金融監管總局擬建立數據分類分級標準 保障數據安全、金融安全
21世紀經濟報道 記者李願 北京報道
3月22日,金融監管總局科技監管司就《銀行保險機構數據安全管理辦法(公開徵求意見稿)》(下稱《辦法》)公開徵求意見,旨在規範銀行業保險業數據處理活動,保障數據安全、金融安全,促進數據合理開發利用,保護個人、組織的合法權益,維護國家安全和社會公共利益。意見反饋截止時間爲2024年4月23日。
《辦法》共九章八十一條,包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。
“近年來,《數據安全法》《個人信息保護法》等上位法相繼發佈,對規範數據處理活動、個人信息保護等提出了明確要求。同時,金融行業數字化變革加速演進,新技術、新業務模式不斷涌現,數據的使用、加工、傳輸、共享等活動日益頻繁,進一步凸顯數據安全保護的重要性。”對於《辦法》制定的背景,金融監管總局有關司局負責人介紹稱,有必要充分發揮監管的“指揮棒”作用,通過強化政策要求引導銀行保險機構壓實主體責任,完善內部制度,採取有效的措施加強數據管理和保護,確保客戶信息和金融交易數據安全。
《辦法》的出臺已有一定預期。21世紀經濟報道記者注意到,金融監管總局科技監管司今年初在《深入學習貫徹中央金融工作會議精神全面推進監管數字化智能化轉型》文章中表示,進一步強化監管數據治理,落實監管數據分類分級管理要求,保障監管數據安全。
值得注意的是,《辦法》還適用於金融監管總局批准設立的外國銀行分行、其他金融機構、金融控股公司以及總局管理單位參照適用本辦法。地方金融監督管理部門批准設立的金融組織參照適用本辦法。
金融監管總局表示,將根據各界反饋意見,對《辦法》進一步修改完善,並適時發佈。《辦法》顯示,該《辦法》自公佈之日起施行,《銀行保險機構數據安全辦法》(銀保監辦發〔2022〕118號)同時廢止。
建立數據分類分級標準
《辦法》主要內容包括七方面:一是明確數據安全治理架構,二是建立數據分類分級標準,三是強化數據安全管理,四是健全數據安全技術保護體系,五是加強個人信息保護,六是完善數據安全風險監測與處置機制,七是明確監督管理職責。
《辦法》第五條對數據安全治理架構做出了明確要求,銀行保險機構應當建立與本機構業務發展目標相適應的數據安全治理體系,建立健全數據安全管理制度,構建覆蓋數據全生命週期和應用場景的安全保護機制,開展數據安全風險評估、監測與處置,保障數據開發利用活動安全穩健開展。銀行保險機構利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度基礎上,履行數據安全保護義務。
數據分類分級標準方面,辦法第十六條規定,銀行保險機構應當制定數據分類分級保護制度,建立數據目錄和分類分級規範,動態管理和維護數據目錄,採取差異化安全保護措施。
所謂數據分類,即銀行保險機構應當對機構業務及經營管理過程中獲取、產生的數據進行分類管理,數據類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。數據分級,即銀行保險機構應當根據數據的重要性和敏感程度,將數據分爲核心數據、重要數據、一般數據,其中一般數據細分爲敏感數據和其他一般數據。
核心數據是指對領域、羣體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度的重要數據,一旦被非法使用或者共享,可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益。
重要數據是指特定領域、特定羣體、特定區域或者達到一定精度和規模的數據,一旦被泄露或者篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。
敏感數據是指,一旦被泄露或者篡改、損毀,對經濟運行、社會穩定、公共利益有一定影響,或者對組織自身或者公民個體造成重要影響的數據。除以上數據之外的數據爲其他一般數據。
《辦法》第七十一條還明確,金融監管總局按照國家數據分類分級要求,制定銀行業保險業重要數據目錄,提出核心數據目錄建議,監督指導銀行保險機構開展數據分類分級管理和數據保護。銀行保險機構應當按要求向國家金融監督管理總局或者其派出機構報送重要數據目錄。重要數據目錄發生重大變化應當及時報備更新後的數據目錄。
強化數據安全管理
強化數據安全管理是《辦法》重要內容之一,《辦法》也在多處提出了相關要求。
在數據安全管理職責方面,金融監管總局有關司局負責人表示,《辦法》要求銀行保險機構按照國家數據安全與發展政策要求,根據自身發展戰略,制定數據安全保護策略;根據數據處理目的、性質和範圍,依照法律法規和倫理道德規範要求,對相關數據業務處理活動進行安全評估,分析數據安全風險和對數據主體權益影響,評估數據處理的必要性、合規性及防控措施的有效性;收集數據應堅持“合法、正當、必要、誠信”原則,明確數據收集和處理的目的、方式、範圍、規則,保障收集過程的數據安全性、數據來源可追溯,不得超出數據主體同意的範圍收集數據;在數據集團內部共享的過程中,應建立總行(公司)與其子公司數據安全隔離的“防火牆”,並對共享數據採取有效保護措施;《辦法》還對數據加工、委託處理、共同處理、數據轉移等具體的數據處理場景分別提出了相應安全管理要求。
對於數據共享及集團內部共享,《辦法》第二十九條明確,銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火牆”,並對共享數據採取有效保護措施。銀行保險機構與其母行、集團,或者其子行、子公司共享敏感級及以上數據,應當獲得數據主體的授權同意,法律、行政法規另有規定的除外。不得以數據主體拒絕同意共享敏感數據而終止或者拒絕單家子行、子公司對其提供金融服務,所共享數據屬於提供產品或者服務所必需的除外。
在助貸、互聯網貸款等業務方面,數據處理通常涉及第三方,如何做好安全管理也是重要環節。
《辦法》第三十一條規定,銀行保險機構應當將數據委託處理納入信息科技外包管理範圍,在實施過程中不得將信息科技管理責任、數據安全主體責任外包,涉及信息科技戰略管理、信息科技風險管理、信息科技內部審計及其他有關信息科技核心競爭力的職能不得外包。第三十二條規定,銀行保險機構與第三方機構進行數據共同處理時,應當按照“業務必要授權”原則制定方案並採取有效技術保護措施確保數據安全,並以合同協議方式明確雙方在數據處理過程中的數據安全責任和義務。第五十三條規定,銀行保險機構在建設開放銀行、金融生態或者與第三方數據合作時,要實現自身與外部的安全風險隔離,與外部機構的數據交互應當通過集中管理的外聯平臺或者應用程序接口實施,依據“業務必需、最小權限”原則,採取有效措施對接口設計、開發、服務、運行等進行集中安全保護管理。
此外,隨着大模型在金融領域的應用逐步落地,《辦法》也對此提出了相關要求:銀行保險機構應當對人工智能模型開發應用進行統一管理,建立模型算法產品外部引入的准入機制,對模型研發過程進行主動管理,實現模型算法可驗證、可審覈、可追溯。