【银行保险机构】银保机构迎数据安全管理办法，制定分类分级保护制度，压实主体责任

　　21世纪经济报道记者李览青上海报道

　　12月27日，国家金融监督管理总局发布《银行保险机构 数据安全 管理办法》（以下简称《银保办法》或《办法》），引导银行保险机构压实主体责任，完善内部机制，采取有效的管理和技术措施加强 数据安全 保护，确保客户信息和金融交易数据的安全。

　　“金融数据具有高价值和高敏感性，金融 数据安全 与国家安全和金融消费者权益密切相关。近年来，银行业保险业数字化变革加速演进，新技术、新业态不断涌现，数据合作共享日益频繁。这时，金融领域面临的 数据安全 风险形势复杂严峻，也给金融机构 数据安全 管理造成新的挑战。”总局有关司局责任人在答记者问时表示，有必要充分施展监管的“指挥棒”作用。

　　《办法》共9章81条，包含总则、 数据安全 治理、数据分类分级、 数据安全 管理、 数据安全 技术保护、个人信息保护、 数据安全 风险监测与处置、监督管理及附则。

　　值得注意的是，《办法》不仅适用于政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司，保险集团（控股）公司、保险公司、保险资产管理公司、 养老金 管理公司、保险专业中介机构，金融控股公司，还适用于地方金融管理部门批准设立的金融组织。

　　21世纪经济报道记者将《办法》与此前的《征求建议稿》逐字对照，正式文件的改动不多，主要是规范使表述更严谨。

　　具体而言，删除了“适用于金融监管总局批准设立的外国分行、其它金融机构”等表述，更改为“适用于金融监管总局批准设立的其它银行业金融机构、保险业金融机构”。

　　同时，在建立 数据安全 技术应急管理制度方面，在防范外部攻击之外，还新增防范“内外部破坏”等危害 数据安全 活动。

　　另外，在数据转移规范方面，将“银行保险机构因兼并、重组、破产等需要转移数据”的表述拆解为“银行保险机构因合并、分立、解散、被宣告破产等需要转移数据”等。

　　具体而言，《办法》对五个方面提出明确要求：

　　一是强化数据治理顶层设计。要求银行保险机构建立与业务发展目标相适应的 数据安全 治理体系，落实 数据安全 责任制，根据“谁管业务、谁管业务数据、谁管 数据安全 ”的准则开展 数据安全 保护工作。

　　二是落实分类分级管理要求。要求对业务经营管理进程中获取、引发的数据进行分类管理。根据数据的重要性和敏感水平，将数据分为核心、重要、一般三个级别，并将一般数据进一步细分为敏感数据和其它一般数据，并采取不同化的安全保证措施。

　　三是强化 数据安全 管理体系。要求银行保险机构建立健全 数据安全 管理制度，对委托处理、共同处理、转移、公开、共享等相关数据处理活动开展安全评估，采取相应技术手段保障数据全生命周期安全，保障数据开发利用活动安全稳健开展。

　　四是加强个人信息保护。根据“明确告知、授权同意”的准则处理个人信息，根据金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息，应履行个人告知及取得同意的义务。

　　五是完善风险监测处置机制。将 数据安全 风险并入全面风险管理体系，明确 数据安全 风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效预防和处置 数据安全 风险。

　　值得强调的是，面对 人工智能 等新技术、新业态造成的 数据安全 、模型安全风险。《办法》要求银行保险机构保障数据处理的透明度和结果的公平合理，关注数据与模型使用的合理性、正当性、可解释性，并建立 人工智能 应用的危险缓释措施。

　　有银行合规人士向记者表示，在金融监管总局下发的《办法》之外，去年央行系统征求建议的《中国人民银行业务领域 数据安全 管理办法（征求建议稿）》（下称《央行办法》）也同样值得关注，二者一致的是“谁管业务，谁管业务数据，谁管 数据安全 ”的基本规则，落实 数据安全 责任制。