POWERPOINTDESIGN2024主講人：XXX時間：2025.2《銀行保險機構數據安全管理辦法》重點解讀目錄制定背景及適用范圍一組織架構二數據安全管理三技術安全保護四個人信息保護五監管報告義務六制定背景及適用范圍一隨著信息技術的快速發展，數據已經成為銀行保險機構的核心資產。然而，數據安全風險也與日俱增，數據泄露、篡改等事件頻發，給機構和個人帶來嚴重損失。為了加強數據安全管理，2024年12月27日，國家金融監督管理總局（“金監總局”）發布了《銀行保險機構數據安全管理辦法》（“以下簡稱《辦法》”）并于當日施行。對銀行保險機構的數據安全提出了明確要求。（一）制定背景在《數據安全法》《個人信息保護法》等法規基礎上，針對銀行保險業特性制定。現有法規強調銀行保險機構的行業特性，提出全面的公司治理要點。行業特性與公司治理結合金融行業數據安全及個人金融信息保護規則，提供更具體要求。與現有法規的關系對銀行保險機構提出全面、完整的數據安全和個人信息保護要求。具體要求的全面性01020304（一）制定背景根據《辦法》的第二條，銀行保險機構主要包括在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、農村信用合作社、金融資產管理公司、企業集團財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司、信托公司、理財公司、保險公司、保險資產管理公司、保險集團（控股）公司。而根據第八十條，金監總局批準設立的其他銀行業金融機構、保險業金融機構、金融控股公司以及總局管理單位參照適用本辦法。地方金融管理部門批準設立的金融組織參照適用本辦法。由此，無論機構規模大小、治理能力如何，市場上相關銀行保險機構在數據安全領域都將面臨高度統一的無差別合規及監管要求。（二）適用范圍組織架構二（一）數據安全責任人明確董（理）事會、高管層等在數據安全中的職責，確保數據安全工作全面覆蓋。01組織架構要求建立黨委（黨組）、董（理）事會為責任主體的數據安全責任制，明確各級責任。02數據安全責任制銀行保險機構主要負責人擔任數據安全第一責任人，分管領導為直接責任人。03數據安全責任人銀行保險機構內控風險管理、內控合規、審計部門需將數據安全納入全面風險管理體系、內控評價體系，定期開展審計、監督檢查與評價，督促問題整改并開展問責。其他部門數據安全職責《辦法》明確信息科技部門為數據安全的技術保護主要責任部門，主要職責包括建立技術保護體系、落實技術保護措施，制定技術標準規范制度、組織開展技術風險評估、信息系統生命周期安全管理，建立應急管理機制等。信息科技部門職責銀行保險機構須指定數據安全歸口管理部門，負責制定內部規范、建立數據目錄、組織風險評審、統籌建立應急機制、組織內部培訓、建立數據應用及共享管理機制、向高層匯報等。數據安全歸口管理部門職責（二）數據安全部門職責設立數據安全歸口部門明確組織架構職責銀行保險公司應建立數據安全管理組織架構，明確各部門及崗位職責，確保數據安全責任到人。指定信息技術或合規部門作為數據安全歸口管理部門，賦予其足夠的專業能力和資源。定期培訓與考核對相關人員進行定期培訓和考核，確保其掌握最新數據安全法規和公司內部管理制度。（三）建議數據安全管理三明確橫向分類和縱向分級管理要求數據分類分級覆蓋數據處理全生命周期及應用場景的合規要求數據安全管理《辦法》要求銀行保險機構建立健全覆蓋數據全生命周期和應用場景的保護機制和安全管理制度。三、數據安全管理《銀行保險機構數據安全管理辦法》《辦法》要求銀行保險機構將業務及經營管理過程中獲取、產生的數據分為客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等四大類進行管理。數據分類管理要求（一）數據分類分級《辦法》規定銀行保險機構應依據數據覆蓋程度和影響程度兩個標準進行數據分類。數據分類依據數據被分為核心數據、重要數據、一般數據三個級別，其中一般數據進一步細分為敏感數據和其他一般數據。