《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》重點解讀

POWERPOINTDESIGN2024主講人：XXX時間：2025.2《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》重點解讀目錄制定背景及適用范圍一組織架構(gòu)二數(shù)據(jù)安全管理三技術(shù)安全保護(hù)四個人信息保護(hù)五監(jiān)管報告義務(wù)六制定背景及適用范圍一隨著信息技術(shù)的快速發(fā)展，數(shù)據(jù)已經(jīng)成為銀行保險機(jī)構(gòu)的核心資產(chǎn)。然而，數(shù)據(jù)安全風(fēng)險也與日俱增，數(shù)據(jù)泄露、篡改等事件頻發(fā)，給機(jī)構(gòu)和個人帶來嚴(yán)重?fù)p失。為了加強(qiáng)數(shù)據(jù)安全管理，2024年12月27日，國家金融監(jiān)督管理總局（“金監(jiān)總局”）發(fā)布了《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》（“以下簡稱《辦法》”）并于當(dāng)日施行。對銀行保險機(jī)構(gòu)的數(shù)據(jù)安全提出了明確要求。（一）制定背景在《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法規(guī)基礎(chǔ)上，針對銀行保險業(yè)特性制定?，F(xiàn)有法規(guī)強(qiáng)調(diào)銀行保險機(jī)構(gòu)的行業(yè)特性，提出全面的公司治理要點。行業(yè)特性與公司治理結(jié)合金融行業(yè)數(shù)據(jù)安全及個人金融信息保護(hù)規(guī)則，提供更具體要求。與現(xiàn)有法規(guī)的關(guān)系對銀行保險機(jī)構(gòu)提出全面、完整的數(shù)據(jù)安全和個人信息保護(hù)要求。具體要求的全面性01020304（一）制定背景根據(jù)《辦法》的第二條，銀行保險機(jī)構(gòu)主要包括在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用合作社、金融資產(chǎn)管理公司、企業(yè)集團(tuán)財務(wù)公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經(jīng)紀(jì)公司、信托公司、理財公司、保險公司、保險資產(chǎn)管理公司、保險集團(tuán)（控股）公司。而根據(jù)第八十條，金監(jiān)總局批準(zhǔn)設(shè)立的其他銀行業(yè)金融機(jī)構(gòu)、保險業(yè)金融機(jī)構(gòu)、金融控股公司以及總局管理單位參照適用本辦法。地方金融管理部門批準(zhǔn)設(shè)立的金融組織參照適用本辦法。由此，無論機(jī)構(gòu)規(guī)模大小、治理能力如何，市場上相關(guān)銀行保險機(jī)構(gòu)在數(shù)據(jù)安全領(lǐng)域都將面臨高度統(tǒng)一的無差別合規(guī)及監(jiān)管要求。（二）適用范圍組織架構(gòu)二（一）數(shù)據(jù)安全責(zé)任人明確董（理）事會、高管層等在數(shù)據(jù)安全中的職責(zé)，確保數(shù)據(jù)安全工作全面覆蓋。01組織架構(gòu)要求建立黨委（黨組）、董（理）事會為責(zé)任主體的數(shù)據(jù)安全責(zé)任制，明確各級責(zé)任。02數(shù)據(jù)安全責(zé)任制銀行保險機(jī)構(gòu)主要負(fù)責(zé)人擔(dān)任數(shù)據(jù)安全第一責(zé)任人，分管領(lǐng)導(dǎo)為直接責(zé)任人。03數(shù)據(jù)安全責(zé)任人銀行保險機(jī)構(gòu)內(nèi)控風(fēng)險管理、內(nèi)控合規(guī)、審計部門需將數(shù)據(jù)安全納入全面風(fēng)險管理體系、內(nèi)控評價體系，定期開展審計、監(jiān)督檢查與評價，督促問題整改并開展問責(zé)。其他部門數(shù)據(jù)安全職責(zé)《辦法》明確信息科技部門為數(shù)據(jù)安全的技術(shù)保護(hù)主要責(zé)任部門，主要職責(zé)包括建立技術(shù)保護(hù)體系、落實技術(shù)保護(hù)措施，制定技術(shù)標(biāo)準(zhǔn)規(guī)范制度、組織開展技術(shù)風(fēng)險評估、信息系統(tǒng)生命周期安全管理，建立應(yīng)急管理機(jī)制等。