2024年12月27日,《银行保险机构数据安全管理办法》(“《银保数安管理办法》”)由国家金融监督管理总局(“金监总局”)发布并于当日施行。在《银保数安管理办法》以前,我国已经出台了《中华人民共和国数据安全法》(“《数安法》”)、《中华人民共和国个人信息保护法》(“《个保法》”)等针对数据安全和个人信息保护的核心法律法规,金融监管部门也已针对金融行业出台了多个数据安全及个人金融信息保护相关规则和可参考的国家标准。此次《银保数安管理办法》在目前已有的数据安全和信息保护相关规则基础上,结合银行保险业的行业特性和公司治理要点,对银行保险机构提出了更为具体、全面、完整的要求。
本文结合目前已经实施的其他相关数据安全及个人信息保护相关规定,从适用范围、组织架构、数据安全管理保护、安全技术保护、个人信息保护及监管义务等方面对《银保数安管理办法》进行重点解析。
根据《银保数安管理办法》第二条,银行保险机构主要包括在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。而根据第八十条,金监总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融管理部门批准设立的金融组织参照适用本办法。由此,无论机构规模大小、治理能力如何,市场上相关银行保险机构在数据安全领域都将面临高度统一的无差别合规及监管要求。
二、组织架构——岗位职责和工作机制明确的数据安全管理组织架构
《银保数安管理办法》对银行保险机构的数据安全管理组织架构提出了明确的建立覆盖董(理)事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构,并要求建立数据安全责任制,由党委(党组)、董(理)事会对本单位数据安全工作负主体责任,银行保险机构主要负责人为数据安全第一责任人,分管数据安全的高级管理人员为直接责任人。
具体而言,银行保险机构须指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,其主要职责包括制定内部规范、建立数据目录、组织风险评审、统筹建立应急机制、组织内部培训、建立数据应用及共享管理机制、向高层汇报等。同时,《银保数安管理办法》明确信息科技部门为数据安全的技术保护主要责任部门,主要职责包括建立技术保护体系、落实技术保护措施,制定技术标准规范制度、组织开展技术风险评估、信息系统生命周期安全管理,建立应急管理机制等。此外,银行保险机构内风险管理、内控合规、审计部门需将数据安全纳入全面风险管理体系、内控评价体系,定期开展审计、监督检查与评价,督促问题整改并开展问责。
我们建议银行保险公司结合自身实际情况,建立完善的数据安全管理组织架构,明确各部门及岗位的职责分工。例如,可指定信息技术部门或合规部门作为数据安全归口管理部门,但需确保其具备足够的专业能力和资源来履行职责。同时,要定期对相关人员进行培训和考核,确保其能够及时了解和掌握最新的数据安全法规和公司内部管理制度,提高整体的数据安全管理水平。
三、数据安全管理——覆盖数据全生命周期和应用场景的数据安全管理要求
《银保数安管理办法》要求银行保险机构建立健全覆盖数据全生命周期和应用场景的保护机制和安全管理制度。
《银保数安管理办法》明确从纵向和横向两个维度对银行保险机构的数据进行分类分级管理。
一方面,《银保数安管理办法》要求银行保险机构将机构业务及经营管理过程中获取、产生的数据分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据等四大类进行管理。
另一方面,《银保数安管理办法》要求银行保险机构根据覆盖程度(数据对相关领域、群体、区域的覆盖程度和精度)以及影响程度(数据遭遇非法使用、共享、泄露等安全事件后对公共领域和相关数据主体的影响)两个标准,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。敏感数据是指一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。除以上数据之外的,为其他一般数据。
而此前金融行业普遍参考的推荐性行业标准《金融数据安全 数据安全分级指南》(JR/T 0197—2020)主要以数据的使用、公开场景和影响程度为标准,将数据安全级别从低到高分为五个级别(从1级到5级)。此次《银保数安管理办法》的数据分级方法与《金融数据安全 数据安全分级指南》存在一定差异,我们建议相关金融机构须重点关注机构内在数据分级方面是否符合《银保数安管理办法》要求,并根据自身业务特点和数据类型,制定详细的数据分类分级标准,并建立相应的数据目录。同时,要定期对数据进行分类分级的动态调整,确保数据分类的准确性和合理性。
数据安全管理:覆盖数据处理全生命周期及应用场景的合规要求
《银保数安管理办法》在第三章“数据分类分级”中首先对数据处理的定义进行了更为具体的说明,即数据处理是指数据的收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等,在此基础上,《银保数安管理办法》就数据从收集到删除的全生命周期均提出了具体的安全管理要求,且针对敏感级及以上数据的安全保护提出了额外要求。比如《银保数安管理办法》还要求在处理敏感级及以上数据的业务活动时,或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时,应当事先开展数据安全评估,在《个保法》和《网络数据安全管理条例》的基础上,扩展了需要完成安全评估的情形范畴。除此之外的其他要求具体见下表:
