金規〔2024〕24號《國家金融監督管理總局關(guān)于印發(fā)銀行保險機構數據安全管理辦法的通知》（全文）

國家金融監督管理總局關(guān)于印發(fā)銀行保險機構數據安全管理辦法的通知






金規〔2024〕24號

各金融監管局，各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷(xiāo)銀行、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、理財公司，各保險集團（控股）公司、保險公司、保險資產(chǎn)管理公司、養老金管理公司、保險專(zhuān)業(yè)中介機構，各金融控股公司，各總局管理單位：

現將《銀行保險機構數據安全管理辦法》印發(fā)給你們，請遵照執行。




 

國家金融監督管理總局

2024年12月27日





 

銀行保險機構數據安全管理辦法



 

第一章　總　則

第一條　為規范銀行業(yè)保險業(yè)數據處理活動(dòng)，保障數據安全、金融安全，促進(jìn)數據合理開(kāi)發(fā)利用，保護個(gè)人、組織的合法權益，維護國家安全和社會(huì )公共利益，根據《中華人民共和國數據安全法》《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國個(gè)人信息保護法》《中華人民共和國銀行業(yè)監督管理法》《中華人民共和國商業(yè)銀行法》《中華人民共和國保險法》等法律法規，制定本辦法。

第二條　本辦法所稱(chēng)銀行保險機構，是指在中華人民共和國境內設立的政策性銀行、商業(yè)銀行、農村合作銀行、農村信用合作社、金融資產(chǎn)管理公司、企業(yè)集團財務(wù)公司、金融租賃公司、汽車(chē)金融公司、消費金融公司、貨幣經(jīng)紀公司、信托公司、理財公司、保險公司、保險資產(chǎn)管理公司、保險集團（控股）公司。

開(kāi)展涉及國家秘密的數據處理活動(dòng)，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。國家有關(guān)主管部門(mén)另有規定的，應當依法遵守其規定。

第三條　本辦法所稱(chēng)數據，是指以電子或者其他方式對信息的記錄。

數據處理，是指對數據的收集、存儲、使用、加工、傳輸、提供、共享、轉移、公開(kāi)、刪除、銷(xiāo)毀等。

數據安全，是指通過(guò)采取必要措施，對數據處理活動(dòng)和數據應用場(chǎng)景進(jìn)行管理與控制，確保數據始終處于有效保護和合法利用的狀態(tài)，以及具備保障持續安全狀態(tài)的能力。

數據主體，是指數據所標識的自然人或者其監護人、企業(yè)、機關(guān)、事業(yè)單位、社會(huì )團體和其他組織。

個(gè)人信息，是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

大數據平臺，是指以處理海量數據存儲、計算、分析等為目的的基礎設施，包括數據統計分析類(lèi)的平臺和大數據處理類(lèi)平臺（如數據湖、數據倉庫等）。

第四條　國家金融監督管理總局及其派出機構負責銀行業(yè)保險業(yè)數據安全的監督管理，制定并發(fā)布監管規章制度，對銀行保險機構履行數據安全保護義務(wù)情況進(jìn)行監督檢查。

第五條　銀行保險機構應當建立與本機構業(yè)務(wù)發(fā)展目標相適應的數據安全治理體系，建立健全數據安全管理制度，構建覆蓋數據全生命周期和應用場(chǎng)景的安全保護機制，開(kāi)展數據安全風(fēng)險評估、監測與處置，保障數據開(kāi)發(fā)利用活動(dòng)安全穩健開(kāi)展。銀行保險機構利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)，應當在網(wǎng)絡(luò )安全等級保護制度基礎上，履行數據安全保護義務(wù)。

第六條　銀行保險機構開(kāi)展數據處理活動(dòng)，應當遵守法律、法規，尊重社會(huì )公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實(shí)守信，履行數據安全保護義務(wù)，承擔社會(huì )責任，不得危害國家安全、政治安全、經(jīng)濟金融安全、公共利益，不得損害個(gè)人、組織的合法權益。

