欢迎光临华尔街金融!
今天是 2024年04月28日 星期天
关注经济热点
一起实现我们的中国梦
关注经济热点
一起实现我们的中国梦
21世纪经济报道 记者李愿 北京报道
3月22日,金融监管总局科技监管司就《银行保险机构数据安全管理办法(公开征求意见稿)》(下称《办法》)公开征求意见,旨在规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益,维护国家安全和社会公共利益。意见反馈截止时间为2024年4月23日。
《办法》共九章八十一条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。
“近年来,《数据安全法》《个人信息保护法》等上位法相继发布,对规范数据处理活动、个人信息保护等提出了明确要求。同时,金融行业数字化变革加速演进,新技术、新业务模式不断涌现,数据的使用、加工、传输、共享等活动日益频繁,进一步凸显数据安全保护的重要性。”对于《办法》制定的背景,金融监管总局有关司局负责人介绍称,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。
《办法》的出台已有一定预期。21世纪经济报道记者注意到,金融监管总局科技监管司今年初在《深入学习贯彻中央金融工作会议精神全面推进监管数字化智能化转型》文章中表示,进一步强化监管数据治理,落实监管数据分类分级管理要求,保障监管数据安全。
值得注意的是,《办法》还适用于金融监管总局批准设立的外国银行分行、其他金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融监督管理部门批准设立的金融组织参照适用本办法。
金融监管总局表示,将根据各界反馈意见,对《办法》进一步修改完善,并适时发布。《办法》显示,该《办法》自公布之日起施行,《银行保险机构数据安全办法》(银保监办发〔2022〕118号)同时废止。
建立数据分类分级标准
《办法》主要内容包括七方面:一是明确数据安全治理架构,二是建立数据分类分级标准,三是强化数据安全管理,四是健全数据安全技术保护体系,五是加强个人信息保护,六是完善数据安全风险监测与处置机制,七是明确监督管理职责。
《办法》第五条对数据安全治理架构做出了明确要求,银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系,建立健全数据安全管理制度,构建覆盖数据全生命周期和应用场景的安全保护机制,开展数据安全风险评估、监测与处置,保障数据开发利用活动安全稳健开展。银行保险机构利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度基础上,履行数据安全保护义务。
数据分类分级标准方面,办法第十六条规定,银行保险机构应当制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施。
所谓数据分类,即银行保险机构应当对机构业务及经营管理过程中获取、产生的数据进行分类管理,数据类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。数据分级,即银行保险机构应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据,其中一般数据细分为敏感数据和其他一般数据。
核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或者共享,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或者篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
敏感数据是指,一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。除以上数据之外的数据为其他一般数据。
《办法》第七十一条还明确,金融监管总局按照国家数据分类分级要求,制定银行业保险业重要数据目录,提出核心数据目录建议,监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机构应当按要求向国家金融监督管理总局或者其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。
强化数据安全管理
强化数据安全管理是《办法》重要内容之一,《办法》也在多处提出了相关要求。
在数据安全管理职责方面,金融监管总局有关司局负责人表示,《办法》要求银行保险机构按照国家数据安全与发展政策要求,根据自身发展战略,制定数据安全保护策略;根据数据处理目的、性质和范围,依照法律法规和伦理道德规范要求,对相关数据业务处理活动进行安全评估,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性;收集数据应坚持“合法、正当、必要、诚信”原则,明确数据收集和处理的目的、方式、范围、规则,保障收集过程的数据安全性、数据来源可追溯,不得超出数据主体同意的范围收集数据;在数据集团内部共享的过程中,应建立总行(公司)与其子公司数据安全隔离的“防火墙”,并对共享数据采取有效保护措施;《办法》还对数据加工、委托处理、共同处理、数据转移等具体的数据处理场景分别提出了相应安全管理要求。
对于数据共享及集团内部共享,《办法》第二十九条明确,银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”,并对共享数据采取有效保护措施。银行保险机构与其母行、集团,或者其子行、子公司共享敏感级及以上数据,应当获得数据主体的授权同意,法律、行政法规另有规定的除外。不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务,所共享数据属于提供产品或者服务所必需的除外。
在助贷、互联网贷款等业务方面,数据处理通常涉及第三方,如何做好安全管理也是重要环节。
《办法》第三十一条规定,银行保险机构应当将数据委托处理纳入信息科技外包管理范围,在实施过程中不得将信息科技管理责任、数据安全主体责任外包,涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。第三十二条规定,银行保险机构与第三方机构进行数据共同处理时,应当按照“业务必要授权”原则制定方案并采取有效技术保护措施确保数据安全,并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。第五十三条规定,银行保险机构在建设开放银行、金融生态或者与第三方数据合作时,要实现自身与外部的安全风险隔离,与外部机构的数据交互应当通过集中管理的外联平台或者应用程序接口实施,依据“业务必需、最小权限”原则,采取有效措施对接口设计、开发、服务、运行等进行集中安全保护管理。
此外,随着大模型在金融领域的应用逐步落地,《办法》也对此提出了相关要求:银行保险机构应当对人工智能模型开发应用进行统一管理,建立模型算法产品外部引入的准入机制,对模型研发过程进行主动管理,实现模型算法可验证、可审核、可追溯。
(作者:李愿 编辑:曾芳)
