《銀行保險機構數據安全管理辦法》是為規範銀行業保險業數據處理活動,保障數據安全、金融安全,促進數據合理開發利用,保護個人、組織的合法權益,維護國家安全和社會公共利益,根據《中華人民共和國數據安全法》《中華人民共和國網路安全法》《中華人民共和國個人信息保護法》《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》《中華人民共和國保險法》等法律法規制定的辦法。由國家金融監督管理總局於2024年3月22日發布徵求意見稿,意見反饋截止時間為2024年4月23日。
基本介紹
- 中文名:銀行保險機構數據安全管理辦法
- 發布單位:國家金融監督管理總局
意見徵詢,徵求意見稿,
意見徵詢
國家金融監督管理總局關於《銀行保險機構數據安全管理辦法》
公開徵求意見的公告
為規範銀行業保險業數據處理活動,保障數據安全、金融安全,促進數據合理開發利用,保護個人、組織的合法權益,國家金融監督管理總局起草了《銀行保險機構數據安全管理辦法(公開徵求意見稿)》,現向社會公開徵求意見。公眾可通過以下途徑和方式提出反饋意見:
一、通過電子郵件將意見傳送至:參考連結。
二、通過信函方式將意見寄至:北京市西城區金融大街甲15號(100033),並請在信封上註明“銀行保險機構數據安全管理辦法徵求意見”字樣。
意見反饋截止時間為2024年4月23日。
國家金融監督管理總局
2024年3月22日
徵求意見稿
銀行保險機構數據安全管理辦法
(公開徵求意見稿)
第一章 總 則
第一條 (立法目的及依據)
為規範銀行業保險業數據處理活動,保障數據安全、金融安全,促進數據合理開發利用,保護個人、組織的合法權益,維護國家安全和社會公共利益,根據《中華人民共和國數據安全法》《中華人民共和國網路安全法》《中華人民共和國個人信息保護法》《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》《中華人民共和國保險法》等法律法規,制定本辦法。
第二條 (適用範圍)
在中華人民共和國境內設立的開發性金融機構、政策性銀行、商業銀行、農村合作銀行、農村信用社,保險集團(控股)公司、保險公司、保險資產管理公司、金融資產管理公司、信託公司、財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司、理財公司適用本辦法。
開展涉及國家秘密的數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。
第三條 (術語定義)
本辦法所稱數據,是指以電子或者其他方式對信息的記錄。
數據處理,是指對數據的收集、存儲、使用、加工、傳輸、提供、共享、轉移、公開、刪除、銷毀等。
數據安全,是指通過採取必要措施,對數據處理活動和數據套用場景進行管理與控制,確保數據始終處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
數據主體,是指數據所標識的自然人或者其監護人、企業、機關、事業單位、社會團體和其他組織。
個人信息,是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。
大數據平台,是指以處理海量數據存儲、計算、分析等為目的的基礎設施,包括數據統計分析類的平台和大數據處理類平台(如數據湖、數據倉庫等)。
第四條 (數據安全監管)
國家金融監督管理總局及其派出機構負責銀行業保險業數據安全的監督管理,制定並發布監管規章制度,對銀行保險機構履行數據安全保護義務情況進行監督檢查。
第五條 (數據安全管理體系)
銀行保險機構應當建立與本機構業務發展目標相適應的數據安全治理體系,建立健全數據安全管理制度,構建覆蓋數據全生命周期和套用場景的安全保護機制,開展數據安全風險評估、監測與處置,保障數據開發利用活動安全穩健開展。銀行保險機構利用網際網路等信息網路開展數據處理活動,應當在網路安全等級保護制度基礎上,履行數據安全保護義務。
