為(wèi)规范银行保险机构数据处理(lǐ)活动，保障数据安(ān)全，促进数据合理(lǐ)开发利用(yòng)，稳步提升金融服務(wù)数字化、智能(néng)化水平，保护个人和组织的合法权益，2024年3月22日金融监管总局制定并发布了《银行保险机构数据安(ān)全管理(lǐ)办(bàn)法（征求意见稿）》（以下简称《办(bàn)法》）。

《办(bàn)法》要求银行保险机构按照“谁管业務(wù)、谁管业務(wù)数据、谁管数据安(ān)全”的原则，明确各业務(wù)领域的数据安(ān)全管理(lǐ)责任；制定数据分(fēn)类分(fēn)级保护制度，并采取差异化的安(ān)全保护措施。

《办(bàn)法》共八十一条，包括总则、数据安(ān)全治理(lǐ)、数据分(fēn)类分(fēn)级、数据安(ān)全管理(lǐ)、数据安(ān)全技(jì )术保护、个人信息保护、数据安(ān)全风险监测与处置、监督管理(lǐ)及附则九个章节，从治理(lǐ)體(tǐ)系、管理(lǐ)制度、技(jì )术机制以及风险评估、监测与处置机制等方面进行了系统规范，《办(bàn)法》的體(tǐ)系框架可(kě)如下图所示：

《办(bàn)法》制定的背景

近年来，《数据安(ān)全法》《个人信息保护法》等上位法相继发布，对规范数据处理(lǐ)活动、个人信息保护等提出了明确要求。同时，金融行业数字化变革加速演进，新(xīn)技(jì )术、新(xīn)业務(wù)模式不断涌现，数据的使用(yòng)、加工(gōng)、传输、共享等活动日益频繁，进一步凸显数据安(ān)全保护的重要性。对此，有(yǒu)必要充分(fēn)发挥监管的“指挥棒”作(zuò)用(yòng)，通过强化政策要求引导银行保险机构压实主體(tǐ)责任，完善内部制度，采取有(yǒu)效的措施加强数据管理(lǐ)和保护，确保客户信息和金融交易数据安(ān)全。

《办(bàn)法》的核心内容

一是明确数据安(ān)全治理(lǐ)架构。要求银行保险机构建立数据安(ān)全责任制，指定归口管理(lǐ)部门负责本机构的数据安(ān)全工(gōng)作(zuò)，明确各业務(wù)领域的数据安(ān)全管理(lǐ)职责。

二是建立数据分(fēn)类分(fēn)级标准。要求银行保险机构制定数据分(fēn)类分(fēn)级保护制度，建立数据目录和分(fēn)类分(fēn)级规范，并采取差异化的安(ān)全保护措施。

三是强化数据安(ān)全管理(lǐ)。要求银行保险机构按照國(guó)家数据安(ān)全与发展政策要求，根据自身发展战略建立数据安(ān)全管理(lǐ)制度和数据处理(lǐ)管控机制。

四是健全数据安(ān)全技(jì )术保护體(tǐ)系。要求银行保险机构建立数据安(ān)全技(jì )术架构，明确数据保护策略方法，采取技(jì )术手段保障数据安(ān)全。

五是加强个人信息保护。要求银行保险机构按照“明确告知、授权同意”原则处理(lǐ)个人信息，收集个人信息应限于最小(xiǎo)范围，不得过度收集。

六是完善数据安(ān)全风险监测与处置机制。要求银行保险机构将数据安(ān)全风险纳入全面风险管理(lǐ)體(tǐ)系，明确风险监测评估、应急响应报告、事件处置的管理(lǐ)流程。

七是明确监督管理(lǐ)职责。國(guó)家金融监督管理(lǐ)总局及派出机构对银行保险机构数据安(ān)全保护情况进行监督管理(lǐ)，依法对银行保险机构数据安(ān)全事件进行处置。

《办(bàn)法》的主要特点

一是落实数据安(ān)全责任制。明确银行保险机构党委（党组）、董（理(lǐ)）事会对本单位数据安(ān)全工(gōng)作(zuò)负主體(tǐ)责任，机构主要负责人為(wèi)数据安(ān)全第一责任人，分(fēn)管数据安(ān)全的领导為(wèi)直接责任人。

二是明确数据安(ān)全归口管理(lǐ)部门。要求银行保险机构指定数据安(ān)全归口管理(lǐ)部门，作(zuò)為(wèi)本机构负责数据安(ān)全工(gōng)作(zuò)的主责部门，承担制定数据安(ān)全管理(lǐ)制度标准、建立维护数据目录、推动数据分(fēn)类分(fēn)级保护、组织开展风险监测、预警及处置等职责。
三是将数据安(ān)全风险纳入全面风险管理(lǐ)體(tǐ)系。要求银行保险机构明确管理(lǐ)流程，主动评估风险，对数据安(ān)全风险进行有(yǒu)效监测，防止数据破坏、泄露、非法利用(yòng)等安(ān)全事件发生。风险管理(lǐ)、内控合规和审计部门定期对数据安(ān)全开展审计、监督检查与评价。

四是强化数据安(ān)全评估。要求银行保险机构开展相关数据处理(lǐ)活动时，应事先开展安(ān)全评估。根据数据处理(lǐ)目的、性质(zhì)和范围，分(fēn)析数据安(ān)全风险和对数据主體(tǐ)权益影响，评估数据处理(lǐ)的必要性、合规性及防控措施的有(yǒu)效性。

五是建立数据安(ān)全保护基線(xiàn)。将数据纳入网络安(ān)全等级保护，对存放或传输敏感级及以上数据的机房、网络实施重点防护，在数据全生命周期内采取有(yǒu)效访问控制管理(lǐ)措施，采用(yòng)安(ān)全有(yǒu)效的传输方式保障数据完整性、保密性、可(kě)用(yòng)性。

