在银行业保险业新技术、新业务模式不断涌现的大背景下，数据处理活动日益频繁，数据安全的重要性逐步升级。随着《网络安全法》《数据安全法》《个人隐私信息保护法》等法律的发布，国家金融监督管理总局（以下简称“金监总局”）在金规〔2024〕24号文中，正式对外发布了《银行保险机构数据安全管理办法》（以下简称“《办法》”），以规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益。《办法》明确“谁管业务、谁管业务数据、谁管数据安全”的原则，强调主体责任的落实，为银行业、保险业的数据安全管理提供了必要指引。

  《办法》共9章81条，对数据治理顶层设计、分类分级管理要求、数据安全管理及技术体系、加强个人隐私信息保护及完善风险监测处置机制等方面提出了更深层次的合规要求。

  《办法》所明确的适合使用的范围及主体包括了银行业金融机构、保险业金融机构及其他金融机构（第二条），同时将其他银行业金融机构、保险业金融机构、金融控股公司、地方金融监督管理部门批准设立的金融组织等受金监总局监管的别的金融机构纳入“参照执行”的范围（第八十条）。除涉及国家秘密的数据处理活动外，上述机构所有数据处理活动均属于《办法》的监管范围。

  《办法》明白准确地提出数据安全责任制，指定归口管理部门负责本机构的数据安全工作；延续“谁管业务、谁管业务数据、谁管数据安全”的根本原则，划分为业务、业务数据、数据安全三个维度，明确应由业务部门对相关数据处理活动履行数据安全保护义务，落实业务流程中数据安全保护管理的要求，而非信息科技部门或风险控制部门统一负责。

  《办法》新增数据安全评估机制，银行业保险业金融机构应建立数据安全管理归口部门及信息科技部门的协同机制。此外，针对敏感级及以上数据处理活动及对数据主体有较大影响的业务活动提出了事前评估的合规要求，聚焦数据安全风险及数据主体权益，评估数据处理的必要性及合规性、数据安全风险防控措施的有效性。

  《办法》基本重申了《中华人民共和国个人隐私信息保护法》（以下简称“《个人隐私信息保护法》”或“个保法”）的内容，充足表现金监总局对个人隐私信息保护的重视。同时，《办法》在个人隐私信息风险报告制度中明确要求银行保险机构应当将相关事项的报告对象为金监总局或其派出机构，说明在银行业保险业领域，金监总局承担个人隐私信息保护的监督管理职责。此外，《办法》在对数据全生命周期的相关规定中大量参考与借鉴个保法的合规性思路。

  数据安全治理作为《办法》的七大主要内容之一，《办法》提出了更为细化的规定，要求银行保险机构建立覆盖董（理）事会、高管层、数据安全统筹部门、数据安全技术保护部门等的多层级治理架构（第九条），明确有关部门的具体职责，要求将数据安全纳入机构全面风险管理体系及内控评价体系（第十一条至第十四条）。

  同时，《办法》精确指出数据安全组织架构与治理架构，包括党委（党组）、董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门（第十条）。

  ► 数据安全归口部门为数据安全管理工作的主责部门，负责制定各项制度标准、建立维护数据目录、统筹评估审查、组织风险监测、宣贯培训等；

  ► 各业务部门应按照“谁管业务、谁管业务数据、谁管数据安全”的原则，对开展数据处理活动涉及的数据履行数据安全保护义务；

  ► 信息科技部门为数据安全技术保护的主责部门，负责建立技术保护体系、制定技术保护各项制度规范、组织并且开展生命周期管理、建立技术应急机制等；

  ► 风险管理、内控合规和审计部门负责将数据安全纳入全面风险管理体系、内控评价体系、审计体系。

  《JR/T 0197-2020 金融数据安全 数据安全分级指南》(以下简称“JR/T 0197”或“《数据安全分级指南》”)、《网络安全标准实践指南-网络数据分类分级指引》（以下简称“《分类分级指引》”或“《指引》”）及《GB/T 43697-2024数据安全技术 数据分类分级规则》（以下简称“GB/T 43697”或“《数据分类分级规则》”）中涉及数据分类分级的影响对象及影响程度的对比：

  《办法》以建立数据资产地图和开展数据安全评估为合规抓手，针对数据收集、外部采购、加工、使用、共享及集团内部共享、对外提供、跨境提供、备份、删除与销毁的数据全生命周期明确合规要求，银行保险机构应制定相适应的数据安全保护策略、管理制度及实施细则。