第六條 (保護原則與目標)
銀行保險機構開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、政治安全、金融安全、公共利益,不得損害個人、組織的合法權益。
第七條 (數據開發利用)
銀行保險機構應當統籌發展和安全,落實國家大數據戰略,推進數據基礎設施建設,加大數據創新套用力度,促進以數據為關鍵要素的數字經濟發展,提升金融服務的智慧型化水平,創新普惠金融服務模式,增強防範化解風險的能力。
第八條 (持續提升)
銀行保險機構應當持續跟蹤新興數據開發利用和科技發展前沿動態,有效應對大數據套用與科技創新可能產生的規則衝突、社會風險、倫理道德風險,防止數據與科技被誤用、濫用。
第二章 數據安全治理
第九條 (數據安全治理架構)
銀行保險機構應當建立覆蓋董(理)事會、高管層、數據安全統籌、數據安全技術保護等部門的數據安全管理組織架構,明確崗位職責和工作機制,落實資源保障。
第十條 (數據安全責任制)
銀行保險機構應當建立數據安全責任制,黨委(黨組)、董(理)事會對本單位數據安全工作負主體責任。銀行保險機構主要負責人為數據安全第一責任人,分管數據安全的領導為直接責任人,明確各層級負責人的責任,明確違規情形和責任追究事項,落實問責處置機制。
第十一條 (數據安全歸口管理部門)
銀行保險機構應當指定數據安全歸口管理部門,作為本機構負責數據安全工作的主責部門。其主要職責包括:
(一)組織制定數據安全管理原則、規劃、制度和標準。
(二)組織建立和維護數據目錄,推動實施數據分類分級保護。
(三)組織開展數據安全評估和審查。
(四)統籌建立數據安全應急管理機制,組織開展數據安全風險監測、預警與處置。
(五)組織開展數據安全宣貫培訓,提升員工數據安全保護意識與技能。
(六)建立和維護內部數據共享、外部數據引入、數據對外提供、數據出境的統籌管理機制,牽頭對外部數據供應商進行安全管理,統籌大數據套用、數據共享項目的安全需求管理。
(七)向黨委(黨組)、董(理)事會、高管層報告數據安全重要事項。
(八)其他須統籌管理的數據安全工作事項。
第十二條 (業務部門)
銀行保險機構應當按照“誰管業務、誰管業務數據、誰管數據安全”的原則,明確各業務領域的數據安全管理責任,落實數據安全保護管理要求。
第十三條 (風險合規與審計部門)
銀行保險機構風險管理、內控合規和審計部門負責將數據安全納入全面風險管理體系、內控評價體系,定期開展審計、監督檢查與評價,督促問題整改和開展問責。
第十四條 (數據安全技術保護部門)
銀行保險機構信息科技部門是數據安全的技術保護主責部門,其主要職責包括:
(一)建立數據安全技術保護體系,建立數據安全技術架構和保護控制基線,落實技術保護措施。
(二)制定數據安全技術標準規範制度,組織開展數據安全技術風險評估。
(三)組織開展信息系統的生命周期安全管理,確保數據安全保護措施在需求、開發、測試、投產、監測等環節得到落實。
(四)建立數據安全技術應急管理機制,組織開展數據安全風險技術監測、預警、通報與處置,防範外部攻擊行為。
(五)組織數據安全技術研究與套用。
第十五條 (數據安全文化建設)
銀行保險機構應當建立良好的數據安全文化,開展全員數據安全教育和培訓,提高數據安全保護意識和水平,形成全員共同維護數據安全和促進發展的良好環境。
第三章 數據分類分級
第十六條 (總體要求)
銀行保險機構應當制定數據分類分級保護制度,建立數據目錄和分類分級規範,動態管理和維護數據目錄,採取差異化安全保護措施。
第十七條 (數據分類)
銀行保險機構應當對機構業務及經營管理過程中獲取、產生的數據進行分類管理,數據類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。
第十八條 (數據分級)
