FOREXBNB獲悉,12月27日,國家金融監督管理總局印發銀行保險機構資料安全管理辦法。銀行保險機構應建立針對大數據、雲端運算、行動網路、物聯網等多元異質環境下的資料安全技術保護體系,建立資料安全技術架構,明確資料保護策略方法,採取技術措施,保障資料安全。銀行保險機構應將資料安全保護納入資訊系統開發生命週期框架,針對敏感級以上資料明確安全保護要求,實現資料安全保護措施與資訊系統的同步規劃、同步建設、同步使用。
原文如下:
國家金融監督管理總局關於印發銀行保險機構資料安全管理辦法的通知
金規〔2024〕24號
各金融監理局,各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷銀行、金融資產管理公司、金融資產投資公司、理財公司,各保險集團(控股)公司、保險公司、保險資產管理公司、退休金管理公司、保險專業中介機構,各金融控股公司,各總局管理單位:
現將《銀行保險機構資料安全管理辦法》印發給你們,請遵照執行。
國家金融監督管理總局
2024年12月27日
(此件發至監理分局與地方法人銀行保險機構)
銀行保險機構資料安全管理辦法
第一章 總 則
第一條 為規範銀行業保險業資料處理活動,保障資料安全、金融安全,促進數據合理開發利用,保護個人、組織的合法權益,維護國家安全和社會公共利益,根據《中華人民共和國資料安全法》《中華人民共和國網路安全法》《中華人民共和國個人資訊保護法》《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》《中華人民共和國保險法》等法律法規,制定本辦法。
第二條 本辦法所稱銀行保險機構,是指在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、農村信用合作社、金融資產管理公司、企業集團財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司、信託公司、理財公司、保險公司、保險資產管理公司、保險集團(控股)公司。
進行涉及國家秘密的數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。國家相關主管機關另有規定的,應依法遵守其規定。
第三條 本辦法所稱數據,是指以電子或其他方式對資訊的記錄。
資料處理,是指對數據的收集、儲存、使用、加工、傳輸、提供、共享、轉移、公開、刪除、銷毀等。
資料安全,是指透過採取必要措施,對資料處理活動和資料應用場景進行管理與控制,確保資料始終處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
資料主體,指資料所標識的自然人或其監護人、企業、機關、事業單位、社會團體和其他組織。
個人資訊,是以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息,不包括匿名化處理後的信息。
大數據平台,是指以處理海量資料存儲、計算、分析等為目的的基礎設施,包括資料統計分析類別的平台和大數據處理類平台(如資料湖、資料倉儲等)。
第四條 國家金融監督管理總局及其派遣機構負責銀行業保險業資料安全的監督管理,制定並發布監理規章制度,對銀行保險機構履行資料安全保護義務情況進行監督檢查。
第五條 銀行保險機構應建立與本機構業務發展目標相符的資料安全治理體系,建立健全資料安全管理制度,建構覆蓋資料全生命週期和應用場景的安全保護機制,進行資料安全風險評估、監測與處置,保障資料開發利用活動安全穩健開展。銀行保險機構利用網路等資訊網路進行資料處理活動,應在網路安全等級保護制度基礎上,履行資料安全保護義務。
