國家金融監(jiān)督管理總局網(wǎng)站 2024-03-22 18:41:40
為規(guī)范銀行業(yè)保險業(yè)數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)合理開發(fā)利用,金融監(jiān)管總局起草了《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿)》(下稱《辦法》)。金融監(jiān)管總局有關(guān)司局負責人就相關(guān)問題回答了記者提問。
一、《辦法》制定的背景是什么?
答:近年來,《數(shù)據(jù)安全法》《個人信息保護法》等上位法相繼發(fā)布,對規(guī)范數(shù)據(jù)處理活動、個人信息保護等提出了明確要求。同時,金融行業(yè)數(shù)字化變革加速演進,新技術(shù)、新業(yè)務(wù)模式不斷涌現(xiàn),數(shù)據(jù)的使用、加工、傳輸、共享等活動日益頻繁,進一步凸顯數(shù)據(jù)安全保護的重要性。對此,有必要充分發(fā)揮監(jiān)管的“指揮棒”作用,通過強化政策要求引導(dǎo)銀行保險機構(gòu)壓實主體責任,完善內(nèi)部制度,采取有效的措施加強數(shù)據(jù)管理和保護,確??蛻粜畔⒑徒鹑诮灰讛?shù)據(jù)安全。
二、《辦法》的主要內(nèi)容是什么?
答:《辦法》共九章八十一條。包括總則、數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護、個人信息保護、數(shù)據(jù)安全風險監(jiān)測與處置、監(jiān)督管理及附則。主要內(nèi)容包括:
一是明確數(shù)據(jù)安全治理架構(gòu)。要求銀行保險機構(gòu)建立數(shù)據(jù)安全責任制,指定歸口管理部門負責本機構(gòu)的數(shù)據(jù)安全工作,明確各業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理職責。
二是建立數(shù)據(jù)分類分級標準。要求銀行保險機構(gòu)制定數(shù)據(jù)分類分級保護制度,建立數(shù)據(jù)目錄和分類分級規(guī)范,并采取差異化的安全保護措施。
三是強化數(shù)據(jù)安全管理。要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求,根據(jù)自身發(fā)展戰(zhàn)略建立數(shù)據(jù)安全管理制度和數(shù)據(jù)處理管控機制。
四是健全數(shù)據(jù)安全技術(shù)保護體系。要求銀行保險機構(gòu)建立數(shù)據(jù)安全技術(shù)架構(gòu),明確數(shù)據(jù)保護策略方法,采取技術(shù)手段保障數(shù)據(jù)安全。
五是加強個人信息保護。要求銀行保險機構(gòu)按照“明確告知、授權(quán)同意”原則處理個人信息,收集個人信息應(yīng)限于最小范圍,不得過度收集。
六是完善數(shù)據(jù)安全風險監(jiān)測與處置機制。要求銀行保險機構(gòu)將數(shù)據(jù)安全風險納入全面風險管理體系,明確風險監(jiān)測評估、應(yīng)急響應(yīng)報告、事件處置的管理流程。
七是明確監(jiān)督管理職責。國家金融監(jiān)督管理總局及派出機構(gòu)對銀行保險機構(gòu)數(shù)據(jù)安全保護情況進行監(jiān)督管理,依法對銀行保險機構(gòu)數(shù)據(jù)安全事件進行處置。
三、此次制定的《辦法》有哪些主要特點?
答:一是落實數(shù)據(jù)安全責任制。明確銀行保險機構(gòu)黨委(黨組)、董(理)事會對本單位數(shù)據(jù)安全工作負主體責任,機構(gòu)主要負責人為數(shù)據(jù)安全第一責任人,分管數(shù)據(jù)安全的領(lǐng)導(dǎo)為直接責任人。
二是明確數(shù)據(jù)安全歸口管理部門。要求銀行保險機構(gòu)指定數(shù)據(jù)安全歸口管理部門,作為本機構(gòu)負責數(shù)據(jù)安全工作的主責部門,承擔制定數(shù)據(jù)安全管理制度標準、建立維護數(shù)據(jù)目錄、推動數(shù)據(jù)分類分級保護、組織開展風險監(jiān)測、預(yù)警及處置等職責。
三是將數(shù)據(jù)安全風險納入全面風險管理體系。要求銀行保險機構(gòu)明確管理流程,主動評估風險,對數(shù)據(jù)安全風險進行有效監(jiān)測,防止數(shù)據(jù)破壞、泄露、非法利用等安全事件發(fā)生。風險管理、內(nèi)控合規(guī)和審計部門定期對數(shù)據(jù)安全開展審計、監(jiān)督檢查與評價。
四是強化數(shù)據(jù)安全評估。要求銀行保險機構(gòu)開展相關(guān)數(shù)據(jù)處理活動時,應(yīng)事先開展安全評估。根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍,分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響,評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性。
五是建立數(shù)據(jù)安全保護基線。將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級保護,對存放或傳輸敏感級及以上數(shù)據(jù)的機房、網(wǎng)絡(luò)實施重點防護,在數(shù)據(jù)全生命周期內(nèi)采取有效訪問控制管理措施,采用安全有效的傳輸方式保障數(shù)據(jù)完整性、保密性、可用性。
四、《辦法》規(guī)定的數(shù)據(jù)安全管理職責有哪些?
答:《辦法》要求銀行保險機構(gòu)按照國家數(shù)據(jù)安全與發(fā)展政策要求,根據(jù)自身發(fā)展戰(zhàn)略,制定數(shù)據(jù)安全保護策略;根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍,依照法律法規(guī)和倫理道德規(guī)范要求,對相關(guān)數(shù)據(jù)業(yè)務(wù)處理活動進行安全評估,分析數(shù)據(jù)安全風險和對數(shù)據(jù)主體權(quán)益影響,評估數(shù)據(jù)處理的必要性、合規(guī)性及防控措施的有效性;收集數(shù)據(jù)應(yīng)堅持“合法、正當、必要、誠信”原則,明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則,保障收集過程的數(shù)據(jù)安全性、數(shù)據(jù)來源可追溯,不得超出數(shù)據(jù)主體同意的范圍收集數(shù)據(jù);在數(shù)據(jù)集團內(nèi)部共享的過程中,應(yīng)建立總行(公司)與其子公司數(shù)據(jù)安全隔離的“防火墻”,并對共享數(shù)據(jù)采取有效保護措施;《辦法》還對數(shù)據(jù)加工、委托處理、共同處理、數(shù)據(jù)轉(zhuǎn)移等具體的數(shù)據(jù)處理場景分別提出了相應(yīng)安全管理要求。
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟新聞APP