銀行保險機構應當根據數據的重要性和敏感程度,將數據分為核心數據、重要數據、一般數據。其中,一般數據細分為敏感數據和其他一般數據。
核心數據是指對領域、群體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度的重要數據,一旦被非法使用或者共享,可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益。
重要數據是指特定領域、特定群體、特定區域或者達到一定精度和規模的數據,一旦被泄露或者篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。
敏感數據是指,一旦被泄露或者篡改、損毀,對經濟運行、社會穩定、公共利益有一定影響,或者對組織自身或者公民個體造成重要影響的數據。
除以上數據之外的數據為其他一般數據。
第十九條 (動態調整)
銀行保險機構應當加強數據安全級別的時效管理,建立動態調整審批機制,當數據的業務屬性、重要程度和可能造成的危害程度發生變化,導致原安全級別不再適用的,應當及時動態調整。
第四章 數據安全管理
第二十條 (管理體系)
銀行保險機構應當按照國家數據安全與發展政策要求,根據自身發展戰略,制定數據安全保護策略。銀行保險機構應當制定數據安全管理辦法,明確管理責任分工,建立包括數據處理全生命周期管控機制,落實保護措施。
銀行保險機構應當對數據外部引入或者合作共享、數據出境等,制定安全管理實施細則。
第二十一條 (數據資產管理)
銀行保險機構應當建立企業級數據架構,統籌開展對全域數據資產登記管理,建立數據資產地圖,以數據分類分級為基礎明確數據保護對象,圍繞數據處理活動實施安全管理。
第二十二條 (數據安全評估)
銀行保險機構在處理敏感級及以上數據的業務活動時,或者開展數據委託處理、共同處理、轉移、公開、共享等對數據主體有較大影響的活動時,應當事先開展數據安全評估。數據安全評估應當根據數據處理目的、性質和範圍,按照法律法規和倫理道德規範要求,分析數據安全風險和對數據主體權益影響,評估數據處理的必要性、合規性,評估數據安全風險及防控措施的有效性。
第二十三條 (數據服務管理)
銀行保險機構應當建立企業級數據服務管理體系,制定數據服務規範,建立專職數據服務團隊,統籌內外部數據加工、分析,實施數據服務需求分析、服務開發、服務部署、服務監控等活動。
第二十四條 (數據收集)
銀行保險機構收集數據應當堅持“合法、正當、必要、誠信”原則,明確數據收集和處理的目的、方式、範圍、規則,保障收集過程的數據安全性、數據來源可追溯。銀行保險機構不得超出數據主體同意的範圍向其收集數據,法律、行政法規另有規定的除外。
銀行保險機構向其他銀行保險機構收集行業重要級及以上數據,需經國家金融監督管理總局同意。
第二十五條 (數據收集)
銀行保險機構應當以信息系統為數據收集的主要渠道,限制或者減少其他渠道、臨時性數據收集。
銀行保險機構停止金融業務或者服務後,應當立即停止相關數據收集或者處理活動,法律、行政法規另有規定的除外。
第二十六條 (外部數據採購)
銀行保險機構應當制定外部數據採購、合作引入的集中審批管理制度,納入外包風險管理體系進行統籌管理,統籌建立數據需求、安全評估、收集引入、數據運維、登記備案和監督評價管理機制,對數據來源的真實性、合法性進行調查,評估數據提供者的安全保障能力及其數據安全風險,明確雙方數據安全責任及義務。
第二十七條 (數據加工)
銀行保險機構開展敏感級及以上數據清洗轉換、匯聚融合、分析挖掘等數據加工活動時,應當採用匿名化、去標識化或者其他必要安全措施保護數據主體權益,法律、行政法規另有規定的除外。數據匯聚融合衍生敏感級及以上數據,或者導致數據安全級別變化的,應當及時評估、調整安全保護措施。
第二十八條 (數據使用)