第六條 銀行保險機構進行資料處理活動,應遵守法律、法規,尊重社會公德與倫理,遵守商業道德和職業道德,誠實守信,履行資料安全保護義務,承擔社會責任,不得危害國家安全、政治安全、經濟金融安全、公共利益,不得損害個人、組織的合法權益。
第七條 銀行保險機構應統籌發展安全,落實國家大數據戰略,推動數據基礎建設,加大數據創新應用力度,促進以數據為關鍵要素的數位經濟發展,提升金融服務的智慧化水平,創新普惠金融服務模式,增強防範化解風險的能力。
第八條 銀行保險機構應持續追蹤新興資料開發利用及科技發展前沿動態,有效因應大數據應用與科技創新可能產生的規則衝突、社會風險、倫理道德風險,防止數據與科技被誤用、濫用。
第二章 資料安全治理
第九條 銀行保險機構應設立覆蓋董(理)事會、高階主管、資料安全統籌、資料安全技術保護等部門的資料安全管理組織架構,明確崗位職責與工作機制,落實資源保障。
第十條 銀行保險機構應設立資料安全責任制,黨委(黨組)、董(理)事會對本單位資料安全工作負主體責任。銀行保險機構主要負責人為資料安全第一責任人,分管資料安全的高階主管為直接責任人,明確各層級負責人的責任,明確違規情形及責任追究事項,落實問責處置機制。
第十一條 銀行保險機構應指定資料安全歸口管理部門,作為本機構負責資料安全工作的主責部門。其主要職責包括:
(一)組織制定資料安全管理原則、規劃、制度和標準;
(二)組織建立和維護資料目錄,推動實施資料分類分級保護;
(三)組織進行資料安全評估和審查;
(四)統籌建立資料安全應變管理機制,組織進行資料安全風險監測、預警與處置;
(五)組織進行資料安全宣貫培訓,提升員工資料安全保護意識與技能;
(六)建立和維護內部資料共享、外部數據引入、數據對外提供、數據出境的統籌管理機制,牽頭對外部資料供應商進行安全管理,統籌大數據應用、資料共享專案的安全需求管理;
(七)向黨委(黨組)、董(理)事會、高階主管報告資料安全重要事項;
(八)其他須統籌管理的資料安全工作事項。
第十二條 銀行保險機構應依照“誰管業務、誰管業務数据、誰管資料安全”的原則,明確各業務領域的資料安全管理責任,落實資料安全保護管理要求。
第十三條 銀行保險機構風險管理、內控合規和審計部門負責將資料安全納入全面風險管理體系、內控評估體系,定期進行審計、監督檢查與評價,督促問題整改及進行問責。
第十四條 銀行保險機構資訊科技部門是資料安全的技術保護主責部門,其主要職責包括:
(一)建立資料安全技術保護體系,建立資料安全技術架構和保護控制基線,落實技術保護措施。
(二)制定資料安全技術標準規範制度,組織進行資料安全技術風險評估。
(三)組織進行資訊系統的生命週期安全管理,確保資料安全保護措施在需求、開發、測試、投產、監測等環節落實。
(四)建立資料安全技術緊急管理機制,組織進行資料安全風險技術監測、預警、通報與處置,防範外部攻擊、內部和外部破壞等危害資料安全活動。
(五)組織資料安全技術研究與應用。
第十五條 銀行保險機構應建立良好的資料安全文化,進行全員資料安全教育與培訓,提高資料安全保護意識和水平,形成全員共同維護資料安全和促進發展的良好環境。
第三章 資料分類分級
第十六條 銀行保險機構應制定資料分類分級保護制度,建立資料目錄和分類分級規範,動態管理和維護資料目錄,採取差異化安全保護措施。
第十七條 銀行保險機構應對機構業務及經營管理過程中獲取、產生的資料進行分類管理,數據類型包括客戶數據、業務數據、經營管理數據、系統運作和安全管理資料等。
