江春入旧年——《银行保险机构数据安全管理办法》解读

2024年3月22日，国家金融监督管理总局（以下简称“ 金监局 ”）发布了其挂牌成立以来起草的第一部数据安全管理方面立法——《银行保险机构数据安全管理办法（征求意见稿）》（以下简称“ 《征求意见稿》 ”）。在广泛征求社会公开意见、各类银行保险机构意见以及组织部分机构开展专题会议现场听取意见建议后，2024年12月27日，金监局正式发布了《银行保险机构数据安全管理办法》（以下简称“ 《数据安全管理办法》 ”），同时，《数据安全管理办法》已于公布之日起施行，由此拉开了2025年银行保险业务领域数据安全治理与监管实践的序幕。

《征求意见稿》在既往金融数据安全全生命周期管理机制基础上，提出了一系列数据安全管理措施，明确要求银行保险机构建立数据安全责任制，从数据安全管理体系、数据安全技术保护体系以及数据风险管理机制等维度明确了银行保险机构的合规义务，以重构银行保险机构从数据安全管理到风险动态管控的常态长效机制，也充分彰显了我国对于强化数据安全管理、压实银行保险机构主体责任、确保客户信息和金融交易数据安全的高度重视与坚定决心。（详见前期文章：“ 草木蔓发，春山可望——《银行保险机构数据安全管理办法（征求意见稿）》解读 ”）。

为助力银行保险机构更好地平衡金融安全风险防控与业务长足发展，本文将重点梳理《数据安全管理办法》为银行保险机构提出的关键合规要点，基于《征求意见稿》梳理《数据安全管理办法》的主要变化，以期为银行保险机构重塑其合规布局提供切实有效的指引与帮助。

《数据安全管理办法》旨在引导银行保险机构压实主体责任，完善内部机制，采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全，共9章81条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则，具体合规要点梳理参见文末附录。从篇幅结构来看，《数据安全管理办法》在既往金融数据安全全生命周期管理机制的基础上，提出一系列数据安全治理要求，以重构金融数据安全的常态长效机制。

1. 重构金融数据安全治理整体架构

《数据安全管理办法》重构了金融数据安全治理架构，建立起包含组织架构、安全管理及技术措施在内的多维度、综合性的治理架构体系。

具体而言，其一，《数据安全管理办法》依据“谁管业务、谁管业务数据、谁管数据安全”的原则确立了银行保险机构的数据安全责任制，明确了对本机构数据安全工作负主体责任、担任数据安全第一责任人以及直接责任人的组织或人员，并进一步深化了相关组织或人员的具体职责要求。

其二，《数据安全管理办法》在“保安全”的基础上，将数据资产管理引入数据安全管理体系，推动资产管理与安全保护的协调与平衡。对此，我们理解，数据分级分类是对数据采取差异化保护措施的前提，而开展全域的数据资产登记则是银行保险机构内部开展数据分级分类工作的坚实依托。

其三，《数据安全管理办法》要求银行保险机构建立针对大数据、云计算、移动互联网等多元异构环境下的数据安全技术保护体系，并将数据安全保护纳入信息系统开发生命周期框架。对此，我们理解，建立健全数据安全保护技术体系将进一步加强银行保险机构的技术措施落实水平，即银行保险机构应在网络、软件与数据多维度依法贯彻落实数据安全保护技术措施，以期更好地保障数据的完整性、保密性和可用性。

2. 明确金融数据分级分类标准

金融数据分类分级是建立统一、完善的金融数据生命周期安全保护框架的基础工作，能够为金融业机构制定有针对性的数据安全管控措施提供支撑。《数据安全管理办法》在响应《数据安全法》提出的“国家建立数据分类分级保护制度”的总体要求的基础上，更进一步补充拓展了金融数据分类分级的标准。

其一，《数据安全管理办法》进一步明确了金融数据分类的标准。在《金融数据安全 数据安全分级指南》附录B就金融数据分类进行了列举的基础上，《数据安全管理办法》以更高的效力层级对金融数据分类进行了明确，将数据类型分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等，为银行保险机构的数据分类提供了更清晰、明确的指引。

