12月27日,金融監(jiān)管總局發(fā)布了《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》(下稱《辦法》)�。從數(shù)據(jù)安全治理、數(shù)據(jù)分類分級��、數(shù)據(jù)安全管理��、數(shù)據(jù)安全技術(shù)保護�����、個人信息保護��、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置等方面提出了81條具體管理辦法���。
數(shù)據(jù)安全風(fēng)險將納入機構(gòu)全面風(fēng)險管理體系
金融監(jiān)管總局有關(guān)司局負責(zé)人表示,金融數(shù)據(jù)具有高價值和高敏感性�,金融數(shù)據(jù)安全與國家安全和金融消費者權(quán)益密切相關(guān)。近年來��,銀行業(yè)保險業(yè)數(shù)字化變革加速演進�����,新技術(shù)����、新業(yè)態(tài)不斷涌現(xiàn)����,數(shù)據(jù)合作共享日益頻繁����。與此同時,金融領(lǐng)域面臨的數(shù)據(jù)安全風(fēng)險形勢復(fù)雜嚴峻�,也給金融機構(gòu)數(shù)據(jù)安全管理帶來新的挑戰(zhàn)。
“有必要充分發(fā)揮監(jiān)管的‘指揮棒’作用���,通過強化政策要求引導(dǎo)銀行保險機構(gòu)壓實主體責(zé)任���,完善內(nèi)部機制,采取有效的管理和技術(shù)措施加強數(shù)據(jù)安全保護�,確保客戶信息和金融交易數(shù)據(jù)的安全�����?!痹撠撠?zé)人稱。
其中,《辦法》要求銀行保險機構(gòu)將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系�����,明確管理流程����,主動評估風(fēng)險,對數(shù)據(jù)安全風(fēng)險進行有效監(jiān)測����,防止數(shù)據(jù)破壞�、泄露、非法利用等安全事件發(fā)生��。風(fēng)險管理�����、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計�、監(jiān)督檢查與評價。
同時����,要將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護,對存放或傳輸敏感級及以上數(shù)據(jù)的機房、網(wǎng)絡(luò)實施重點防護���,在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施��,采用安全有效的傳輸方式保障數(shù)據(jù)完整性��、保密性��、可用性�����。
加強個人信息保護
《辦法》要求銀行保險機構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)分類分級保護制度����,建立數(shù)據(jù)目錄和分類分級規(guī)范���,動態(tài)管理和維護數(shù)據(jù)目錄��,采取差異化安全保護措施�。
具體來看�����,《辦法》將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)�����、一般數(shù)據(jù)���。其中���,一般數(shù)據(jù)細分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)。
其中�,核心數(shù)據(jù)是指對領(lǐng)域、群體�、區(qū)域具有較高覆蓋度或者達到較高精度、較大規(guī)模����、一定深度的重要數(shù)據(jù)��,一旦被非法使用或者共享���,可能直接影響政治安全����、國家安全重點領(lǐng)域、國民經(jīng)濟命脈����、重要民生、重大公共利益��。
個人信息保護是數(shù)據(jù)安全的重要內(nèi)容�,此次《辦法》單獨設(shè)置了“個人信息保護”章節(jié)。主要規(guī)定包括:銀行保險機構(gòu)處理個人信息應(yīng)按照“明確告知����、授權(quán)同意”的原則實施,并限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍�����,不得過度收集個人信息��;處理��、共享和對外提供個人信息時����,應(yīng)當(dāng)履行必要的告知義務(wù),并取得必要同意���;在開展涉及對個人權(quán)益有重大影響的個人信息處理活動時�����,應(yīng)當(dāng)進行個人信息保護影響評估��;發(fā)生或者可能發(fā)生個人信息泄露�����、篡改����、丟失的,銀行保險機構(gòu)應(yīng)當(dāng)立即采取補救措施����,并向監(jiān)管部門報告。
建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置機制
此外���,《辦法》還進一步完善了風(fēng)險監(jiān)測處置機制,除了要求銀行保險機構(gòu)將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系�����,還明確了數(shù)據(jù)安全風(fēng)險監(jiān)測、風(fēng)險評估��、應(yīng)急響應(yīng)及報告�����、事件處置的組織架構(gòu)和管理流程����。
在數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置中,《辦法》將數(shù)據(jù)安全事件根據(jù)影響范圍和程度���,分為特別重大�����、重大�、較大和一般四個級別���。要求機構(gòu)建立內(nèi)部協(xié)調(diào)聯(lián)動機制和外部服務(wù)商����、第三方機構(gòu)的報告機制���。具體包括:
一是制定數(shù)據(jù)安全事件應(yīng)急預(yù)案�����,定期開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練�����。
二是數(shù)據(jù)安全事件發(fā)生后��,立即啟動應(yīng)急處置���,分析事件原因��、評估事件影響�����、開展事件定級����,按照預(yù)案及時采取業(yè)務(wù)�、技術(shù)等措施控制事態(tài)�。
三是建立數(shù)據(jù)安全事件報告機制���,根據(jù)事件安全等級制定報告流程,發(fā)生數(shù)據(jù)安全事件時按照規(guī)定報告�����,同時按照合同����、協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)。
四是發(fā)生數(shù)據(jù)安全事件或者使用的產(chǎn)品和服務(wù)存在缺陷時����,立即開展調(diào)查評估,及時采取補救措施�����。
《辦法》要求�����,銀行保險機構(gòu)應(yīng)在數(shù)據(jù)安全事件發(fā)生2小時內(nèi)向金融監(jiān)管總局或其派出機構(gòu)報告��,并在事件發(fā)生后24小時內(nèi)提交正式書面報告。發(fā)生特別重大數(shù)據(jù)安全事件�,銀行保險機構(gòu)應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時告知用戶并向?qū)俚毓矙C關(guān)����、金融監(jiān)管機構(gòu)報告。銀行保險機構(gòu)應(yīng)當(dāng)每2小時將處置進展情況上報����,直至處置結(jié)束。數(shù)據(jù)安全事件處置結(jié)束后�����,銀行保險機構(gòu)應(yīng)當(dāng)在五個工作日內(nèi)將事件及其處置的評估�、總結(jié)和改進報告報送屬地監(jiān)管部門。
校對:楊立林
聲明:證券時報力求信息真實��、準(zhǔn)確����,文章提及內(nèi)容僅供參考,不構(gòu)成實質(zhì)性投資建議��,據(jù)此操作風(fēng)險自擔(dān)
下載“證券時報”官方APP�,或關(guān)注官方微信公眾號,即可隨時了解股市動態(tài),洞察政策信息����,把握財富機會�����。
