近日，金融監(jiān)管總局制定發(fā)布《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》(以下簡稱《辦法》)。有關(guān)司局負責人就相關(guān)問題回答了記者提問。

　　一、《辦法》制定的背景是什么？

　　答：金融數(shù)據(jù)具有高價值和高敏感性，金融數(shù)據(jù)安全與國家安全和金融消費者權(quán)益密切相關(guān)。近年來，銀行業(yè)保險業(yè)數(shù)字化變革加速演進，新技術(shù)、新業(yè)態(tài)不斷涌現(xiàn)，數(shù)據(jù)合作共享日益頻繁。與此同時，金融領(lǐng)域面臨的數(shù)據(jù)安全風險形勢復(fù)雜嚴峻，也給金融機構(gòu)數(shù)據(jù)安全管理帶來新的挑戰(zhàn)。對此，有必要充分發(fā)揮監(jiān)管的“指揮棒”作用，通過強化政策要求引導(dǎo)銀行保險機構(gòu)壓實主體責任，完善內(nèi)部機制，采取有效的管理和技術(shù)措施加強數(shù)據(jù)安全保護，確?？蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)的安全。

　　二、《辦法》的主要內(nèi)容和特點是什么？

　　答：《辦法》共9章81條。包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護、個人信息保護、數(shù)據(jù)安全風險監(jiān)測與處置、監(jiān)督管理及附則。主要特點包括：

　　一是落實數(shù)據(jù)安全責任制。明確銀行保險機構(gòu)黨委(黨組)、董(理)事會對本單位數(shù)據(jù)安全工作負主體責任，機構(gòu)主要負責人為數(shù)據(jù)安全第一責任人，分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責任人。

　　二是明確數(shù)據(jù)安全歸口管理部門。要求銀行保險機構(gòu)指定數(shù)據(jù)安全歸口管理部門，作為本機構(gòu)負責數(shù)據(jù)安全工作的主責部門，承擔制定數(shù)據(jù)安全管理制度標準、建立維護數(shù)據(jù)目錄、推動數(shù)據(jù)分類分級保護、組織開展風險監(jiān)測、預(yù)警及處置等職責。

　　三是將數(shù)據(jù)安全風險納入全面風險管理體系。要求銀行保險機構(gòu)明確管理流程，主動評估風險，對數(shù)據(jù)安全風險進行有效監(jiān)測，防止數(shù)據(jù)破壞、泄露、非法利用等安全事件發(fā)生。風險管理、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計、監(jiān)督檢查與評價。

　　四是強化數(shù)據(jù)安全評估。要求銀行保險機構(gòu)開展相關(guān)數(shù)據(jù)處理活動時，應(yīng)事先開展安全評估。根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍，分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響，評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性。

　　五是建立數(shù)據(jù)安全保護基線。將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護，對存放或傳輸敏感級及以上數(shù)據(jù)的機房、網(wǎng)絡(luò)實施重點防護，在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施，采用安全有效的傳輸方式保障數(shù)據(jù)完整性、保密性、可用性。

　　三、《辦法》在數(shù)據(jù)分類分級方面提出了哪些具體要求？

　　答：《辦法》要求銀行保險機構(gòu)制定數(shù)據(jù)分類分級保護制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，動態(tài)管理和維護數(shù)據(jù)目錄，并采取差異化的安全保護措施。在數(shù)據(jù)分類方面，對機構(gòu)業(yè)務(wù)及經(jīng)營管理過程中獲取、產(chǎn)生的數(shù)據(jù)進行分類管理，具體類型包括客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全管理數(shù)據(jù)等。在數(shù)據(jù)分級方面，銀行保險機構(gòu)應(yīng)根據(jù)數(shù)據(jù)的重要性和敏感程度，將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)，其中一般數(shù)據(jù)細分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)；當數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化，導(dǎo)致安全級別不再適用的，及時進行動態(tài)調(diào)整。

