網安(ān)利好!國(guó)家金融監管總局重磅發布《銀行保險機構數據安(ān)全管理(lǐ)辦(bàn)法》
發布時間:2024-12-30
閱讀次數: 793 次
2024 年 12 月 27 日,國(guó)家金融監督管理(lǐ)總局印發《銀行保險機構數據安(ān)全管理(lǐ)辦(bàn)法的通知》.
銀行保險機構數據安(ān)全管理(lǐ)辦(bàn)法第一條 為(wèi)規範銀行業保險業數據處理(lǐ)活動,保障數據安(ān)全、金融安(ān)全,促進數據合理(lǐ)開發利用(yòng),保護個人、組織的合法權益,維護國(guó)家安(ān)全和社會公(gōng)共利益,根據《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》《中(zhōng)華人民(mín)共和國(guó)銀行業監督管理(lǐ)法》《中(zhōng)華人民(mín)共和國(guó)商(shāng)業銀行法》《中(zhōng)華人民(mín)共和國(guó)保險法》等法律法規,制定本辦(bàn)法。第二條 本辦(bàn)法所稱銀行保險機構,是指在中(zhōng)華人民(mín)共和國(guó)境内設立的政策性銀行、商(shāng)業銀行、農村合作(zuò)銀行、農村信用(yòng)合作(zuò)社、金融資産(chǎn)管理(lǐ)公(gōng)司、企業集團财務(wù)公(gōng)司、金融租賃公(gōng)司、汽車(chē)金融公(gōng)司、消費金融公(gōng)司、貨币經紀公(gōng)司、信托公(gōng)司、理(lǐ)财公(gōng)司、保險公(gōng)司、保險資産(chǎn)管理(lǐ)公(gōng)司、保險集團(控股)公(gōng)司。開展涉及國(guó)家秘密的數據處理(lǐ)活動,适用(yòng)《中(zhōng)華人民(mín)共和國(guó)保守國(guó)家秘密法》等法律、行政法規的規定。國(guó)家有(yǒu)關主管部門另有(yǒu)規定的,應當依法遵守其規定。第三條 本辦(bàn)法所稱數據,是指以電(diàn)子或者其他(tā)方式對信息的記錄。數據處理(lǐ),是指對數據的收集、存儲、使用(yòng)、加工(gōng)、傳輸、提供、共享、轉移、公(gōng)開、删除、銷毀等。數據安(ān)全,是指通過采取必要措施,對數據處理(lǐ)活動和數據應用(yòng)場景進行管理(lǐ)與控制,确保數據始終處于有(yǒu)效保護和合法利用(yòng)的狀态,以及具(jù)備保障持續安(ān)全狀态的能(néng)力。數據主體(tǐ),是指數據所标識的自然人或者其監護人、企業、機關、事業單位、社會團體(tǐ)和其他(tā)組織。個人信息,是以電(diàn)子或者其他(tā)方式記錄的與已識别或者可(kě)識别的自然人有(yǒu)關的各種信息,不包括匿名(míng)化處理(lǐ)後的信息。大數據平台,是指以處理(lǐ)海量數據存儲、計算、分(fēn)析等為(wèi)目的的基礎設施,包括數據統計分(fēn)析類的平台和大數據處理(lǐ)類平台(如數據湖(hú)、數據倉庫等)。第四條 國(guó)家金融監督管理(lǐ)總局及其派出機構負責銀行業保險業數據安(ān)全的監督管理(lǐ),制定并發布監管規章制度,對銀行保險機構履行數據安(ān)全保護義務(wù)情況進行監督檢查。第五條 銀行保險機構應當建立與本機構業務(wù)發展目标相适應的數據安(ān)全治理(lǐ)體(tǐ)系,建立健全數據安(ān)全管理(lǐ)制度,構建覆蓋數據全生命周期和應用(yòng)場景的安(ān)全保護機制,開展數據安(ān)全風險評估、監測與處置,保障數據開發利用(yòng)活動安(ān)全穩健開展。銀行保險機構利用(yòng)互聯網等信息網絡開展數據處理(lǐ)活動,應當在網絡安(ān)全等級保護制度基礎上,履行數據安(ān)全保護義務(wù)。第六條 銀行保險機構開展數據處理(lǐ)活動,應當遵守法律、法規,尊重社會公(gōng)德(dé)和倫理(lǐ),遵守商(shāng)業道德(dé)和職業道德(dé),誠實守信,履行數據安(ān)全保護義務(wù),承擔社會責任,不得危害國(guó)家安(ān)全、政治安(ān)全、經濟金融安(ān)全、公(gōng)共利益,不得損害個人、組織的合法權益。第七條 銀行保險機構應當統籌發展和安(ān)全,落實國(guó)家大數據戰略,推進數據基礎設施建設,加大數據創新(xīn)應用(yòng)力度,促進以數據為(wèi)關鍵要素的數字經濟發展,提升金融服務(wù)的智能(néng)化水平,創新(xīn)普惠金融服務(wù)模式,增強防範化解風險的能(néng)力。第八條 銀行保險機構應當持續跟蹤新(xīn)興數據開發利用(yòng)和科(kē)技(jì )發展前沿動态,有(yǒu)效應對大數據應用(yòng)與科(kē)技(jì )創新(xīn)可(kě)能(néng)産(chǎn)生的規則沖突、社會風險、倫理(lǐ)道德(dé)風險,防止數據與科(kē)技(jì )被誤用(yòng)、濫用(yòng)。