【保险业】强化银行保险业数据安全保护！金融监管总局发布

　　12月27日，金融监管总局发布了《银行保险机构 数据安全 管理办法》（下称《办法》）。从 数据安全 治理、数据分类分级、 数据安全 管理、 数据安全 技术保护、个人信息保护、 数据安全 风险监测与处置等方面提出了81条具体管理办法。

　　 数据安全 风险将并入机构全面风险管理体系

　　金融监管总局有关司局责任人表示，金融数据具有高价值和高敏感性，金融 数据安全 与国家安全和金融消费者权益密切相关。近年来，银行业保险业数字化变革加速演进，新技术、新业态不断涌现，数据合作共享日益频繁。这时，金融领域面临的 数据安全 风险形势复杂严峻，也给金融机构 数据安全 管理造成新的挑战。

　　“有必要充分施展监管的‘指挥棒’作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部机制，采取有效的管理和技术措施加强 数据安全 保护，确保客户信息和金融交易数据的安全。”该责任人称。

　　其中，《办法》要求银行保险机构将 数据安全 风险并入全面风险管理体系，明确管理流程，主动评估风险，对 数据安全 风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对 数据安全 开展审计、监督检查与评价。

　　同时，要将数据并入 网络安全 等级保护，对存放或传输敏感级及以上数据的机房、网络实施重点防护，在数据全生命周期内采取有效访问控制管理措施，采用安全有效的传输方式保障数据完整性、保密性、可用性。

　　加强个人信息保护

　　《办法》要求银行保险机构应当制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，采取不同化安全保证措施。

　　具体来看，《办法》将数据分为核心数据、重要数据、一般数据。其中，一般数据细分为敏感数据和其它一般数据。

　　其中，核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。

　　个人信息保护是 数据安全 的重要内容，此次《办法》单独设置了“个人信息保护”章节。主要规定包含：银行保险机构处理个人信息应根据“明确告知、授权同意”的准则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息；处理、共享和对外提供个人信息时，应当履行必要的告知义务，并取得必要同意；在开展涉及对个人权益有重大影响的个人信息处理活动时，应当进行个人信息保护影响评估；发生或可能发生个人信息泄露、篡改、丢失的，银行保险机构应当立即采取补救措施，并向监管职能部门报告。

　　建立 数据安全 事件应急响应与处置机制

　　另外，《办法》还进一步完善了风险监测处置机制，除了要求银行保险机构将 数据安全 风险并入全面风险管理体系，还明确了 数据安全 风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程。

　　在 数据安全 事件应急响应与处置中，《办法》将 数据安全 事件根据影响范围和水平，分为特别重大、重大、较大和一般四个级别。要求机构建立内部协调联动机制和外部服务商、第叁方机构的报告机制。具体包含：

　　一是制定 数据安全 事件应急预案，定期开展应急响应培训和应急演练。

　　二是 数据安全 事件发生后，立即启动应急处置，分析事件原因、评估事件影响、开展事件定级，根据预案及时采取业务、技术等措施控制事态。

　　三是建立 数据安全 事件报告机制，根据事件安全等级制定报告流程，发生 数据安全 事件时根据规定报告，同时根据合同、协议等有关约定履行客户及合作方告知义务。

　　四是发生 数据安全 事件或使用的产品和服务存在缺陷时，立即开展调查评估，及时采取补救措施。

　　《办法》要求，银行保险机构应在 数据安全 事件发生2小时内向金融监管总局或其派出机构报告，并在事件发生后24小时内提交正式书面报告。发生特别重大 数据安全 事件，银行保险机构应当立即采取处置措施，根据规定及时告知用户并向属地公安机关、金融监管机构报告。银行保险机构应当每2小时将处置进展情况上报，直至处置结束。 数据安全 事件处置结束后，银行保险机构应当在五个工作日内将事件及其处置的评估、总结和改进报告报送属地监管职能部门。