21世紀(jì)經(jīng)濟(jì)報道 記者李愿 北京報道
3月22日,金融監(jiān)管總局科技監(jiān)管司就《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法(公開征求意見稿)》(下稱《辦法》)公開征求意見,旨在規(guī)范銀行業(yè)保險業(yè)數(shù)據(jù)處理活動,保障數(shù)據(jù)安全、金融安全,促進(jìn)數(shù)據(jù)合理開發(fā)利用,保護(hù)個人、組織的合法權(quán)益,維護(hù)國家安全和社會公共利益。意見反饋截止時間為2024年4月23日。
《辦法》共九章八十一條,包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護(hù)、個人信息保護(hù)、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置、監(jiān)督管理及附則。
“近年來,《數(shù)據(jù)安全法》《個人信息保護(hù)法》等上位法相繼發(fā)布,對規(guī)范數(shù)據(jù)處理活動、個人信息保護(hù)等提出了明確要求。同時,金融行業(yè)數(shù)字化變革加速演進(jìn),新技術(shù)、新業(yè)務(wù)模式不斷涌現(xiàn),數(shù)據(jù)的使用、加工、傳輸、共享等活動日益頻繁,進(jìn)一步凸顯數(shù)據(jù)安全保護(hù)的重要性。”對于《辦法》制定的背景,金融監(jiān)管總局有關(guān)司局負(fù)責(zé)人介紹稱,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用,通過強(qiáng)化政策要求引導(dǎo)銀行保險機(jī)構(gòu)壓實(shí)主體責(zé)任,完善內(nèi)部制度,采取有效的措施加強(qiáng)數(shù)據(jù)管理和保護(hù),確保客戶信息和金融交易數(shù)據(jù)安全。
《辦法》的出臺已有一定預(yù)期。21世紀(jì)經(jīng)濟(jì)報道記者注意到,金融監(jiān)管總局科技監(jiān)管司今年初在《深入學(xué)習(xí)貫徹中央金融工作會議精神全面推進(jìn)監(jiān)管數(shù)字化智能化轉(zhuǎn)型》文章中表示,進(jìn)一步強(qiáng)化監(jiān)管數(shù)據(jù)治理,落實(shí)監(jiān)管數(shù)據(jù)分類分級管理要求,保障監(jiān)管數(shù)據(jù)安全。
值得注意的是,《辦法》還適用于金融監(jiān)管總局批準(zhǔn)設(shè)立的外國銀行分行、其他金融機(jī)構(gòu)、金融控股公司以及總局管理單位參照適用本辦法。地方金融監(jiān)督管理部門批準(zhǔn)設(shè)立的金融組織參照適用本辦法。
金融監(jiān)管總局表示,將根據(jù)各界反饋意見,對《辦法》進(jìn)一步修改完善,并適時發(fā)布。《辦法》顯示,該《辦法》自公布之日起施行,《銀行保險機(jī)構(gòu)數(shù)據(jù)安全辦法》(銀保監(jiān)辦發(fā)〔2022〕118號)同時廢止。
建立數(shù)據(jù)分類分級標(biāo)準(zhǔn)
《辦法》主要內(nèi)容包括七方面:一是明確數(shù)據(jù)安全治理架構(gòu),二是建立數(shù)據(jù)分類分級標(biāo)準(zhǔn),三是強(qiáng)化數(shù)據(jù)安全管理,四是健全數(shù)據(jù)安全技術(shù)保護(hù)體系,五是加強(qiáng)個人信息保護(hù),六是完善數(shù)據(jù)安全風(fēng)險監(jiān)測與處置機(jī)制,七是明確監(jiān)督管理職責(zé)。
《辦法》第五條對數(shù)據(jù)安全治理架構(gòu)做出了明確要求,銀行保險機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)業(yè)務(wù)發(fā)展目標(biāo)相適應(yīng)的數(shù)據(jù)安全治理體系,建立健全數(shù)據(jù)安全管理制度,構(gòu)建覆蓋數(shù)據(jù)全生命周期和應(yīng)用場景的安全保護(hù)機(jī)制,開展數(shù)據(jù)安全風(fēng)險評估、監(jiān)測與處置,保障數(shù)據(jù)開發(fā)利用活動安全穩(wěn)健開展。銀行保險機(jī)構(gòu)利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動,應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度基礎(chǔ)上,履行數(shù)據(jù)安全保護(hù)義務(wù)。
