国家金融监督管理总局就《银行保险机构数据安全管理办法》答记者问

liukang20242个月前 (05-21)166.SU吃瓜551

近来，金融监管总局拟定发布《银行保险安排数据安全办理方法》（以下简称《方法》）。有关司局担任人就相关问题答复了记者发问。

一、《方法》拟定的布景是什么？

答：金融数据具有高价值和高灵敏性，金融数据安全与国家安全和金融顾客权益密切相关。近年来，银行业保险业数字化革新加快演进，新技能、新业态不断涌现，数据协作同享日益频繁。与此一起，金融范畴面对的数据安全危险局势杂乱严峻，也给金融安排数据安全办理带来新的应战。对此，有必要充分发挥监管的“指挥棒”效果，经过强化方针要求引导银行保险安排压实主体责任，完善内部机制，采用有用的办理和技能方法加强数据安全维护，保证客户信息和金融交易数据的安全。

二、《方法》的首要内容和特色是什么？

答：《方法》共9章81条。包含总则、数据安全办理、数据分类分级、数据安全办理、数据安全技能维护、个人信息维护、数据安全危险监测与处置、监督办理及附则。首要特色包含：

一是执行数据安全责任制。清晰银行保险安排党委（党组）、董（理）事会对本单位数据安全作业负主体责任，安排首要担任人为数据安全榜首责任人，分担数据安全的领导为直接责任人。

二是清晰数据安全归口办理部分。要求银行保险安排指定数据安全归口办理部分，作为本安排担任数据安全作业的主责部分，承当拟定数据安全办理准则标准、树立维护数据目录、推进数据分类分级维护、安排展开危险监测、预警及处置等责任。

三是将数据安全危险归入全面危险办理体系。要求银行保险安排清晰办理流程，自动点评危险，对数据安全危险进行有用监测，避免数据损坏、走漏、不合法运用等安全事情产生。危险办理、内控合规和审计部分定时对数据安全展开审计、监督查看与点评。

四是强化数据安全点评。要求银行保险安排展开相关数据处理活动时，应事前展开安全点评。依据数据处理意图、性质和规模，剖析数据安全危险和对数据主体权益影响，点评数据处理的必要性、合规性及防控方法的有用性。

五是树立数据安全维护基线。将数据归入网络安全等级维护，对寄存或传输灵敏级及以上数据的机房、网络施行要点防护，在数据全生命周期内采用有用拜访操控办理方法，选用安全有用的传输方法保证数据完整性、保密性、可用性。

三、《方法》在数据分类分级方面提出了哪些详细要求？

答：《方法》要求银行保险安排拟定数据分类分级维护准则，树立数据目录和分类分级标准，动态办理和维护数据目录，并采用差异化的安全维护方法。在数据分类方面，对安排事务及经营办理进程中获取、产生的数据进行分类办理，详细类型包含客户数据、事务数据、经营办理数据、体系运转和安全办理数据等。在数据分级方面，银行保险安排应依据数据的重要性和灵敏程度，将数据分为中心数据、重要数据、一般数据，其间一般数据细分为灵敏数据和其他一般数据；当数据的事务特点、重要程度和或许形成的损害程度产生变化，导致安全等级不再适用的，及时进行动态调整。

四、《方法》规矩的数据安全办理责任有哪些？

答：《方法》要求银行保险安排依照国家方针要求，依据本身发展战略，拟定数据安全维护战略；依据数据处理意图、性质和规模，依照法律法规和道德道德标准要求，对相关数据事务处理活动进行安全点评，剖析数据安全危险和对数据主体权益影响，点评数据处理的必要性、合规性及防控方法的有用性；搜集数据应坚持“合法、合理、必要、诚信”准则，清晰数据搜集和处理的意图、方法、规模、规矩，保证搜集进程的数据安全性、数据来历可追溯；在数据集团内部同享的进程中，应树立总行（公司）与其子公司数据安全阻隔的“防火墙”，并对同享数据采用有用维护方法；《方法》还对数据加工、托付处理、一起处理、数据搬运、数据跨境等详细的数据处理场景别离提出了相应安全办理要求。

五、《方法》在个人信息维护方面有哪些规矩？

答：《方法》独自设置“个人信息维护”章节，以进一步执行《数据安全法》《个人信息维护法》等上位法要求，表现维护顾客信息和权益的方针导向。首要规矩包含：银行保险安排处理个人信息应依照“清晰奉告、授权赞同”的准则施行，并限于完成金融事务处理意图的最小规模，不得过度搜集个人信息。处理、同享和对外供给个人信息时，应当实行必要的奉告责任，并获得必要赞同。不得以个人不赞同处理其个人信息或许撤回赞同为由，回绝供给产品或许服务，处理个人信息归于供给产品或许服务所必需的在外。在展开触及对个人权益有严重影响的个人信息处理活动时，应当进行个人信息维护影响点评。托付第三方处理个人信息时，应清晰受托人对个人信息的维护责任、维护方法和期限等。产生或许或许产生个人信息走漏、篡改、丢掉的，银行保险安排应当当即采用补救方法，并向监管部分陈述。

六、《方法》规矩的数据安全事情应急呼应与处置机制包含哪些内容？

答：《方法》将数据安全事情依据影响规模和程度，分为特别严重、严重、较大和一般四个等级。要求安排树立内部和谐联动机制和外部服务商、第三方安排的陈述机制。详细包含：一是拟定数据安全事情应急预案，定时展开应急呼应训练和应急演练。二是数据安全事情产生后，当即发动应急处置，剖析事情原因、点评事情影响、展开事情定级，依照预案及时采用事务、技能等方法操控事态。三是树立数据安全事情陈述机制，依据事情安全等级拟定陈述流程，产生数据安全事情时依照规矩陈述，一起依照合同、协议等有关约好实行客户及协作方奉告责任。四是产生数据安全事情或许运用的产品和服务存在缺点时，当即展开调查点评，及时采用补救方法。

银行保险安排应在数据安全事情产生2小时内向总局或其派出安排陈述，并在事情产生后24小时内提交正式书面陈述。产生特别严重数据安全事情，银行保险安排应当当即采用处置方法，依照规矩及时奉告用户并向属地公安机关、金融监管安排陈述。银行保险安排应当每2小时将处置发展状况上报，直至处置完毕。数据安全事情处置完毕后，银行保险安排应当在五个作业日内将事情及其处置的点评、总结和改善陈述报送属地监管部分。

七、《方法》揭露寻求定见状况如何？

答：《方法》起草进程中已广泛寻求了有关部分及各类银行保险安排定见，并安排部分安排举行专题会议现场听取定见主张。2024年3月至4月，总局就《方法》面向社会揭露寻求定见。各方反应的相关合理化定见主张均被采用，未采用定见首要会集在数据审计周期、监管报送时限等方面。

来历：金融监管总局网站

流程修改：U072

告发/反应