第七條　銀行保險機構應當統籌發(fā)展和安全，落實(shí)國家大數據戰略，推進(jìn)數據基礎設施建設，加大數據創(chuàng )新應用力度，促進(jìn)以數據為關(guān)鍵要素的數字經(jīng)濟發(fā)展，提升金融服務(wù)的智能化水平，創(chuàng )新普惠金融服務(wù)模式，增強防范化解風(fēng)險的能力。

第八條　銀行保險機構應當持續跟蹤新興數據開(kāi)發(fā)利用和科技發(fā)展前沿動(dòng)態(tài)，有效應對大數據應用與科技創(chuàng )新可能產(chǎn)生的規則沖突、社會(huì )風(fēng)險、倫理道德風(fēng)險，防止數據與科技被誤用、濫用。


 

第二章　數據安全治理

第九條　銀行保險機構應當建立覆蓋董（理）事會(huì )、高管層、數據安全統籌、數據安全技術(shù)保護等部門(mén)的數據安全管理組織架構，明確崗位職責和工作機制，落實(shí)資源保障。

第十條　銀行保險機構應當建立數據安全責任制，黨委（黨組）、董（理）事會(huì )對本單位數據安全工作負主體責任。銀行保險機構主要負責人為數據安全第一責任人，分管數據安全的高級管理人員為直接責任人，明確各層級負責人的責任，明確違規情形和責任追究事項，落實(shí)問(wèn)責處置機制。

第十一條　銀行保險機構應當指定數據安全歸口管理部門(mén)，作為本機構負責數據安全工作的主責部門(mén)。其主要職責包括：

（一）組織制定數據安全管理原則、規劃、制度和標準；

（二）組織建立和維護數據目錄，推動(dòng)實(shí)施數據分類(lèi)分級保護；

（三）組織開(kāi)展數據安全評估和審查；

（四）統籌建立數據安全應急管理機制，組織開(kāi)展數據安全風(fēng)險監測、預警與處置；

（五）組織開(kāi)展數據安全宣貫培訓，提升員工數據安全保護意識與技能；

（六）建立和維護內部數據共享、外部數據引入、數據對外提供、數據出境的統籌管理機制，牽頭對外部數據供應商進(jìn)行安全管理，統籌大數據應用、數據共享項目的安全需求管理；

（七）向黨委（黨組）、董（理）事會(huì )、高管層報告數據安全重要事項；

（八）其他須統籌管理的數據安全工作事項。

第十二條　銀行保險機構應當按照“誰(shuí)管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數據、誰(shuí)管數據安全”的原則，明確各業(yè)務(wù)領(lǐng)域的數據安全管理責任，落實(shí)數據安全保護管理要求。

第十三條　銀行保險機構風(fēng)險管理、內控合規和審計部門(mén)負責將數據安全納入全面風(fēng)險管理體系、內控評價(jià)體系，定期開(kāi)展審計、監督檢查與評價(jià)，督促問(wèn)題整改和開(kāi)展問(wèn)責。

第十四條　銀行保險機構信息科技部門(mén)是數據安全的技術(shù)保護主責部門(mén)，其主要職責包括：

（一）建立數據安全技術(shù)保護體系，建立數據安全技術(shù)架構和保護控制基線(xiàn)，落實(shí)技術(shù)保護措施。

（二）制定數據安全技術(shù)標準規范制度，組織開(kāi)展數據安全技術(shù)風(fēng)險評估。

（三）組織開(kāi)展信息系統的生命周期安全管理，確保數據安全保護措施在需求、開(kāi)發(fā)、測試、投產(chǎn)、監測等環(huán)節得到落實(shí)。

（四）建立數據安全技術(shù)應急管理機制，組織開(kāi)展數據安全風(fēng)險技術(shù)監測、預警、通報與處置，防范外部攻擊、內外部破壞等危害數據安全活動(dòng)。

（五）組織數據安全技術(shù)研究與應用。

第十五條　銀行保險機構應當建立良好的數據安全文化，開(kāi)展全員數據安全教育和培訓，提高數據安全保護意識和水平，形成全員共同維護數據安全和促進(jìn)發(fā)展的良好環(huán)境。


 

第三章　數據分類(lèi)分級

第十六條　銀行保險機構應當制定數據分類(lèi)分級保護制度，建立數據目錄和分類(lèi)分級規范，動(dòng)態(tài)管理和維護數據目錄，采取差異化安全保護措施。

