随着数字经济的蓬勃发展,金融行业数据安全风险日益凸显。2024年12月27日,国家金融监督管理总局发布《银行保险机构数据安全管理办法》,旨在细化明确数据安全合规底线要求,规范银行保险机构的数据安全管理行为,标志着我国银行保险机构数据安全管理进入新阶段。
《银行保险机构数据安全管理办法》的发布,体现了我国银行保险机构数据安全监管进入快车道。国家金融监督管理总局对数据安全关注的重点领域包括数据安全管理责任、数据分类分级要求、数据生命周期安全管理和技术措施要求以及数据处理活动中的数据安全风险的监测、评估与处置等:
图:遵循“谁管业务,谁管业务数据,谁管数据安全”基本原则
银行保险机构涉及大量的个人信息和敏感数据,如客户身份信息、交易记录、财务状况等金融相关数据,一旦泄露或被盗用,可能对客户合法权益、行业安全、经济稳定甚至于国家安全产生重大影响。该基本原则首先明确了数据安全的主体责任,要求银行保险机构应形成自上而下、立体的覆盖全面三道防线的数据安全治理结构,以确保金融机构整体的健康、稳定和有序运行。
2. 以数据处理场景为依托,以数据分类分级为基准的数据安全管控措施
银行保险机构根据业务需求和法规要求,制定明确的数据分类标准,涵盖客户数据、业务数据、经营管理数据、系统运行和安全管理数据等不同类型的数据,确保各类数据得到恰当且有效的处理和保护。在数据分类的基础上,建立数据分级制度,根据数据重要性、敏感性、可用性、安全性等因素,从多维度考虑,将数据分为不同级别,以采取不同的安全管理和技术保护措施,设定相应的访问权限,严格管理,及时发现和应对潜在的安全风险。
3. 数据安全风险为抓手,充分管控数据生命周期环节的风险
管理办法中充分强调了数据安全评估的重要性,要求银行保险机构在处理敏感级及以上数据的业务活动时,或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时,应当事先开展数据安全评估。通过将风险评估活动嵌入到事前(评估)、事中(监测)、事后(处置)等环节,形成数据处理场景立体化的安全风险防控。
银行保险机构在面对数据安全事件时,需及时、有效地识别、评估、应对事件并恢复业务。数据安全事件响应能力对于保护敏感、重要和核心数据、减少损失、维护业务连续性以及满足法规要求至关重要。银行保险机构对不同类型和级别的数据安全事件制定明确的应急响应计划、流程和措施,以便在事件发生时能快速识别与评估数据安全事件的原因、性质、影响、级别、潜在风险和应对措施等,确保内外部的不同部门和团队之间的信息共享、有效衔接、紧密合作,严格遵循监管报送要求,履行事中和事后报告义务,并详细记录和归档,以备后续调查和审计。
尤其值得关注的是,《银行保险机构数据安全管理办法》为我国银行保险机构数据安全管理提供了更加明确和细化的方向和指引的同时,详细列示了数据处理者未履行数据安全保护义务所需承担的法律责任。针对《银行保险机构数据安全管理办法》银行保险机构面临的数据安全管控难点与挑战主要集中于以下六方面:
业务、数据管理、数据安全管理统筹考虑
:
国家金融监督管理总局《银行保险机构数据安全管理办法》中明确了“谁管业务,谁管业务数据,谁管数据安全”的基本原则 ,银行保险机构
需要统筹考虑业务管理、业务数据管理、业务数据安全管理一体化统筹管理
。如何搭建覆盖全面的数据安全治理架构需要银行保险机构结合自身企业治理结构进行统筹设计。
数据资产管理
:
国家金融监督管理总局《银行保险机构数据安全管理办法》中要求银行保险机构应当建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。银行保险机构应充分考虑,数据治理工作如何与数据安全工作有机融合,快速提升当前数据治理成熟度水平,打好数据安全治理的
数据底座
。
数据分类分级
:
在《银行保险机构数据安全管理办法》中数据安全级别采取了“核心、重要、一般(敏感、其他一般)”的定义,如何充分兼顾法律法规以及人行关于数据分级的要求,
统筹分类分级工作
,更好的降低管理成本。
数据安全体系建设
:
银行保险机构现有数据安全体系建设的基础,需要充分考虑国家金融监督管理总局《银行保险机构数据安全管理办法》与中国人民银行《中国人民银行业务领域数据安全管理办法》在
数据安全治理、数据安全管理、数据安全技术、数据安全风险监测等
方面的
差异化要求
,
求同存异
,
尽量避免重复建设
。在数据安全体系建设过程,对于两方监管确实无法进行融合的要求,需要具体问题具体分析。
数据安全保护资源保障
:
《银行保险机构数据安全管理办法》对银行保险机构数据安全提出严格的要求,数据安全工作
需要更多的资源投入和关注度
,包括但不限于技术、人力和资金,以加强数据安全防护,提高数据安全管理水平。这不仅仅是满足监管要求,更是关系到银行保险机构的声誉、客户信任和业务稳定,如何在现有资源有限的情况下,在监管要求为红线的基础上兼顾投入产出比,需要银行保险机构进行深入探索。
数据安全事件响应
:
《银行保险机构数据安全管理办法》中针对数据安全应急与处置提出一系列要求,银行保险机构应在当前已有业务连续性管理、信息系统、信息安全应急管理的基础上,充分探索数据安全应急管理的管控要求、落地方式等,并兼顾
与原有业务应急管理机制的融合
。
银行保险机构应积极响应监管政策要求,加强各领域数据安全管理工作,确保金融数据安全,为金融行业的稳健发展贡献力量。为了应对以上的难点与挑战,银行保险机构可以采取数据安全现状评估、积极与监管沟通和协作、数据安全归口统筹管理、完善内部管理体系、加强技术研发和投入、强化人员培训和管理等措施提升自身数据安全能力:
针对国家金融监督管理总局数据安全要求,银行保险机构应进行现状自评估,了解自身数据安全方面所需的改进方面和行动计划,并制定整改的时间表。
在充分阅读、理解和分析的基础上,银行保险机构应加强监管的沟通与协作,利用监管现场检查的契机,与其探讨数据安全方面的合规需求,尤其是银行保险机构在落实数据安全方面的管理和技术难点。
根据监管要求和数据安全监管趋势,银行保险机构应设立数据安全归口管理部门,在信息科技部门及其他部门的配合下,统筹管理自身数据安全事项。
根据数据安全要求,银行保险机构应完善内部管理制度,包括数据分类分级制度、数据安全保护制度、全流程安全管理制度、数据服务管理体系等,确保制度的合规性和有效性。
