3月22日，为规范银行业保险业数据处理活动，保障 数据安全 ，增进数据合理开发利用，金融监管总局起草了《银行保险机构 数据安全 管理办法（征求建议稿）》（下称《办法》）。

　　金融监管总局有关司局责任人表示，近年来，《 数据安全 法》《个人信息保护法》等上位法相继发布，对规范数据处理活动、个人信息保护等提出了明确要求。同时，金融领域数字化变革加速演进，新技术、新业务模式不断涌现，数据的使用、加工、传输、共享等活动日益频繁，进一步凸显 数据安全 保护的重要性。对此，有必要充分施展监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部制度，采取有效的措施加强数据管理和保护，确保客户信息和金融交易 数据安全 。

　　从《办法》的主要内容来看，主要内容包含：

　　一是明确 数据安全 治理架构。要求银行保险机构建立 数据安全 责任制，指定归口管理部门负责本机构的 数据安全 工作，明确各业务领域的 数据安全 管理职责。

　　二是建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，并采取不同化的安全保证措施。

　　三是强化 数据安全 管理。要求银行保险机构根据国家 数据安全 与发展政策要求，根据自身发展战略建立 数据安全 管理制度和数据处理管控机制。

　　四是健全 数据安全 技术保护体系。要求银行保险机构建立 数据安全 技术架构，明确数据保护策略方法，采取技术手段保障 数据安全 。

　　五是加强个人信息保护。要求银行保险机构根据“明确告知、授权同意”原则处理个人信息，收集个人信息应限于最小范围，不得过度收集。

　　六是完善 数据安全 风险监测与处置机制。要求银行保险机构将 数据安全 风险并入全面风险管理体系，明确风险监测评估、应急响应报告、事件处置的管理流程。

　　七是明确监督管理职责。国家金融监督管理总局及派出机构对银行保险机构 数据安全 保护情况进行监督管理，依法对银行保险机构 数据安全 事件进行处置。

　　金融监管总局有关司局责任人提到，此次制定的《办法》的主要特点：

　　一是落实 数据安全 责任制。明确银行保险机构党委（党组）、董（理）事会对本单位 数据安全 工作负主体责任，机构主要责任人为 数据安全 第壹责任人，分管 数据安全 的领导为直接责任人。

　　二是明确 数据安全 归口管理部门。要求银行保险机构指定 数据安全 归口管理部门，作为本机构负责 数据安全 工作的主责部门，承担制定 数据安全 管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。

　　三是将 数据安全 风险并入全面风险管理体系。要求银行保险机构明确管理流程，主动评估风险，对 数据安全 风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对 数据安全 开展审计、监督检查与评价。

　　四是强化 数据安全 评估。要求银行保险机构开展相关数据处理活动时，应事先开展安全评估。根据数据处理目的、性质和范围，分析 数据安全 风险和对数据主体权益影响，评估数据处理的必要性、合规性及防控措施的有效性。

　　五是建立 数据安全 保护基线。将数据并入 网络安全 等级保护，对存放或传输敏感级及以上数据的机房、网络实施重点防护，在数据全生命周期内采取有效访问控制管理措施，采用安全有效的传输方式保障数据完整性、保密性、可用性。

　　记者留意到，《办法》要求银行保险机构根据国家 数据安全 与发展政策要求，根据自身发展战略，制定 数据安全 保护策略；根据数据处理目的、性质和范围，依照法律法规和伦理道德规范要求，对相关数据业务处理活动进行安全评估，分析 数据安全 风险和对数据主体权益影响，评估数据处理的必要性、合规性及防控措施的有效性；收集数据应坚持“合法、正当、必要、诚信”原则，明确数据收集和处理的目的、方式、范围、规则，保障收集过程的 数据安全 性、数据来源可追溯，不得超出数据主体同意的范畴收集数据；在数据集团内部共享的进程中，应建立总行（公司）与其子公司 数据安全 隔离的“防火墙”，并对共享数据采取有效保障措施；《办法》还对数据加工、委托处理、共同处理、数据转移等具体的数据处理场景分别提出了相应安全管理要求。