第九條 銀行保險機構應當建立覆蓋董(理(lǐ))事會、高管層、數據安(ān)全統籌、數據安(ān)全技(jì )術保護等部門的數據安(ān)全管理(lǐ)組織架構,明确崗位職責和工(gōng)作(zuò)機制,落實資源保障。第十條 銀行保險機構應當建立數據安(ān)全責任制,黨委(黨組)、董(理(lǐ))事會對本單位數據安(ān)全工(gōng)作(zuò)負主體(tǐ)責任。銀行保險機構主要負責人為(wèi)數據安(ān)全第一責任人,分(fēn)管數據安(ān)全的高級管理(lǐ)人員為(wèi)直接責任人,明确各層級負責人的責任,明确違規情形和責任追究事項,落實問責處置機制。第十一條 銀行保險機構應當指定數據安(ān)全歸口管理(lǐ)部門,作(zuò)為(wèi)本機構負責數據安(ān)全工(gōng)作(zuò)的主責部門。其主要職責包括:(一)組織制定數據安(ān)全管理(lǐ)原則、規劃、制度和标準;(二)組織建立和維護數據目錄,推動實施數據分(fēn)類分(fēn)級保護;(四)統籌建立數據安(ān)全應急管理(lǐ)機制,組織開展數據安(ān)全風險監測、預警與處置;(五)組織開展數據安(ān)全宣貫培訓,提升員工(gōng)數據安(ān)全保護意識與技(jì )能(néng);(六)建立和維護内部數據共享、外部數據引入、數據對外提供、數據出境的統籌管理(lǐ)機制,牽頭對外部數據供應商(shāng)進行安(ān)全管理(lǐ),統籌大數據應用(yòng)、數據共享項目的安(ān)全需求管理(lǐ);(七)向黨委(黨組)、董(理(lǐ))事會、高管層報告數據安(ān)全重要事項;(八)其他(tā)須統籌管理(lǐ)的數據安(ān)全工(gōng)作(zuò)事項。第十二條 銀行保險機構應當按照“誰管業務(wù)、誰管業務(wù)數據、誰管數據安(ān)全”的原則,明确各業務(wù)領域的數據安(ān)全管理(lǐ)責任,落實數據安(ān)全保護管理(lǐ)要求。第十三條 銀行保險機構風險管理(lǐ)、内控合規和審計部門負責将數據安(ān)全納入全面風險管理(lǐ)體(tǐ)系、内控評價體(tǐ)系,定期開展審計、監督檢查與評價,督促問題整改和開展問責。第十四條 銀行保險機構信息科(kē)技(jì )部門是數據安(ān)全的技(jì )術保護主責部門,其主要職責包括:(一)建立數據安(ān)全技(jì )術保護體(tǐ)系,建立數據安(ān)全技(jì )術架構和保護控制基線(xiàn),落實技(jì )術保護措施。(二)制定數據安(ān)全技(jì )術标準規範制度,組織開展數據安(ān)全技(jì )術風險評估。(三)組織開展信息系統的生命周期安(ān)全管理(lǐ),确保數據安(ān)全保護措施在需求、開發、測試、投産(chǎn)、監測等環節得到落實。(四)建立數據安(ān)全技(jì )術應急管理(lǐ)機制,組織開展數據安(ān)全風險技(jì )術監測、預警、通報與處置,防範外部攻擊、内外部破壞等危害數據安(ān)全活動。(五)組織數據安(ān)全技(jì )術研究與應用(yòng)。第十五條 銀行保險機構應當建立良好的數據安(ān)全文(wén)化,開展全員數據安(ān)全教育和培訓,提高數據安(ān)全保護意識和水平,形成全員共同維護數據安(ān)全和促進發展的良好環境。第十六條 銀行保險機構應當制定數據分(fēn)類分(fēn)級保護制度,建立數據目錄和分(fēn)類分(fēn)級規範,動态管理(lǐ)和維護數據目錄,采取差異化安(ān)全保護措施。第十七條 銀行保險機構應當對機構業務(wù)及經營管理(lǐ)過程中(zhōng)獲取、産(chǎn)生的數據進行分(fēn)類管理(lǐ),數據類型包括客戶數據、業務(wù)數據、經營管理(lǐ)數據、系統運行和安(ān)全管理(lǐ)數據等。第十八條 銀行保險機構應當根據數據的重要性和敏感程度,将數據分(fēn)為(wèi)核心數據、重要數據、一般數據。其中(zhōng),一般數據細分(fēn)為(wèi)敏感數據和其他(tā)一般數據。核心數據,是指對領域、群體(tǐ)、區(qū)域具(jù)有(yǒu)較高覆蓋度或者達到較高精(jīng)度、較大規模、一定深度的重要數據,一旦被非法使用(yòng)或者共享,可(kě)能(néng)直接影響政治安(ān)全、國(guó)家安(ān)全重點領域、國(guó)民(mín)經濟命脈、重要民(mín)生、重大公(gōng)共利益。重要數據,是指特定領域、特定群體(tǐ)、特定區(qū)域或者達到一定精(jīng)度和規模的數據,一旦被洩露或者篡改、損毀,可(kě)能(néng)直接危害國(guó)家安(ān)全、經濟運行、社會穩定、公(gōng)共健康和安(ān)全。敏感數據,是指一旦被洩露或者篡改、損毀,對經濟運行、社會穩定、公(gōng)共利益有(yǒu)一定影響,或者對組織自身或者公(gōng)民(mín)個體(tǐ)造成重要影響的數據。除以上數據之外的,為(wèi)其他(tā)一般數據。第十九條 銀行保險機構應當加強數據安(ān)全級别的時效管理(lǐ),建立動态調整審批機制,當數據的業務(wù)屬性、重要程度和可(kě)能(néng)造成的危害程度發生變化,導緻原安(ān)全級别不再适用(yòng)的,應當及時動态調整。