第十七條　銀行保險機構應當對機構業(yè)務(wù)及經(jīng)營(yíng)管理過(guò)程中獲取、產(chǎn)生的數據進(jìn)行分類(lèi)管理，數據類(lèi)型包括客戶(hù)數據、業(yè)務(wù)數據、經(jīng)營(yíng)管理數據、系統運行和安全管理數據等。

第十八條　銀行保險機構應當根據數據的重要性和敏感程度，將數據分為核心數據、重要數據、一般數據。其中，一般數據細分為敏感數據和其他一般數據。

核心數據，是指對領(lǐng)域、群體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度的重要數據，一旦被非法使用或者共享，可能直接影響政治安全、國家安全重點(diǎn)領(lǐng)域、國民經(jīng)濟命脈、重要民生、重大公共利益。

重要數據，是指特定領(lǐng)域、特定群體、特定區域或者達到一定精度和規模的數據，一旦被泄露或者篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會(huì )穩定、公共健康和安全。

敏感數據，是指一旦被泄露或者篡改、損毀，對經(jīng)濟運行、社會(huì )穩定、公共利益有一定影響，或者對組織自身或者公民個(gè)體造成重要影響的數據。

除以上數據之外的，為其他一般數據。

第十九條　銀行保險機構應當加強數據安全級別的時(shí)效管理，建立動(dòng)態(tài)調整審批機制，當數據的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化，導致原安全級別不再適用的，應當及時(shí)動(dòng)態(tài)調整。

 

第四章　數據安全管理

第二十條　銀行保險機構應當按照國家數據安全與發(fā)展政策要求，根據自身發(fā)展戰略，制定數據安全保護策略。銀行保險機構應當制定數據安全管理辦法，明確管理責任分工，建立包括數據處理全生命周期管控機制，落實(shí)保護措施。

銀行保險機構應當對數據外部引入或者合作共享、數據出境等，制定安全管理實(shí)施細則。

第二十一條　銀行保險機構應當建立企業(yè)級數據架構，統籌開(kāi)展對全域數據資產(chǎn)登記管理，建立數據資產(chǎn)地圖，以數據分類(lèi)分級為基礎明確數據保護對象，圍繞數據處理活動(dòng)實(shí)施安全管理。

第二十二條　銀行保險機構在處理敏感級及以上數據的業(yè)務(wù)活動(dòng)時(shí)，或者開(kāi)展數據委托處理、共同處理、轉移、公開(kāi)、共享等對數據主體有較大影響的活動(dòng)時(shí)，應當事先開(kāi)展數據安全評估。數據安全評估應當根據數據處理目的、性質(zhì)和范圍，按照法律法規和倫理道德規范要求，分析數據安全風(fēng)險和對數據主體權益影響，評估數據處理的必要性、合規性，評估數據安全風(fēng)險及防控措施的有效性。

第二十三條　銀行保險機構應當建立企業(yè)級數據服務(wù)管理體系，制定數據服務(wù)規范，建立專(zhuān)職數據服務(wù)團隊，統籌內外部數據加工、分析，實(shí)施數據服務(wù)需求分析、服務(wù)開(kāi)發(fā)、服務(wù)部署、服務(wù)監控等活動(dòng)。

第二十四條　銀行保險機構收集數據應當堅持“合法、正當、必要、誠信”原則，明確數據收集和處理的目的、方式、范圍、規則，保障收集過(guò)程的數據安全性、數據來(lái)源可追溯。銀行保險機構不得超出數據主體同意的范圍向其收集數據，法律、行政法規另有規定的除外。

銀行保險機構向其他銀行保險機構收集行業(yè)重要級及以上數據，需經(jīng)國家金融監督管理總局同意。

第二十五條　銀行保險機構應當以信息系統為數據收集的主要渠道，限制或者減少其他渠道、臨時(shí)性數據收集。

銀行保險機構停止金融業(yè)務(wù)或者服務(wù)后，應當立即停止相關(guān)數據收集或者處理活動(dòng)，法律、行政法規另有規定的除外。

第二十六條　銀行保險機構應當制定外部數據采購、合作引入的集中審批管理制度，納入外包風(fēng)險管理體系進(jìn)行統籌管理，統籌建立數據需求、安全評估、收集引入、數據運維、登記備案和監督評價(jià)管理機制，對數據來(lái)源的真實(shí)性、合法性進(jìn)行調查，評估數據提供者的安全保障能力及其數據安全風(fēng)險，明確雙方數據安全責任及義務(wù)。