其二，《数据安全管理办法》对金融数据分级对影响国家安全的数据进行了进一步的细化。《数据安全管理办法》根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据。其中，一般数据细分为敏感数据和其他一般数据。较之于《金融数据安全 数据安全分级指南》依据影响对象及影响程度两个要素将金融数据分为五级，《数据安全管理办法》采取三级的分级方法，聚焦国家安全与公共利益，对“核心数据”、“重要数据”作出更明确的界定，同时还将“敏感数据”纳入“一般数据”之下作细分，使得银行保险机构能够对不同层级的“一般数据”做差异化管理，既避免“一刀切”的过度保护，也可更灵活地开展金融数据处理的安全保护工作。

3. 强化银行保险机构集团内部的数据共享合规要求

《数据安全管理办法》在顺应了复杂的集团化经营需求的基础上，就银行保险机构与其母行、集团，或者其子行、子公司之间的数据共享提出了更加清晰的合规指引。

其一，《数据安全管理办法》确立了“风险隔离+数据安全隔离”双重要求。与《商业银行理财子公司管理办法》《金融控股公司监督管理试行办法》要求金融控股公司建立健全集团整体的风险隔离机制一脉相承，《数据安全管理办法》进一步要求银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，对共享数据采取有效保护措施，明确了在银行保险机构内部设立更完备的数据安全管控边界。

其二，《数据安全管理办法》要求敏感及以上级别数据共享须获数据主体授权同意，可见，在《个人信息保护法》要求就个人信息对外提供取得个人单独同意基础上，《数据安全管理办法》的这一规定在敏感级及以上数据共享的场景下，进一步要求将企业客户也纳入授权同意的主体范畴。对此，我们理解，《数据安全管理办法》在敏感级及以上数据处理过程中，凸显了金监局对于各类型客户主体（包括自然人、法人以及非法人组织等）数据权益的重视，除个人信息外，银行保险机构应对非个人信息数据也同样需做好合法合规共享、授权留痕等合规准备。

4. 细化金融领域数据安全事件响应要求

《数据安全管理办法》还对银行保险机构履行数据安全事件应急响应要求提出了清晰、明确的落实要求。一方面，《数据安全管理办法》以附件形式对数据安全事件的分级提供了规则指引，即根据安全事件的影响范围和程度，将安全事件划分为特别重大、重大、较大和一般四个事件级别。具体而言，影响范围包括安全事件涉及的数据类型（是否为核心数据、重要数据以及敏感级及以上数据）、造成影响的省级区域的数量以及是否对公共利益、个人权益造成影响等范围因素；影响程度则是指是否对公共利益、多个个人或组织造成严重危害，是否造成特别重大经济损失等程度因素。

另一方面，《数据安全管理办法》完善了涉及报告人员、报告时限、配合范围等要素在内的数据安全事件应急联动报告机制。具体而言：（1）《数据安全管理办法》不仅要求银行保险机构自身就安全事件进行报告，还要求其建立协调联动服务提供商、第三方合作机构以及报告合作方、客户的数据安全事件报告机制。我们理解，要求建立联动协调第三方的报告机制的原因在于，银行保险机构在实践业务开展过程当中不仅可能委任第三方开展涉及收集处理数据的相关服务，相关的安全事件本身也可能对客户及合作方等第三方产生影响。（2）《数据安全管理办法》明确了银行保险机构报告安全事件的对象及时限，提高了银行保险机构的数据安全事件报告操作的可执行性。具体报告对象及时限要求包括数据安全事件发生2小时内向金监局或其派出机构报告，并在事件发生后24小时内提交正式书面报告；发生特别重大数据安全事件的，应当立刻采取处置措施并向金监局、属地公安机关报告，并每2小时将处置进展情况上报直至处置结束。

此外，《数据安全管理办法》第六十六条还规定，在发生重大数据安全事件后银行保险机构应当开展专项审计，这也对银行保险机构的合规审计工作范围进一步细化了要求。

1.  银行保险机构数据安全监管思路一以贯之

（1）金监局对金融机构数据安全监管的决心不变

近年来，金融领域面临的数据安全风险形势复杂严峻，为银行保险机构的数据安全管理带来了新的挑战。根据中国消费者报报道，金监局于2024年3月下发的《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》表明，“从目前投诉督查、举报调查、监管评价等工作中反映的问题来看，银行保险机构侵害个人信息权益的行为仍时有发生，内部管控还存在短板弱项和风险隐患”。 [1] 例如，银行保险机构在业务开展过程中可能涉及强制同意、传输方式不安全、不当使用客户信息等个人信息收集处理问题。同时，根据某市场机构发布的《2024年上半年数据泄露风险态势报告》，金融业成为2024年上半年数据泄露事件最多的行业。 [2] 此外，随着金融领域生成式人工智能服务的逐步应用，银行保险机构引入模型算法开展业务，包括但不限于个性化推送类的算法推荐技术应用，也可能相应触发算法风险管控义务。