銀行保險機構應當按照“業務必要授權”原則,對敏感級及以上數據嚴格實施授權管理,制定數據訪問閉環管理機制,並對數據訪問行為實施審計。確因業務需要從生產環境提取數據的,應當建立嚴格的審批程式,並明確數據使用或者保存期限。
銀行保險機構利用網際網路等信息網路開展數據處理活動時,要落實網路安全等級保護、關鍵信息基礎設施安全保護、密碼保護等制度要求。
第二十九條 (數據共享及集團內部共享)
銀行保險機構應當對數據共享使用進行集中安全管控,明確企業級數據共享策略,評估數據共享使用的必要性、合規性、安全性及倫理道德規範的符合度。
銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火牆”,並對共享數據採取有效保護措施。銀行保險機構與其母行、集團,或者其子行、子公司共享敏感級及以上數據,應當獲得數據主體的授權同意,法律、行政法規另有規定的除外。不得以數據主體拒絕同意共享敏感數據而終止或者拒絕單家子行、子公司對其提供金融服務,所共享數據屬於提供產品或者服務所必需的除外。
第三十條 (數據委託處理)
銀行保險機構在委託處理數據時,應當明確所涉數據外部使用和處理的條件、場景、方式。委託處理數據時,應當以契約協定方式約定委託處理的目的、期限、處理方式、數據範圍、保護措施、雙方的數據安全責任和義務,以及受託方返還或者刪除數據的方式等,對數據處理活動進行記錄和審計,可對外公開披露的數據除外。銀行保險機構應當要求受託方在未取得其同意時,不得轉委託其他主體處理數據,不得對外共享數據,不得加工、訓練、挪用數據,或者採取其他形式處理數據以謀取契約或者協定約定以外的利益。
第三十一條 (外包管理)
銀行保險機構應當將數據委託處理納入信息科技外包管理範圍,在實施過程中不得將信息科技管理責任、數據安全主體責任外包,涉及信息科技戰略管理、信息科技風險管理、信息科技內部審計及其他有關信息科技核心競爭力的職能不得外包。
第三十二條 (數據共同處理)
銀行保險機構與第三方機構進行數據共同處理時,應當按照“業務必要授權”原則制定方案並採取有效技術保護措施確保數據安全,並以契約協定方式明確雙方在數據處理過程中的數據安全責任和義務。
第三十三條 (數據轉移)
銀行保險機構因兼併、重組、破產等需要轉移數據,應當明確數據轉移內容,通過協定、承諾等方式約定數據接收方全面承接對應數據的安全保護義務,通過公告等方式告知數據主體。數據轉移應當採用安全可靠方式進行,並確保轉移過程可追溯。
第三十四條 (數據轉移)
銀行保險機構向外部提供敏感級及以上數據,應當取得數據主體同意,法律、行政法規另有規定的除外。除國家機關依法履職外,銀行保險機構核心數據跨主體流動應當按照國家相關政策要求通過風險評估、安全審查。
第三十五條 (數據公開)
銀行保險機構應當建立對外公開披露數據的審批機制,研判可能產生的影響,數據公開應當在機構官方渠道進行發布,確保數據真實、準確、防篡改,記錄審批和發布情況。
敏感級及以上數據不得公開,法律、行政法規另有規定的或者取得數據主體授權同意的除外。
第三十六條 (數據跨境)
銀行保險機構向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息,應當承擔數據安全主體責任,並按照國家有關政策要求進行安全評估。
第三十七條 (數據備份)
銀行保險機構應當採取技術措施,對敏感級及以上數據加強重點防護。加強數據備份,制定備份策略,備份數據和生產數據應隔離分開保存,嚴格管理備份數據的訪問許可權。制定備份驗證計畫,確保備份數據完整有效、業務可恢復。
第三十八條 (數據刪除與銷毀)
銀行保險機構應當制定數據銷毀管理制度,按照國家、行業有關規定及與數據主體的約定進行數據刪除或者匿名化處理。銀行保險機構委託數據處理中止時,應當要求服務提供商及時刪除數據,並採取現場檢查等有效監督措施,確保數據被銷毀、不可恢復。
第五章 數據安全技術保護
第三十九條 (數據安全技術保護體系)