第二十條 銀行保險機構應當按照國(guó)家數據安(ān)全與發展政策要求,根據自身發展戰略,制定數據安(ān)全保護策略。銀行保險機構應當制定數據安(ān)全管理(lǐ)辦(bàn)法,明确管理(lǐ)責任分(fēn)工(gōng),建立包括數據處理(lǐ)全生命周期管控機制,落實保護措施。銀行保險機構應當對數據外部引入或者合作(zuò)共享、數據出境等,制定安(ān)全管理(lǐ)實施細則。第二十一條 銀行保險機構應當建立企業級數據架構,統籌開展對全域數據資産(chǎn)登記管理(lǐ),建立數據資産(chǎn)地圖,以數據分(fēn)類分(fēn)級為(wèi)基礎明确數據保護對象,圍繞數據處理(lǐ)活動實施安(ān)全管理(lǐ)。第二十二條 銀行保險機構在處理(lǐ)敏感級及以上數據的業務(wù)活動時,或者開展數據委托處理(lǐ)、共同處理(lǐ)、轉移、公(gōng)開、共享等對數據主體(tǐ)有(yǒu)較大影響的活動時,應當事先開展數據安(ān)全評估。數據安(ān)全評估應當根據數據處理(lǐ)目的、性質(zhì)和範圍,按照法律法規和倫理(lǐ)道德(dé)規範要求,分(fēn)析數據安(ān)全風險和對數據主體(tǐ)權益影響,評估數據處理(lǐ)的必要性、合規性,評估數據安(ān)全風險及防控措施的有(yǒu)效性。第二十三條 銀行保險機構應當建立企業級數據服務(wù)管理(lǐ)體(tǐ)系,制定數據服務(wù)規範,建立專職數據服務(wù)團隊,統籌内外部數據加工(gōng)、分(fēn)析,實施數據服務(wù)需求分(fēn)析、服務(wù)開發、服務(wù)部署、服務(wù)監控等活動。第二十四條 銀行保險機構收集數據應當堅持“合法、正當、必要、誠信”原則,明确數據收集和處理(lǐ)的目的、方式、範圍、規則,保障收集過程的數據安(ān)全性、數據來源可(kě)追溯。銀行保險機構不得超出數據主體(tǐ)同意的範圍向其收集數據,法律、行政法規另有(yǒu)規定的除外。銀行保險機構向其他(tā)銀行保險機構收集行業重要級及以上數據,需經國(guó)家金融監督管理(lǐ)總局同意。第二十五條 銀行保險機構應當以信息系統為(wèi)數據收集的主要渠道,限制或者減少其他(tā)渠道、臨時性數據收集。銀行保險機構停止金融業務(wù)或者服務(wù)後,應當立即停止相關數據收集或者處理(lǐ)活動,法律、行政法規另有(yǒu)規定的除外。第二十六條 銀行保險機構應當制定外部數據采購(gòu)、合作(zuò)引入的集中(zhōng)審批管理(lǐ)制度,納入外包風險管理(lǐ)體(tǐ)系進行統籌管理(lǐ),統籌建立數據需求、安(ān)全評估、收集引入、數據運維、登記備案和監督評價管理(lǐ)機制,對數據來源的真實性、合法性進行調查,評估數據提供者的安(ān)全保障能(néng)力及其數據安(ān)全風險,明确雙方數據安(ān)全責任及義務(wù)。第二十七條 銀行保險機構開展敏感級及以上數據清洗轉換、彙聚融合、分(fēn)析挖掘等數據加工(gōng)活動時,應當采用(yòng)匿名(míng)化、去标識化或者其他(tā)必要安(ān)全措施保護數據主體(tǐ)權益,法律、行政法規另有(yǒu)規定的除外。數據彙聚融合衍生敏感級及以上數據,或者導緻數據安(ān)全級别變化的,應當及時評估、調整安(ān)全保護措施。第二十八條 銀行保險機構應當按照“業務(wù)必要授權”原則,對敏感級及以上數據嚴格實施授權管理(lǐ),制定數據訪問閉環管理(lǐ)機制,并對數據訪問行為(wèi)實施審計。确因業務(wù)需要從生産(chǎn)環境提取數據的,應當建立嚴格的審批程序,并明确數據使用(yòng)或者保存期限。銀行保險機構利用(yòng)互聯網等信息網絡開展數據處理(lǐ)活動時,要落實網絡安(ān)全等級保護、關鍵信息基礎設施安(ān)全保護、密碼保護等制度要求。第二十九條 銀行保險機構應當對數據共享使用(yòng)進行集中(zhōng)安(ān)全管控,明确企業級數據共享策略,評估數據共享使用(yòng)的必要性、合規性、安(ān)全性及倫理(lǐ)道德(dé)規範的符合度。銀行保險機構應當建立銀行母行、保險集團或者母公(gōng)司與其子行、子公(gōng)司數據安(ān)全隔離的“防火牆”,并對共享數據采取有(yǒu)效保護措施。銀行保險機構與其母行、集團,或者其子行、子公(gōng)司共享敏感級及以上數據,應當獲得數據主體(tǐ)的授權同意,法律、行政法規另有(yǒu)規定的除外。不得以數據主體(tǐ)拒絕同意共享敏感數據而終止或者拒絕單家子行、子公(gōng)司對其提供金融服務(wù),所共享數據屬于提供産(chǎn)品或者服務(wù)所必需的除外。第三十條 銀行保險機構在委托處理(lǐ)數據時,應當明确所涉數據外部使用(yòng)和處理(lǐ)的條件、場景、方式。委托處理(lǐ)數據時,應當以合同協議方式約定委托處理(lǐ)的目的、期限、處理(lǐ)方式、數據範圍、保護措施、雙方的數據安(ān)全責任和義務(wù),以及受托方返還或者删除數據的方式等,對數據處理(lǐ)活動進行記錄和審計,可(kě)對外公(gōng)開披露的數據除外。