文：李願 來源：21世紀經(jīng)濟報道(dào) 

3月22日，金融監管總局科技監管司就《銀行保險機構數據安全管理辦法（公開(kāi)征求意見稿）》（下稱《辦法》）公開(kāi)征求意見，旨在規範銀行業保險業數據處理活動，保障數據安全、金融安全，促進(jìn)數據合理開(kāi)發(fā)利用，保護個人、組織的合法權益，維護國(guó)家安全和社會(huì)公共利益。意見反饋截止時間爲2024年4月23日。

《辦法》共九章八十一條，包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。

“近年來，《數據安全法》《個人信息保護法》等上位法相繼發(fā)布，對(duì)規範數據處理活動、個人信息保護等提出了明确要求。同時，金融行業數字化變革加速演進(jìn)，新技術、新業務模式不斷湧現，數據的使用、加工、傳輸、共享等活動日益頻繁，進(jìn)一步凸顯數據安全保護的重要性。”對(duì)于《辦法》制定的背景，金融監管總局有關司局負責人介紹稱，有必要充分發(fā)揮監管的“指揮棒”作用，通過(guò)強化政策要求引導銀行保險機構壓實主體責任，完善内部制度，采取有效的措施加強數據管理和保護，确保客戶信息和金融交易數據安全。

《辦法》的出台已有一定預期。21世紀經(jīng)濟報道(dào)記者注意到，金融監管總局科技監管司今年初在《深入學(xué)習貫徹中央金融工作會(huì)議精神全面(miàn)推進(jìn)監管數字化智能(néng)化轉型》文章中表示，進(jìn)一步強化監管數據治理，落實監管數據分類分級管理要求，保障監管數據安全。

值得注意的是，《辦法》還(hái)适用于金融監管總局批準設立的外國(guó)銀行分行、其他金融機構、金融控股公司以及總局管理單位參照适用本辦法。地方金融監督管理部門批準設立的金融組織參照适用本辦法。

金融監管總局表示，將(jiāng)根據各界反饋意見，對(duì)《辦法》進(jìn)一步修改完善，并适時發(fā)布。《辦法》顯示，該《辦法》自公布之日起(qǐ)施行，《銀行保險機構數據安全辦法》（銀保監辦發(fā)〔2022〕118号）同時廢止。

建立數據分類分級标準

《辦法》主要内容包括七方面(miàn)：一是明确數據安全治理架構，二是建立數據分類分級标準，三是強化數據安全管理，四是健全數據安全技術保護體系，五是加強個人信息保護，六是完善數據安全風險監測與處置機制，七是明确監督管理職責。

《辦法》第五條對(duì)數據安全治理架構做出了明确要求，銀行保險機構應當建立與本機構業務發(fā)展目标相适應的數據安全治理體系，建立健全數據安全管理制度，構建覆蓋數據全生命周期和應用場景的安全保護機制，開(kāi)展數據安全風險評估、監測與處置，保障數據開(kāi)發(fā)利用活動安全穩健開(kāi)展。銀行保險機構利用互聯網等信息網絡開(kāi)展數據處理活動，應當在網絡安全等級保護制度基礎上，履行數據安全保護義務。

數據分類分級标準方面(miàn)，辦法第十六條規定，銀行保險機構應當制定數據分類分級保護制度，建立數據目錄和分類分級規範，動态管理和維護數據目錄，采取差異化安全保護措施。

所謂數據分類，即銀行保險機構應當對(duì)機構業務及經(jīng)營管理過(guò)程中獲取、産生的數據進(jìn)行分類管理，數據類型包括客戶數據、業務數據、經(jīng)營管理數據、系統運行和安全管理數據等。數據分級，即銀行保險機構應當根據數據的重要性和敏感程度，將(jiāng)數據分爲核心數據、重要數據、一般數據，其中一般數據細分爲敏感數據和其他一般數據。

核心數據是指對(duì)領域、群體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度的重要數據，一旦被(bèi)非法使用或者共享，可能(néng)直接影響政治安全、國(guó)家安全重點領域、國(guó)民經(jīng)濟命脈、重要民生、重大公共利益。