銀行保險機構應當建立針對大數據、雲計算、移動網際網路、物聯網等多元異構環境下的數據安全技術保護體系,建立數據安全技術架構,明確數據保護策略方法,採取技術措施,保障數據安全。
第四十條 (信息系統生命周期的數據安全)
銀行保險機構應當將數據安全保護納入信息系統開發生命周期框架,針對敏感級及以上數據明確安全保護要求,實現數據安全保護措施與信息系統的同步規劃、同步建設、同步使用。
第四十一條 (網路安全與數據安全保護)
銀行保險機構應當將數據納入網路安全等級保護。銀行保險機構應當根據數據安全級別,劃分網路邏輯安全域,建立分區域數據安全保護基線,實施有效的安全控制,包括內容過濾、訪問控制和安全監控等,確保相關措施滿足處理和存儲最高級別數據的網路安全策略和數據安全保護策略要求。存放或者傳輸敏感級及以上數據的機房、網路應當實施重點防護,設立物理安全保護區域,對網路邊界、重要網路節點進行安全監控與審計。
第四十二條 (數據安全保護基線-信息系統保護)
銀行保險機構應當將敏感級及以上數據納入信息系統保護。在數據全生命周期內採取有效的訪問控制管理措施,對於不同區域流轉和共享中的數據,應當實施同等水平的安全防護措施。多來源敏感級及以上數據匯聚集中後,應當採取加強性或者至少不低於集中前最高級別數據保護強度的安全措施。
第四十三條 (數據安全保護基線-數據訪問控制)
銀行保險機構應當嚴格實施對敏感級及以上數據的管理,制定用戶對數據的訪問策略,採取有效的用戶認證和訪問控制技術措施,規範數據操作行為,用戶對數據的訪問應當符合業務開展的必要要求並與數據安全級別相匹配。敏感級及以上數據的操作應當進行日誌記錄,包括操作時間、用戶標識、行為類型等,核心數據操作日誌及其備份數據保存時間不低於3年,重要數據、敏感數據操作日誌及其備份數據保存時間不低於1年,如涉及委託處理、共同處理的數據操作日誌及其備份數據保存時間不低於3年。應當定期對數據操作行為進行審計,審計周期不超過6個月。
第四十四條 (數據安全保護基線-數據傳輸保護)
銀行保險機構敏感級及以上數據傳輸應當採用安全的傳輸方式,保障數據完整性、保密性、可用性。
銀行保險機構之間進行數據交換時,參與數據交換的相關機構應當採取有效措施保障信息數據傳輸和存儲的保密性、完整性、準確性、及時性、安全性。
第四十五條 (數據安全保護基線-數據存儲保護)
銀行保險機構應當對敏感級及以上數據採取安全存儲措施,防止勒索病毒、木馬後門等攻擊。個人身份鑑別數據不得明文存儲、傳輸和展示。敏感級及以上數據應當實施數據容災備份,定期進行數據可恢復性驗證。
第四十六條 (數據安全保護基線-數據銷毀管理)
敏感級及以上數據達到使用或者保存期限後,應當採取技術措施及時刪除或者銷毀,確保數據不可恢復。終端和移動存儲介質內的敏感級及以上數據應當採取技術保護措施,確保受控安全訪問,介質報廢或者重用時,其存儲空間數據應當完全清除並不可恢復。
第四十七條 (數據安全基礎設施)
銀行保險機構應當開展數據安全的技術基礎設施建設,支持用戶身份管理、數據匿名化、行為監測、日誌審計、數據虛擬化等功能的組件化、服務化,保障安全標準在信息系統中執行的一致性。
第四十八條 (數據安全測試)
銀行保險機構開發信息系統時,應當明確係統擬處理的數據及其安全級別、訪問規則、保護需求,並實施有效的系統安全控制。系統投產上線前應當開展安全測試,確保各項安全要求落實,有效防範數據安全風險。測試環境應當與生產系統隔離,敏感級及以上數據原則上未經脫敏處理不得進入測試環境, 防止數據泄露。
第四十九條 (大數據平台安全)
銀行保險機構應當對大數據平台採取高可用設計、安全加固、數據備份等措施進行重點保護。應當建立大數據服務訪問授權機制,動態監測與審計大數據訪問行為。
第五十條 (數據加工)
銀行保險機構開展自動化決策分析、模型算法開發、數據標註等活動,應當保證數據處理透明度和結果公平合理。銀行保險機構應當對人工智慧模型開發套用進行統一管理,建立模型算法產品外部引入的準入機制,對模型研發過程進行主動管理,實現模型算法可驗證、可審核、可追溯。