  《办法》明确规定银行保险机构在进行敏感级及以上数据处理活动时，或开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时，应当事先开展数据安全评估（第二十二条）。此外，《办法》多处提及“可追溯”的要求，如“数据来源可追溯”“数据转移过程可追溯”“模型算法可追溯”，将进一步压实银行保险机构的合规责任。

  在数据安全管理制度方面，《办法》明确规定银行保险机构应制定覆盖数据全生命周期的数据安全管理办法，制定数据外部引入或合作共享、数据出境等方面安全管理实施细则（第二十条），制定数据服务规范（第二十三条），制定外部数据采购、合作引入的集中审批管理制度（第二十六条），制定数据销毁管理制度（第三十八条）。

  《办法》提出银行保险机构应建立数据安全技术保护体系（第三十九条），将数据安全保护纳入信息系统开发生命周期框架（第四十条），将数据纳入网络安全等级保护（第四十一条）等原则性规定。

  《办法》首次提出“数据安全保护基线”这一概念，明确敏感级及以上数据的信息系统保护、数据访问控制、数据传输保护、数据存储保护及数据销毁管理五大方面的基线要求（第四十二条至第四十六条），为数据全生命周期的各环节中采取比较有效措施、保障数据安全提供了最低参考标准。

  此外，随着大数据、模型、人工智能技术在银行保险机构应用的增加，《办法》提出银行保险机构在使用大数据服务、开发及使用模型算法、使用人工智能技术时，应建立准入机制、访问授权机制、安全审查机制等，充分履行数据主体责任，保障数据完整性、保密性和可用性。

  个人隐私信息作为数据的一种特殊类型，针对个人隐私信息的保护是数据安全管理的重要组成部分。个保法聚焦个人隐私与信息保护，强化个人对个人信息的知情权、决定权、查阅权和删除权等权益，明确个人信息处理者的责任和义务；《办法》则是侧重于确保数据在收集、存储、使用、传输等过程中的安全性，防止数据被非法获取、泄露或滥用，通过具体的技术和管理要求，确保数据处理活动的安全性和合规性。《办法》与个保法相辅相成，协同保护个人隐私及数据安全，促进数据的合理利用和数字化的经济的发展。

  《办法》参照个保法的相关规定，重申“明确告知、授权同意”、目的限制等个人隐私信息保护工作原则，并强调银行保险机构处理个人隐私信息的告知义务（第五十四条至第五十七条）。同时，《办法》中所要求的个人隐私信息保护影响评估（第五十八条），可衔接《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》（以下简称“《GB/T 39335》”或“个人信息安全影响评估指南”），评估内容有个人信息处理的合法性、必要性，对个人权益的影响及安全风险，所采取的保护的方法合法性、有效性还有是不是与风险程度相适应等。此外，《办法》对个人隐私信息的共享及外部提供、跨境传输、委托处理、自动化决策提出了合规要求。《办法》设置个人隐私信息风险报告制度（第六十三条），要求机构在发生或有几率发生个人隐私信息相关的风险事件时需要向金监总局或者其派出机构报告。

  《办法》首次提出“将数据安全风险纳入本机构全面风险管理体系”这一要求，意味着银行保险机构应将数据安全风险与操作风险、声誉风险并列作为银行保险机构全面风险的风险领域之一，进一步强调了数据安全风险在银行保险机构中的重要性。（第六十五条），要求每年开展一次数据安全风险评估，每三年至少开展一次数据安全全面审计，出现重大数据安全事件后应开展专项审计（第六十六条）。

  根据《办法》“第二章 数据安全治理”的内容，银行保险机构应建立涵盖数据安全归口管理部门、数据业务主管部门、信息科技部门、风险管理部门、内控合规部门、审计部门的数据安全风险管理组织架构，强调了数据安全风险管理工作并不能仅依靠单个部门来完成，而是应通过建立涵盖多部门、多层级的数据安全风险管理组织架构来实现。

  数据安全风险监测方面，《办法》提出了九项数据安全风险监测内容，具体如下所示：

  《办法》对数据安全评估与审查、数据安全风险评估、数据安全全面/专项审计提出了管理要求。具体实际的要求如下：

  同时，《办法》依据数据安全事件的影响区域和程度，将数据安全事件分为特别重大、重大、较大和一般四个事件级别（第六十七条），并明晰事前风险监测内容、事中应急处置流程（第六十八条）、事后监管报告机制（第六十九条），确保内外部之间有效衔接、紧密合作，及时应对数据安全事件。