将数据委托处理纳入信息科技外包管理范畴并提出特殊管理要求
值得注意的是,此次新规《银保数安管理办法》明确将数据委托处理纳入信息科技外包管理范围。因此,银行保险机构在委托第三方处理数据时,应注意遵守《银行保险机构信息科技外包风险监管办法》相关规定,并同时满足《银保数安管理办法》对数据委托处理的要求,具体包括:(1)事先开展数据安全评估;(2)对涉及敏感级及以上数据处理的供应链服务商加强准入和安全管理;(3)明确所涉数据外部使用和处理的条件、场景、方式,并按要求与受托方签署相关协议;(4)将相关数据操作日志及其备份数据保存不低于三年;以及(5)委托处理终止时,要求服务提供商及时删除数据,并采取现场检查等有效监督措施,确保数据被销毁、不可恢复等。
四、安全技术保护——针对敏感级及以上数据提出更高要求
在安全技术保护方面,《银保数安管理办法》要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,明确数据保护策略和方法,采取相应的技术措施来保障数据安全。值得关注的是,《银保数安管理办法》首次在监管规则层面引入数据安全保护基线的概念,即各区域网络安全策略和数据安全保护策略的最低要求,并就敏感级及以上数据的安全技术保护提出了更高的要求。具体而言,《银保数安管理办法》明确要求,针对多来源敏感级及以上数据汇聚集的情况,银行保险机构应当采取加强性或者至少不低于集中前最高级别数据保护强度的安全措施。对存放或者传输敏感级及以上数据的机房、网络设立物理安全保护区域,并对网络边界、重要网络节点进行安全监控与审计。同时,《银保数安管理办法》要求对敏感级及以上数据的操作应当进行日志记录,包括操作时间、用户标识、行为类型等,核心数据操作日志及其备份数据保存时间不低于三年,重要数据、敏感数据操作日志及其备份数据保存时间不低于一年,如涉及委托处理、共同处理的数据操作日志及其备份数据保存时间不低于三年。应当定期对数据操作行为进行审计,审计周期不超过六个月。
五、个人信息保护——重申《个保法》要求,明确金融监管机关为安全事件报送部门
在个人信息保护方面,《银保数安管理办法》基本承袭《个保法》,要求银行保险机构处理信息时秉持“明确告知、授权同意”的实施原则,并做到收集信息时目的明确合理、限于处理目的最小范围等,未就银行保险机构的个人信息保护提出额外要求。
值得注意的是,《银保数安管理办法》强调银行保险机构与其母行、集团,或者其子行、子公司共享个人信息,及向外部提供个人信息,应当履行向个人告知及取得其同意等相关事项的义务。且未为该项义务增加除外条款。由于行业属性及业务布局等等原因,部分银行保险机构与其母公司或所在集团通常有较多业务合作,并因此具有较多与集团间数据共享需求,在向集团或者集团内其他公司实施相关个人信息时,应注意行向相关个人告知并取得其同意。
此外,此次《银保数安管理办法》明确了银行保险机构在发生或者可能发生个人信息泄露、篡改、丢失的情况时,应当报送的个人信息保护职责的部门为国家金融监督管理总局或者其派出机构。
六、监管报告义务——覆盖日常监管、事前及事后的报告义务
此次《银保数安管理办法》下,金融监管机关对银行保险机构将开展更为全面的、覆盖日常特定数据处理活动、年度风险评估及突发安全事件的安全监管。
具体而言,《银保数安管理办法》要求银行保险机构向国家金融监督管理总局或者其派出机构报送重要数据目录。同时针对敏感级及以上的特定数据处理活动提出报告要求,银行保险机构在涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移时,应在相关处理、合同签署前二十个工作日向金监总局或者其派出机构报告。
此外,《银保数安管理办法》新增数据风险评估年度监管要求,即银行保险机构须于每年1月15日前向金监总局或者其派出机构报送上一年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等。
针对数据安全事件,《银保数安管理办法》则要求银行保险机构在事件发生2小时内向金监总局或其派出机构报告,并在事件发生后24小时内提交正式书面报告。还应当每2小时将处置进展情况上报,直至处置结束。数据安全事件处置结束后,银行保险机构应在五个工作日内将事件及其处置的评估、总结和改进报告进行报送。
针对银行保险机构利用互联网等信息网络开展数据处理活动的情况,《银保数安管理办法》主要强调应当在网络安全等级保护制度基础上,履行数据安全保护义务,没有提出更多更为细致的具体规定,我们建议银行保险机构依据《中华人民共和国网络安全法》及《网络数据安全管理条例》等相关规定的具体要求合规开展网络数据处理活动。
总体而言,从适用范围到组织架构,从数据安全管理保护到安全技术保护,再到个人信息保护及监管义务,《银保数安管理办法》就银行保险机构的数据安全治理,全方位、多维度地对银行保险机构的数据安全合规治理提出了明确要求。这不仅是对现有数据安全法律法规的有力补充,更是针对银保行业特性量身定制的“数据安全指南”,彰显出监管机构对金融数据安全的高度重视。在数字化浪潮汹涌澎湃的当下,数据已成为银行保险机构业务创新与发展的关键驱动力,但数据安全风险也如影随形,银行保险机构必须深刻认识到数据安全合规治理的重要性,将其视为业务发展的“生命线”,对照《银保数安管理办法》中的各项规定,全面梳理自身数据安全管理现状,查找潜在漏洞与不足,加大资源投入,完善数据安全组织管理架构,强化数据安全管理制度建设,提升数据安全技术防护能力,加强员工数据安全培训与意识培养,确保在数据安全的轨道上稳健前行。