國家金融監(jiān)督管理總局發(fā)布《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》——
確?？蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)安全

金融數(shù)據(jù)具有高價值和高敏感性，金融數(shù)據(jù)安全與國家安全和金融消費(fèi)者權(quán)益密切相關(guān)。日前，國家金融監(jiān)督管理總局發(fā)布《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》（以下簡稱《辦法》），為規(guī)范銀行業(yè)保險業(yè)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全、金融安全，促進(jìn)數(shù)據(jù)合理開發(fā)利用，維護(hù)社會公共利益和金融消費(fèi)者合法權(quán)益提供制度保障。

開展數(shù)據(jù)分類分級

“近年來，銀行業(yè)保險業(yè)數(shù)字化變革加速演進(jìn)，新技術(shù)、新業(yè)態(tài)不斷涌現(xiàn)，數(shù)據(jù)合作共享日益頻繁。與此同時，金融領(lǐng)域面臨的數(shù)據(jù)安全風(fēng)險形勢復(fù)雜嚴(yán)峻，也給金融機(jī)構(gòu)數(shù)據(jù)安全管理帶來新的挑戰(zhàn)。”在談及《辦法》出臺背景時，國家金融監(jiān)督管理總局有關(guān)司局負(fù)責(zé)人說。

《辦法》共9章81條，要求銀行保險機(jī)構(gòu)制定數(shù)據(jù)分類分級保護(hù)制度，建立數(shù)據(jù)目錄和分類分級規(guī)范，動態(tài)管理和維護(hù)數(shù)據(jù)目錄，并采取差異化的安全保護(hù)措施。

在數(shù)據(jù)分類方面，銀行保險機(jī)構(gòu)對機(jī)構(gòu)業(yè)務(wù)及經(jīng)營管理過程中獲取、產(chǎn)生的數(shù)據(jù)進(jìn)行分類管理，具體類型包括客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全管理數(shù)據(jù)等。

在數(shù)據(jù)分級方面，銀行保險機(jī)構(gòu)應(yīng)根據(jù)數(shù)據(jù)的重要性和敏感程度，將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)，其中一般數(shù)據(jù)細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)；當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化，導(dǎo)致安全級別不再適用的，及時進(jìn)行動態(tài)調(diào)整。

《辦法》明確，“重要數(shù)據(jù)”是指特定領(lǐng)域、特定群體、特定區(qū)域或者達(dá)到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或者篡改、損毀，可能直接危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全。“敏感數(shù)據(jù)”是指一旦被泄露或者篡改、損毀，對經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共利益有一定影響，或者對組織自身或者公民個體造成重要影響的數(shù)據(jù)。

“金融是數(shù)字經(jīng)濟(jì)活躍的重點(diǎn)領(lǐng)域，屬于‘數(shù)據(jù)密集型’行業(yè)。《辦法》及時對數(shù)據(jù)進(jìn)行分類分級，對行業(yè)開展有效監(jiān)管約束是十分必要的。”招聯(lián)首席研究員董希淼說。

建立安全“防火墻”

隨著數(shù)據(jù)加工、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)跨境等場景的增多，保障數(shù)據(jù)安全也面臨新的要求。

《辦法》提出，銀行保險機(jī)構(gòu)應(yīng)當(dāng)建立銀行母行、保險集團(tuán)或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護(hù)措施。銀行保險機(jī)構(gòu)應(yīng)當(dāng)構(gòu)建覆蓋數(shù)據(jù)全生命周期和應(yīng)用場景的安全保護(hù)機(jī)制，開展數(shù)據(jù)安全風(fēng)險評估、監(jiān)測與處置，保障數(shù)據(jù)開發(fā)利用活動安全穩(wěn)健開展。

