國家金融監(jiān)督管理總局發(fā)布《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》——

確保客戶信息和金融交易數(shù)據(jù)安全

金融數(shù)據(jù)具有高價值和高敏感性，金融數(shù)據(jù)安全與國家安全和金融消費者權(quán)益密切相關。日前，國家金融監(jiān)督管理總局發(fā)布《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》（以下簡稱《辦法》），為規(guī)范銀行業(yè)保險業(yè)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全、金融安全，促進數(shù)據(jù)合理開發(fā)利用，維護社會公共利益和金融消費者合法權(quán)益提供制度保障。

開展數(shù)據(jù)分類分級

“近年來，銀行業(yè)保險業(yè)數(shù)字化變革加速演進，新技術(shù)、新業(yè)態(tài)不斷涌現(xiàn)，數(shù)據(jù)合作共享日益頻繁。與此同時，金融領域面臨的數(shù)據(jù)安全風險形勢復雜嚴峻，也給金融機構(gòu)數(shù)據(jù)安全管理帶來新的挑戰(zhàn)。”在談及《辦法》出臺背景時，國家金融監(jiān)督管理總局有關司局負責人說。

《辦法》共9章81條，要求銀行保險機構(gòu)制定數(shù)據(jù)分類分級保護制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，動態(tài)管理和維護數(shù)據(jù)目錄，并采取差異化的安全保護措施。

在數(shù)據(jù)分類方面，銀行保險機構(gòu)對機構(gòu)業(yè)務及經(jīng)營管理過程中獲取、產(chǎn)生的數(shù)據(jù)進行分類管理，具體類型包括客戶數(shù)據(jù)、業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全管理數(shù)據(jù)等。

在數(shù)據(jù)分級方面，銀行保險機構(gòu)應根據(jù)數(shù)據(jù)的重要性和敏感程度，將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)，其中一般數(shù)據(jù)細分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)；當數(shù)據(jù)的業(yè)務屬性、重要程度和可能造成的危害程度發(fā)生變化，導致安全級別不再適用的，及時進行動態(tài)調(diào)整。

《辦法》明確，“重要數(shù)據(jù)”是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或者篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全。“敏感數(shù)據(jù)”是指一旦被泄露或者篡改、損毀，對經(jīng)濟運行、社會穩(wěn)定、公共利益有一定影響，或者對組織自身或者公民個體造成重要影響的數(shù)據(jù)。

“金融是數(shù)字經(jīng)濟活躍的重點領域，屬于‘數(shù)據(jù)密集型’行業(yè)?！掇k法》及時對數(shù)據(jù)進行分類分級，對行業(yè)開展有效監(jiān)管約束是十分必要的。”招聯(lián)首席研究員董希淼說。

建立安全“防火墻”

隨著數(shù)據(jù)加工、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)跨境等場景的增多，保障數(shù)據(jù)安全也面臨新的要求。

《辦法》提出，銀行保險機構(gòu)應當建立銀行母行、保險集團或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護措施。銀行保險機構(gòu)應當構(gòu)建覆蓋數(shù)據(jù)全生命周期和應用場景的安全保護機制，開展數(shù)據(jù)安全風險評估、監(jiān)測與處置，保障數(shù)據(jù)開發(fā)利用活動安全穩(wěn)健開展。

同時，《辦法》還對不同場景的數(shù)據(jù)安全作了具體規(guī)定。比如，銀行保險機構(gòu)應當將數(shù)據(jù)委托處理納入信息科技外包管理范圍，在實施過程中不得將信息科技管理責任、數(shù)據(jù)安全主體責任外包；銀行保險機構(gòu)與第三方機構(gòu)進行數(shù)據(jù)共同處理時，應當以合同協(xié)議方式明確雙方在數(shù)據(jù)處理過程中的數(shù)據(jù)安全責任和義務；銀行保險機構(gòu)因合并、分立、解散、被宣告破產(chǎn)等需要轉(zhuǎn)移數(shù)據(jù)的，應當明確數(shù)據(jù)轉(zhuǎn)移內(nèi)容，通過協(xié)議、承諾等方式約定數(shù)據(jù)接收方全面承接對應數(shù)據(jù)的安全保護義務……

國家金融監(jiān)督管理總局有關負責人介紹，《辦法》主要特點包括落實數(shù)據(jù)安全責任制、明確數(shù)據(jù)安全歸口管理部門、將數(shù)據(jù)安全風險納入全面風險管理體系、強化數(shù)據(jù)安全評估、建立數(shù)據(jù)安全保護基線等。相關舉措的目的，就是通過采取有效的管理和技術(shù)措施加強數(shù)據(jù)安全保護，確保客戶信息和金融交易數(shù)據(jù)的安全。

壓實機構(gòu)主體責任

一分部署，九分落實。在壓實銀行保險機構(gòu)主體責任上，《辦法》強調(diào)銀行保險機構(gòu)主要負責人為數(shù)據(jù)安全第一責任人，分管數(shù)據(jù)安全的高級管理人員為直接責任人，同時要求明確各層級負責人的責任。

在實踐中，不少金融機構(gòu)都在數(shù)據(jù)安全方面不斷加大工作力度。中國工商銀行從系統(tǒng)層、終端層、網(wǎng)絡層和應用層實施數(shù)據(jù)全生命周期安全防護，形成體系化的數(shù)據(jù)安全風險事件應急響應與處置機制；中國建設銀行強化信息技術(shù)運用，形成了前中后臺“三道防線”各自獨立、相互協(xié)調(diào)、有效制衡的管理機制，推動數(shù)據(jù)安全分級保護措施在生命周期各個環(huán)節(jié)落地；新華保險加快推進“異地+同城”的多活云數(shù)據(jù)中心架構(gòu)布局落地，深化網(wǎng)絡和數(shù)據(jù)安全防護技術(shù)應用，安全管控能力持續(xù)提升……

“銀行保險機構(gòu)在經(jīng)營過程中產(chǎn)生并獲得大量數(shù)據(jù)。這些數(shù)據(jù)如何使用、處理，與居民個人信息安全息息相關。在數(shù)字技術(shù)快速發(fā)展的當下，《辦法》的出臺有助于將數(shù)據(jù)管理與金融消費者保護工作有機結(jié)合起來，更好地促進金融業(yè)高質(zhì)量發(fā)展。”董希淼說。

國家金融監(jiān)督管理總局有關負責人表示，將持續(xù)強化銀行業(yè)保險業(yè)數(shù)據(jù)安全監(jiān)管工作，加強督促指導，做好《辦法》貫徹落實工作，指導銀行保險機構(gòu)不斷提升數(shù)據(jù)安全管理能力，為保障客戶信息和金融交易數(shù)據(jù)安全、牢牢守住不發(fā)生系統(tǒng)性風險底線奠定堅實基礎。（記者 王俊嶺）