第二十七條　銀行保險機構開(kāi)展敏感級及以上數據清洗轉換、匯聚融合、分析挖掘等數據加工活動(dòng)時(shí)，應當采用匿名化、去標識化或者其他必要安全措施保護數據主體權益，法律、行政法規另有規定的除外。數據匯聚融合衍生敏感級及以上數據，或者導致數據安全級別變化的，應當及時(shí)評估、調整安全保護措施。

第二十八條　銀行保險機構應當按照“業(yè)務(wù)必要授權”原則，對敏感級及以上數據嚴格實(shí)施授權管理，制定數據訪(fǎng)問(wèn)閉環(huán)管理機制，并對數據訪(fǎng)問(wèn)行為實(shí)施審計。確因業(yè)務(wù)需要從生產(chǎn)環(huán)境提取數據的，應當建立嚴格的審批程序，并明確數據使用或者保存期限。

銀行保險機構利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)時(shí)，要落實(shí)網(wǎng)絡(luò )安全等級保護、關(guān)鍵信息基礎設施安全保護、密碼保護等制度要求。

第二十九條　銀行保險機構應當對數據共享使用進(jìn)行集中安全管控，明確企業(yè)級數據共享策略，評估數據共享使用的必要性、合規性、安全性及倫理道德規范的符合度。

銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火墻”，并對共享數據采取有效保護措施。銀行保險機構與其母行、集團，或者其子行、子公司共享敏感級及以上數據，應當獲得數據主體的授權同意，法律、行政法規另有規定的除外。不得以數據主體拒絕同意共享敏感數據而終止或者拒絕單家子行、子公司對其提供金融服務(wù)，所共享數據屬于提供產(chǎn)品或者服務(wù)所必需的除外。

第三十條　銀行保險機構在委托處理數據時(shí)，應當明確所涉數據外部使用和處理的條件、場(chǎng)景、方式。委托處理數據時(shí)，應當以合同協(xié)議方式約定委托處理的目的、期限、處理方式、數據范圍、保護措施、雙方的數據安全責任和義務(wù)，以及受托方返還或者刪除數據的方式等，對數據處理活動(dòng)進(jìn)行記錄和審計，可對外公開(kāi)披露的數據除外。銀行保險機構應當要求受托方在未取得其同意時(shí)，不得轉委托其他主體處理數據，不得對外共享數據，不得加工、訓練、挪用數據，或者采取其他形式處理數據以謀取合同或者協(xié)議約定以外的利益。

第三十一條　銀行保險機構應當將數據委托處理納入信息科技外包管理范圍，在實(shí)施過(guò)程中不得將信息科技管理責任、數據安全主體責任外包，涉及信息科技戰略管理、信息科技風(fēng)險管理、信息科技內部審計及其他有關(guān)信息科技核心競爭力的職能不得外包。供應鏈服務(wù)中涉及敏感級及以上數據處理的，銀行保險機構應當加強對供應商的準入和安全管理。

第三十二條　銀行保險機構與第三方機構進(jìn)行數據共同處理時(shí)，應當按照“業(yè)務(wù)必要授權”原則制定方案并采取有效管理和技術(shù)保護措施確保數據安全，并以合同協(xié)議方式明確雙方在數據處理過(guò)程中的數據安全責任和義務(wù)。

第三十三條　銀行保險機構因合并、分立、解散、被宣告破產(chǎn)等需要轉移數據的，應當明確數據轉移內容，通過(guò)協(xié)議、承諾等方式約定數據接收方全面承接對應數據的安全保護義務(wù)，通過(guò)公告等方式告知數據主體。數據轉移應當采用安全可靠方式進(jìn)行，并確保轉移過(guò)程可追溯。