數(shù)據(jù)分類分級標(biāo)準(zhǔn)方面,辦法第十六條規(guī)定,銀行保險機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)分類分級保護(hù)制度,建立數(shù)據(jù)目錄和分類分級規(guī)范,動態(tài)管理和維護(hù)數(shù)據(jù)目錄,采取差異化安全保護(hù)措施。
所謂數(shù)據(jù)分類,即銀行保險機(jī)構(gòu)應(yīng)當(dāng)對機(jī)構(gòu)業(yè)務(wù)及經(jīng)營管理過程中獲取、產(chǎn)生的數(shù)據(jù)進(jìn)行分類管理,數(shù)據(jù)類型包括客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全管理數(shù)據(jù)等。數(shù)據(jù)分級,即銀行保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)數(shù)據(jù)的重要性和敏感程度,將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù),其中一般數(shù)據(jù)細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)。
核心數(shù)據(jù)是指對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或者達(dá)到較高精度、較大規(guī)模、一定深度的重要數(shù)據(jù),一旦被非法使用或者共享,可能直接影響政治安全、國家安全重點(diǎn)領(lǐng)域、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益。
重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或者達(dá)到一定精度和規(guī)模的數(shù)據(jù),一旦被泄露或者篡改、損毀,可能直接危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全。
敏感數(shù)據(jù)是指,一旦被泄露或者篡改、損毀,對經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共利益有一定影響,或者對組織自身或者公民個體造成重要影響的數(shù)據(jù)。除以上數(shù)據(jù)之外的數(shù)據(jù)為其他一般數(shù)據(jù)。
《辦法》第七十一條還明確,金融監(jiān)管總局按照國家數(shù)據(jù)分類分級要求,制定銀行業(yè)保險業(yè)重要數(shù)據(jù)目錄,提出核心數(shù)據(jù)目錄建議,監(jiān)督指導(dǎo)銀行保險機(jī)構(gòu)開展數(shù)據(jù)分類分級管理和數(shù)據(jù)保護(hù)。銀行保險機(jī)構(gòu)應(yīng)當(dāng)按要求向國家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報送重要數(shù)據(jù)目錄。重要數(shù)據(jù)目錄發(fā)生重大變化應(yīng)當(dāng)及時報備更新后的數(shù)據(jù)目錄。
強(qiáng)化數(shù)據(jù)安全管理
強(qiáng)化數(shù)據(jù)安全管理是《辦法》重要內(nèi)容之一,《辦法》也在多處提出了相關(guān)要求。
在數(shù)據(jù)安全管理職責(zé)方面,金融監(jiān)管總局有關(guān)司局負(fù)責(zé)人表示,《辦法》要求銀行保險機(jī)構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求,根據(jù)自身發(fā)展戰(zhàn)略,制定數(shù)據(jù)安全保護(hù)策略;根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍,依照法律法規(guī)和倫理道德規(guī)范要求,對相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動進(jìn)行安全評估,分析數(shù)據(jù)安全風(fēng)險和對數(shù)據(jù)主體權(quán)益影響,評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性;收集數(shù)據(jù)應(yīng)堅持“合法、正當(dāng)、必要、誠信”