第十八條 銀行保險機構應根據數據的重要性和敏感程度,將數據分為核心數據、重要數據、一般數據。其中,一般數據细分为敏感数据和其他一般數據。
核心數據,是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的重要數據,一旦被非法使用或共享,可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益。
重要數據,是指特定領域、特定群體、特定區域或達到一定精度和規模的數據,一旦外洩或篡改、損毀,可能直接危害國家安全、經濟運作、社會穩定、公共衛生與安全。
敏感數據,是指一旦洩漏或篡改、損毀,對經濟運行、社會穩定、公共利益有一定影響,或對組織本身或公民個體造成重要影響的數據。
除以上數據之外的,為其他一般數據。
第十九條 銀行保險機構應加強資料安全等級的時效管理,建立動態調整審批機制,當數據的業務屬性、重要程度和可能造成的危害程度發生變化,導致原安全等級不再適用的,應及時動態調整。
第四章 資料安全管理
第二十條 銀行保險機構應依照國家資料安全與發展政策要求,根據自身發展策略,制定資料安全保護策略。銀行保險機構應制定資料安全管理辦法,明確管理責任分工,建立包含資料處理全生命週期管控機制,落實保護措施。
銀行保險機構應對資料外部引入或合作共享、數據出境等,制定安全管理實施細則。
第二十一條 銀行保險機構應建立企業級資料架構,統籌進行全球資料資產登記管理,建立數據資產地圖,以資料分類分級為基礎明確資料保護對象,圍繞資料處理活動實施安全管理。
第二十二條 銀行保險機構在處理敏感級及以上資料的業務活動時,或進行資料委託處理、共同處理、轉移、公開、共享等對資料主體有較大影響的活動時,應事先進行資料安全評估。資料安全評估應根據資料處理目的、性質和範圍,依照法律法規和倫理道德規範要求,分析資料安全風險及對資料主體權益影響,評估資料處理的必要性、合規性,評估資料安全風險及防治措施的有效性。
第二十三條 銀行保險機構應建立企業級資料服務管理體系,制定數據服務規範,建立專職數據服務團隊,統籌內外資料加工、分析,實施資料服務需求分析、服務開發、服務部署、服務監控等活動。
第二十四條 銀行保險機構收集資料應堅持“合法、正當、必要、誠信”原則,明確資料收集和處理的目的、方式、範圍、規則,保障收集過程的資料安全性、資料來源可追溯。银行保险机构不得超出数据主体同意的範圍向其收集数据,法律、行政法規另有規定的除外。
銀行保險機構向其他銀行保險機構收集行業重要級以上數據,需經國家金融監督管理總局同意。
第二十五條 銀行保險機構應以資訊系統為資料收集的主要管道,限製或減少其他管道、臨時性資料收集。
銀行保險機構停止金融業務或服務後,應立即停止相關資料收集或處理活動,法律、行政法規另有規定的除外。
第二十六條 銀行保險機構應制定外部資料採購、合作引入的集中審批管理制度,納入外包風險管理系統進行統籌管理,統籌建立數據需求、安全評估、收集引入、資料維、登記備案及監督評估管理機制,對資料來源的真實性、合法性進行調查,評估資料提供者的安全保障能力及其資料安全風險,明確雙方資料安全責任及義務。
第二十七條 銀行保險機構進行敏感級及以上資料清洗轉換、匯聚融合、分析挖掘等資料加工活動時,應採用匿名化、去識別化或其他必要安全措施保護資料主體權益,法律、行政法規另有規定的除外。数据匯聚融合衍生敏感级及以上数据,或導致資料安全等級變化的,應及時評估、調整安全保護措施。