信息科技部門職責(zé)銀行保險機(jī)構(gòu)須指定數(shù)據(jù)安全歸口管理部門，負(fù)責(zé)制定內(nèi)部規(guī)范、建立數(shù)據(jù)目錄、組織風(fēng)險評審、統(tǒng)籌建立應(yīng)急機(jī)制、組織內(nèi)部培訓(xùn)、建立數(shù)據(jù)應(yīng)用及共享管理機(jī)制、向高層匯報等。數(shù)據(jù)安全歸口管理部門職責(zé)（二）數(shù)據(jù)安全部門職責(zé)設(shè)立數(shù)據(jù)安全歸口部門明確組織架構(gòu)職責(zé)銀行保險公司應(yīng)建立數(shù)據(jù)安全管理組織架構(gòu)，明確各部門及崗位職責(zé)，確保數(shù)據(jù)安全責(zé)任到人。指定信息技術(shù)或合規(guī)部門作為數(shù)據(jù)安全歸口管理部門，賦予其足夠的專業(yè)能力和資源。定期培訓(xùn)與考核對相關(guān)人員進(jìn)行定期培訓(xùn)和考核，確保其掌握最新數(shù)據(jù)安全法規(guī)和公司內(nèi)部管理制度。（三）建議數(shù)據(jù)安全管理三明確橫向分類和縱向分級管理要求數(shù)據(jù)分類分級覆蓋數(shù)據(jù)處理全生命周期及應(yīng)用場景的合規(guī)要求數(shù)據(jù)安全管理《辦法》要求銀行保險機(jī)構(gòu)建立健全覆蓋數(shù)據(jù)全生命周期和應(yīng)用場景的保護(hù)機(jī)制和安全管理制度。三、數(shù)據(jù)安全管理《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》《辦法》要求銀行保險機(jī)構(gòu)將業(yè)務(wù)及經(jīng)營管理過程中獲取、產(chǎn)生的數(shù)據(jù)分為客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全管理數(shù)據(jù)等四大類進(jìn)行管理。數(shù)據(jù)分類管理要求（一）數(shù)據(jù)分類分級《辦法》規(guī)定銀行保險機(jī)構(gòu)應(yīng)依據(jù)數(shù)據(jù)覆蓋程度和影響程度兩個標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)分類。數(shù)據(jù)分類依據(jù)數(shù)據(jù)被分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個級別，其中一般數(shù)據(jù)進(jìn)一步細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)。數(shù)據(jù)分類級別敏感數(shù)據(jù)指泄露或篡改后對經(jīng)濟(jì)、社會、公共利益或組織、個人造成重要影響的數(shù)據(jù)。敏感數(shù)據(jù)定義除核心數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)之外的數(shù)據(jù)，歸類為其他一般數(shù)據(jù)。其他一般數(shù)據(jù)（一）數(shù)據(jù)分類分級《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》與《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》在數(shù)據(jù)分級方法上存在差異。數(shù)據(jù)分級方法差異01建議金融機(jī)構(gòu)關(guān)注數(shù)據(jù)分級是否符合《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求。金融機(jī)構(gòu)關(guān)注點02根據(jù)業(yè)務(wù)特點和數(shù)據(jù)類型，金融機(jī)構(gòu)需制定詳細(xì)的數(shù)據(jù)分類分級標(biāo)準(zhǔn)，并建立相應(yīng)的數(shù)據(jù)目錄。