銀行保險機構應當要求受托方在未取得其同意時,不得轉委托其他(tā)主體(tǐ)處理(lǐ)數據,不得對外共享數據,不得加工(gōng)、訓練、挪用(yòng)數據,或者采取其他(tā)形式處理(lǐ)數據以謀取合同或者協議約定以外的利益。第三十一條 銀行保險機構應當将數據委托處理(lǐ)納入信息科(kē)技(jì )外包管理(lǐ)範圍,在實施過程中(zhōng)不得将信息科(kē)技(jì )管理(lǐ)責任、數據安(ān)全主體(tǐ)責任外包,涉及信息科(kē)技(jì )戰略管理(lǐ)、信息科(kē)技(jì )風險管理(lǐ)、信息科(kē)技(jì )内部審計及其他(tā)有(yǒu)關信息科(kē)技(jì )核心競争力的職能(néng)不得外包。供應鏈服務(wù)中(zhōng)涉及敏感級及以上數據處理(lǐ)的,銀行保險機構應當加強對供應商(shāng)的準入和安(ān)全管理(lǐ)。第三十二條 銀行保險機構與第三方機構進行數據共同處理(lǐ)時,應當按照“業務(wù)必要授權”原則制定方案并采取有(yǒu)效管理(lǐ)和技(jì )術保護措施确保數據安(ān)全,并以合同協議方式明确雙方在數據處理(lǐ)過程中(zhōng)的數據安(ān)全責任和義務(wù)。第三十三條 銀行保險機構因合并、分(fēn)立、解散、被宣告破産(chǎn)等需要轉移數據的,應當明确數據轉移内容,通過協議、承諾等方式約定數據接收方全面承接對應數據的安(ān)全保護義務(wù),通過公(gōng)告等方式告知數據主體(tǐ)。數據轉移應當采用(yòng)安(ān)全可(kě)靠方式進行,并确保轉移過程可(kě)追溯。第三十四條 銀行保險機構向外部提供敏感級及以上數據,應當取得數據主體(tǐ)同意,法律、行政法規另有(yǒu)規定的除外。除國(guó)家機關依法履職外,銀行保險機構核心數據跨主體(tǐ)流動應當按照國(guó)家相關政策要求通過風險評估、安(ān)全審查。第三十五條 銀行保險機構應當建立對外公(gōng)開披露數據的審批機制,研判可(kě)能(néng)産(chǎn)生的影響,數據公(gōng)開應當在機構官方渠道進行發布,确保數據真實、準确、防篡改,記錄審批和發布情況。敏感級及以上數據不得公(gōng)開,法律、行政法規另有(yǒu)規定或者取得數據主體(tǐ)授權同意的除外。第三十六條 銀行保險機構向境外提供在中(zhōng)華人民(mín)共和國(guó)境内運營中(zhōng)收集和産(chǎn)生的重要數據和個人信息,應當承擔數據安(ān)全主體(tǐ)責任,并按照國(guó)家有(yǒu)關政策要求進行安(ān)全評估。第三十七條 銀行保險機構應當采取技(jì )術措施,對敏感級及以上數據加強重點防護。加強數據備份,制定備份策略,備份數據和生産(chǎn)數據應隔離分(fēn)開保存,嚴格管理(lǐ)備份數據的訪問權限。制定備份驗證計劃,确保備份數據完整有(yǒu)效、業務(wù)可(kě)恢複。第三十八條 銀行保險機構應當制定數據銷毀管理(lǐ)制度,按照國(guó)家、行業有(yǒu)關規定及與數據主體(tǐ)的約定進行數據删除或者匿名(míng)化處理(lǐ)。銀行保險機構委托數據處理(lǐ)終止時,應當要求服務(wù)提供商(shāng)及時删除數據,并采取現場檢查等有(yǒu)效監督措施,确保數據被銷毀、不可(kě)恢複。第三十九條 銀行保險機構應當建立針對大數據、雲計算、移動互聯網、物(wù)聯網等多(duō)元異構環境下的數據安(ān)全技(jì )術保護體(tǐ)系,建立數據安(ān)全技(jì )術架構,明确數據保護策略方法,采取技(jì )術措施,保障數據安(ān)全。第四十條 銀行保險機構應當将數據安(ān)全保護納入信息系統開發生命周期框架,針對敏感級及以上數據明确安(ān)全保護要求,實現數據安(ān)全保護措施與信息系統的同步規劃、同步建設、同步使用(yòng)。第四十一條 銀行保險機構應當将數據納入網絡安(ān)全等級保護。銀行保險機構應當根據數據安(ān)全級别,劃分(fēn)網絡邏輯安(ān)全域,建立分(fēn)區(qū)域數據安(ān)全保護基線(xiàn),實施有(yǒu)效的安(ān)全控制,包括内容過濾、訪問控制和安(ān)全監控等,确保相關措施滿足處理(lǐ)和存儲最高級别數據的網絡安(ān)全策略和數據安(ān)全保護策略要求。存放或者傳輸敏感級及以上數據的機房、網絡應當實施重點防護,設立物(wù)理(lǐ)安(ān)全保護區(qū)域,對網絡邊界、重要網絡節點進行安(ān)全監控與審計。第四十二條 銀行保險機構應當将敏感級及以上數據納入信息系統保護。在數據全生命周期内采取有(yǒu)效的訪問控制管理(lǐ)措施,對于不同區(qū)域流轉和共享中(zhōng)的數據,應當實施同等水平的安(ān)全防護措施。多(duō)來源敏感級及以上數據彙聚集中(zhōng)後,應當采取加強性或者至少不低于集中(zhōng)前最高級别數據保護強度的安(ān)全措施。