　　四、《辦法》規(guī)定的數(shù)據(jù)安全管理職責有哪些？

　　答：《辦法》要求銀行保險機構(gòu)按照國家政策要求，根據(jù)自身發(fā)展戰(zhàn)略，制定數(shù)據(jù)安全保護策略；根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍，按照法律法規(guī)和倫理道德規(guī)范要求，對相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動進行安全評估，分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響，評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性；收集數(shù)據(jù)應(yīng)堅持“合法、正當、必要、誠信”原則，明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則，保障收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯；在數(shù)據(jù)集團內(nèi)部共享的過程中，應(yīng)建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護措施；《辦法》還對數(shù)據(jù)加工、委托處理、共同處理、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)跨境等具體的數(shù)據(jù)處理場景分別提出了相應(yīng)安全管理要求。

　　五、《辦法》在個人信息保護方面有哪些規(guī)定？

　　答：《辦法》單獨設(shè)置“個人信息保護”章節(jié)，以進一步落實《數(shù)據(jù)安全法》《個人信息保護法》等上位法要求，體現(xiàn)保護消費者信息和權(quán)益的政策導(dǎo)向。主要規(guī)定包括：銀行保險機構(gòu)處理個人信息應(yīng)按照“明確告知、授權(quán)同意”的原則實施，并限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍，不得過度收集個人信息。處理、共享和對外提供個人信息時，應(yīng)當履行必要的告知義務(wù)，并取得必要同意。不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)，處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。在開展涉及對個人權(quán)益有重大影響的個人信息處理活動時，應(yīng)當進行個人信息保護影響評估。委托第三方處理個人信息時，應(yīng)明確受托人對個人信息的保護義務(wù)、保護措施和期限等。發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，銀行保險機構(gòu)應(yīng)當立即采取補救措施，并向監(jiān)管部門報告。

　　六、《辦法》規(guī)定的數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置機制包含哪些內(nèi)容？

　　答：《辦法》將數(shù)據(jù)安全事件根據(jù)影響范圍和程度，分為特別重大、重大、較大和一般四個級別。要求機構(gòu)建立內(nèi)部協(xié)調(diào)聯(lián)動機制和外部服務(wù)商、第三方機構(gòu)的報告機制。具體包括：一是制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期開展應(yīng)急響應(yīng)培訓和應(yīng)急演練。二是數(shù)據(jù)安全事件發(fā)生后，立即啟動應(yīng)急處置，分析事件原因、評估事件影響、開展事件定級，按照預(yù)案及時采取業(yè)務(wù)、技術(shù)等措施控制事態(tài)。三是建立數(shù)據(jù)安全事件報告機制，根據(jù)事件安全等級制定報告流程，發(fā)生數(shù)據(jù)安全事件時按照規(guī)定報告，同時按照合同、協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)。四是發(fā)生數(shù)據(jù)安全事件或者使用的產(chǎn)品和服務(wù)存在缺陷時，立即開展調(diào)查評估，及時采取補救措施。

　　銀行保險機構(gòu)應(yīng)在數(shù)據(jù)安全事件發(fā)生2小時內(nèi)向總局或其派出機構(gòu)報告，并在事件發(fā)生后24小時內(nèi)提交正式書面報告。發(fā)生特別重大數(shù)據(jù)安全事件，銀行保險機構(gòu)應(yīng)當立即采取處置措施，按照規(guī)定及時告知用戶并向?qū)俚毓矙C關(guān)、金融監(jiān)管機構(gòu)報告。銀行保險機構(gòu)應(yīng)當每2小時將處置進展情況上報，直至處置結(jié)束。數(shù)據(jù)安全事件處置結(jié)束后，銀行保險機構(gòu)應(yīng)當在五個工作日內(nèi)將事件及其處置的評估、總結(jié)和改進報告報送屬地監(jiān)管部門。

　　七、《辦法》公開征求意見情況如何？

　　答：《辦法》起草過程中已廣泛征求了有關(guān)部門及各類銀行保險機構(gòu)意見，并組織部分機構(gòu)召開專題會議現(xiàn)場聽取意見建議。2024年3月至4月，總局就《辦法》面向社會公開征求意見。各方反饋的相關(guān)合理化意見建議均被采納，未采納意見主要集中在數(shù)據(jù)審計周期、監(jiān)管報送時限等方面。

　　(國家金融監(jiān)督管理總局網(wǎng)站)