制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)03定期對數(shù)據(jù)進(jìn)行分類分級的動態(tài)調(diào)整，確保數(shù)據(jù)分類的準(zhǔn)確性和合理性。數(shù)據(jù)分類分級的動態(tài)調(diào)整04（一）數(shù)據(jù)分類分級全生命周期管理《辦法》要求銀行保險機(jī)構(gòu)對數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、共享、轉(zhuǎn)移、公開、刪除、銷毀等全生命周期進(jìn)行安全管理，并針對敏感級及以上數(shù)據(jù)的安全保護(hù)提出了額外要求。數(shù)據(jù)共享建立銀行母行、保險集團(tuán)或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護(hù)措施。數(shù)據(jù)收集堅持“合法、正當(dāng)、必要、誠信”原則，明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則，確保數(shù)據(jù)收集過程的安全性和數(shù)據(jù)來源的可追溯性。數(shù)據(jù)使用制定數(shù)據(jù)訪問閉環(huán)管理機(jī)制，并對數(shù)據(jù)訪問行為實施審計，確保數(shù)據(jù)使用的合規(guī)性和安全性。（二）數(shù)據(jù)安全管理數(shù)據(jù)處理/管理流程針對一般數(shù)據(jù)的合規(guī)要求針對敏感級及以上數(shù)據(jù)的額外要求數(shù)據(jù)收集●堅持“合法、正當(dāng)、必要、誠信”原則；●明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則；●收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯；●除非法律、行政法規(guī)另有規(guī)定，不得超出數(shù)據(jù)主體同意的范圍向其收集數(shù)據(jù)。向其他銀行保險機(jī)構(gòu)收集行業(yè)重要級及以上數(shù)據(jù)，需經(jīng)國家金融監(jiān)督管理總局同意。外部數(shù)據(jù)采購●制定外部數(shù)據(jù)采購、引入的集中審批管理制度；●納入外包風(fēng)險管理體系進(jìn)行統(tǒng)籌管理；統(tǒng)籌建立數(shù)據(jù)需求、安全評估、收集引入、數(shù)據(jù)運(yùn)維、登記備案和監(jiān)督評價管理機(jī)制；●對數(shù)據(jù)來源的真實性、合法性進(jìn)行調(diào)查；評估數(shù)據(jù)提供者的安全保障能力及其數(shù)據(jù)安全風(fēng)險；●明確雙方數(shù)據(jù)安全責(zé)任及義務(wù)。/數(shù)據(jù)加工/●除非法律另有規(guī)定，應(yīng)采用匿名化、去標(biāo)識化或者其他必要安全措施保護(hù)數(shù)據(jù)主體權(quán)益；●數(shù)據(jù)匯聚融合衍生敏感級及以上數(shù)據(jù)，或者導(dǎo)致數(shù)據(jù)安全級別變化的，應(yīng)當(dāng)及時評估、調(diào)整安全保護(hù)措施。數(shù)據(jù)處理/管理流程針對一般數(shù)據(jù)的合規(guī)要求針對敏感級及以上數(shù)據(jù)的額外要求數(shù)據(jù)使用（訪問、共享等）●制定數(shù)據(jù)訪問閉環(huán)管理機(jī)制，并對數(shù)據(jù)訪問行為實施審計；●因業(yè)務(wù)需要從生產(chǎn)環(huán)境提取數(shù)據(jù)的，應(yīng)建立嚴(yán)格的審批程序，并明確數(shù)據(jù)使用或者保存期限；●對數(shù)據(jù)共享使用進(jìn)行集中安全管控，明確企業(yè)級數(shù)據(jù)共享策略，評估數(shù)據(jù)共享使用的必要性、合規(guī)性、安全性及倫理道德規(guī)范的符合度；●建立銀行母行、保險集團(tuán)或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”，并對共享數(shù)據(jù)采取有效保護(hù)措施?！