第四十三條 銀行保險機構應當嚴格實施對敏感級及以上數據的管理(lǐ),制定用(yòng)戶對數據的訪問策略,采取有(yǒu)效的用(yòng)戶認證和訪問控制技(jì )術措施,規範數據操作(zuò)行為(wèi),用(yòng)戶對數據的訪問應當符合業務(wù)開展的必要要求并與數據安(ān)全級别相匹配。敏感級及以上數據的操作(zuò)應當進行日志(zhì)記錄,包括操作(zuò)時間、用(yòng)戶标識、行為(wèi)類型等,核心數據操作(zuò)日志(zhì)及其備份數據保存時間不低于三年,重要數據、敏感數據操作(zuò)日志(zhì)及其備份數據保存時間不低于一年,如涉及委托處理(lǐ)、共同處理(lǐ)的數據操作(zuò)日志(zhì)及其備份數據保存時間不低于三年。應當定期對數據操作(zuò)行為(wèi)進行審計,審計周期不超過六個月。第四十四條 銀行保險機構敏感級及以上數據傳輸應當采用(yòng)安(ān)全的傳輸方式,保障數據完整性、保密性、可(kě)用(yòng)性。銀行保險機構之間進行數據交換時,參與數據交換的相關機構應當采取有(yǒu)效措施保障信息數據傳輸和存儲的保密性、完整性、準确性、及時性、安(ān)全性。第四十五條 銀行保險機構應當對敏感級及以上數據采取安(ān)全存儲措施,防止勒索病毒、木(mù)馬後門等攻擊。個人身份鑒别數據不得明文(wén)存儲、傳輸和展示。敏感級及以上數據應當實施數據容災備份,定期進行數據可(kě)恢複性驗證。第四十六條 敏感級及以上數據達到使用(yòng)或者保存期限後,應當采取技(jì )術措施及時删除或者銷毀,确保數據不可(kě)恢複。終端和移動存儲介質(zhì)内的敏感級及以上數據應當采取技(jì )術保護措施,确保受控安(ān)全訪問,介質(zhì)報廢或者重用(yòng)時,其存儲空間數據應當完全清除并不可(kě)恢複。第四十七條 銀行保險機構應當開展數據安(ān)全的技(jì )術基礎設施建設,支持用(yòng)戶身份管理(lǐ)、數據匿名(míng)化、行為(wèi)監測、日志(zhì)審計、數據虛拟化等功能(néng)的組件化、服務(wù)化,保障安(ān)全标準在信息系統中(zhōng)執行的一緻性。第四十八條 銀行保險機構開發信息系統時,應當明确系統拟處理(lǐ)的數據及其安(ān)全級别、訪問規則、保護需求,并實施有(yǒu)效的系統安(ān)全控制。系統投産(chǎn)上線(xiàn)前應當開展安(ān)全測試,确保各項安(ān)全要求落實,有(yǒu)效防範數據安(ān)全風險。測試環境應當與生産(chǎn)系統隔離,敏感級及以上數據原則上未經脫敏處理(lǐ)不得進入測試環境,防止數據洩露。第四十九條 銀行保險機構應當對大數據平台采取高可(kě)用(yòng)設計、安(ān)全加固、數據備份等措施進行重點保護。應當建立大數據服務(wù)訪問授權機制,動态監測與審計大數據訪問行為(wèi)。第五十條 銀行保險機構開展自動化決策分(fēn)析、模型算法開發、數據标注等活動,應當保證數據處理(lǐ)透明度和結果公(gōng)平合理(lǐ)。銀行保險機構應當對人工(gōng)智能(néng)模型開發應用(yòng)進行統一管理(lǐ),建立模型算法産(chǎn)品外部引入的準入機制,對模型研發過程進行主動管理(lǐ),實現模型算法可(kě)驗證、可(kě)審核、可(kě)追溯。第五十一條 銀行保險機構信息系統、模型算法投入使用(yòng)前,應當開展數據安(ān)全審查,審查數據與模型使用(yòng)的合理(lǐ)性、正當性、可(kě)解釋性,以及數據利用(yòng)對相關主體(tǐ)合法權益的影響、倫理(lǐ)道德(dé)風險及防控措施有(yǒu)效性等。第五十二條 銀行保險機構使用(yòng)人工(gōng)智能(néng)技(jì )術開展業務(wù)時,應當就數據對決策結果影響進行解釋說明和信息披露,實時監測自動化處理(lǐ)與系統運行結果,建立人工(gōng)智能(néng)應用(yòng)的風險緩釋措施,包括制定退出人工(gōng)智能(néng)應用(yòng)的替代方案,對安(ān)全威脅制定應急方案并開展演練。第五十三條 銀行保險機構在建設開放銀行、金融生态或者與第三方數據合作(zuò)時,要實現自身與外部的安(ān)全風險隔離,與外部機構的數據交互應當通過集中(zhōng)管理(lǐ)的外聯平台或者應用(yòng)程序接口實施,依據“業務(wù)必需、最小(xiǎo)權限”原則,采取有(yǒu)效措施對接口設計、開發、服務(wù)、運行等進行集中(zhōng)安(ān)全保護管理(lǐ)。第五十四條 銀行保險機構處理(lǐ)個人信息應當按照“明确告知、授權同意”的原則實施,法律、行政法規另有(yǒu)規定的除外,并在信息系統中(zhōng)實現相關功能(néng)控制。第五十五條 銀行保險機構處理(lǐ)個人信息應當具(jù)有(yǒu)明确、合理(lǐ)的目的,并應當與處理(lǐ)目的直接相關,收集個人信息應當限于實現金融業務(wù)處理(lǐ)目的的最小(xiǎo)範圍,不得過度收集個人信息。不得利用(yòng)所收集的個人信息從事違法違規活動。