引言
金融数据具有高价值和高敏感性,金融数据安全与国家安全和金融消费者权益密切相关。随着金融行业数字化变革的加速,新技术和新业态不断涌现,金融领域面临的数据安全风险形式逐日复杂严峻,给金融机构的数据安全管理带来新挑战。2024年12月27日,国家金融监督管理总局(以下简称“金融监管总局”)发布重要规章——《银行保险机构数据安全管理办法》(以下简称“办法”),旨在规范银行保险机构的数据处理活动,通过强化政策压实主体责任,保障数据安全和金融安全,促进数据的合理开发利用,维护社会公共利益和金融消费者合法权益。
要求概览
《办法》为金融监管总局成立后的第一部数据安全立法,一方面与《数据安全法》、《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》等数据安全领域的框架性、纲领性文件衔接,体现了“主管部门承担本行业、本领域数据安全监管职责”的上位要求;另一方面,对比中国人民银行于2023年7月发布的《中国人民银行业务领域数据安全管理办法(征求意见稿)》,亦体现出监管要求和方式上的差异。在各项合规要求的落地实施方面,此前的国家、行业标准,包括但不限于《GB/T 35273-2020 信息安全技术 个人信息安全规范》、《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0223-2021金融数据安全 数据生命周期安全规范》,可作实际落地的参考。
《办法》共9章81条,整体而言,重点需关注的要求包括如下:
1) 明确/细化数据安全治理架构
2) 建立数据分类分级保护标准
3) 强化数据安全管理
4) 健全数据安全技术保护体系
5) 落实个人信息保护
6) 完善数据安全风险监测与处置机制
详细解读与分析
1)
明确/细化数据安全治理架构
与《数据安全法》相比,《办法》提出了更为明确的细化要求,要求银行保险机构建立多层治理架构,并通过落实数据安全责任制、明确数据安全归口管理部门,形成“党委(党组)、董(理)事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全组织架构和治理架构。
党委(党组)、董(理)事会对机构的数据安全工作负主体责任;
银行保险机构主要负责人为第一责任人,分管数据安全的高级管理人员为直接责任人;
数据安全归口管理部门为数据安全管理工作的主要责任部门,全面负责数据安全管理工作:制定内规、建立数据目录、分级分类、风险评估、应急机制、宣贯培训、内外部数据分享管理、定期向高层进行汇报等;
信息科技部门为数据安全的技术保护主要责任部门,主要职责包括建立技术保护体系、落实技术保护措施,制定技术标准规范制度、组织开展技术风险评估、信息系统生命周期安全管理,建立应急管理机制等;
风险管理、内控合规、审计部门将数据安全纳入全面风险管理体系、内控评价体系,定期开展审计、监督检查与评价,督促问题整改和开展问责。
《办法》在对业务部门的定义上,与《中国人民银行业务领域数据安全管理办法(征求意见稿)》的“谁管业务、谁管业务数据、谁管数据安全”原则保持一致,实际上也是对业务、业务数据、数据安全三个不同方面职责划分进行了要求,避免管理职责不清晰。
2)
建立数据分类分级保护标准
《办法》要求银行保险机构制定分类分级保护制度,明确分类分级规范,建立数据目录并动态维护。同时,根据数据的不同级别开展差异化管理,建立动态调整审批机制,及时调整不适用的数据安全级别。
在数据分类上,类型涵盖客户数据、业务数据、经营管理数据、系统运行和安全管理数据。相较于《中国人民银行业务领域数据安全管理办法(征求意见稿)》中和《GB/T 43697-2024数据安全技术 数据分类分级规则》中的分类要求,未有显著差异。
关于数据分级,《办法》根据数据的重要性和敏感程度,将其分为核心数据、重要数据、一般数据,一般数据又细分为敏感数据和其他一般数据,与《GB/T 43697-2024数据安全技术 数据分类分级规则》中的分级定义相同。对比《中国人民银行业务领域数据安全管理办法(征求意见稿)》将数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级后,进一步把数据敏感性和数据可用性划分不同层级,和《JR/T 0197-2020金融数据安全 数据安全分级指南》将数据安全级别从低至高划分为1-5级,存在明显区别。
在落实分类分级工作时,各机构应将不同发文要求形成完善映射,从而制定适用于自身的分类分级标准。下图为内部分级时可参考映射示例:
3)
强化数据安全管理
在数据安全管理方面,《办法》针对数据收集、采购、存储、使用、加工、共享、委托处理、共同处理、数据转移、公开、数据跨境、销毁等数据处理全生命周期各环节设置了合规要求。从“建立企业级数据资产地图”、“开展数据安全评估”着手,结合数据全生命周期各项安全管理要求和自身发展战略,银行保险机构应当制定适配的数据安全保护策略、管理制度和实施细则,明确各项责任分工,落实保护措施。