第五十一條 (數據加工)
銀行保險機構信息系統、模型算法投入使用時,應當開展數據安全審查,審查數據與模型使用的合理性、正當性、可解釋性,以及數據利用對相關主體合法權益的影響、倫理道德風險及防控措施有效性等。
第五十二條 (數據加工)
銀行保險機構使用人工智慧技術開展業務時,應當就數據對決策結果影響進行解釋說明和信息披露,實時監測自動化處理與系統運行結果,建立人工智慧套用的風險緩釋措施,包括制定退出人工智慧套用的替代方案,對安全威脅制定應急方案並開展演練。
第五十三條 (外部互動數據安全)
銀行保險機構在建設開放銀行、金融生態或者與第三方數據合作時,要實現自身與外部的安全風險隔離,與外部機構的數據互動應當通過集中管理的外聯平台或者應用程式接口實施,依據“業務必需、最小許可權”原則,採取有效措施對接口設計、開發、服務、運行等進行集中安全保護管理。
第六章 個人信息保護
第五十四條 (處理原則)
銀行保險機構處理個人信息應當按照“明確告知、授權同意”的原則實施,法律、行政法規另有規定的除外,並在信息系統中實現相關功能控制。
第五十五條 (處理原則)
銀行保險機構處理個人信息應當具有明確、合理的目的,並應當與處理目的直接相關,收集個人信息應當限於實現金融業務處理目的的最小範圍,不得過度收集個人信息。不得利用所收集的個人信息從事違法違規活動。
第五十六條 (告知義務)
銀行保險機構處理個人信息前,應當真實、準確、完整地向個人告知其個人信息的處理目的、處理方式、處理的個人信息種類、保存期限,個人行使其信息權利的申請受理和處理程式,以及法律法規規定應當告知的其他事項。
銀行保險機構應當制定個人信息處理規則,個人信息處理規則應當公開展示、易於訪問、內容明確、清晰易懂。
第五十七條 (告知義務)
銀行保險機構不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務,處理個人信息屬於提供產品或者服務所必需的除外。
第五十八條 (影響評估)
銀行保險機構在開展涉及對個人權益有重大影響的個人信息處理活動時,應當進行個人信息保護影響評估,評估內容包括個人信息處理的合法性、必要性,對個人權益的影響及安全風險,所採取的保護措施合法性、有效性以及是否與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
第五十九條 (共享和外部提供)
銀行保險機構與其母行、集團,或者其子行、子公司共享個人信息,及向外部提供個人信息,應當履行向個人告知及取得其同意等相關事項的義務。
第六十條 (跨境傳輸)
銀行保險機構向中華人民共和國境外提供個人信息的,除滿足第五十九條規定的要求外,還應當向個人告知其向境外接收方行使信息權利的方式和程式等事項,法律、行政法規另有規定的除外。
第六十一條 (委託處理)
銀行保險機構委託第三方處理個人信息的,應當在契約或者協定條款內明確受託人對個人信息的保護義務、保護措施和期限等,並嚴格監督受託人以約定的處理目的、處理方式等處理個人信息,與第三方傳輸個人敏感數據必須確保全全,防範數據濫用和泄漏風險。未經銀行保險機構同意,受託人不得轉委託他人處理個人信息。
第六十二條 (自動化決策)
銀行保險機構在算法設計、訓練數據選擇和模型生成時,應當採取有效措施,保障個人合法權益。利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正。
第六十三條 (個人信息風險報告)
發生或者可能發生個人信息泄露、篡改、丟失的,銀行保險機構應當立即採取補救措施,同時通知個人並報送國家金融監督管理總局或者其派出機構。通知應當包括下列事項:
(一)發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
(二)銀行保險機構採取的補救措施和個人可以採取的減輕危害的措施。