第五十六條 銀行保險機構處理(lǐ)個人信息前,應當真實、準确、完整地向個人告知其個人信息的處理(lǐ)目的、處理(lǐ)方式、處理(lǐ)的個人信息種類、保存期限,個人行使其信息權利的申請受理(lǐ)和處理(lǐ)程序,以及法律法規規定應當告知的其他(tā)事項。銀行保險機構應當制定個人信息處理(lǐ)規則,個人信息處理(lǐ)規則應當公(gōng)開展示、易于訪問、内容明确、清晰易懂。第五十七條 銀行保險機構不得以個人不同意處理(lǐ)其個人信息或者撤回同意為(wèi)由,拒絕提供産(chǎn)品或者服務(wù),處理(lǐ)個人信息屬于提供産(chǎn)品或者服務(wù)所必需的除外。第五十八條 銀行保險機構在開展涉及對個人權益有(yǒu)重大影響的個人信息處理(lǐ)活動時,應當進行個人信息保護影響評估,評估内容包括個人信息處理(lǐ)的合法性、必要性,對個人權益的影響及安(ān)全風險,所采取的保護措施合法性、有(yǒu)效性以及是否與風險程度相适應。個人信息保護影響評估報告和處理(lǐ)情況記錄應當至少保存三年。第五十九條 銀行保險機構與其母行、集團,或者其子行、子公(gōng)司共享個人信息,及向外部提供個人信息,應當履行向個人告知及取得其同意等相關事項的義務(wù)。第六十條 銀行保險機構向中(zhōng)華人民(mín)共和國(guó)境外提供個人信息的,除滿足第三十六條、第五十九條規定的要求外,還應當向個人告知其向境外接收方行使信息權利的方式和程序等事項,法律、行政法規另有(yǒu)規定的除外。第六十一條 銀行保險機構委托第三方處理(lǐ)個人信息的,應當在合同或者協議條款内明确受托人對個人信息的保護義務(wù)、保護措施和期限等,并嚴格監督受托人以約定的處理(lǐ)目的、處理(lǐ)方式等處理(lǐ)個人信息,與第三方傳輸個人敏感數據必須确保安(ān)全,防範數據濫用(yòng)和洩漏風險。未經銀行保險機構同意,受托人不得轉委托他(tā)人處理(lǐ)個人信息。第六十二條 銀行保險機構在算法設計、訓練數據選擇和模型生成時,應當采取有(yǒu)效措施,保障個人合法權益。利用(yòng)個人信息進行自動化決策,應當保證決策的透明度和結果公(gōng)平、公(gōng)正。第六十三條 發生或者可(kě)能(néng)發生個人信息洩露、篡改、丢失的,銀行保險機構應當立即采取補救措施,同時通知個人并報送國(guó)家金融監督管理(lǐ)總局或者其派出機構。通知應當包括下列事項:(一)發生或者可(kě)能(néng)發生個人信息洩露、篡改、丢失的信息種類、原因和可(kě)能(néng)造成的危害;(二)銀行保險機構采取的補救措施和個人可(kě)以采取的減輕危害的措施。銀行保險機構采取措施能(néng)夠有(yǒu)效避免信息洩露、篡改、丢失造成危害的,可(kě)以不通知個人;監管部門認為(wèi)可(kě)能(néng)造成危害的,有(yǒu)權要求銀行保險機構通知個人。第六十四條 銀行保險機構應當将數據安(ān)全風險納入本機構全面風險管理(lǐ)體(tǐ)系,明确數據安(ān)全風險監測、風險評估、應急響應及報告、事件處置的組織架構和管理(lǐ)流程,有(yǒu)效防範和處置數據安(ān)全風險。第六十五條 銀行保險機構應當對數據安(ān)全威脅進行有(yǒu)效監測,實施監督檢查,主動評估風險,防止數據篡改、破壞、洩露、非法利用(yòng)等安(ān)全事件發生。監測内容包括:(一)超範圍授權或者使用(yòng)系統特權賬号;(三)對數據集中(zhōng)共享的系統或者平台的網絡安(ān)全、數據安(ān)全威脅;(四)敏感級及以上數據在不同區(qū)域的異常流動;(五)移動存儲介質(zhì)的異常使用(yòng);(六)外包、第三方合作(zuò)中(zhōng)的數據處理(lǐ)異常或者數據洩露、丢失和篡改;(九)其他(tā)可(kě)能(néng)導緻數據安(ān)全事件發生的情況。第六十六條 銀行保險機構應當每年開展一次數據安(ān)全風險評估。審計部門應當每三年至少開展一次數據安(ān)全全面審計,發生重大數據安(ān)全事件後應當開展專項審計。銀行保險機構委托專業機構進行數據安(ān)全審計時,不得使用(yòng)該機構提供的産(chǎn)品和其他(tā)服務(wù)。第六十七條 數據安(ān)全事件是指銀行保險機構數據被篡改、洩露、破壞、非法獲取、非法利用(yòng)等,對個人或者組織合法權益、行業安(ān)全、國(guó)家安(ān)全造成負面影響的事件。根據其影響範圍和程度,分(fēn)為(wèi)特别重大、重大、較大和一般四個事件級别。第六十八條 銀行保險機構應當建立數據安(ān)全事件應急管理(lǐ)機制,建立機構内部協調聯動機制,建立服務(wù)提供商(shāng)、第三方合作(zuò)機構數據安(ān)全事件的報告機制,及時處置風險隐患及安(ān)全事件。(一)制定數據安(ān)全事件應急預案,定期開展應急響應培訓和應急演練。(二)發生數據安(ān)全事件後,應當立即啓動應急處置,分(fēn)析事件原因、評估事件影響、開展事件定級,按照預案及時采取業務(wù)、技(jì )術等措施控制事态。(三)建立數據安(ān)全事件報告機制,根據事件安(ān)全等級制定報告流程,發生數據安(ān)全事件時按照規定報告,同時按照合同、協議等有(yǒu)關約定履行客戶及合作(zuò)方告知義務(wù)。