《办法》要求银行保险机构“建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象”,该项资产梳理要求可作为数据合规工作底座,在实际操作中与分类分级工作共同开展。
针对“数据安全评估”要求的引入,考虑与《个人信息保护法》中个人信息保护影响评估的相似性,可考虑一定程度上的合并。
在数据生命周期管控要求上,《办法》借鉴了个人信息保护领域的合规思路,在审批管理、访问授权、处理规则、可追溯性上提出了更高的合规要求,可能会对现有的数据处理实践产生影响,需要相关机构予以重点关注并采取对应措施以确保合规。
在落地实施的环节中,可参考《JR/T 0223-2021金融数据安全 数据生命周期安全规范》等国家标准文件,通过这些文件的具体指导,更好地确保数据的安全性和合规性:
4)
健全数据安全技术保护体系
《办法》在技术保护领域,确立了若干原则性规范,要求构建数据安全技术防护体系及确立数据安全保护基线;明确了数据应被纳入网络安全等级保护的范畴内;强调了将数据安全保护工作整合进信息系统开发生命周期中。
针对敏感级及以上数据,要求“实现数据安全保护措施与信息系统的同步规划、同步建设、同步使用”,表明数据安全保护措施在信息系统开发的早期阶段就应考虑。在信息系统的建设和实施过程中,数据安全保护措施制定也同步进行,确保在系统投入使用前,必要的安全措施已经到位。一旦系统投入运营,所有的安全措施需正常运作。并且,持续性与动态管理也应得到重视,不断更新和维护数据安全保护措施,以适应新的威胁和挑战。
此外,《办法》对于数据访问控制、信息系统保护、数据传输保护、数据存储保护、数据销毁管理,设定了基线要求,为相关数据安全技术保护工作提供了起点和最低参考标准。
以及,在新技术日益发展和开放合作成为主流趋势的当下,《办法》与时俱进地为模型算法运用、人工智能技术、建设开放银行、金融生态、与第三方数据合作等提出了相应的要求。
在实际的推进过程中,可紧密结合先前发布的《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0071.2-2020金融行业网络安全等级保护实施指引》、《JR/T 0223-2021金融数据安全 数据生命周期安全规范》等指导性文件,以达成全方位多层次建设技术保护体系的目标。
5)
落实个人信息保护
个人信息保护方面,《办法》单独设置“个人信息保护章节”,重申了《个人信息保护法》相关内容,包括告知同意、目的限制、影响评估以及共享、对外提供、数据跨境、委托处理、自动化决策、安全事件响应相关合规要求,未实质性改变或增加银行保险机构在该领域下的合规义务。
6)
完善数据安全风险监测与处置机制
《办法》第六十四条要求银行保险机构将数据安全风险纳入本机构全面风险管理体系,明确组织架构和管理流程,有效防范和处置风险。并且各机构每年应开展一次数据安全风险评估,每三年至少开展一次数据安全全面审计,发生重大安全事件后应开展专项审计。
同时,除特权账号、异常访问、数据异常流动等安全技术监测要求外,客户相关投诉、负面舆情等问题均被《办法》纳入数据安全威胁监测内容,因此,除信息科技部门,其他公共事务相关部门应协同参与风险监测工作。
对于数据安全事件发生后的监管上报时限,《办法》也作了对应要求,银行保险机构应基于时限要求,对现行应急响应方案、流程、人员等进行进一步梳理和更新。
结合《网络安全事件报告管理办法(征求意见稿)》,对安全事件的监管上报要求可参考如下表格:
《办法》为我国银行保险机构的数据安全管理工作提供了更加明确的指引的同时,也带来了新的挑战。随着《办法》的深入实施,银行保险机构应不断提升数据安全管理能力,构建更加坚固的数据安全防线,以应对日益复杂的数据安全挑战,以更高、更严的要求对待每一项数据处理活动,确保数据的安全、合规与高效利用,构建一个更加安全、更加可靠的金融数据环境,为金融行业的稳健发展和金融消费者的权益保护提供坚实的基础。
作者:
李世峰
德勤中国网络安全战略转型及数字隐私信任
高级经理
邮箱:shifli@deloittecn.com.cn
业务垂询,敬请联络:
薛梓源
德勤中国网络安全事业群
主管合伙人
邮箱:tonxue@deloittecn.com.cn
冯晔
德勤中国网络安全战略转型及数字隐私信任
主管合伙人
邮箱:stefeng@deloittecn.com.cn
江玮
德勤中国网络安全战略转型及数字隐私信任
合伙人
邮箱:davidjiang@deloittecn.com.cn
何薇
德勤中国网络安全战略转型及数字隐私信任
合伙人
邮箱:vhe@deloittecn.com.cn
林松祥
德勤中国网络安全战略转型及数字隐私信任
合伙人
邮箱:chaphylin@deloittecn.com.cn