第三十四條　銀行保險機構向外部提供敏感級及以上數據，應當取得數據主體同意，法律、行政法規另有規定的除外。除國家機關(guān)依法履職外，銀行保險機構核心數據跨主體流動(dòng)應當按照國家相關(guān)政策要求通過(guò)風(fēng)險評估、安全審查。

第三十五條　銀行保險機構應當建立對外公開(kāi)披露數據的審批機制，研判可能產(chǎn)生的影響，數據公開(kāi)應當在機構官方渠道進(jìn)行發(fā)布，確保數據真實(shí)、準確、防篡改，記錄審批和發(fā)布情況。

敏感級及以上數據不得公開(kāi)，法律、行政法規另有規定或者取得數據主體授權同意的除外。

第三十六條　銀行保險機構向境外提供在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據和個(gè)人信息，應當承擔數據安全主體責任，并按照國家有關(guān)政策要求進(jìn)行安全評估。

第三十七條　銀行保險機構應當采取技術(shù)措施，對敏感級及以上數據加強重點(diǎn)防護。加強數據備份，制定備份策略，備份數據和生產(chǎn)數據應隔離分開(kāi)保存，嚴格管理備份數據的訪(fǎng)問(wèn)權限。制定備份驗證計劃，確保備份數據完整有效、業(yè)務(wù)可恢復。

第三十八條　銀行保險機構應當制定數據銷(xiāo)毀管理制度，按照國家、行業(yè)有關(guān)規定及與數據主體的約定進(jìn)行數據刪除或者匿名化處理。銀行保險機構委托數據處理終止時(shí)，應當要求服務(wù)提供商及時(shí)刪除數據，并采取現場(chǎng)檢查等有效監督措施，確保數據被銷(xiāo)毀、不可恢復。


 

第五章　數據安全技術(shù)保護

第三十九條　銀行保險機構應當建立針對大數據、云計算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多元異構環(huán)境下的數據安全技術(shù)保護體系，建立數據安全技術(shù)架構，明確數據保護策略方法，采取技術(shù)措施，保障數據安全。

第四十條　銀行保險機構應當將數據安全保護納入信息系統開(kāi)發(fā)生命周期框架，針對敏感級及以上數據明確安全保護要求，實(shí)現數據安全保護措施與信息系統的同步規劃、同步建設、同步使用。

第四十一條　銀行保險機構應當將數據納入網(wǎng)絡(luò )安全等級保護。銀行保險機構應當根據數據安全級別，劃分網(wǎng)絡(luò )邏輯安全域，建立分區域數據安全保護基線(xiàn)，實(shí)施有效的安全控制，包括內容過(guò)濾、訪(fǎng)問(wèn)控制和安全監控等，確保相關(guān)措施滿(mǎn)足處理和存儲最高級別數據的網(wǎng)絡(luò )安全策略和數據安全保護策略要求。存放或者傳輸敏感級及以上數據的機房、網(wǎng)絡(luò )應當實(shí)施重點(diǎn)防護，設立物理安全保護區域，對網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)進(jìn)行安全監控與審計。

第四十二條　銀行保險機構應當將敏感級及以上數據納入信息系統保護。在數據全生命周期內采取有效的訪(fǎng)問(wèn)控制管理措施，對于不同區域流轉和共享中的數據，應當實(shí)施同等水平的安全防護措施。多來(lái)源敏感級及以上數據匯聚集中后，應當采取加強性或者至少不低于集中前最高級別數據保護強度的安全措施。

第四十三條　銀行保險機構應當嚴格實(shí)施對敏感級及以上數據的管理，制定用戶(hù)對數據的訪(fǎng)問(wèn)策略，采取有效的用戶(hù)認證和訪(fǎng)問(wèn)控制技術(shù)措施，規范數據操作行為，用戶(hù)對數據的訪(fǎng)問(wèn)應當符合業(yè)務(wù)開(kāi)展的必要要求并與數據安全級別相匹配。敏感級及以上數據的操作應當進(jìn)行日志記錄，包括操作時(shí)間、用戶(hù)標識、行為類(lèi)型等，核心數據操作日志及其備份數據保存時(shí)間不低于三年，重要數據、敏感數據操作日志及其備份數據保存時(shí)間不低于一年，如涉及委托處理、共同處理的數據操作日志及其備份數據保存時(shí)間不低于三年。應當定期對數據操作行為進(jìn)行審計，審計周期不超過(guò)六個(gè)月。