第二十八條 銀行保險機構應依照“業務必要授權”原則,對敏感級以上資料嚴格實施授權管理,制定資料存取閉環管理機制,並對資料存取行為實施審計。確因業務需要從生產環境提取資料的,應建立嚴格的審批程序,並明確資料使用或保質期。
銀行保險機構利用網路等資訊網路進行資料處理活動時,要落實網路安全等級保護、關鍵資訊基礎設施安全保護、密碼保護等製度要求。
第二十九條 銀行保險機構應對資料共享使用進行集中安全管控,明確企業級資料共享策略,評估資料共享使用的必要性、合規性、安全性及倫理道德規範的符合度。
銀行保險機構應設立銀行母行、保險集團或母公司與其子行、子公司資料安全隔離的“防火牆”,並對共享資料採取有效保護措施。銀行保險機構與其母行、集團,或者其子行、子公司共享敏感度及以上數據,應獲得資料主體的授權同意,法律、行政法規另有規定的除外。不得以資料主體拒絕同意共享敏感資料而終止或拒絕單家子行、子公司對其提供金融服務,所共享資料屬於提供產品或服務所必需的除外。
第三十條 銀行保險機構委託處理資料時,應明確所涉資料外部使用與處理的條件、場景、方式。委託處理資料時,應以契約協議方式約定委託處理的目的、期限、處理方式、數據範圍、保護措施、雙方的資料安全責任和義務,以及受託方返還或刪除資料的方式等,對資料處理活動進行記錄和審計,可對外公開揭露的資料除外。銀行保險機構應要求受託方在未取得其同意時,不得轉委託其他主體處理數據,不得對外共享數據,不得加工、訓練、挪用數據,或採取其他形式處理資料以謀取合約或協議約定以外的利益。
第三十一條 銀行保險機構應將資料委託處理納入資訊科技外包管理範圍,實施過程中不得將資訊科技管理責任、資料安全主體責任外包,涉及資訊科技策略管理、資訊科技風險管理、資訊科技內部稽核及其他有關資訊科技核心競爭力的職能不得外包。供應鏈服務中涉及敏感級及以上資料處理的,銀行保險機構應加強對供應商的進入及安全管理。
第三十二條 銀行保險機構與第三人機構進行資料共同處理時,應按照“業務必要授權”原則制定方案並採取有效管理和技術保護措施確保資料安全,並以合約協議方式明確雙方在資料處理過程中的資料安全責任和義務。
第三十三條 銀行保險機構因合併、分立、解散、被宣告破產等需要轉移資料的,應明確資料轉移內容,透過協議、承諾等方式約定資料接收方全面承接對應資料的安全保護義務,透過公告等方式告知資料主體。資料轉移應採用安全可靠方式進行,並確保轉移過程可追溯。
第三十四條 銀行保險機構向外部提供敏感級及以上數據,應取得資料主體同意,法律、行政法規另有規定的除外。除國家機關依法履職外,銀行保險機構核心資料跨主體流動應依照國家相關政策要求通過風險評估、安全審查。
第三十五條 銀行保險機構應建立對外公開揭露資料的審批機制,研判可能產生的影響,數據公開應在機構官方管道進行發布,確保數據真實、準確、防篡改,記錄審核和發布情況。
敏感級以上數據不得公開,法律、行政法規另有規定或取得資料主體授權同意的除外。
第三十六條 銀行保險機構向境外提供在中華人民共和國境內運作中收集和產生的重要數據和個人信息,應承擔資料安全主體責任,並依國家有關政策要求進行安全評估。
第三十七條 銀行保險機構應採取技術措施,對敏感級以上資料加強重點防護。加強資料備份,制定備份策略,備份資料和生產資料應隔離分開保存,嚴格管理備份資料的存取權限。制定備份驗證計劃,確保備份資料完整有效、業務可恢復。
第三十八條 銀行保險機構應制定資料銷毀管理制度,依照國家、行業有關規定及與資料主體的約定進行資料刪除或匿名化處理。銀行保險機構委託資料處理終止時,應要求服務提供者及時刪除數據,並採取現場檢查等有效監督措施,確保資料被銷毀、不可恢復。