  《办法》要求银行保险机构建立完整数据安全应急管理机制，制定数据安全事件应急预案并定期开展培训和演练，全方面提升突发事件的应对处置能力。在事件发生时立即启动应急处置，分析事件根源，评估事件影响，开展事件定级，采取一定的措施有效遏制风险蔓延。同时，机构需建立数据安全事件的报告机制，根据事件严重程度明确报告流程，履行通知客户及合作方的义务。针对网络产品和服务的安全风险隐患，《办法》要求机构立刻开展调查并及时采取补救措施。若服务方存在安全缺陷、漏洞隐瞒不报的，银行保险机构应采取严厉措施，包括终止合作、处罚以及上报监督管理的机构等。

  银行保险机构应根据《办法》明确党委（党组）、董（理）事会以及高管层的数据安全责任，指定数据安全归口管理部门，并形成业务部门、信息科技部门、风险合规与审计部门的数据安全一体化管理协同机制。归口管理部门应积极履行数据安全管理的统筹职责，落实数据安全保护管理要求。

  《办法》目前对于核心数据及重要数据的分级标准尚不明确，且数据安全领域已发布多个数据分类分级相关文件，包括《数据分类分级规则》《数据安全分级指南》及《JR/T 0171-2020 个人金融信息保护技术规范》（以下简称“JR/T 0171”或“《个人金融信息保护技术规范》”）等，需要等待进一步的统筹协调。在此之前，银行保险机构可先开展数据资产盘点，联动现有数据治理工作，建立并动态管理数据目录，为后续的数据分类分级夯实底座。

  《办法》继承了多层发力、多维互联的立法体系，要求银行保险机构建立数据安全技术架构，以及建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，明确数据保护策略方法，采取技术方法保障数据安全。银行保险机构依据自身现状，着重优化《办法》所侧重的数据收集、外部数据采购、数据加工等行为规范，涵盖监管重点关注内容，形成数据安全管理基线，保障数据完整性、保密性、可用性。银行保险机构应当以网络安全等级保护为基础，对存放或传输敏感级及以上数据的网络环境实施重点的安全技术防护。同时，银行保险机构应当关注数据应用场景化保护，根据数据处理的具体应用场景，采取对应的技术保护的方法，如加密、访问控制等。

  银行保险机构应建立完整数据安全应急预案，明确应急组织架构及职责分工，强化监测预警机制并持续提升应急响应能力。预案应涵盖从事件分级响应到迅速恢复的全流程设计，明确内外部协同沟通机制，确保资源调配高效精准。在应急场景设计中，针对数据泄露、恶意攻击、权限滥用、系统崩溃等高风险事件进行场景推演，细化事件预警、报告、决策、指挥、响应、回退等处置程序。同时，定期开展多层次的应急演练，确保团队在突发情况下可以在一定程度上完成快速响应、精准处置与有序恢复，完善应急处置流程并优化策略闭环，实现持续改进。

  银行保险机构应厘清内部数据业务主管部门、信息科技部门、数据安全归口管理部门、风险管理部门、内控合规部门等在数据安全风险方面的工作职责及工作协同机制，并同步更新相关制度要求。

  银行保险机构应建立数据安全风险监测指导规程，开展安全风险监测工作，对数据安全风险监测结果做多元化的分析，将数据安全风险监测作为常态化数据安全管理工作。

  银行保险机构应明确开展数据安全评估和审查、数据安全风险评估、数据安全全面/专项审计工作的各有关部门职责，严格按照《办法》要求开展数据安全评估和审查、数据安全风险评估、数据安全全面/专项审计工作，必要时可委托第三方专业机构协助开展。

  在银行业保险业数字化变革的背景下，《办法》的发布对拥有大量数据资源的银行保险机构的数据安全管理提供了清晰指引的同时，引导压实银行保险机构的数据安全管理主体责任，采取全方面、全口径的数据安全管理措施，加强数据安全管理与保护，保障银行业保险业的数据安全。

  未来，随技术的慢慢的提升和数据应用场景的日益丰富，银行保险机构仍应持续关注政策变化和行业发展的新趋势，一直在优化和完善数据安全治理体系，以适应新形势下的数据安全需求。

  本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。返回搜狐，查看更加多