第四十四條　銀行保險機構敏感級及以上數據傳輸應當采用安全的傳輸方式，保障數據完整性、保密性、可用性。

銀行保險機構之間進(jìn)行數據交換時(shí)，參與數據交換的相關(guān)機構應當采取有效措施保障信息數據傳輸和存儲的保密性、完整性、準確性、及時(shí)性、安全性。

第四十五條　銀行保險機構應當對敏感級及以上數據采取安全存儲措施，防止勒索病毒、木馬后門(mén)等攻擊。個(gè)人身份鑒別數據不得明文存儲、傳輸和展示。敏感級及以上數據應當實(shí)施數據容災備份，定期進(jìn)行數據可恢復性驗證。

第四十六條　敏感級及以上數據達到使用或者保存期限后，應當采取技術(shù)措施及時(shí)刪除或者銷(xiāo)毀，確保數據不可恢復。終端和移動(dòng)存儲介質(zhì)內的敏感級及以上數據應當采取技術(shù)保護措施，確保受控安全訪(fǎng)問(wèn)，介質(zhì)報廢或者重用時(shí)，其存儲空間數據應當完全清除并不可恢復。

第四十七條　銀行保險機構應當開(kāi)展數據安全的技術(shù)基礎設施建設，支持用戶(hù)身份管理、數據匿名化、行為監測、日志審計、數據虛擬化等功能的組件化、服務(wù)化，保障安全標準在信息系統中執行的一致性。

第四十八條　銀行保險機構開(kāi)發(fā)信息系統時(shí)，應當明確系統擬處理的數據及其安全級別、訪(fǎng)問(wèn)規則、保護需求，并實(shí)施有效的系統安全控制。系統投產(chǎn)上線(xiàn)前應當開(kāi)展安全測試，確保各項安全要求落實(shí)，有效防范數據安全風(fēng)險。測試環(huán)境應當與生產(chǎn)系統隔離，敏感級及以上數據原則上未經(jīng)脫敏處理不得進(jìn)入測試環(huán)境，防止數據泄露。

第四十九條　銀行保險機構應當對大數據平臺采取高可用設計、安全加固、數據備份等措施進(jìn)行重點(diǎn)保護。應當建立大數據服務(wù)訪(fǎng)問(wèn)授權機制，動(dòng)態(tài)監測與審計大數據訪(fǎng)問(wèn)行為。

第五十條　銀行保險機構開(kāi)展自動(dòng)化決策分析、模型算法開(kāi)發(fā)、數據標注等活動(dòng)，應當保證數據處理透明度和結果公平合理。銀行保險機構應當對人工智能模型開(kāi)發(fā)應用進(jìn)行統一管理，建立模型算法產(chǎn)品外部引入的準入機制，對模型研發(fā)過(guò)程進(jìn)行主動(dòng)管理，實(shí)現模型算法可驗證、可審核、可追溯。

第五十一條　銀行保險機構信息系統、模型算法投入使用前，應當開(kāi)展數據安全審查，審查數據與模型使用的合理性、正當性、可解釋性，以及數據利用對相關(guān)主體合法權益的影響、倫理道德風(fēng)險及防控措施有效性等。

第五十二條　銀行保險機構使用人工智能技術(shù)開(kāi)展業(yè)務(wù)時(shí)，應當就數據對決策結果影響進(jìn)行解釋說(shuō)明和信息披露，實(shí)時(shí)監測自動(dòng)化處理與系統運行結果，建立人工智能應用的風(fēng)險緩釋措施，包括制定退出人工智能應用的替代方案，對安全威脅制定應急方案并開(kāi)展演練。

第五十三條　銀行保險機構在建設開(kāi)放銀行、金融生態(tài)或者與第三方數據合作時(shí)，要實(shí)現自身與外部的安全風(fēng)險隔離，與外部機構的數據交互應當通過(guò)集中管理的外聯(lián)平臺或者應用程序接口實(shí)施，依據“業(yè)務(wù)必需、最小權限”原則，采取有效措施對接口設計、開(kāi)發(fā)、服務(wù)、運行等進(jìn)行集中安全保護管理。


