本報記者 吳曉璐
3月22日��,國家金融監(jiān)督管理總局就《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿)》(以下簡稱《辦法》)公開征求意見��,規(guī)范銀行保險機構(gòu)數(shù)據(jù)處理活動��,保障數(shù)據(jù)安全��,促進數(shù)據(jù)合理開發(fā)利用��,穩(wěn)步提升金融服務(wù)數(shù)字化��、智能化水平��,保護個人和組織的合法權(quán)益��。
確?�?蛻粜畔?/strong>
和金融交易數(shù)據(jù)安全
據(jù)國家金融監(jiān)督管理總局有關(guān)司局負責人介紹��,近年來��,數(shù)據(jù)安全法��、個人信息保護法等上位法相繼發(fā)布��,對規(guī)范數(shù)據(jù)處理活動��、個人信息保護等提出了明確要求��。同時��,金融行業(yè)數(shù)字化變革加速演進��,新技術(shù)��、新業(yè)務(wù)模式不斷涌現(xiàn)��,數(shù)據(jù)的使用��、加工��、傳輸、共享等活動日益頻繁��,進一步凸顯數(shù)據(jù)安全保護的重要性��。對此��,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用��,通過強化政策要求引導銀行保險機構(gòu)壓實主體責任��,完善內(nèi)部制度��,采取有效的措施加強數(shù)據(jù)管理和保護��,確?�?蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)安全��。
《辦法》共九章八十一條��。包括總則��、數(shù)據(jù)安全治理��、數(shù)據(jù)分類分級��、數(shù)據(jù)安全管理��、數(shù)據(jù)安全技術(shù)保護��、個人信息保護��、數(shù)據(jù)安全風險監(jiān)測與處置��、監(jiān)督管理及附則��。主要內(nèi)容包括:
一是明確數(shù)據(jù)安全治理架構(gòu)��。要求銀行保險機構(gòu)建立數(shù)據(jù)安全責任制��,指定歸口管理部門負責本機構(gòu)的數(shù)據(jù)安全工作��;按照“誰管業(yè)務(wù)��、誰管業(yè)務(wù)數(shù)據(jù)��、誰管數(shù)據(jù)安全”的原則��,明確各業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理責任��,落實數(shù)據(jù)安全保護管理要求��。
二是建立數(shù)據(jù)分類分級標準。要求銀行保險機構(gòu)制定數(shù)據(jù)分類分級保護制度��,建立數(shù)據(jù)目錄和分類分級規(guī)范��,動態(tài)管理和維護數(shù)據(jù)目錄��,并采取差異化的安全保護措施��。
三是強化數(shù)據(jù)安全管理��。要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求��,根據(jù)自身發(fā)展戰(zhàn)略建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機制��,在開展相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動時應當進行數(shù)據(jù)安全評估��。
四是健全數(shù)據(jù)安全技術(shù)保護體系��。要求銀行保險機構(gòu)建立針對大數(shù)據(jù)��、云計算��、移動互聯(lián)網(wǎng)��、物聯(lián)網(wǎng)等多元異構(gòu)環(huán)境下的數(shù)據(jù)安全技術(shù)保護體系��,建立數(shù)據(jù)安全技術(shù)架構(gòu)��,明確數(shù)據(jù)保護策略方法��,采取技術(shù)手段保障數(shù)據(jù)安全��。
五是加強個人信息保護��。要求銀行保險機構(gòu)在處理個人信息時��,應按照“明確告知��、授權(quán)同意”的原則實施��,并履行必要的告知義務(wù)��;收集個人信息應限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍��,不得過度收集��;共享和對外提供個人信息時��,應取得個人同意��。
六是完善數(shù)據(jù)安全風險監(jiān)測與處置機制。要求銀行保險機構(gòu)將數(shù)據(jù)安全風險納入本機構(gòu)全面風險管理體系��,明確數(shù)據(jù)安全風險監(jiān)測��、風險評估��、應急響應及報告��、事件處置的組織架構(gòu)和管理流程��,有效防范和處置數(shù)據(jù)安全風險��。
