《银行保险机构数据安全管理办法》重点解读

POWERPOINTDESIGN2024主讲人：XXX时间：2025.2《银行保险机构数据安全管理办法》重点解读目录制定背景及适用范围一组织架构二数据安全管理三技术安全保护四个人信息保护五监管报告义务六制定背景及适用范围一随着信息技术的快速发展，数据已经成为银行保险机构的核心资产。然而，数据安全风险也与日俱增，数据泄露、篡改等事件频发，给机构和个人带来严重损失。为了加强数据安全管理，2024年12月27日，国家金融监督管理总局（“金监总局”）发布了《银行保险机构数据安全管理办法》（“以下简称《办法》”）并于当日施行。对银行保险机构的数据安全提出了明确要求。（一）制定背景在《数据安全法》《个人信息保护法》等法规基础上，针对银行保险业特性制定。现有法规强调银行保险机构的行业特性，提出全面的公司治理要点。行业特性与公司治理结合金融行业数据安全及个人金融信息保护规则，提供更具体要求。与现有法规的关系对银行保险机构提出全面、完整的数据安全和个人信息保护要求。具体要求的全面性01020304（一）制定背景根据《办法》的第二条，银行保险机构主要包括在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团（控股）公司。而根据第八十条，金监总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融管理部门批准设立的金融组织参照适用本办法。由此，无论机构规模大小、治理能力如何，市场上相关银行保险机构在数据安全领域都将面临高度统一的无差别合规及监管要求。（二）适用范围组织架构二（一）数据安全责任人明确董（理）事会、高管层等在数据安全中的职责，确保数据安全工作全面覆盖。01组织架构要求建立党委（党组）、董（理）事会为责任主体的数据安全责任制，明确各级责任。02数据安全责任制银行保险机构主要负责人担任数据安全第一责任人，分管领导为直接责任人。03数据安全责任人银行保险机构内控风险管理、内控合规、审计部门需将数据安全纳入全面风险管理体系、内控评价体系，定期开展审计、监督检查与评价，督促问题整改并开展问责。其他部门数据安全职责《办法》明确信息科技部门为数据安全的技术保护主要责任部门，主要职责包括建立技术保护体系、落实技术保护措施，制定技术标准规范制度、组织开展技术风险评估、信息系统生命周期安全管理，建立应急管理机制等。信息科技部门职责银行保险机构须指定数据安全归口管理部门，负责制定内部规范、建立数据目录、组织风险评审、统筹建立应急机制、组织内部培训、建立数据应用及共享管理机制、向高层汇报等。数据安全归口管理部门职责（二）数据安全部门职责设立数据安全归口部门明确组织架构职责银行保险公司应建立数据安全管理组织架构，明确各部门及岗位职责，确保数据安全责任到人。指定信息技术或合规部门作为数据安全归口管理部门，赋予其足够的专业能力和资源。定期培训与考核对相关人员进行定期培训和考核，确保其掌握最新数据安全法规和公司内部管理制度。（三）建议数据安全管理三明确横向分类和纵向分级管理要求数据分类分级覆盖数据处理全生命周期及应用场景的合规要求数据安全管理《办法》要求银行保险机构建立健全覆盖数据全生命周期和应用场景的保护机制和安全管理制度。三、数据安全管理《银行保险机构数据安全管理办法》《办法》要求银行保险机构将业务及经营管理过程中获取、产生的数据分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等四大类进行管理。数据分类管理要求（一）数据分类分级《办法》规定银行保险机构应依据数据覆盖程度和影响程度两个标准进行数据分类。数据分类依据数据被分为核心数据、重要数据、一般数据三个级别，其中一般数据进一步细分为敏感数据和其他一般数据。数据分类级别敏感数据指泄露或篡改后对经济、社会、公共利益或组织、个人造成重要影响的数据。敏感数据定义除核心数据、重要数据、敏感数据之外的数据，归类为其他一般数据。其他一般数据（一）数据分类分级《银行保险机构数据安全管理办法》与《金融数据安全数据安全分级指南》在数据分级方法上存在差异。数据分级方法差异01建议金融机构关注数据分级是否符合《银行保险机构数据安全管理办法》要求。金融机构关注点02根据业务特点和数据类型，金融机构需制定详细的数据分类分级标准，并建立相应的数据目录。制定数据分类分级标准03定期对数据进行分类分级的动态调整，确保数据分类的准确性和合理性。数据分类分级的动态调整04（一）数据分类分级全生命周期管理《办法》要求银行保险机构对数据的收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等全生命周期进行安全管理，并针对敏感级及以上数据的安全保护提出了额外要求。数据共享建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，并对共享数据采取有效保护措施。数据收集坚持“合法、正当、必要、诚信”原则，明确数据收集和处理的目的、方式、范围、规则，确保数据收集过程的安全性和数据来源的可追溯性。数据使用制定数据访问闭环管理机制，并对数据访问行为实施审计，确保数据使用的合规性和安全性。（二）数据安全管理数据处理/管理流程针对一般数据的合规要求针对敏感级及以上数据的额外要求数据收集●坚持“合法、正当、必要、诚信”原则；●明确数据收集和处理的目的、方式、范围、规则；●收集过程的数据安全性、数据来源可追溯；●除非法律、行政法规另有规定，不得超出数据主体同意的范围向其收集数据。向其他银行保险机构收集行业重要级及以上数据，需经国家金融监督管理总局同意。外部数据采购●制定外部数据采购、引入的集中审批管理制度；●纳入外包风险管理体系进行统筹管理；统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制；●对数据来源的真实性、合法性进行调查；评估数据提供者的安全保障能力及其数据安全风险；●明确双方数据安全责任及义务。