在《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律、行政法规对数据、个人信息的保护提出通用保护合规要求的背景下，金监局出台《数据安全管理办法》“恰逢其时”，从而对金融领域数据提出更为明确、更符合行业需求的安全管理要求。

（2）金监局对银行保险机构数据安全管理的监管逻辑整体不变

《征求意见稿》从明确数据安全治理架构、建立数据分级分类标准、强化数据安全管理、健全数据安全技术保护体系、加强个人信息保护、完善数据安全风险监测与处置机制六个方面对银行保险机构开展数据治理、处理活动提出了要求。前述六个方面的有机结合共同形成了对银行保险机构开展数据处理活动的事前、事中及事后在内的全流程监管。

《数据安全管理办法》整体延续了前述六方面的体系结构，规范银行保险业的数据处理活动，维护数据安全及金融消费者的合法权益。此外，值得关注的是，由于银行保险机构的数据大多为相关金融机构在面向客户提供服务时收集产生；即使是面向企业客户提供服务，也可能无法避免收集企业客户法定代表人、业务联系人等个人信息主体的个人信息，《征求意见稿》和《数据安全管理办法》在要求相关机构进行数据分级分类、采取差异化的安全保护措施的基础上专章规定个人信息保护要求，体现了金监局的金融消费者个人信息及合法权益保护的意识导向。

2. 银行保险机构数据安全监管工具吐故纳新

《数据安全管理办法》整体上吸收延续了《征求意见稿》的合规要求，在吸收各方意见的基础上，从规制主体、监管工具、规制时点等维度进行了细节上的优化或规范上的补充。具体变化情况如下：

（1）微调规制主体范围

《数据安全管理办法》第二条规定了银行保险机构的具体定义，即是在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团（控股）公司。

和《征求意见稿》相比，《数据安全管理办法》在规制主体范围上一方面优化“农村信用社”至“农村信用合作社”、优化“财务公司”至“企业集团财务公司”，使得《数据安全管理办法》的适用范围更为精准，避免歧义。例如，明确受到《数据安全管理办法》规制的主体是为企业集团成员单位提供财务管理服务的非银行金融机构的企业集团财务公司，而非一般的代账会计机构。

另一方面的突出变化是删除了《征求意见稿》中的“开发性金融机构”。但我们理解，前述删除行为并非代表开发性金融机构数据安全监管的落空，一方面，《数据安全管理办法》在第新增了“国家有关主管部门另有规定的，应当依法遵守其规定”；另一方面，《数据安全管理办法》第八十条规定，国家金融监督管理总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位仍参照适用《数据安全管理办法》。由于金监局目前仍构成开发性金融机构的监督管理部门，这为开发性金融机构参照执行相关数据安全管理要求预留了一定的空间。

就开发性金融机构而言，根据国务院《关于同意国家开发银行深化改革方案的批复》（国函[2015]55号），开发性金融机构主要是为了实现国家出资或主要由国家出资设立的，主要以国家担保债款为主要资金来源，以政策性产业投资贷款为主要资金运用的具有银行属性的金融机构；同时，在我国，开发性金融机构主要指国家开发银行。从开发性金融机构的特殊机构属性来看，我们理解，《数据安全管理办法》在银行保险机构定义条款中删除开发性金融机构这一主体的原因，可能是出于开发性金融机构的交叉监管需要考虑。尽管《国家金融监督管理总局职能配置、内设机构和人员编制规定》里明确了金监局设立大型银行监管司，承担包含开发性银行在内的银行非现场监测、风险分析和监管评价等工作，但实践中如何协调中国人民银行、金监局、财政部等多部门对于开发性金融机构包含数据合规在内的合规监管仍有待进一步明确，这一理解也体现在《金融机构合规管理办法》适用范围当中。具体而言，金监局在2024年8月16日起草《金融机构合规管理办法（征求意见稿）》时未将开发性金融机构纳入适用范围；2024年12月25日公布的《金融机构合规管理办法》正式版本也延续了这一做法。由此可知，开发性金融机构的金融数据监管机制可能还需进一步商榷和厘清。