《办(bàn)法》规定的数据安(ān)全管理(lǐ)职责

《办(bàn)法》要求银行保险机构按照國(guó)家数据安(ān)全与发展政策要求，根据自身发展战略，制定数据安(ān)全保护策略；根据数据处理(lǐ)目的、性质(zhì)和范围，依照法律法规和伦理(lǐ)道德(dé)规范要求，对相关数据业務(wù)处理(lǐ)活动进行安(ān)全评估，分(fēn)析数据安(ān)全风险和对数据主體(tǐ)权益影响，评估数据处理(lǐ)的必要性、合规性及防控措施的有(yǒu)效性；收集数据应坚持“合法、正当、必要、诚信”原则，明确数据收集和处理(lǐ)的目的、方式、范围、规则，保障收集过程的数据安(ān)全性、数据来源可(kě)追溯，不得超出数据主體(tǐ)同意的范围收集数据；在数据集团内部共享的过程中(zhōng)，应建立总行（公(gōng)司）与其子公(gōng)司数据安(ān)全隔离的“防火墙”，并对共享数据采取有(yǒu)效保护措施；《办(bàn)法》还对数据加工(gōng)、委托处理(lǐ)、共同处理(lǐ)、数据转移等具(jù)體(tǐ)的数据处理(lǐ)场景分(fēn)别提出了相应安(ān)全管理(lǐ)要求。

《办(bàn)法》解读

1.个人信息保护是数据安(ān)全管理(lǐ)的重中(zhōng)之重。

《办(bàn)法》明确要求银行保险机构在处理(lǐ)个人信息时，应遵循“明确告知、授权同意”原则，收集个人信息应限于最小(xiǎo)范围，不得过度收集。这一规定有(yǒu)助于保护客户隐私，防止个人信息被滥用(yòng)和泄露，提升了银行保险机构的信任度和社会形象。

关于个人信息应限于最小(xiǎo)范围，不得过度收集，而对于这个“过度”，法规没有(yǒu)给出明确指标，希望能(néng)在最终稿时，能(néng)把最小(xiǎo)范围给出一个定义以及什么是“过度”标准给出一个条件。这样更有(yǒu)利于从业人员把握合规要求，也减少银行、保险等机构的自我解读，形成“灰色”地带。

2.《办(bàn)法》第五十四至第六十三条，基本沿用(yòng)了《个保法》相关规定，强调金融机构加强对用(yòng)户个人信息保护。在个人信息保护方面加强告知同意原则、目的限制原则等工(gōng)作(zuò)原则和影响评估、对外提供、跨境提供、委托处理(lǐ)、自动化决策、个人信息风险报告等合规要求，并未实质(zhì)性改变或加重银行保险机构的合规义務(wù)。
3.《办(bàn)法》第六十三条為(wèi)银行保险机构设定了“个人信息风险报告”的相关制度，要求机构在出现个人信息相关的风险事件时需要向金融监管总局报告。
4.整體(tǐ)而言，《办(bàn)法》采取了“主體(tǐ)监管”的监管方式，对于金融监管总局管辖的所有(yǒu)类型金融机构，采取统一的监管标准。

随着金融行业数据安(ān)全保护相关标准要求不断完善和安(ān)全监管力度的不断强化，数据安(ān)全治理(lǐ)与保护工(gōng)作(zuò)任務(wù)日益艰巨。

爱加密作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，長(cháng)期关注移动应用(yòng)个人信息安(ān)全，可(kě)提供专业的移动应用(yòng)个人信息安(ān)全检测、移动应用(yòng)个人信息安(ān)全合规评估服務(wù)。

可(kě)帮助监管机构准确、有(yǒu)效地提供行政执法依据，加强个人信息安(ān)全监管能(néng)力，保护消费者个人隐私。

可(kě)為(wèi)应用(yòng)开发企业在应用(yòng)发布前评估个人信息的安(ān)全性和合规性帮助，落实相应法规要求，从源头上降低被监管机构通报的风险。

爱加密个人信息安(ān)全检测平台采用(yòng)人工(gōng)智能(néng)自动化遍历工(gōng)具(jù)，通过大量的应用(yòng)数据训练，不断提升自动化遍历的覆盖能(néng)力，為(wèi)个人信息安(ān)全生态保驾护航。与其传统手动测试相比，可(kě)以大幅提高测试效率和质(zhì)量。

明确移动应用(yòng)的基本信息、漏洞信息、收集和使用(yòng)个人信息行為(wèi)、通讯传输行為(wèi)、软件和技(jì )术供应链情况、技(jì )术脆弱性、隐私政策规范性等问题，通过爱加密移动应用(yòng)个人信息安(ān)全检测平台，进行多(duō)维度安(ān)全检测和合规检测，并出具(jù)专业的个人信息安(ān)全报告。对金融行业移动应用(yòng)个人信息安(ān)全问题，进行有(yǒu)的放矢的安(ān)全性、合规性评估、整改。

未来，爱加密将持续进行技(jì )术创新(xīn)、服務(wù)创新(xīn)和业務(wù)创新(xīn)，逐步提升产(chǎn)品技(jì )术实力、完善安(ān)全服務(wù)體(tǐ)系，為(wèi)监管机构提供更加优质(zhì)的技(jì )术支撑服務(wù)，為(wèi)金融、政企、运营商(shāng)、医(yī)疗、能(néng)源、交通等行业用(yòng)户提供更加专业、贴心的安(ān)全服務(wù)。

END

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容