銀行保險機構採取措施能夠有效避免信息泄露、篡改、丟失造成危害的,可以不通知個人;監管部門認為可能造成危害的,有權要求銀行保險機構通知個人。
第七章 數據安全風險監測與處置
第六十四條 (數據安全風險管理機制)
銀行保險機構應當將數據安全風險納入本機構全面風險管理體系,明確數據安全風險監測、風險評估、應急回響及報告、事件處置的組織架構和管理流程,有效防範和處置數據安全風險。
第六十五條 (風險監測)
銀行保險機構應當對數據安全威脅進行有效監測,實施監督檢查,主動評估風險,防止數據篡改、破壞、泄露、非法利用等安全事件發生。監測內容包括:
(一)超範圍授權或者使用系統特權賬號;
(二)內部人員異常訪問、使用數據;
(三)對數據集中共享的系統或者平台的網路安全、數據安全威脅;
(四)敏感級及以上數據在不同區域的異常流動;
(五)移動存儲介質的異常使用;
(六)外包、第三方合作中的數據處理異常或者數據泄露、丟失和篡改;
(七)客戶有關數據安全的投訴;
(八)數據泄露、仿冒欺詐等負面輿情;
(九)其他可能導致數據安全事件發生的情況。
第六十六條 (風險評估與審計)
銀行保險機構應當每年開展一次數據安全風險評估。審計部門應當每三年至少開展一次數據安全全面審計,發生重大數據安全事件後應當開展專項審計。銀行保險機構委託專業機構進行數據安全審計時,不得使用該機構提供的產品和其他服務。
第六十七條 (數據安全事件分級)
數據安全事件是指銀行保險機構數據被篡改、泄露、破壞、非法獲取、非法利用等,對個人或者組織合法權益、行業安全、國家安全造成負面影響的事件。根據其影響範圍和程度,分為特別重大、重大、較大和一般四個事件級別。
第六十八條 (應急回響與處置)
銀行保險機構應當建立數據安全事件應急管理機制,建立機構內部協調聯動機制,建立服務提供商、第三方合作機構數據安全事件的報告機制,及時處置風險隱患及安全事件。
(一)制定數據安全事件應急預案,定期開展應急回響培訓和應急演練。
(二)發生數據安全事件後,應當立即啟動應急處置,分析事件原因、評估事件影響、開展事件定級,按照預案及時採取業務、技術等措施控制事態。
(三)建立數據安全事件報告機制,根據事件安全等級制定報告流程,發生數據安全事件時按照規定報告,同時按照契約、協定等有關約定履行客戶及合作方告知義務。
(四)發生數據安全事件或者使用的網路產品和服務存在安全缺陷、漏洞時,應當立即開展調查評估,及時採取補救措施,防止危害擴大。網路產品和服務提供商存在安全缺陷、漏洞隱瞞不報的,銀行保險機構應當責令其改正;未按要求整改或者造成嚴重後果的,應當取消其服務資格,按契約約定予以處罰,並向國家金融監督管理總局或者其派出機構報告。
第六十九條 (事件監管報告)
數據安全事件發生2小時內,銀行保險機構應當向國家金融監督管理總局或者其派出機構報告,並在事件發生後24小時內提交正式書面報告。發生特別重大數據安全事件,銀行保險機構應當立即採取處置措施,按照規定及時告知用戶並向屬地公安機關、金融監管機構報告。銀行保險機構應當每2小時將處置進展情況上報,直至處置結束。數據安全事件處置結束後,銀行保險機構應當在五個工作日內將事件及其處置的評估、總結和改進報告報送屬地監管部門。其他法律、行政法規對數據安全事件應急處置作出規定的,銀行保險機構應當執行。
第八章 監督管理
第七十條 (監管方式)
國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進行監督管理,開展非現場監管、現場檢查,將數據安全管理情況納入監管評級評估體系,依法對銀行保險機構數據安全事件進行處罰和處置,實施對數據安全管理的持續監管。
第七十一條 (數據目錄管理)
國家金融監督管理總局按照國家數據分類分級要求,制定銀行業保險業重要數據目錄,提出核心數據目錄建議,監督指導銀行保險機構開展數據分類分級管理和數據保護。銀行保險機構應當按要求向國家金融監督管理總局或者其派出機構報送重要數據目錄。重要數據目錄發生重大變化應當及時報備更新後的數據目錄。