同時，《辦法》還對不同場景的數(shù)據(jù)安全作了具體規(guī)定。比如，銀行保險機(jī)構(gòu)應(yīng)當(dāng)將數(shù)據(jù)委托處理納入信息科技外包管理范圍，在實(shí)施過程中不得將信息科技管理責(zé)任、數(shù)據(jù)安全主體責(zé)任外包；銀行保險機(jī)構(gòu)與第三方機(jī)構(gòu)進(jìn)行數(shù)據(jù)共同處理時，應(yīng)當(dāng)以合同協(xié)議方式明確雙方在數(shù)據(jù)處理過程中的數(shù)據(jù)安全責(zé)任和義務(wù)；銀行保險機(jī)構(gòu)因合并、分立、解散、被宣告破產(chǎn)等需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)明確數(shù)據(jù)轉(zhuǎn)移內(nèi)容，通過協(xié)議、承諾等方式約定數(shù)據(jù)接收方全面承接對應(yīng)數(shù)據(jù)的安全保護(hù)義務(wù)……

國家金融監(jiān)督管理總局有關(guān)負(fù)責(zé)人介紹，《辦法》主要特點(diǎn)包括落實(shí)數(shù)據(jù)安全責(zé)任制、明確數(shù)據(jù)安全歸口管理部門、將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系、強(qiáng)化數(shù)據(jù)安全評估、建立數(shù)據(jù)安全保護(hù)基線等。相關(guān)舉措的目的，就是通過采取有效的管理和技術(shù)措施加強(qiáng)數(shù)據(jù)安全保護(hù)，確?？蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)的安全。

壓實(shí)機(jī)構(gòu)主體責(zé)任

一分部署，九分落實(shí)。在壓實(shí)銀行保險機(jī)構(gòu)主體責(zé)任上，《辦法》強(qiáng)調(diào)銀行保險機(jī)構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人，分管數(shù)據(jù)安全的高級管理人員為直接責(zé)任人，同時要求明確各層級負(fù)責(zé)人的責(zé)任。

在實(shí)踐中，不少金融機(jī)構(gòu)都在數(shù)據(jù)安全方面不斷加大工作力度。中國工商銀行從系統(tǒng)層、終端層、網(wǎng)絡(luò)層和應(yīng)用層實(shí)施數(shù)據(jù)全生命周期安全防護(hù)，形成體系化的數(shù)據(jù)安全風(fēng)險事件應(yīng)急響應(yīng)與處置機(jī)制；中國建設(shè)銀行強(qiáng)化信息技術(shù)運(yùn)用，形成了前中后臺“三道防線”各自獨(dú)立、相互協(xié)調(diào)、有效制衡的管理機(jī)制，推動數(shù)據(jù)安全分級保護(hù)措施在生命周期各個環(huán)節(jié)落地；新華保險加快推進(jìn)“異地+同城”的多活云數(shù)據(jù)中心架構(gòu)布局落地，深化網(wǎng)絡(luò)和數(shù)據(jù)安全防護(hù)技術(shù)應(yīng)用，安全管控能力持續(xù)提升……

“銀行保險機(jī)構(gòu)在經(jīng)營過程中產(chǎn)生并獲得大量數(shù)據(jù)。這些數(shù)據(jù)如何使用、處理，與居民個人信息安全息息相關(guān)。在數(shù)字技術(shù)快速發(fā)展的當(dāng)下，《辦法》的出臺有助于將數(shù)據(jù)管理與金融消費(fèi)者保護(hù)工作有機(jī)結(jié)合起來，更好地促進(jìn)金融業(yè)高質(zhì)量發(fā)展。”董希淼說。

國家金融監(jiān)督管理總局有關(guān)負(fù)責(zé)人表示，將持續(xù)強(qiáng)化銀行業(yè)保險業(yè)數(shù)據(jù)安全監(jiān)管工作，加強(qiáng)督促指導(dǎo)，做好《辦法》貫徹落實(shí)工作，指導(dǎo)銀行保險機(jī)構(gòu)不斷提升數(shù)據(jù)安全管理能力，為保障客戶信息和金融交易數(shù)據(jù)安全、牢牢守住不發(fā)生系統(tǒng)性風(fēng)險底線奠定堅(jiān)實(shí)基礎(chǔ)。