银行保险机构数据安全治理将迎来全面升级。3月22日,来自金融监管总局官网信息,为规范银行保险机构数据处理活动,保障数据安全,金融监管总局制定了《银行保险机构数据安全管理办法(征求意见稿)》(以下简称《办法》),《办法》要求银行保险机构按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任;制定数据分类分级保护制度大牛沪深策略,并采取差异化的安全保护措施。
建立数据分类分级标准
近年来,《数据安全法》《个人信息保护法》等上位法相继发布,对规范数据处理活动、个人信息保护等提出了明确要求。同时,金融行业数字化变革加速演进,新技术、新业务模式不断涌现,数据的使用、加工、传输、共享等活动日益频繁,进一步凸显数据安全保护的重要性。
国家金融监督管理总局有关司局负责人在答记者时指出,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。
《办法》共九章八十一条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。
《办法》明确,建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。同时,强化数据安全管理,银行保险机构应按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,在开展相关数据业务处理活动时应当进行数据安全评估。
博通咨询金融行业资深分析师王蓬博指出,政策的制定恰逢其时。在金融机构数据管理方面,可遵循此前出台的《网络安全法》《个人信息保护法》《反洗钱法》等,但金融有其特殊性,从银行业角度来说,金融数据更加敏感,需要实现对敏感数据的监控与分析、因此,有必要出台相关办法弥补可能存在的漏洞。
落实数据安全责任制
伴随着金融行业数字化转型升级提速,金融数据安全不容忽视,《办法》为金融机构数据治理提供了指南,北京商报记者注意到,此次《办法》亮点颇多,不仅落实了数据安全责任制,也完善了数据安全风险监测与处置机制。
《办法》要求,银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人,明确各层级负责人的责任,明确违规情形和责任追究事项,落实问责处置机制。
“《办法》将数据安全风险纳入全面风险管理体系。”上述国家金融监督管理总局有关司局负责人强调,要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
银行保险机构应当对数据安全威胁进行有效监测,实施监督检查,主动评估风险,防止数据篡改、破坏、泄露、非法利用等安全事件发生。
具体来看,监测内容包括:超范围授权或者使用系统特权账号;内部人员异常访问、使用数据;对数据集中共享的系统或者平台的网络安全、数据安全威胁;敏感级及以上数据在不同区域的异常流动;移动存储介质的异常使用;外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改;客户有关数据安全的投诉;数据泄露、仿冒欺诈等负面舆情等情况。
处理个人信息要经授权同意
信息化、数字化、智能化给金融消费者带来便利的同时,个人信息被侵害的情况屡见不鲜。在金融领域,金融类App、小程序都是不规范使用用户隐私信息的“重灾区”,从近年来违规案例来看,侵害金融消费者权益多集中于违规收集个人信息;App强制、频繁、过度索取权限;未明示个人信息处理规则等方面。
为保护金融消费者权益,《办法》要求,银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制。
处理原则上,银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息。不得利用所收集的个人信息从事违法违规活动。
在开展涉及对个人权益有重大影响的个人信息处理活动时,《办法》也提到,银行保险机构应当进行个人信息保护影响评估,评估内容包括个人信息处理的合法性、必要性,对个人权益的影响及安全风险,所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
光大银行金融市场部宏观研究员周茂华表示,大数据时代,数据是新型要素资源,如何保障数据安全开发利用和流通,对于数字经济、金融健康发展具有重要意义。《办法》的制定意义重大影响深远,在数据治理安全架构、数据分类分级标准、数据安全管理、个人信息安全保护、数据安全风险监测与处置机制及监管等方面均作了明确规定,有助于明确金融机构数据安全管理职责,规范使用,为数据金融健康发展明确了发展方向。
北京商报记者宋亦桐大牛沪深策略