第五章 資料安全技術保護
第三十九條 銀行保險機構應建立針對大數據、雲端運算、行動網路、物聯網等多元異質環境下的資料安全技術保護體系,建立資料安全技術架構,明確資料保護策略方法,採取技術措施,保障資料安全。
第四十條 銀行保險機構應將資料安全保護納入資訊系統開發生命週期框架,針對敏感級以上資料明確安全保護要求,實現資料安全保護措施與資訊系統的同步規劃、同步建設、同步使用。
第四十一條 銀行保險機構應將資料納入網路安全等級保護。銀行保險機構應根據資料安全級別,劃分網路邏輯安全域,建立分區域資料安全保護基線,實施有效的安全控制,包括內容過濾、存取控制和安全監控等,確保相關措施符合處理和儲存最高層級資料的網路安全策略和資料安全保護策略要求。存放或傳輸敏感級及以上資料的機房、網路應實施重點防護,設立實體安全保護區域,對網路邊界、重要網路節點進行安全監控與審計。
第四十二條 銀行保險機構應將敏感級及以上資料納入資訊系統保護。在資料全生命週期內採取有效的存取控制管理措施,對於不同區域流轉和共享中的數據,應實施同等程度的安全防護措施。多來源敏感級以上資料匯集會中後,應採取加強性或至少不低於集中前最高等級資料保護強度的安全措施。
第四十三條 銀行保險機構應嚴格實施對敏感級及以上資料的管理,制定用戶對資料的存取策略,採取有效的使用者認證和存取控制技術措施,規範資料操作行為,用戶對資料的存取應符合業務開展的必要要求並與資料安全等級相匹配。敏感等級及以上資料的操作應進行日誌記錄,包括操作時間、用戶標識、行為類型等,核心資料操作日誌及其備份資料保存時間不低於三年,重要數據、敏感資料操作日誌及其備份資料保存時間不低於一年,如涉及委託處理、共同處理的資料操作日誌及其備份資料保存時間不低於三年。應定期對資料操作行為進行審計,審計週期不超過六個月。
第四十四條 銀行保險機構敏感級以上資料傳輸應採用安全的傳輸方式,保障資料完整性、保密性、可用性。
銀行保險機構之間進行資料交換時,參與資料交換的相關機構應採取有效措施保障資訊資料傳輸與儲存的保密性、完整性、準確性、及時性、安全性。
第四十五條 銀行保險機構應對敏感級以上資料採取安全儲存措施,防止勒索病毒、木馬後門等攻擊。個人身分鑑別資料不得明文存儲、傳輸和展示。敏感級以上資料應實施資料容災備份,定期進行資料可恢復性驗證。
第四十六條 敏感級以上資料達到使用或保存期限後,應採取技術措施及時刪除或銷毀,確保資料不可恢復。終端及行動儲存媒體內的敏感級以上資料應採取技術保護措施,確保受控安全訪問,媒體報廢或重用時,其儲存空間資料應完全清除並不可恢復。
第四十七條 銀行保險機構應進行資料安全的技術基礎建設,支援使用者身分管理、數據匿名化、行為監測、日誌審計、資料虛擬化等功能的組件化、服務化,保障安全標準在資訊系統中執行的一致性。
第四十八條 銀行保險機構開發資訊系統時,應明確系統擬處理的資料及其安全級別、訪問規則、保護需求,並實施有效的系統安全控制。系統投產上線前應進行安全測試,確保各項安全要求落實,有效防範資料安全風險。測試環境應與生產系統隔離,敏感級以上資料原則上未經脫敏處理不得進入測試環境,防止資料外洩。
第四十九條 銀行保險機構應對大數據平台採取高可用設計、安全加固、資料備份等措施進行重點保護。應建立大數據服務存取授權機制,動態監測與審計大數據存取行為。
第五十條 銀行保險機構進行自動化決策分析、模型演算法開發、數據標註等活動,應保證資料處理透明度和結果公平合理。銀行保險機構應對人工智慧模型開發應用進行統一管理,建立模型演算法產品外部引入的准入機制,對模型研發過程進行主動管理,實作模型演算法可驗證、可審核、可追溯。