(四)發生數據安(ān)全事件或者使用(yòng)的網絡産(chǎn)品和服務(wù)存在安(ān)全缺陷、漏洞時,應當立即開展調查評估,及時采取補救措施,防止危害擴大。網絡産(chǎn)品和服務(wù)提供商(shāng)存在安(ān)全缺陷、漏洞隐瞞不報的,銀行保險機構應當責令其改正;未按要求整改或者造成嚴重後果的,應當取消其服務(wù)資格,按合同約定予以處罰,并向國(guó)家金融監督管理(lǐ)總局或者其派出機構報告。第六十九條 數據安(ān)全事件發生2小(xiǎo)時内,銀行保險機構應當向國(guó)家金融監督管理(lǐ)總局或者其派出機構報告,并在事件發生後24小(xiǎo)時内提交正式書面報告。發生特别重大數據安(ān)全事件,銀行保險機構應當立即采取處置措施,按照規定及時告知用(yòng)戶并向國(guó)家金融監督管理(lǐ)總局或者其派出機構、屬地公(gōng)安(ān)機關報告。銀行保險機構應當每2小(xiǎo)時将處置進展情況上報,直至處置結束。數據安(ān)全事件處置結束後,銀行保險機構應當在五個工(gōng)作(zuò)日内将事件及其處置的評估、總結和改進報告報送國(guó)家金融監督管理(lǐ)總局或者其派出機構。其他(tā)法律、行政法規對數據安(ān)全事件應急處置作(zuò)出規定的,銀行保險機構應當執行。第七十條 國(guó)家金融監督管理(lǐ)總局及其派出機構對銀行保險機構數據安(ān)全保護情況進行監督管理(lǐ),開展非現場監管、現場檢查,将數據安(ān)全管理(lǐ)情況納入監管評級評估體(tǐ)系,依法對銀行保險機構數據安(ān)全事件進行處罰和處置,實施對數據安(ān)全管理(lǐ)的持續監管。第七十一條 國(guó)家金融監督管理(lǐ)總局按照國(guó)家數據分(fēn)類分(fēn)級要求,制定銀行業保險業重要數據目錄,提出核心數據目錄建議,監督指導銀行保險機構開展數據分(fēn)類分(fēn)級管理(lǐ)和數據保護。銀行保險機構應當按要求向國(guó)家金融監督管理(lǐ)總局或者其派出機構報送重要數據目錄。重要數據目錄發生重大變化應當及時報備更新(xīn)後的數據目錄。第七十二條 國(guó)家金融監督管理(lǐ)總局建立銀行業保險業數據安(ān)全監測預警、通報處置機制,持續監測數據安(ān)全風險,向行業發布風險提示,制定銀行業保險業數據安(ān)全事件應急預案,處置數據安(ān)全風險事件。與國(guó)家數據安(ān)全管理(lǐ)部門建立聯防聯控管理(lǐ)機制,實施數據安(ān)全信息共享、風險監測預警及數據安(ān)全事件處置。第七十三條 涉及批量敏感級及以上數據的數據共享、委托處理(lǐ)、轉讓交易、數據轉移,銀行保險機構應當在處理(lǐ)、合同簽署前二十個工(gōng)作(zuò)日向國(guó)家金融監督管理(lǐ)總局或者其派出機構報告,法律、行政法規另有(yǒu)規定的除外。第七十四條 銀行保險機構應當于每年1月15日前向國(guó)家金融監督管理(lǐ)總局或者其派出機構報送上一年度數據安(ān)全風險評估報告,報告内容包括數據安(ān)全治理(lǐ)、技(jì )術保護、數據安(ān)全風險監測及處置措施、數據安(ān)全事件及處置情況、委托和共同處理(lǐ)、數據出境、數據安(ān)全評估與審查情況、數據安(ān)全相關的投訴及處理(lǐ)情況等。第七十五條 國(guó)家金融監督管理(lǐ)總局及其派出機構對銀行保險機構數據安(ān)全保護情況進行現場檢查、事件調查,對于發現涉嫌違法違規事項的有(yǒu)關單位和個人,依法開展調查。現場檢查、事件調查可(kě)以委托國(guó)家、行業有(yǒu)關專業技(jì )術機構或者審計機構予以協助。第七十六條 銀行保險機構違反本辦(bàn)法要求的,國(guó)家金融監督管理(lǐ)總局或者其派出機構根據其違規情況,對銀行保險機構依法采取風險提示、監管談話、監管通報、責令改正等監管措施;對涉及違規處理(lǐ)行為(wèi)的系統或者應用(yòng),責令暫停或者終止服務(wù);對有(yǒu)重大違法違規情形,或者遲報、瞞報數據安(ān)全事件和案件,或者産(chǎn)生重大數據安(ān)全風險、事件、案件的第三方機構進行行業通報,責令銀行保險機構暫緩或者停止合作(zuò)。第七十七條 銀行業金融機構違反本辦(bàn)法要求的,國(guó)家金融監督管理(lǐ)總局及其派出機構可(kě)以依據《中(zhōng)華人民(mín)共和國(guó)銀行業監督管理(lǐ)法》相關規定,責令銀行業金融機構改正,并處以二十萬以上五十萬以下罰款;情節特别嚴重或者逾期不改正的,可(kě)以責令停業整頓或者吊銷其經營許可(kě)證。根據違規情況,可(kě)以責令銀行業金融機構對直接負責的董事、高級管理(lǐ)人員和其他(tā)直接責任人員給予紀律處分(fēn);銀行業金融機構的行為(wèi)尚不構成犯罪的,對直接負責的董事、高級管理(lǐ)人員和其他(tā)直接責任人員給予警告,處五萬元以上五十萬元以下罰款;取消直接負責的董事、高級管理(lǐ)人員一定期限直至終身的任職資格,禁止直接負責的董事、高級管理(lǐ)人員和其他(tā)直接責任人員一定期限直至終身從事銀行業工(gōng)作(zuò)。