癜凑铡皹I(yè)務(wù)必要授權(quán)”原則，對敏感級及以上數(shù)據(jù)嚴(yán)格實施授權(quán)管理；●銀行保險機(jī)構(gòu)與其母行、集團(tuán)，或者其子行、子公司共享敏感級及以上數(shù)據(jù)，應(yīng)當(dāng)獲得數(shù)據(jù)主體的授權(quán)同意，法律、行政法規(guī)另有規(guī)定的除外；●不得以數(shù)據(jù)主體拒絕同意共享敏感數(shù)據(jù)而終止或者拒絕單家子行、子公司對其提供金融服務(wù)，所共享數(shù)據(jù)屬于提供產(chǎn)品或者服務(wù)所必需的除外；●共享需要實現(xiàn)安全評估。數(shù)據(jù)委托處理●明確所涉數(shù)據(jù)外部使用和處理的條件、場景、方式；●以合同協(xié)議方式約定委托處理的目的、期限、處理方式、數(shù)據(jù)范圍、保護(hù)措施、雙方的數(shù)據(jù)安全責(zé)任和義務(wù)，以及受托方返還或者刪除數(shù)據(jù)的方式等；●對數(shù)據(jù)處理活動進(jìn)行記錄和審計，可對外公開披露的數(shù)據(jù)除外；●要求受托方在未取得其同意時，不得轉(zhuǎn)委托其他主體處理數(shù)據(jù)，不得對外共享數(shù)據(jù)，不得加工、訓(xùn)練、挪用數(shù)據(jù)，或者采取其他形式處理數(shù)據(jù)以謀取合同或者協(xié)議約定以外的利益。/數(shù)據(jù)處理/管理流程針對一般數(shù)據(jù)的合規(guī)要求針對敏感級及以上數(shù)據(jù)的額外要求數(shù)據(jù)共同處理●按照“業(yè)務(wù)必要授權(quán)”原則制定方案并采取有效管理和技術(shù)保護(hù)措施確保數(shù)據(jù)安全；●以合同協(xié)議方式明確雙方在數(shù)據(jù)處理過程中的數(shù)據(jù)安全責(zé)任和義務(wù)。/數(shù)據(jù)轉(zhuǎn)移●明確數(shù)據(jù)轉(zhuǎn)移內(nèi)容，通過協(xié)議、承諾等方式約定數(shù)據(jù)接收方全面承接對應(yīng)數(shù)據(jù)的安全保護(hù)義務(wù)；●通過公告等方式告知數(shù)據(jù)主體；●采用安全可靠方式進(jìn)行，并確保轉(zhuǎn)移過程可追溯。/數(shù)據(jù)對外提供/●取得數(shù)據(jù)主體同意數(shù)據(jù)公開●建立對外公開披露數(shù)據(jù)的審批機(jī)制，研判可能產(chǎn)生的影響；●數(shù)據(jù)公開應(yīng)當(dāng)在機(jī)構(gòu)官方渠道進(jìn)行發(fā)布，確保數(shù)據(jù)真實、準(zhǔn)確、防篡改，記錄審批和發(fā)布情況?！癫坏霉_，法律、行政法規(guī)另有規(guī)定或者取得數(shù)據(jù)主體授權(quán)同意的除外數(shù)據(jù)刪除●制定數(shù)據(jù)銷毀管理制度，按照國家、行業(yè)有關(guān)規(guī)定及與數(shù)據(jù)主體的約定進(jìn)行數(shù)據(jù)刪除或者匿名化處理。/《辦法》將數(shù)據(jù)委托處理納入信息科技外包管理范圍，并提出了特殊管理要求，包括：事先開展數(shù)據(jù)安全評估。對涉及敏感級及以上數(shù)據(jù)處理的供應(yīng)鏈服務(wù)商加強(qiáng)準(zhǔn)入和安全管理。明確所涉數(shù)據(jù)外部使用和處理的條件、場景、方式，并按要求與受托方簽署相關(guān)協(xié)議。將相關(guān)數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存不低于三年。委托處理終止時，要求服務(wù)提供商及時刪除數(shù)據(jù)，并采取現(xiàn)場檢查等有效監(jiān)督措施，確保數(shù)據(jù)被銷毀、不可恢復(fù)等。（三）數(shù)據(jù)委托處理技術(shù)安全保護(hù)四（一）構(gòu)建多元異構(gòu)環(huán)境下的數(shù)據(jù)安全體系針對大數(shù)據(jù)、云計算等環(huán)境，銀行保險機(jī)構(gòu)需構(gòu)建全面的數(shù)據(jù)安全技術(shù)保護(hù)體系，確保數(shù)據(jù)安全。建立數(shù)據(jù)安全技術(shù)體系01制定明確的數(shù)據(jù)保護(hù)策略和方法，涵蓋數(shù)據(jù)的存儲、傳輸、處理等各個環(huán)節(jié)，保障數(shù)據(jù)安全。