/数据加工/●除非法律另有规定，应采用匿名化、去标识化或者其他必要安全措施保护数据主体权益；●数据汇聚融合衍生敏感级及以上数据，或者导致数据安全级别变化的，应当及时评估、调整安全保护措施。数据处理/管理流程针对一般数据的合规要求针对敏感级及以上数据的额外要求数据使用（访问、共享等）●制定数据访问闭环管理机制，并对数据访问行为实施审计；●因业务需要从生产环境提取数据的，应建立严格的审批程序，并明确数据使用或者保存期限；●对数据共享使用进行集中安全管控，明确企业级数据共享策略，评估数据共享使用的必要性、合规性、安全性及伦理道德规范的符合度；●建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，并对共享数据采取有效保护措施。●按照“业务必要授权”原则，对敏感级及以上数据严格实施授权管理；●银行保险机构与其母行、集团，或者其子行、子公司共享敏感级及以上数据，应当获得数据主体的授权同意，法律、行政法规另有规定的除外；●不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务，所共享数据属于提供产品或者服务所必需的除外；●共享需要实现安全评估。数据委托处理●明确所涉数据外部使用和处理的条件、场景、方式；●以合同协议方式约定委托处理的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务，以及受托方返还或者删除数据的方式等；●对数据处理活动进行记录和审计，可对外公开披露的数据除外；●要求受托方在未取得其同意时，不得转委托其他主体处理数据，不得对外共享数据，不得加工、训练、挪用数据，或者采取其他形式处理数据以谋取合同或者协议约定以外的利益。/数据处理/管理流程针对一般数据的合规要求针对敏感级及以上数据的额外要求数据共同处理●按照“业务必要授权”原则制定方案并采取有效管理和技术保护措施确保数据安全；●以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。/数据转移●明确数据转移内容，通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务；●通过公告等方式告知数据主体；●采用安全可靠方式进行，并确保转移过程可追溯。/数据对外提供/●取得数据主体同意数据公开●建立对外公开披露数据的审批机制，研判可能产生的影响；●数据公开应当在机构官方渠道进行发布，确保数据真实、准确、防篡改，记录审批和发布情况。●不得公开，法律、行政法规另有规定或者取得数据主体授权同意的除外数据删除●制定数据销毁管理制度，按照国家、行业有关规定及与数据主体的约定进行数据删除或者匿名化处理。/《办法》将数据委托处理纳入信息科技外包管理范围，并提出了特殊管理要求，包括：事先开展数据安全评估。对涉及敏感级及以上数据处理的供应链服务商加强准入和安全管理。明确所涉数据外部使用和处理的条件、场景、方式，并按要求与受托方签署相关协议。将相关数据操作日志及其备份数据保存不低于三年。委托处理终止时，要求服务提供商及时删除数据，并采取现场检查等有效监督措施，确保数据被销毁、不可恢复等。（三）数据委托处理技术安全保护四（一）构建多元异构环境下的数据安全体系针对大数据、云计算等环境，银行保险机构需构建全面的数据安全技术保护体系，确保数据安全。建立数据安全技术体系01制定明确的数据保护策略和方法，涵盖数据的存储、传输、处理等各个环节，保障数据安全。明确数据保护策略02采取加密、访问控制等技术措施，对数据进行有效保护，防止数据泄露和非法访问。采取技术措施保障数据安全03（二）数据安全保护基线敏感数据安全技术要求对敏感级及以上数据，要求银行保险机构采取更高标准的安全技术保护措施。物理安全保护区域设立要求对存放或传输敏感数据的机房、网络设立专门的物理安全保护区域，保障数据安全。数据安全保护基线概念《办法》首次提出数据安全保护基线，明确各区域网络安全和数据保护的最低要求。加强数据保护措施机构需对多来源敏感数据采取加强性保护，确保数据安全不低于集中前的最高保护级别。网络边界与节点监控审计对网络边界和重要网络节点实施安全监控与审计，防止数据泄露和非法访问。（三）数据操作日志与审计要求

日志记录要求对敏感及以上数据操作进行日志记录，包括操作时间、用户标识、行为类型等。核心数据保存期限核心数据操作日志及其备份数据保存时间不低于三年。委托处理数据保存涉及委托处理、共同处理的数据操作日志及其备份数据保存时间不低于三年。定期审计要求定期对数据操作行为进行审计，审计周期不超过六个月。重要数据保存期限重要数据、敏感数据操作日志及其备份数据保存时间不低于一年。个人信息保护五银行保险机构需在信息收集前明确告知数据主体，确保其了解信息用途和处理方式。01机构必须获得数据主体的明确同意后方可处理个人信息，保障数据主体的知情权和选择权。02信息收集和处理应严格限定在特定目的内，且仅限于实现该目的所必需的最小范围。03《办法》在个人信息保护方面与《个人信息保护法》保持一致，未对银行保险机构提出额外要求。04明确告知原则授权同意机制目的限定与最小范围遵循《个人信息保护法》（一）重申《个保法》要求强调告知义务取得个人同意的重要性业务合作中的数据共享无除外条款银行保险机构在共享个人信息前，必须明确告知个人并取得其同意。《办法》未设定个人信息共享的除外条款，强调了义务的普遍性。机构与母公司或集团间业务合作频繁，需注意合规处理个人信息共享。在向集团内外提供个人信息时，必须确保已获得相关个人的明确同意。（二）个人信息共享与同意义务银行保险机构在发生或者可能发生个人信息泄露、篡改、丢失的情况时，应当报送的个人信息保护职责的部门为国家金融监督管理总局或者其派出机构。（三）个人信息安全事件报送监管报告义务六银行保险机构需遵循监管要求，对日常数据处理活动进行严格管理，确保数据安全。强化日常数据处理监管机构应定