第七十二條 (行業監測預警)
國家金融監督管理總局建立銀行業保險業數據安全監測預警、通報處置機制,持續監測數據安全風險,向行業發布風險提示,制定銀行業保險業數據安全事件應急預案,處置數據安全風險事件。與國家數據安全管理部門建立聯防聯控管理機制,實施數據安全信息共享、風險監測預警及數據安全事件處置。
第七十三條 (機構報告)
涉及批量敏感級及以上數據的數據共享、委託處理、轉讓交易、數據轉移,銀行保險機構應當在處理、契約簽署前二十個工作日向國家金融監督管理總局或者其派出機構報告,法律、行政法規另有規定的除外。
第七十四條 (機構報告)
銀行保險機構應當於每年1月15日前向國家金融監督管理總局或者其派出機構報送上一年度數據安全風險評估報告,報告內容包括數據安全治理、技術保護、數據安全風險監測及處置措施、數據安全事件及處置情況、委託和共同處理、數據出境、數據安全評估與審查情況、數據安全相關的投訴及處理情況等。
第七十五條 (現場檢查與事件處置)
國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進行現場檢查、事件調查,對於發現涉嫌違法違規事項的有關單位和個人,依法開展調查。現場檢查、事件調查可以委託國家、行業有關專業技術機構或者審計機構予以協助。
第七十六條 (監管措施與法律責任)
銀行保險機構違反本辦法要求的,國家金融監督管理總局或者其派出機構根據其違規情況,對銀行保險機構依法採取風險提示、監管談話、監管通報、責令改正等監管措施;對涉及違規處理行為的系統或者套用,責令暫停或者終止服務;對有重大違法違規情形,或者遲報、瞞報數據安全事件和案件,或者產生重大數據安全風險、事件、案件的第三方機構進行行業通報,責令銀行保險機構暫緩或者停止合作。
第七十七條 (監管措施與法律責任)
銀行業金融機構違反本辦法要求的,國家金融監督管理總局或者其派出機構可以依據《中華人民共和國銀行業監督管理法》相關規定,責令銀行機構改正,並處以二十萬以上五十萬以下罰款;情節特別嚴重或者逾期不改正的,可以責令停業整頓或者吊銷其經營許可證。根據違規情況,可以責令銀行業金融機構對直接負責的董事、高級管理人員和其他直接責任人員給予紀律處分;銀行業金融機構的行為尚不構成犯罪的,對直接負責的董事、高級管理人員和其他直接責任人員給予警告,處五萬元以上五十萬元以下罰款;取消直接負責的董事、高級管理人員一定期限直至終身的任職資格,禁止直接負責的董事、高級管理人員和其他直接責任人員一定期限直至終身從事銀行業工作。構成犯罪的,依法追究刑事責任。
保險機構違反本辦法要求的,國家金融監督管理總局或者其派出機構可以依據《中華人民共和國保險法》相關規定,責令保險機構改正,處五萬元以上三十萬元以下的罰款;情節嚴重的,限制其業務範圍、責令停止接受新業務或者吊銷業務許可證。根據違規情況,對其直接負責的主管人員和其他直接責任人員給予警告,並處一萬元以上十萬元以下的罰款;情節嚴重的,撤銷任職資格。構成犯罪的,依法追究刑事責任。
實施過程中如遇《中華人民共和國銀行業監督管理法》《中華人民共和國保險法》修訂,以修訂後的規定為準。
第七十八條 (行業協會職責)
中國銀行業協會、中國保險行業協會等行業社團組織應當通過宣傳、培訓、自律、協調、服務等方式,協助引導會員單位提高數據安全管理水平。
第九章 附 則
第七十九條 (解釋和修訂)
本辦法由國家金融監督管理總局負責解釋和修訂。
第八十條 (參照執行)
國家金融監督管理總局批准設立的外國銀行分行、其他金融機構、金融控股公司以及總局管理單位參照適用本辦法。地方金融監督管理部門批准設立的金融組織參照適用本辦法。
第八十一條 (生效日期)
本辦法自公布之日起施行,《銀行保險機構數據安全辦法》(銀保監辦發〔2022〕118號)同時廢止。