除开发性金融机构的多头监管外，金融数据监管本身也涉及多部门的交叉监管。例如，中国人民银行于2023年7月起草并发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）》。因此，在未来，如何实现金监局、中国人民银行乃至中国证监会等监管部门分别以各自的侧重点对金融数据提出的监管要求的协调也将成为监管部门、金融机构和社会各界关注的重点问题。

（2）明确数据安全直接责任人

《数据安全管理办法》第十条规定，银行保险机构主要负责人为数据安全第一责任人， 分管数据安全的高级管理人员 为直接责任人。

我们理解，相比《征求意见稿》规定的“分管数据安全的领导为直接责任人”，最终版本将领导限定为高级管理人员，能够更为明确、清晰地锁定银行保险机构的直接责任人范围。一方面，领导一词存在一定程度的泛化，可能导致各层级管理人员就数据安全管理责任互相推诿。另一方面，特定银行保险机构的高级管理人员范围通常相对固定，且其在日常经营管理过程中往往拥有重要的决策权和管理职责，从“权责相当”的角度而言，高级管理人员担任直接责任人更有助于督促其推进本机构的数据安全管理。

值得一提的是，于2025年1月1日正式施行的《网络数据安全管理条例》第三十条规定，重要数据处理者的网络数据安全负责人由网络数据处理者的管理层成员担任。尽管此处并未明确将网络安全负责人限定为“高级管理人员”，但通常而言，企业的管理层和高级管理人员的范畴具有一定程度的重合，不难看出两项规定在人员安排上的“相辅相成”，即现行数据领域的立法拟通过明确企业内部的数据安全管理相关责任人员的任命要求，引导银行保险机构压实主体责任。

（3）扩充数据安全技术应急管理机制

《数据安全管理办法》第十四条规定，银行保险机构信息科技部门的主要职责包括建立数据安全技术应急管理机制，防范外部攻击、内外部破坏等危害数据安全活动。

相比于《征求意见稿》仅提出了“防范外部攻击行为”的表述，同时防范内、外部危害数据安全的活动更为符合现阶段银行保险机构的数据安全风险防范需求。实践中，除了黑客攻击等外部网络及数据安全事件，还存在银行保险机构主机异常、员工异常访问、员工利用职务之便查询客户个人信息并泄露给外部人员等因内部安全技术措施不到位、内部员工不当、违规操作引发的内部数据安全风险。例如，2024年4月，某股份银行因贷后管理不尽职导致个人贷款资金被挪用、数据安全管理不到位等违法违规事实被金监局地方分局处以290万元罚款；此前，某国有大行地方分行的业务管理人员利用职务之便获取大量客户数据用于售卖，人民法院认为其构成侵害公民个人信息罪，判以有期徒刑5年并处罚金人民币16万元。由此可见，银行保险机构应当兼顾外部数据风险防范与内部数据风险防范，“双管齐下”，双向维护数据安全及金融消费者的合法权益。

（4）确定开展信息系统与模型算法使用审查的时间节点

与《征求意见稿》相比，《数据安全管理办法》第五十一条更新了对于银行保险机构开展信息系统与模型算法使用相关的数据安全审查的时间要求。具体而言，《数据安全管理办法》要求银行保险机构信息系统、模型算法投入使用前（不再是“使用时”），开展数据安全审查，审查数据与模型使用的合理性、正当性、可解释性，以及数据利用对相关主体合法权益的影响、伦理道德风险及防控措施有效性等。

由此可见，在“使用前”开展数据及模型性能相关审查意味着在信息系统及模型算法方面对银行保险机构施加了事前监管的要求，而非事中监管。这一事前监管的要求，在《数据安全法》基础上进一步明确了金融数据领域的数据安全审查机制，同时也与《个人信息保护法》要求个人信息处理者在利用个人信息进行自动化决策、开展其他对个人权益有重大影响的个人信息处理活动前开展事前的个人信息保护影响评估的逻辑相符，并与具有舆论属性或社会动员能力的生成式人工智能服务提供者提供相关算法服务需开展算法备案及大模型备案的算法合规事前监管要求相协调。

（5）优化数据删除与销毁要求

《数据安全管理办法》第三十条规定，银行保险机构委托数据处理终止（《征求意见稿》表述为“中止”）时，应当要求服务提供商及时删除数据，并采取现场检查等有效监督措施，确保数据被销毁、不可恢复。