明確數(shù)據(jù)保護(hù)策略02采取加密、訪問控制等技術(shù)措施，對數(shù)據(jù)進(jìn)行有效保護(hù)，防止數(shù)據(jù)泄露和非法訪問。采取技術(shù)措施保障數(shù)據(jù)安全03（二）數(shù)據(jù)安全保護(hù)基線敏感數(shù)據(jù)安全技術(shù)要求對敏感級及以上數(shù)據(jù)，要求銀行保險機(jī)構(gòu)采取更高標(biāo)準(zhǔn)的安全技術(shù)保護(hù)措施。物理安全保護(hù)區(qū)域設(shè)立要求對存放或傳輸敏感數(shù)據(jù)的機(jī)房、網(wǎng)絡(luò)設(shè)立專門的物理安全保護(hù)區(qū)域，保障數(shù)據(jù)安全。數(shù)據(jù)安全保護(hù)基線概念《辦法》首次提出數(shù)據(jù)安全保護(hù)基線，明確各區(qū)域網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的最低要求。加強(qiáng)數(shù)據(jù)保護(hù)措施機(jī)構(gòu)需對多來源敏感數(shù)據(jù)采取加強(qiáng)性保護(hù)，確保數(shù)據(jù)安全不低于集中前的最高保護(hù)級別。網(wǎng)絡(luò)邊界與節(jié)點監(jiān)控審計對網(wǎng)絡(luò)邊界和重要網(wǎng)絡(luò)節(jié)點實施安全監(jiān)控與審計，防止數(shù)據(jù)泄露和非法訪問。（三）數(shù)據(jù)操作日志與審計要求

日志記錄要求對敏感及以上數(shù)據(jù)操作進(jìn)行日志記錄，包括操作時間、用戶標(biāo)識、行為類型等。核心數(shù)據(jù)保存期限核心數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時間不低于三年。委托處理數(shù)據(jù)保存涉及委托處理、共同處理的數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時間不低于三年。定期審計要求定期對數(shù)據(jù)操作行為進(jìn)行審計，審計周期不超過六個月。重要數(shù)據(jù)保存期限重要數(shù)據(jù)、敏感數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時間不低于一年。個人信息保護(hù)五銀行保險機(jī)構(gòu)需在信息收集前明確告知數(shù)據(jù)主體，確保其了解信息用途和處理方式。01機(jī)構(gòu)必須獲得數(shù)據(jù)主體的明確同意后方可處理個人信息，保障數(shù)據(jù)主體的知情權(quán)和選擇權(quán)。02信息收集和處理應(yīng)嚴(yán)格限定在特定目的內(nèi)，且僅限于實現(xiàn)該目的所必需的最小范圍。03《辦法》在個人信息保護(hù)方面與《個人信息保護(hù)法》保持一致，未對銀行保險機(jī)構(gòu)提出額外要求。04明確告知原則授權(quán)同意機(jī)制目的限定與最小范圍遵循《個人信息保護(hù)法》（一）重申《個保法》要求強(qiáng)調(diào)告知義務(wù)取得個人同意的重要性業(yè)務(wù)合作中的數(shù)據(jù)共享無除外條款銀行保險機(jī)構(gòu)在共享個人信息前，必須明確告知個人并取得其同意?！掇k法》未設(shè)定個人信息共享的除外條款，強(qiáng)調(diào)了義務(wù)的普遍性。機(jī)構(gòu)與母公司或集團(tuán)間業(yè)務(wù)合作頻繁，需注意合規(guī)處理個人信息共享。在向集團(tuán)內(nèi)外提供個人信息時，必須確保已獲得相關(guān)個人的明確同意。（二）個人信息共享與同意義務(wù)銀行保險機(jī)構(gòu)在發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的情況時，應(yīng)當(dāng)報送的個人信息保護(hù)職責(zé)的部門為國家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)。（三）個人信息安全事件報送監(jiān)管報告義務(wù)六銀行保險機(jī)構(gòu)需遵循監(jiān)管要求，對日常數(shù)據(jù)處理活動進(jìn)行嚴(yán)格管理，確保數(shù)據(jù)安全。強(qiáng)化日常數(shù)據(jù)處理監(jiān)管機(jī)構(gòu)應(yīng)定