3月22日，金融监管总局科技监管司就《银行保险机构 数据安全 管理办法（公开征求建议稿）》（下称《办法》）公开征求建议，旨在规范银行业保险业数据处理活动，保障 数据安全 、金融安全，增进数据合理开发利用，保护个人、组织的合法权益，维护国家安全和社会公共利益。意见反馈截止时间为2024年4月23日。

　　《办法》共九章八十一条，包含总则、 数据安全 治理、数据分类分级、 数据安全 管理、 数据安全 技术保护、个人信息保护、 数据安全 风险监测与处置、监督管理及附则。

　　“近年来，《 数据安全 法》《个人信息保护法》等上位法相继发布，对规范数据处理活动、个人信息保护等提出了明确要求。同时，金融领域数字化变革加速演进，新技术、新业务模式不断涌现，数据的使用、加工、传输、共享等活动日益频繁，进一步凸显 数据安全 保护的重要性。”对于《办法》制定的背景，金融监管总局有关司局责任人介绍称，有必要充分施展监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部制度，采取有效的措施加强数据管理和保护，确保客户信息和金融交易 数据安全 。

　　《办法》的出台已经有一定预期。21世纪经济报道记者了解到，金融监管总局科技监管司今年初在《深入学习贯彻中央金融工作会议精神全方位推进监管数字化智能化转型》文章中表示，进一步强化监管数据治理，落实监管数据分类分级管理要求，保障监管 数据安全 。

　　值得注意的是，《办法》还适用于金融监管总局批准设立的外国银行分行、其它金融机构、金融控股公司和总局管理单位参照适用本办法。地方金融监督管理部门批准设立的金融组织参照适用本办法。

　　金融监管总局表示，将根据各界反馈意见，对《办法》进一步更改完善，并适时发布。《办法》显示，该《办法》自公布之日起施行，《银行保险机构 数据安全 办法》（银保监办发〔2022〕118号）同时废止。

　　建立数据分类分级标准

　　《办法》主要内容包含七方面：一是明确 数据安全 治理架构，二是建立数据分类分级标准，三是强化 数据安全 管理，四是健全 数据安全 技术保护体系，五是加强个人信息保护，六是完善 数据安全 风险监测与处置机制，七是明确监督管理职责。

　　《办法》第五条对 数据安全 治理架构做出了明确要求，银行保险机构应当建立与本机构业务发展目标相适应的 数据安全 治理体系，建立健全 数据安全 管理制度，构建覆盖数据全生命周期和应用场景的安全保护机制，开展 数据安全 风险评估、监测与处置，保障数据开发利用活动安全稳健开展。银行保险机构利用互联网等信息网络开展数据处理活动，应当在 网络安全 等级保护制度基础上，履行 数据安全 保护义务。

　　数据分类分级标准方面，办法第十六条规定，银行保险机构应当制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，采取不同化安全保证措施。

　　所谓数据分类，即银行保险机构应当对机构业务及经营管理进程中获取、引发的数据进行分类管理，数据类型包含客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。数据分级，即银行保险机构应当根据数据的重要性和敏感水平，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其它一般数据。

　　核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。

　　重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

　　敏感数据是指，一旦被泄露或篡改、损毁，对经济运行、社会稳定、公共利益有一定影响，或对组织自身或公民个体造成重要影响的数据。除以上数据之外的数据为其它一般数据。

　　《办法》第七十一条还明确，金融监管总局根据国家数据分类分级要求，制定银行业保险业重要数据目录，提出核心数据目录建议，监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机构应当按要求向国家金融监督管理总局或其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。

　　强化 数据安全 管理

　　强化 数据安全 管理是《办法》重要内容之一，《办法》也在多处提出了相关要求。

　　在 数据安全 管理职责方面，金融监管总局有关司局责任人表示，《办法》要求银行保险机构根据国家 数据安全 与发展政策要求，根据自身发展战略，制定 数据安全 保护策略；根据数据处理目的、性质和范围，依照法律法规和伦理道德规范要求，对相关数据业务处理活动进行安全评估，分析 数据安全 风险和对数据主体权益影响，评估数据处理的必要性、合规性及防控措施的有效性；收集数据应坚持“合法、正当、必要、诚信”原则，明确数据收集和处理的目的、方式、范围、规则，保障收集过程的 数据安全 性、数据来源可追溯，不得超出数据主体同意的范畴收集数据；在数据集团内部共享的进程中，应建立总行（公司）与其子公司 数据安全 隔离的“防火墙”，并对共享数据采取有效保障措施；《办法》还对数据加工、委托处理、共同处理、数据转移等具体的数据处理场景分别提出了相应安全管理要求。

　　对于数据共享及集团内部共享，《办法》第贰十九条明确，银行保险机构应当建立银行母行、保险集团或母公司与其子行、子公司 数据安全 隔离的“防火墙”，并对共享数据采取有效保障措施。银行保险机构与其母行、集团，或其子行、子公司共享敏感级及以上数据，应当获得数据主体的授权同意，法律、行政法规另有规定的除外。不得以数据主体拒绝同意共享敏感数据而终止或拒绝单家子行、子公司对其提供金融服务，所共享数据属于提供产品或服务所务必的除外。

　　在助贷、互联网络贷款款等业务方面，数据处理通常涉及第叁方，如何做好安全管理也是重要环节。

　　《办法》第叁十一条规定，银行保险机构应当将数据委托处理并入信息科技外包管理范围，在实施进程中不得将信息科技管理责任、 数据安全 主体责任外包，涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其它有关信息科技核心竞争力的职能不得外包。第叁十二条规定，银行保险机构与第叁方机构进行数据共同处理时，应当根据“业务必要授权”原则制定方案并采取有效技术保障措施确保 数据安全 ，并以合同协议方式明确双方在数据处理进程中的 数据安全 责任和义务。第五十三条规定，银行保险机构在建设开放银行、金融生态或与第叁方数据合作时，要实现自身与外部的安全风险隔离，与外部机构的数据交互应当通过集中管理的外联平台或应用程序接口实施，依据“业务务必、最小权限”原则，采取有效措施对接口设计、开发、服务、运行等进行集中安全保护管理。

　　另外，随着大模型在金融领域的应用逐步落地，《办法》也对此提出了相关要求：银行保险机构应当对 人工智能 模型开发应用进行统一管理，建立模型算法产品外部引入的准入机制，对模型研发过程进行主动管理，实现模型算法可验证、可审核、可追溯。