數據分類級別敏感數據指泄露或篡改后對經濟、社會、公共利益或組織、個人造成重要影響的數據。敏感數據定義除核心數據、重要數據、敏感數據之外的數據，歸類為其他一般數據。其他一般數據（一）數據分類分級《銀行保險機構數據安全管理辦法》與《金融數據安全數據安全分級指南》在數據分級方法上存在差異。數據分級方法差異01建議金融機構關注數據分級是否符合《銀行保險機構數據安全管理辦法》要求。金融機構關注點02根據業務特點和數據類型，金融機構需制定詳細的數據分類分級標準，并建立相應的數據目錄。制定數據分類分級標準03定期對數據進行分類分級的動態調整，確保數據分類的準確性和合理性。數據分類分級的動態調整04（一）數據分類分級全生命周期管理《辦法》要求銀行保險機構對數據的收集、存儲、使用、加工、傳輸、提供、共享、轉移、公開、刪除、銷毀等全生命周期進行安全管理，并針對敏感級及以上數據的安全保護提出了額外要求。數據共享建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火墻”，并對共享數據采取有效保護措施。數據收集堅持“合法、正當、必要、誠信”原則，明確數據收集和處理的目的、方式、范圍、規則，確保數據收集過程的安全性和數據來源的可追溯性。數據使用制定數據訪問閉環管理機制，并對數據訪問行為實施審計，確保數據使用的合規性和安全性。（二）數據安全管理數據處理/管理流程針對一般數據的合規要求針對敏感級及以上數據的額外要求數據收集●堅持“合法、正當、必要、誠信”原則；●明確數據收集和處理的目的、方式、范圍、規則；●收集過程的數據安全性、數據來源可追溯；●除非法律、行政法規另有規定，不得超出數據主體同意的范圍向其收集數據。向其他銀行保險機構收集行業重要級及以上數據，需經國家金融監督管理總局同意。外部數據采購●制定外部數據采購、引入的集中審批管理制度；●納入外包風險管理體系進行統籌管理；統籌建立數據需求、安全評估、收集引入、數據運維、登記備案和監督評價管理機制；●對數據來源的真實性、合法性進行調查；評估數據提供者的安全保障能力及其數據安全風險；●明確雙方數據安全責任及義務。/數據加工/●除非法律另有規定，應采用匿名化、去標識化或者其他必要安全措施保護數據主體權益；●數據匯聚融合衍生敏感級及以上數據，或者導致數據安全級別變化的，應當及時評估、調整安全保護措施。數據處理/管理流程針對一般數據的合規要求針對敏感級及以上數據的額外要求數據使用（訪問、共享等）●制定數據訪問閉環管理機制，并對數據訪問行為實施審計；●因業務需要從生產環境提取數據的，應建立嚴格的審批程序，并明確數據使用或者保存期限；●對數據共享使用進行集中安全管控，明確企業級數據共享策略，評估數據共享使用的必要性、合規性、安全性及倫理道德規范的符合度；●建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火墻”，并對共享數據采取有效保護措施?！癜凑铡皹I務必要授權”原則，對敏感級及以上數據嚴格實施授權管理；●銀行保險機構與其母行、集團，或者其子行、子公司共享敏感級及以上數據，應當獲得數據主體的授權同意，法律、行政法規另有規定的除外；●不得以數據主體拒絕同意共享敏感數據而終止或者拒絕單家子行、子公司對其提供金融服務，所共享數據屬于提供產品或者服務所必需的除外；●共享需要實現安全評估。數據委托處理●明確所涉數據外部使用和處理的條件、場景、方式；●以合同協議方式約定委托處理的目的、期限、處理方式、數據范圍、保護措施、雙方的數據安全責任和義務，以及受托方返還或者刪除數據的方式等；●對數據處理活動進行記錄和審計，可對外公開披露的數據除外；●要求受托方在未取得其同意時，不得轉委托其他主體處理數據，不得對外共享數據，不得加工、訓練、挪用數據，或者采取其他形式處理數據以謀取合同或者協議約定以外的利益。