第五十一條 銀行保險機構資訊系統、模型演算法投入使用前,應進行資料安全審查,檢視資料與模型使用的合理性、正當性、可解釋性,以及資料利用對相關主體合法權益的影響、倫理道德風險及防治措施有效性等。
第五十二條 銀行保險機構使用人工智慧技術開展業務時,應就數據對決策結果影響進行解釋說明和資訊揭露,即時監測自動化處理與系統運作結果,建立人工智慧應用的風險緩釋措施,包括制定退出人工智慧應用的替代方案,對安全威脅制定緊急應變方案並進行演練。
第五十三條 銀行保險機構正在興建開放銀行、金融生態或與第三方數據合作時,要實現自身與外部的安全風險隔離,與外部機構的資料互動應透過集中管理的外部平台或應用程式介面實施,依據“業務必需、最小權限”原則,採取有效措施對介面設計、開發、服務、運行等進行集中安全保護管理。
第六章 個人資訊保護
第五十四條 銀行保險機構處理個人資訊應依照“明確告知、授權同意”的原則實施,法律、行政法規另有規定的除外,並在資訊系統中實現相關功能控制。
第五十五條 銀行保險機構處理個人資訊應具有明確、合理的目的,並應與處理目的直接相關,收集個人資訊應限於實現金融業務處理目的的最小範圍,不得過度收集個人資訊。不得利用所收集的個人資料從事違法違規活動。
第五十六條 銀行保險機構處理個人資料前,應當真實、準確、完整地向個人告知其個人資訊的處理目的、處理方式、處理的個人資訊種類、保存期限,個人行使其資訊權利的申請受理和處理程序,以及法令規定應告知的其他事項。
銀行保險機構應制定個人資訊處理規則,個人資訊處理規則應公開展示、易於訪問、內容明確、清晰易懂。
第五十七條 銀行保險機構不得以個人不同意處理其個人資訊或撤回同意為由,拒絕提供產品或服務,處理個人資訊屬於提供產品或服務所必需的除外。
第五十八條 銀行保險機構在進行涉及對個人權益有重大影響的個人資訊處理活動時,應進行個人資訊保護影響評估,評估內容包括個人資訊處理的合法性、必要性,對個人權益的影響及安全風險,所採取的保護措施合法性、有效性以及是否與風險程度相符。個人資訊保護影響評估報告和處理情況記錄應保存至少三年。
第五十九條 銀行保險機構與其母行、集團,或者其子行、子公司共享個人資訊,及向外部提供個人資訊,應履行向個人告知及取得其同意等相關事項的義務。
第六十條 銀行保險機構向中華人民共和國境外提供個人資訊的,除滿足第三十六條、第五十九條規定的要求外,亦應向個人告知其向境外接收方行使資訊權利的方式和程序等事項,法律、行政法規另有規定的除外。
第六十一條 銀行保險機構委託第三人處理個人資料的,應在合約或協議條款內明確受託人對個人資訊的保護義務、保護措施和期限等,並嚴格監督受託人以約定的處理目的、處理方式等處理個人資訊,與第三方傳輸個人敏感資料必須確保安全,防範資料濫用和洩漏風險。未經銀行保險機構同意,受託人不得轉委託他人處理個人資訊。
第六十二條 銀行保險機構在演算法設計、訓練資料選擇和模型生成時,應採取有效措施,保障個人合法權益。利用個人資訊進行自動化決策,應保證決策的透明度和結果公平、公正。
第六十三條 發生或可能發生個人資訊洩露、篡改、遺失的,銀行保險機構應立即採取補救措施,同時通知個人並送國家金融監督管理總局或其派遣機構。通知應包括下列事項:
(一)發生或可能發生個人資訊洩露、篡改、遺失的資訊種類、原因和可能造成的危害;
(二)銀行保險機構採取的補救措施和個人可以採取的減輕危害的措施。
銀行保險機構採取措施能夠有效避免資訊洩露、篡改、丟失造成危害的,可以不通知個人;監理機關認為可能造成危害的,有權要求銀行保險機構通知個人。
