全評估�����,分析數(shù)據(jù)安全風(fēng)險和對數(shù)據(jù)主體權(quán)益影響�,評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性�����;收集數(shù)據(jù)應(yīng)堅持“合法���、正當(dāng)���、必要、誠信”原則��,明確數(shù)據(jù)收集和處理的目的�����、方式����、范圍��、規(guī)則�,保障收集過程的數(shù)據(jù)安全性���、數(shù)據(jù)來源可追溯��;在數(shù)據(jù)集團(tuán)內(nèi)部共享的過程中,應(yīng)建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”����,并對共享數(shù)據(jù)采取有效保護(hù)措施;《辦法》還對數(shù)據(jù)加工�、委托處理、共同處理���、數(shù)據(jù)轉(zhuǎn)移����、數(shù)據(jù)跨境等具體的數(shù)據(jù)處理場景分別提出了相應(yīng)安全管理要求��。
五�、《辦法》在個人信息保護(hù)方面有哪些規(guī)定?
答:《辦法》單獨設(shè)置“個人信息保護(hù)”章節(jié)���,以進(jìn)一步落實《數(shù)據(jù)安全法》《個人信息保護(hù)法》等上位法要求�,體現(xiàn)保護(hù)消費者信息和權(quán)益的政策導(dǎo)向。主要規(guī)定包括:銀行保險機(jī)構(gòu)處理個人信息應(yīng)按照“明確告知��、授權(quán)同意”的原則實施�����,并限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍�,不得過度收集個人信息。處理�、共享和對外提供個人信息時,應(yīng)當(dāng)履行必要的告知義務(wù)�����,并取得必要同意�����。不得以個人不同意處理其個人信息或者撤回同意為由���,拒絕提供產(chǎn)品或者服務(wù)��,處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外���。在開展涉及對個人權(quán)益有重大影響的個人信息處理活動時���,應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估。委托第三方處理個人信息時�,應(yīng)明確受托人對個人信息的保護(hù)義務(wù)、保護(hù)措施和期限等���。發(fā)生或者可能發(fā)生個人信息泄露�、篡改����、丟失的���,銀行保險機(jī)構(gòu)應(yīng)當(dāng)立即采取補(bǔ)救措施��,并向監(jiān)管部門報告����。
六�、《辦法》規(guī)定的數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置機(jī)制包含哪些內(nèi)容?
答:《辦法》將數(shù)據(jù)安全事件根據(jù)影響范圍和程度��,分為特別重大、重大���、較大和一般四個級別����。要求機(jī)構(gòu)建立內(nèi)部協(xié)調(diào)聯(lián)動機(jī)制和外部服務(wù)商��、第三方機(jī)構(gòu)的報告機(jī)制��。具體包括:一是制定數(shù)據(jù)安全事件應(yīng)急預(yù)案�,定期開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練。二是數(shù)據(jù)安全事件發(fā)生后�,立即啟動應(yīng)急處置,分析事件原因�、評估事件影響、開展事件定級��,按照預(yù)案及時采取業(yè)務(wù)���、技術(shù)等措施控制事態(tài)�����。三是建立數(shù)據(jù)安全事件報告機(jī)制�,根據(jù)事件安全等級制定報告流程,發(fā)生數(shù)據(jù)安全事件時按照規(guī)定報告����,同時按照合同、協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)��。四是發(fā)生數(shù)據(jù)安全事件或者使用的產(chǎn)品和服務(wù)存在缺陷時���,立即開展調(diào)查評估�����,及時采取補(bǔ)救措施���。
銀行保險機(jī)構(gòu)應(yīng)在數(shù)據(jù)安全事件發(fā)生2小時內(nèi)向總局或其派出機(jī)構(gòu)報告��,并在事件發(fā)生后24小時內(nèi)提交正式書面報告�����。發(fā)生特別重大數(shù)據(jù)安全事件���,銀行保險機(jī)構(gòu)應(yīng)當(dāng)立即采取處置措施��,按照規(guī)定及時告知用戶并向?qū)俚毓矙C(jī)關(guān)���、金融監(jiān)管機(jī)構(gòu)報告�。銀行保險機(jī)構(gòu)應(yīng)當(dāng)每2小時將處置進(jìn)展情況上報�,直至處置結(jié)束。數(shù)據(jù)安全事件處置結(jié)束后�����,銀行保險機(jī)構(gòu)應(yīng)當(dāng)在五個工作日內(nèi)將事件及其處置的評估���、總結(jié)和改進(jìn)報告報送屬地監(jiān)管部門����。
七�、《辦法》公開征求意見情況如何?
答:《辦法》起草過程中已廣泛征求了有關(guān)部門及各類銀行保險機(jī)構(gòu)意見����,并組織部分機(jī)構(gòu)召開專題會議現(xiàn)場聽取意見建議。2024年3月至4月���,總局就《辦法》面向社會公開征求意見�。各方反饋的相關(guān)合理化意見建議均被采納,未采納意見主要集中在數(shù)據(jù)審計周期��、監(jiān)管報送時限等方面���。
轉(zhuǎn)自:金融監(jiān)管總局網(wǎng)站
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品�����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊���,僅代表作者個人觀點��,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