七是明確監(jiān)督管理職責��。規(guī)定國家金融監(jiān)督管理總局及其派出機構(gòu)對銀行保險機構(gòu)數(shù)據(jù)安全保護情況進行監(jiān)督管理��,開展非現(xiàn)場監(jiān)管��、現(xiàn)場檢查��,依法對銀行保險機構(gòu)數(shù)據(jù)安全事件進行處置��。對違反《辦法》要求的依法追究相應責任��。
將數(shù)據(jù)安全風險
納入全面風險管理體系
據(jù)上述負責人介紹��,《辦法》有五大特點:一是落實數(shù)據(jù)安全責任制��。明確銀行保險機構(gòu)黨委(黨組)��、董(理)事會對本單位數(shù)據(jù)安全工作負主體責任��,機構(gòu)主要負責人為數(shù)據(jù)安全第一責任人��,分管數(shù)據(jù)安全的領(lǐng)導為直接責任人��。
二是明確數(shù)據(jù)安全歸口管理部門��。要求銀行保險機構(gòu)指定數(shù)據(jù)安全歸口管理部門��,作為本機構(gòu)負責數(shù)據(jù)安全工作的主責部門��,承擔制定數(shù)據(jù)安全管理制度標準��、建立維護數(shù)據(jù)目錄��、推動數(shù)據(jù)分類分級保護��、組織開展風險監(jiān)測��、預警及處置等職責��。
三是將數(shù)據(jù)安全風險納入全面風險管理體系。要求銀行保險機構(gòu)明確管理流程��,主動評估風險��,對數(shù)據(jù)安全風險進行有效監(jiān)測��,防止數(shù)據(jù)破壞��、泄露��、非法利用等安全事件發(fā)生��。風險管理��、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計��、監(jiān)督檢查與評價��。
四是強化數(shù)據(jù)安全評估��。要求銀行保險機構(gòu)開展相關(guān)數(shù)據(jù)處理活動時��,應事先開展安全評估��。根據(jù)數(shù)據(jù)處理目的��、性質(zhì)和范圍��,分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響��,評估數(shù)據(jù)處理的必要性��、合規(guī)性及防控措施的有效性��。
五是建立數(shù)據(jù)安全保護基線��。將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護��,對存放或傳輸敏感級及以上數(shù)據(jù)的機房��、網(wǎng)絡(luò)實施重點防護��,在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施��,采用安全有效的傳輸方式保障數(shù)據(jù)完整性��、保密性��、可用性��。
談及《辦法》規(guī)定的數(shù)據(jù)安全管理職責��,上述負責人表示��,《辦法》要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求��,根據(jù)自身發(fā)展戰(zhàn)略��,制定數(shù)據(jù)安全保護策略��;根據(jù)數(shù)據(jù)處理目的��、性質(zhì)和范圍��,依照法律法規(guī)和倫理道德規(guī)范要求��,對相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動進行安全評估��,分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響��,評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性��;收集數(shù)據(jù)應堅持“合法、正當��、必要��、誠信”原則,明確數(shù)據(jù)收集和處理的目的��、方式��、范圍��、規(guī)則��,保障收集過程的數(shù)據(jù)安全性��、數(shù)據(jù)來源可追溯��,不得超出數(shù)據(jù)主體同意的范圍收集數(shù)據(jù)��;在數(shù)據(jù)集團內(nèi)部共享的過程中��,應建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”��,并對共享數(shù)據(jù)采取有效保護措施��;《辦法》還對數(shù)據(jù)加工��、委托處理��、共同處理��、數(shù)據(jù)轉(zhuǎn)移等具體的數(shù)據(jù)處理場景分別提出了相應安全管理要求��。
京公網(wǎng)安備 11010202007567號京ICP備17054264號