構成犯罪的,依法追究刑事責任。保險業金融機構違反本辦(bàn)法要求的,國(guó)家金融監督管理(lǐ)總局及其派出機構可(kě)以依據《中(zhōng)華人民(mín)共和國(guó)保險法》相關規定,責令保險業金融機構改正,處五萬元以上三十萬元以下的罰款;情節嚴重的,限制其業務(wù)範圍、責令停止接受新(xīn)業務(wù)或者吊銷業務(wù)許可(kě)證。根據違規情況,對其直接負責的主管人員和其他(tā)直接責任人員給予警告,并處一萬元以上十萬元以下的罰款;情節嚴重的,撤銷任職資格。構成犯罪的,依法追究刑事責任。實施過程中(zhōng)如遇《中(zhōng)華人民(mín)共和國(guó)銀行業監督管理(lǐ)法》《中(zhōng)華人民(mín)共和國(guó)保險法》修訂,以修訂後的規定為(wèi)準。第七十八條 中(zhōng)國(guó)銀行業協會、中(zhōng)國(guó)保險行業協會等行業社團組織應當通過宣傳、培訓、自律、協調、服務(wù)等方式,協助引導會員單位提高數據安(ān)全管理(lǐ)水平。第七十九條 本辦(bàn)法由國(guó)家金融監督管理(lǐ)總局負責解釋和修訂。第八十條 國(guó)家金融監督管理(lǐ)總局批準設立的其他(tā)銀行業金融機構、保險業金融機構、金融控股公(gōng)司以及總局管理(lǐ)單位參照适用(yòng)本辦(bàn)法。地方金融管理(lǐ)部門批準設立的金融組織參照适用(yòng)本辦(bàn)法。第八十一條 本辦(bàn)法自公(gōng)布之日起施行,《銀行保險機構數據安(ān)全辦(bàn)法》(銀保監辦(bàn)發〔2022〕118号)同時廢止。1.核心數據遭到洩露、破壞或者非法獲取、非法利用(yòng)。2.重要數據遭到洩露、破壞或者非法獲取、非法利用(yòng),對2個及以上省級區(qū)域經濟運行秩序造成特别嚴重影響。3.敏感級及以上數據遭到大規模洩露、破壞或者非法獲取、非法利用(yòng),導緻下述情形之一的:(1)對公(gōng)共利益造成特别嚴重危害,造成特别重大經濟損失,或者産(chǎn)生特别重大社會群體(tǐ)性事件;(2)對銀行業保險業核心業務(wù)、系統重要性金融機構、關鍵信息基礎設施等生産(chǎn)經營造成特别嚴重威脅或者影響,包括導緻大面積業務(wù)中(zhōng)斷、大量處理(lǐ)能(néng)力喪失、大面積關鍵信息基礎設施癱瘓等。4.其他(tā)對國(guó)家安(ān)全、政治安(ān)全、經濟金融安(ān)全、公(gōng)共利益造成特别嚴重影響的。1.重要數據遭到洩露、破壞或者非法獲取、非法利用(yòng),對省級區(qū)域經濟帶來重大影響或者對銀行保險行業安(ān)全造成影響。2.敏感級及以上數據遭到洩露、破壞或者非法獲取、非法利用(yòng),導緻下述情形之一的:(1)對多(duō)個銀行保險機構的業務(wù)、重要信息系統生産(chǎn)運營造成嚴重威脅或者影響,可(kě)能(néng)導緻區(qū)域性或者部分(fēn)金融機構的業務(wù)中(zhōng)斷、信息系統中(zhōng)斷、處理(lǐ)能(néng)力喪失等;(2)對公(gōng)衆利益造成嚴重危害,産(chǎn)生大範圍社會負面影響,可(kě)能(néng)導緻或者直接造成大面積投訴、社會群體(tǐ)性事件;(3)對多(duō)個個人或者組織權益造成嚴重影響,包括對黨政機關、企事業單位、社會團體(tǐ)等多(duō)個組織造成嚴重經濟或者技(jì )術損失,對生産(chǎn)經營秩序産(chǎn)生直接影響;多(duō)人财産(chǎn)安(ān)全受到嚴重危害、尊嚴遭受侵害等。3.其他(tā)對國(guó)家安(ān)全、經濟金融安(ān)全、公(gōng)共利益、個人和組織權益造成嚴重影響的。敏感級及以上數據遭到洩露、破壞或者非法獲取、非法利用(yòng),導緻下述情形之一的:1.對個人造成不可(kě)消除或者消除代價較大的負面影響,包括個人财産(chǎn)安(ān)全遭受損失或者可(kě)能(néng)産(chǎn)生重大損失,個人名(míng)譽尊嚴受到侵害,産(chǎn)生投訴、訴訟事件等。2.對組織造成不可(kě)消除或者消除代價較大的負面影響,包括造成或者可(kě)能(néng)造成較大經濟或者技(jì )術損失,部分(fēn)業務(wù)無法正常開展,聲譽受到破壞等。3.銀行保險機構自身部分(fēn)業務(wù)無法正常開展或者本機構聲譽受到破壞;銀行保險機構重要信息系統安(ān)全穩定運行受到威脅或者影響,可(kě)能(néng)産(chǎn)生較大及以上級别的重要信息系統突發事件。4.其他(tā)對經濟金融安(ān)全、公(gōng)共利益造成一般影響,或者對個人和組織權益造成較大影響的。除上述數據安(ān)全事件外,對組織或者個人造成一定影響的數據安(ān)全事件。
官方訂閱号
官方服務(wù)号
第59号
浙公(gōng)網安(ān)備 33010502006954号 