对此，我们理解，中止多用于指事情进行中因故停止。事情停止之后，可以不再进行，也可以恢复进行。而“终止”的事情，则不再继续进行了。本条旨在规制银行保险机构在委托处理场景下的数据删除与销毁义务，考虑到银行保险机构委托第三方处理数据过程的持续性和复杂性，上述合规义务适用点的调整更好地平衡银行保险机构数据合规管理与数据开发利用成本。同时，这一调整也与《个人信息保护法》第二十一条规定的“委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或予以删除，不得保留”的上位法规制思路保持一致。

（6）深化供应链外包管理要求

《数据安全管理办法》第三十一条规定，供应链服务中涉及敏感级及以上数据处理的，银行保险机构应当加强对供应商的准入和安全管理。

我们理解，结合《征求意见稿》既有的外包管理条款，第三十一条从外包范围限制和外包管理两个维度完善了外包管理要求。一方面，银行保险机构不得将信息科技管理责任、数据安全管理责任外包；另一方面，如外包服务涉及敏感级及以上数据处理的，则应进一步加强供应商的准入与安全管理。基于此，银行保险机构在聘用供应商开展服务前，应当首先判断相关外包服务是否可能涉及敏感级及以上数据，这一步骤以相关机构建立健全完善的数据分级分类制度、全面开展数据分级分类工作为前提；其次，识别判断相关服务可能涉及敏感级及以上数据的情况下，相关机构委任供应商则可综合考虑供应商在网络安全与数据合规方面取得的资质、建立的内部数据安全管理体系、实施的数据安全技术措施等方面加强对供应商的准入与安全管理。例如，建立供应商“白名单”，仅和具有良好资质、履约能力及网络安全能力的供应商进行合作；在外包开发的系统、软件上线前组织安全必要安全检测并记录留痕等。

《数据安全管理办法》作为银行保险机构在金融领域贯彻落实《数据安全法》《网络安全法》《个人信息保护法》等网络安全与数据合规领域基本法律的下位法，为银行保险机构如何统筹“组装”银行保险机构数据安全管理合规体系提供了重要制度指引。基于此，建议银行保险机构重点关注以下合规重点，逐步健全完善数据安全管理机制，以期更好地把握数字化、智能化转型新机遇：

1. 建立健全业务导向的数据安全管理责任归口机制

银行保险机构应当建立健全覆盖董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构，由党委（党组）、董（理）事会对本单位数据安全工作负主体责任，指定数据安全归口管理部门，任命银行保险机构主要负责人为数据安全第一责任人，并按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求及相应的问责处置机制。

2. 完善优化全生命周期的数据风险管理机制

考虑到《数据安全管理办法》构建了一个涵盖预防、监控与应对的事前、事中、事后全流程监管机制，银行保险机构应当将数据安全风险纳入本机构全面风险管理体系，通过风险管理、内控合规和审计部门等内部机构，主动评估风险，对数据安全风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生；除了日常风险监测机制外，银行保险机构还应当定期开展数据安全评估，完善数据安全事件应急管理机制，并依法落实数据安全风险评估报告机制，从而建立健全贯穿数据处理全生命周期的数据风险管理机制，有效防范和处置数据安全风险。

3. 重点加强场景化的个人信息保护与数据安全管理机制

《数据安全管理办法》针对实践中数据安全事件频发、数据泄露风险高、数据处理合规水位有待厘清的重点业务场景，包括但不限于金融外包管理、集团内部数据共享管理等，重申或细化了个人信息保护与数据安全管理要求。为此，我们也建议银行保险机构重点关注上述重点监管业务场景，一方面，重点聚焦信息科技外包场景，通过严格限制外包服务范围，选择信誉较高的外包服务商，优化自身与外包商签署的外包服务协议条款等方式，加强对于外包供应商的准入管控与数据安全管理；另一方面，加速建立完善银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，对共享数据采取有效保护措施，并确保依法落实企业客户与个人信息主体的告知同意义务。

脚注：

[1] 中国消费者报：《金融监管总局通报银行保险机构侵害个人信息权益乱象 主要问题集中在五大方面》，https://www.ccn.com.cn/Content/2024/03-29/1756190840.html

[2] 威胁猎人：2024年上半年数据泄露风险态势报告，https://www.thepaper.cn/newsDetail_forward_26102089