第七章 資料安全風險監測與處置
第六十四條 銀行保險機構應將資料安全風險納入本機構全面風險管理體系,明確資料安全風險監測、風險評估、緊急應變及報告、事件處置的組織架構與管理流程,有效防範及處置資料安全風險。
第六十五條 銀行保險機構應對資料安全威脅進行有效監測,實施監督檢查,主動評估風險,防止資料竄改、破壞、洩漏、非法利用等安全事件發生。監測內容包括:
(一)超範圍授權或使用系統特權帳號;
(二)內部人員異常訪問、使用數據;
(三)對資料集中共享的系統或平台的網路安全、資料安全威脅;
(四)敏感級及以上資料在不同區域的異常流動;
(五)移動儲存媒體的異常使用;
(六)外包、第三方合作中的資料處理異常或資料洩露、遺失和篡改;
(七)客戶有關資料安全的投訴;
(八)資料外洩、仿冒詐欺等負面輿情;
(九)其他可能導致資料安全事件發生的情況。
第六十六條 銀行保險機構應每年進行一次資料安全風險評估。審計部門應每三年至少進行一次資料安全全面審計,發生重大資料安全事件後應進行專案審計。銀行保險機構委託專業機構進行資料安全審計時,不得使用該機構提供的產品和其他服務。
第六十七條 資料安全事件是指銀行保險機構資料被竄改、洩漏、破壞、非法獲取、非法利用等,對個人或組織合法權益、產業安全、國家安全造成負面影響的事件。根據其影響範圍和程度,分為特別重大、重大、較大和一般四個事件級別。
第六十八條 銀行保險機構應建立資料安全事件緊急管理機制,建立機構內部協調連動機制,建立服務提供者、第三方合作機構資料安全事件的通報機制,及時處置風險隱憂及安全事件。
(一)制定資料安全事件應變計畫,定期進行緊急應變訓練及緊急演練。
(二)發生資料安全事件後,應立即啟動應急處置,分析事件原因、評估事件影響、開展事件定級,依預案及時採取業務、技術等措施控制事態。
(三)建立資料安全事件報告機制,根據事件安全等級制定報告流程,發生資料安全事件時依規定報告,同時按照合約、協議等有關約定履行客戶及合作方告知義務。
(四)發生資料安全事件或使用的網路產品和服務有安全缺陷、漏洞時,應立即進行調查評估,及時採取補救措施,防止危害擴大。網路產品和服務供應商存在安全缺陷、漏洞隱瞞不報的,銀行保險機構應責令其改正;未依要求整改或造成嚴重後果的,應取消其服務資格,按合約約定處罰,並向國家金融監督管理總局或其派遣機構報告。
第六十九條 資料安全事件發生2小時內,銀行保險機構應向國家金融監督管理總局或其派遣機構報告,並在事件發生後24小時內提交正式书面报告。發生特別重大資料安全事件,銀行保險機構應立即採取處置措施,依規定及時告知使用者並向國家金融監督管理總局或其派遣機構、屬地公安機關報告。銀行保險機構應每2小時將處置進展上報,直至處置結束。資料安全事件處置結束後,銀行保險機構應在五個工作天內將事件及其處置的評估、總結和改進報告報送國家金融監督管理總局或其派遣機構。其他法律、行政法規對資料安全事件緊急處置作出規定的,銀行保險機構應執行。
第八章 監督管理
第七十條 國家金融監督管理總局及其派遣機構對銀行保險機構資料安全保護情況進行監督管理,開展非現場監管、現場檢查,將資料安全管理狀況納入監理評級評估體系,依法對銀行保險機構資料安全事件進行處罰及處置,實施對資料安全管理的持續監管。
第七十一條 國家金融監督管理總局依國家資料分類分級要求,制定銀行業保險業重要數據目錄,提出核心資料目錄建議,監督指導銀行保險機構進行資料分類分級管理與資料保護。銀行保險機構應依要求向國家金融監督管理總局或其派遣機構報送重要資料目錄。重要資料目錄發生重大變更應當及時報備更新後的資料目錄。