原則,明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則,保障收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯,不得超出數(shù)據(jù)主體同意的范圍收集數(shù)據(jù);在數(shù)據(jù)集團(tuán)內(nèi)部共享的過程中,應(yīng)建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”,并對共享數(shù)據(jù)采取有效保護(hù)措施;《辦法》還對數(shù)據(jù)加工、委托處理、共同處理、數(shù)據(jù)轉(zhuǎn)移等具體的數(shù)據(jù)處理場景分別提出了相應(yīng)安全管理要求。
對于數(shù)據(jù)共享及集團(tuán)內(nèi)部共享,《辦法》第二十九條明確,銀行保險機(jī)構(gòu)應(yīng)當(dāng)建立銀行母行、保險集團(tuán)或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”,并對共享數(shù)據(jù)采取有效保護(hù)措施。銀行保險機(jī)構(gòu)與其母行、集團(tuán),或者其子行、子公司共享敏感級及以上數(shù)據(jù),應(yīng)當(dāng)獲得數(shù)據(jù)主體的授權(quán)同意,法律、行政法規(guī)另有規(guī)定的除外。不得以數(shù)據(jù)主體拒絕同意共享敏感數(shù)據(jù)而終止或者拒絕單家子行、子公司對其提供金融服務(wù),所共享數(shù)據(jù)屬于提供產(chǎn)品或者服務(wù)所必需的除外。
在助貸、互聯(lián)網(wǎng)貸款等業(yè)務(wù)方面,數(shù)據(jù)處理通常涉及第三方,如何做好安全管理也是重要環(huán)節(jié)。
《辦法》第三十一條規(guī)定,銀行保險機(jī)構(gòu)應(yīng)當(dāng)將數(shù)據(jù)委托處理納入信息科技外包管理范圍,在實(shí)施過程中不得將信息科技管理責(zé)任、數(shù)據(jù)安全主體責(zé)任外包,涉及信息科技戰(zhàn)略管理、信息科技風(fēng)險管理、信息科技內(nèi)部審計及其他有關(guān)信息科技核心競爭力的職能不得外包。第三十二條規(guī)定,銀行保險機(jī)構(gòu)與第三方機(jī)構(gòu)進(jìn)行數(shù)據(jù)共同處理時,應(yīng)當(dāng)按照“業(yè)務(wù)必要授權(quán)”原則制定方案并采取有效技術(shù)保護(hù)措施確保數(shù)據(jù)安全,并以合同協(xié)議方式明確雙方在數(shù)據(jù)處理過程中的數(shù)據(jù)安全責(zé)任和義務(wù)。第五十三條規(guī)定,銀行保險機(jī)構(gòu)在建設(shè)開放銀行、金融生態(tài)或者與第三方數(shù)據(jù)合作時,要實(shí)現(xiàn)自身與外部的安全風(fēng)險隔離,與外部機(jī)構(gòu)的數(shù)據(jù)交互應(yīng)當(dāng)通過集中管理的外聯(lián)平臺或者應(yīng)用程序接口實(shí)施,依據(jù)“業(yè)務(wù)必需、最小權(quán)限”原則,采取有效措施對接口設(shè)計、開發(fā)、服務(wù)、運(yùn)行等進(jìn)行集中安全保護(hù)管理。
此外,隨著大模型在金融領(lǐng)域的應(yīng)用逐步落地,《辦法》也對此提出了相關(guān)要求:銀行保險機(jī)構(gòu)應(yīng)當(dāng)對人工智能模型開發(fā)應(yīng)用進(jìn)行統(tǒng)一管理,建立模型算法產(chǎn)品外部引入的準(zhǔn)入機(jī)制,對模型研發(fā)過程進(jìn)行主動管理,實(shí)現(xiàn)模型算法可驗(yàn)證、可審核、可追溯。
本文鏈接:金融監(jiān)管總局?jǐn)M建立數(shù)據(jù)分類分級標(biāo)準(zhǔn) 保障數(shù)據(jù)安全、金融安全http://m.lensthegame.com/show-3-13977-0.html
聲明:本網(wǎng)站為非營利性網(wǎng)站,本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn),不代表本站觀點(diǎn),本站不承擔(dān)任何法律責(zé)任。天上不會到餡餅,請大家謹(jǐn)防詐騙!若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。
上一篇: 21獨(dú)家丨XYK“改制”穿越周期