/數據處理/管理流程針對一般數據的合規要求針對敏感級及以上數據的額外要求數據共同處理●按照“業務必要授權”原則制定方案并采取有效管理和技術保護措施確保數據安全；●以合同協議方式明確雙方在數據處理過程中的數據安全責任和義務。/數據轉移●明確數據轉移內容，通過協議、承諾等方式約定數據接收方全面承接對應數據的安全保護義務；●通過公告等方式告知數據主體；●采用安全可靠方式進行，并確保轉移過程可追溯。/數據對外提供/●取得數據主體同意數據公開●建立對外公開披露數據的審批機制，研判可能產生的影響；●數據公開應當在機構官方渠道進行發布，確保數據真實、準確、防篡改，記錄審批和發布情況?！癫坏霉_，法律、行政法規另有規定或者取得數據主體授權同意的除外數據刪除●制定數據銷毀管理制度，按照國家、行業有關規定及與數據主體的約定進行數據刪除或者匿名化處理。/《辦法》將數據委托處理納入信息科技外包管理范圍，并提出了特殊管理要求，包括：事先開展數據安全評估。對涉及敏感級及以上數據處理的供應鏈服務商加強準入和安全管理。明確所涉數據外部使用和處理的條件、場景、方式，并按要求與受托方簽署相關協議。將相關數據操作日志及其備份數據保存不低于三年。委托處理終止時，要求服務提供商及時刪除數據，并采取現場檢查等有效監督措施，確保數據被銷毀、不可恢復等。（三）數據委托處理技術安全保護四（一）構建多元異構環境下的數據安全體系針對大數據、云計算等環境，銀行保險機構需構建全面的數據安全技術保護體系，確保數據安全。建立數據安全技術體系01制定明確的數據保護策略和方法，涵蓋數據的存儲、傳輸、處理等各個環節，保障數據安全。明確數據保護策略02采取加密、訪問控制等技術措施，對數據進行有效保護，防止數據泄露和非法訪問。采取技術措施保障數據安全03（二）數據安全保護基線敏感數據安全技術要求對敏感級及以上數據，要求銀行保險機構采取更高標準的安全技術保護措施。物理安全保護區域設立要求對存放或傳輸敏感數據的機房、網絡設立專門的物理安全保護區域，保障數據安全。數據安全保護基線概念《辦法》首次提出數據安全保護基線，明確各區域網絡安全和數據保護的最低要求。加強數據保護措施機構需對多來源敏感數據采取加強性保護，確保數據安全不低于集中前的最高保護級別。網絡邊界與節點監控審計對網絡邊界和重要網絡節點實施安全監控與審計，防止數據泄露和非法訪問。（三）數據操作日志與審計要求

日志記錄要求對敏感及以上數據操作進行日志記錄，包括操作時間、用戶標識、行為類型等。核心數據保存期限核心數據操作日志及其備份數據保存時間不低于三年。委托處理數據保存涉及委托處理、共同處理的數據操作日志及其備份數據保存時間不低于三年。定期審計要求定期對數據操作行為進行審計，審計周期不超過六個月。重要數據保存期限重要數據、敏感數據操作日志及其備份數據保存時間不低于一年。個人信息保護五銀行保險機構需在信息收集前明確告知數據主體，確保其了解信息用途和處理方式。01機構必須獲得數據主體的明確同意后方可處理個人信息，保障數據主體的知情權和選擇權。02信息收集和處理應嚴格限定在特定目的內，且僅限于實現該目的所必需的最小范圍。03《辦法》在個人信息保護方面與《個人信息保護法》保持一致，未對銀行保險機構提出額外要求。04明確告知原則授權同意機制目的限定與最小范圍遵循《個人信息保護法》（一）重申《個保法》要求強調告知義務取得個人同意的重要性業務合作中的數據共享無除外條款銀行保險機構在共享個人信息前，必須明確告知個人并取得其同意。《辦法》未設定個人信息共享的除外條款，強調了義務的普遍性。機構與母公司或集團間業務合作頻繁，需注意合規處理個人信息共享。在向集團內外提供個人信息時，必須確保已獲得相關個人的明確同意。（二）個人信息共享與同意義務銀行保險機構在發生或者可能發生個人信息泄露、篡改、丟失的情況時，應當報送的個人信息保護職責的部門為國家金融監督管理總局或者其派出機構。（三）個人信息安全事件報送監管報告義務六銀行保險機構需遵循監管要求，對日常數據處理活動進行嚴格管理，確保數據安全。強化日常數據處理監管機構應定