第七十二條 國家金融監督管理總局建立銀行業保險業資料安全監測預警、通報處置機制,持續監測資料安全風險,向業界發布風險提示,制定銀行業保險業資料安全事件應變計畫,處置資料安全風險事件。與國家資料安全管理部門建立聯防聯控管理機制,實施資料安全資訊共享、風險監測預警及資料安全事件處置。
第七十三條 涉及批量敏感級及以上資料的資料共享、委託處理、轉讓交易、資料轉移,銀行保險機構應在處理、合約簽署前二十個工作天向國家金融監督管理總局或其派出機構報告,法律、行政法規另有規定的除外。
第七十四條 銀行保險機構應於每年1月15日前向國家金融監督管理總局或其派遣機構報送上一年度資料安全風險評估報告,報告內容包括資料安全治理、技術保護、資料安全風險監測及處置措施、資料安全事件及處置狀況、委託和共同處理、數據出境、資料安全評估與審查狀況、資料安全相關的投訴及處理情況等。
第七十五條 國家金融監督管理總局及其派遣機構對銀行保險機構資料安全保護情況進行現場檢查、事件調查,對於發現涉嫌違法違規事項的相關單位和個人,依法開展調查。現場檢查、事件調查可以委托国家、行業相關專業技術機構或審計機構予以協助。
第七十六條 銀行保險機構違反本辦法要求的,國家金融監督管理總局或其派遣機構依其違規情況,對銀行保險機構依法採取風險提示、監管談話、監管通報、命令改正等監管措施;對涉及違規處理行為的系統或應用,命令暫停或終止服務;對有重大違法違規情形,或者遲報、瞞報資料安全事件和案件,或產生重大資料安全風險、事件、案件的第三方機構進行產業通報,命令銀行保險機構暫緩或停止合作。
第七十七條 銀行業金融機構違反本辦法要求的,國家金融監督管理總局及其派遣機構可依據《中華人民共和國銀行業監督管理法》相關規定,命令銀行業金融機構改正,並處以二十萬以上五十萬以下罰款;情節特別嚴重或逾期不改正的,可以命令停業整頓或吊銷其經營許可證。根據違規情況,可以命令銀行業金融機構對直接負責的董事、高階主管和其他直接責任人員給予紀律處分;銀行業金融機構的行為尚不構成犯罪的,對直接負責的董事、高階主管和其他直接責任人員給予警告,處五萬元以上五十萬元以下罰款;取消直接負責的董事、高階主管一定期限至終身的任職資格,禁止直接負責的董事、高階主管及其他直接責任人員一定期限直至終身從事銀行業工作。構成犯罪的,依法追究刑責。
保險業金融機構違反本辦法要求的,國家金融監督管理總局及其派遣機構可依據《中華人民共和國保險法》相關規定,命保險業金融機構改正,處五萬元以上三十萬元以下的罰款;情節嚴重的,限制其業務範圍、命令停止接受新業務或吊銷業務許可證。根據違規情況,對其直接負責的主管人員和其他直接責任人員給予警告,並處一萬元以上十萬元以下的罰款;情節嚴重的,撤銷任職資格。構成犯罪的,依法追究刑責。
實施過程中如遇《中華人民共和國銀行業監督管理法》《中華人民共和國保險法》修訂,以修訂后的规定为准。
第七十八條 中國銀行業協會、中國保險業協會等行業社團組織應透過宣傳、訓練、自律、協調、服務等方式,協助引導會員單位提升資料安全管理水平。
第九章 附 則
第七十九條 本辦法由國家金融監督管理總局負責解釋與修訂。
第八十條 國家金融監督管理總局批准設立的其他銀行業金融機構、保險業金融機構、金融控股公司以及總局管理單位參考適用本辦法。地方金融管理部門核准設立的金融組織參照適用本辦法。
第八十一條 本辦法自公佈日起施行,《銀行保險機構資料安全辦法》(銀牌保監辦發〔2022〕118號)同時廢止。
本文編選自“國家金融監督管理總局”官網,FOREXBNB編輯:陳筱亦。
