确保客户信息和金融交易数据安全

国家金融监督管理总局发布《银行保险机构数据安全管理办法》——
确保客户信息和金融交易数据安全

金融数据具有高价值和高敏感性，金融数据安全与国家安全和金融消费者权益密切相关。日前，国家金融监督管理总局发布《银行保险机构数据安全管理办法》（以下简称《办法》），为规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，维护社会公共利益和金融消费者合法权益提供制度保障。

开展数据分类分级

“近年来，银行业保险业数字化变革加速演进，新技术、新业态不断涌现，数据合作共享日益频繁。与此同时，金融领域面临的数据安全风险形势复杂严峻，也给金融机构数据安全管理带来新的挑战。”在谈及《办法》出台背景时，国家金融监督管理总局有关司局负责人说。

《办法》共9章81条，要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。

在数据分类方面，银行保险机构对机构业务及经营管理过程中获取、产生的数据进行分类管理，具体类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。

在数据分级方面，银行保险机构应根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其他一般数据；当数据的业务属性、重要程度和可能造成的危害程度发生变化，导致安全级别不再适用的，及时进行动态调整。

《办法》明确，“重要数据”是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据，一旦被泄露或者篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。“敏感数据”是指一旦被泄露或者篡改、损毁，对经济运行、社会稳定、公共利益有一定影响，或者对组织自身或者公民个体造成重要影响的数据。

“金融是数字经济活跃的重点领域，属于‘数据密集型’行业。《办法》及时对数据进行分类分级，对行业开展有效监管约束是十分必要的。”招联首席研究员董希淼说。

建立安全“防火墙”

随着数据加工、数据转移、数据跨境等场景的增多，保障数据安全也面临新的要求。

《办法》提出，银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，并对共享数据采取有效保护措施。银行保险机构应当构建覆盖数据全生命周期和应用场景的安全保护机制，开展数据安全风险评估、监测与处置，保障数据开发利用活动安全稳健开展。

同时，《办法》还对不同场景的数据安全作了具体规定。比如，银行保险机构应当将数据委托处理纳入信息科技外包管理范围，在实施过程中不得将信息科技管理责任、数据安全主体责任外包；银行保险机构与第三方机构进行数据共同处理时，应当以合同协议方式明确双方在数据处理过程中的数据安全责任和义务；银行保险机构因合并、分立、解散、被宣告破产等需要转移数据的，应当明确数据转移内容，通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务……

国家金融监督管理总局有关负责人介绍，《办法》主要特点包括落实数据安全责任制、明确数据安全归口管理部门、将数据安全风险纳入全面风险管理体系、强化数据安全评估、建立数据安全保护基线等。相关举措的目的，就是通过采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。

压实机构主体责任

一分部署，九分落实。在压实银行保险机构主体责任上，《办法》强调银行保险机构主要负责人为数据安全第一责任人，分管数据安全的高级管理人员为直接责任人，同时要求明确各层级负责人的责任。

在实践中，不少金融机构都在数据安全方面不断加大工作力度。中国工商银行从系统层、终端层、网络层和应用层实施数据全生命周期安全防护，形成体系化的数据安全风险事件应急响应与处置机制；中国建设银行强化信息技术运用，形成了前中后台“三道防线”各自独立、相互协调、有效制衡的管理机制，推动数据安全分级保护措施在生命周期各个环节落地；新华保险加快推进“异地+同城”的多活云数据中心架构布局落地，深化网络和数据安全防护技术应用，安全管控能力持续提升……

“银行保险机构在经营过程中产生并获得大量数据。这些数据如何使用、处理，与居民个人信息安全息息相关。在数字技术快速发展的当下，《办法》的出台有助于将数据管理与金融消费者保护工作有机结合起来，更好地促进金融业高质量发展。”董希淼说。

国家金融监督管理总局有关负责人表示，将持续强化银行业保险业数据安全监管工作，加强督促指导，做好《办法》贯彻落实工作，指导银行保险机构不断提升数据安全管理能力，为保障客户信息和金融交易数据安全、牢牢守住不发生系统性风险底线奠定坚实基础。（记者 王俊岭）