21世紀經濟報道記者李覽青 上海報道
12月27日,國家金融監督管理總局發布《銀行保險機構數據安全管理辦法》(以下簡稱《銀保辦法》或《辦法》),引導銀行保險機構壓實主體責任,完善內部機制,采取有效的管理和技術措施加強數據安全保護,確保客戶信息和金融交易數據的安全。
“金融數據具有高價值和高敏感性,金融數據安全與國家安全和金融消費者權益密切相關。近年來,銀行業保險業數字化變革加速演進,新技術、新業態不斷涌現,數據合作共享日益頻繁。與此同時,金融領域面臨的數據安全風險形勢復雜嚴峻,也給金融機構數據安全管理帶來新的挑戰。”總局有關司局負責人在答記者問時表示,有必要充分發揮監管的“指揮棒”作用。
《辦法》共9章81條,包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。
值得關注的是,《辦法》不僅適用于政策性銀行、大型銀行、股份制銀行、外資銀行、直銷銀行、金融資產管理公司、金融資產投資公司、理財公司,保險集團(控股)公司、保險公司、保險資產管理公司、養老金管理公司、保險專業中介機構,金融控股公司,還適用于地方金融管理部門批準設立的金融組織。
21世紀經濟報道記者將《辦法》與此前的《征求意見稿》逐字對比,正式文件的改動不多,主要是規范使表述更嚴謹。
具體來說,刪除了“適用于金融監管總局批準設立的外國分行、其他金融機構”等表述,修改為“適用于金融監管總局批準設立的其他銀行業金融機構、保險業金融機構”。
同時,在建立數據安全技術應急管理機制方面,在防范外部攻擊之外,還新增防范“內外部破壞”等危害數據安全活動。
此外,在數據轉移規范方面,將“銀行保險機構因兼并、重組、破產等需要轉移數據”的表述拆解為“銀行保險機構因合并、分立、解散、被宣告破產等需要轉移數據”等。
具體來說,《辦法》對五個方面提出明確要求:
一是強化數據治理頂層設計。要求銀行保險機構建立與業務發展目標相適應的數據安全治理體系,落實數據安全責任制,按照“誰管業務、誰管業務數據、誰管數據安全”的原則開展數據安全保護工作。
二是落實分類分級管理要求。要求對業務經營管理過程中獲取、產生的數據進行分類管理。根據數據的重要性和敏感程度,將數據分為核心、重要、一般三個級別,并將一般數據進一步細分為敏感數據和其他一般數據,并采取差異化的安全保護措施。
三是強化數據安全管理體系。要求銀行保險機構建立健全數據安全管理制度,對委托處理、共同處理、轉移、公開、共享等相關數據處理活動開展安全評估,采取相應技術手段保障數據全生命周期安全,保障數據開發利用活動安全穩健開展。
四是加強個人信息保護。按照“明確告知、授權同意”的原則處理個人信息,按照金融業務處理目的的最小范圍收集個人信息。共享和向外部提供個人信息,應履行個人告知及取得同意的義務。
五是完善風險監測處置機制。將數據安全風險納入全面風險管理體系,明確數據安全風險監測、風險評估、應急響應及報告、事件處置的組織架構和管理流程,有效防范和處置數據安全風險。
值得一提的是,面對人工智能等新技術、新業態帶來的數據安全、模型安全風險。《辦法》要求銀行保險機構保障數據處理的透明度和結果的公平合理,關注數據與模型使用的合理性、正當性、可解釋性,并建立人工智能應用的風險緩釋措施。
有銀行合規人士向記者表示,在金融監管總局下發的《辦法》之外,去年央行系統征求意見的《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》(下稱《央行辦法》)也同樣值得關注,二者一致的是“誰管業務,誰管業務數據,誰管數據安全”的基本原則,落實數據安全責任制。
本文鏈接:銀保機構迎數據安全管理辦法,制定分類分級保護制度,壓實主體責任http://m.lensthegame.com/show-3-56578-0.html
聲明:本網站為非營利性網站,本網頁內容由互聯網博主自發貢獻,不代表本站觀點,本站不承擔任何法律責任,僅提供存儲服務。天上不會到餡餅,請大家謹防詐騙!若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。
上一篇: 虛擬動點CEO劉耀東:破解算法與數據難題,助人形機器人“開眼”
下一篇: 阿航墜機原因浮出水面?四國總統同一天發聲