泉州网  东南早报  泉州商报  今日台商投资区  旧版入口






2024年03月25日

银行保险数据安全再上“紧箍咒”

监管拟建立数据分类分级标准

银行保险机构数据安全治理将迎来全面升级。日前来自金融监管总局官网信息,为规范银行保险机构数据处理活动,保障数据安全,金融监管总局制定了《银行保险机构数据安全管理办法(征求意见稿)》(以下简称《办法》),《办法》要求银行保险机构按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任;制定数据分类分级保护制度,并采取差异化的安全保护措施。

要求机构制定数据分类分级保护制度

近年来,金融行业数字化变革加速演进,新技术、新业务模式不断涌现,数据的使用、加工、传输、共享等活动日益频繁,进一步凸显数据安全保护的重要性。

国家金融监督管理总局有关司局负责人在答记者时指出,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。

《办法》明确,建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。同时,强化数据安全管理,银行保险机构应按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,在开展相关数据业务处理活动时应当进行数据安全评估。

博通咨询金融行业资深分析师王蓬博指出,政策的制定恰逢其时。金融有其特殊性,从银行业角度来说,金融数据更加敏感,需要实现对敏感数据的监控与分析。因此,有必要出台相关办法弥补可能存在的漏洞。

落实数据安全责任制

伴随着金融行业数字化转型升级的提速,金融数据安全不容忽视,《办法》为金融机构数据治理提供了指南。

《办法》要求,银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人,明确各层级负责人的责任,明确违规情形和责任追究事项,落实问责处置机制。

“《办法》将数据安全风险纳入全面风险管理体系。”上述国家金融监督管理总局有关司局负责人强调,要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。

具体来看,监测内容包括:超范围授权或者使用系统特权账号;内部人员异常访问、使用数据;对数据集中共享的系统或者平台的网络安全、数据安全威胁;敏感级及以上数据在不同区域的异常流动;移动存储介质的异常使用;外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改;客户有关数据安全的投诉;数据泄露、仿冒欺诈等负面舆情等情况。

处理个人信息

要经授权同意

信息化、数字化、智能化给金融消费者带来便利的同时,个人信息被侵害的情况屡见不鲜。在金融领域,金融类App、小程序都是不规范使用用户隐私信息的“重灾区”。

为保护金融消费者权益,《办法》要求,银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制。

处理原则上,银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息。不得利用所收集的个人信息从事违法违规活动。

在开展涉及对个人权益有重大影响的个人信息处理活动时,《办法》也提到,银行保险机构应当进行个人信息保护影响评估,评估内容包括个人信息处理的合法性、必要性,对个人权益的影响及安全风险,所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。(北商)

--> 2024-03-25 监管拟建立数据分类分级标准 1 1 泉州晚报 content_74065.html 1 银行保险数据安全再上“紧箍咒” /enpproperty-->