重要數據是指特定領域、特定群體、特定區域或者達到一定精度和規模的數據，一旦被(bèi)洩露或者篡改、損毀，可能(néng)直接危害國(guó)家安全、經(jīng)濟運行、社會(huì)穩定、公共健康和安全。

敏感數據是指，一旦被(bèi)洩露或者篡改、損毀，對(duì)經(jīng)濟運行、社會(huì)穩定、公共利益有一定影響，或者對(duì)組織自身或者公民個體造成(chéng)重要影響的數據。除以上數據之外的數據爲其他一般數據。

《辦法》第七十一條還(hái)明确，金融監管總局按照國(guó)家數據分類分級要求，制定銀行業保險業重要數據目錄，提出核心數據目錄建議，監督指導銀行保險機構開(kāi)展數據分類分級管理和數據保護。銀行保險機構應當按要求向(xiàng)國(guó)家金融監督管理總局或者其派出機構報送重要數據目錄。重要數據目錄發(fā)生重大變化應當及時報備更新後(hòu)的數據目錄。

強化數據安全管理

強化數據安全管理是《辦法》重要内容之一，《辦法》也在多處提出了相關要求。

在數據安全管理職責方面(miàn)，金融監管總局有關司局負責人表示，《辦法》要求銀行保險機構按照國(guó)家數據安全與發(fā)展政策要求，根據自身發(fā)展戰略，制定數據安全保護策略；根據數據處理目的、性質和範圍，依照法律法規和倫理道(dào)德規範要求，對(duì)相關數據業務處理活動進(jìn)行安全評估，分析數據安全風險和對(duì)數據主體權益影響，評估數據處理的必要性、合規性及防控措施的有效性；收集數據應堅持“合法、正當、必要、誠信”原則，明确數據收集和處理的目的、方式、範圍、規則，保障收集過(guò)程的數據安全性、數據來源可追溯，不得超出數據主體同意的範圍收集數據；在數據集團内部共享的過(guò)程中，應建立總行（公司）與其子公司數據安全隔離的“防火牆”，并對(duì)共享數據采取有效保護措施；《辦法》還(hái)對(duì)數據加工、委托處理、共同處理、數據轉移等具體的數據處理場景分别提出了相應安全管理要求。

對(duì)于數據共享及集團内部共享，《辦法》第二十九條明确，銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火牆”，并對(duì)共享數據采取有效保護措施。銀行保險機構與其母行、集團，或者其子行、子公司共享敏感級及以上數據，應當獲得數據主體的授權同意，法律、行政法規另有規定的除外。不得以數據主體拒絕同意共享敏感數據而終止或者拒絕單家子行、子公司對(duì)其提供金融服務，所共享數據屬于提供産品或者服務所必需的除外。

在助貸、互聯網貸款等業務方面(miàn)，數據處理通常涉及第三方，如何做好(hǎo)安全管理也是重要環節。

《辦法》第三十一條規定，銀行保險機構應當將(jiāng)數據委托處理納入信息科技外包管理範圍，在實施過(guò)程中不得將(jiāng)信息科技管理責任、數據安全主體責任外包，涉及信息科技戰略管理、信息科技風險管理、信息科技内部審計及其他有關信息科技核心競争力的職能(néng)不得外包。第三十二條規定，銀行保險機構與第三方機構進(jìn)行數據共同處理時，應當按照“業務必要授權”原則制定方案并采取有效技術保護措施确保數據安全，并以合同協議方式明确雙方在數據處理過(guò)程中的數據安全責任和義務。第五十三條規定，銀行保險機構在建設開(kāi)放銀行、金融生态或者與第三方數據合作時，要實現自身與外部的安全風險隔離，與外部機構的數據交互應當通過(guò)集中管理的外聯平台或者應用程序接口實施，依據“業務必需、最小權限”原則，采取有效措施對(duì)接口設計、開(kāi)發(fā)、服務、運行等進(jìn)行集中安全保護管理。

此外，随著(zhe)大模型在金融領域的應用逐步落地，《辦法》也對(duì)此提出了相關要求：銀行保險機構應當對(duì)人工智能(néng)模型開(kāi)發(fā)應用進(jìn)行統一管理，建立模型算法産品外部引入的準入機制，對(duì)模型研發(fā)過(guò)程進(jìn)行主動管理，實現模型算法可驗證、可審核、可追溯。