 

第六章　個(gè)人信息保護

第五十四條　銀行保險機構處理個(gè)人信息應當按照“明確告知、授權同意”的原則實(shí)施，法律、行政法規另有規定的除外，并在信息系統中實(shí)現相關(guān)功能控制。

第五十五條　銀行保險機構處理個(gè)人信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，收集個(gè)人信息應當限于實(shí)現金融業(yè)務(wù)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。不得利用所收集的個(gè)人信息從事違法違規活動(dòng)。

第五十六條　銀行保險機構處理個(gè)人信息前，應當真實(shí)、準確、完整地向個(gè)人告知其個(gè)人信息的處理目的、處理方式、處理的個(gè)人信息種類(lèi)、保存期限，個(gè)人行使其信息權利的申請受理和處理程序，以及法律法規規定應當告知的其他事項。

銀行保險機構應當制定個(gè)人信息處理規則，個(gè)人信息處理規則應當公開(kāi)展示、易于訪(fǎng)問(wèn)、內容明確、清晰易懂。

第五十七條　銀行保險機構不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)，處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

第五十八條　銀行保險機構在開(kāi)展涉及對個(gè)人權益有重大影響的個(gè)人信息處理活動(dòng)時(shí)，應當進(jìn)行個(gè)人信息保護影響評估，評估內容包括個(gè)人信息處理的合法性、必要性，對個(gè)人權益的影響及安全風(fēng)險，所采取的保護措施合法性、有效性以及是否與風(fēng)險程度相適應。個(gè)人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十九條　銀行保險機構與其母行、集團，或者其子行、子公司共享個(gè)人信息，及向外部提供個(gè)人信息，應當履行向個(gè)人告知及取得其同意等相關(guān)事項的義務(wù)。

第六十條　銀行保險機構向中華人民共和國境外提供個(gè)人信息的，除滿(mǎn)足第三十六條、第五十九條規定的要求外，還應當向個(gè)人告知其向境外接收方行使信息權利的方式和程序等事項，法律、行政法規另有規定的除外。

第六十一條　銀行保險機構委托第三方處理個(gè)人信息的，應當在合同或者協(xié)議條款內明確受托人對個(gè)人信息的保護義務(wù)、保護措施和期限等，并嚴格監督受托人以約定的處理目的、處理方式等處理個(gè)人信息，與第三方傳輸個(gè)人敏感數據必須確保安全，防范數據濫用和泄漏風(fēng)險。未經(jīng)銀行保險機構同意，受托人不得轉委托他人處理個(gè)人信息。

第六十二條　銀行保險機構在算法設計、訓練數據選擇和模型生成時(shí)，應當采取有效措施，保障個(gè)人合法權益。利用個(gè)人信息進(jìn)行自動(dòng)化決策，應當保證決策的透明度和結果公平、公正。

第六十三條　發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，銀行保險機構應當立即采取補救措施，同時(shí)通知個(gè)人并報送國家金融監督管理總局或者其派出機構。通知應當包括下列事項：

（一）發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類(lèi)、原因和可能造成的危害；

（二）銀行保險機構采取的補救措施和個(gè)人可以采取的減輕危害的措施。

銀行保險機構采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，可以不通知個(gè)人；監管部門(mén)認為可能造成危害的，有權要求銀行保險機構通知個(gè)人。

 

第七章　數據安全風(fēng)險監測與處置

第六十四條　銀行保險機構應當將數據安全風(fēng)險納入本機構全面風(fēng)險管理體系，明確數據安全風(fēng)險監測、風(fēng)險評估、應急響應及報告、事件處置的組織架構和管理流程，有效防范和處置數據安全風(fēng)險。

第六十五條　銀行保險機構應當對數據安全威脅進(jìn)行有效監測，實(shí)施監督檢查，主動(dòng)評估風(fēng)險，防止數據篡改、破壞、泄露、非法利用等安全事件發(fā)生。監測內容包括：

（一）超范圍授權或者使用系統特權賬號；

（二）內部人員異常訪(fǎng)問(wèn)、使用數據；

（三）對數據集中共享的系統或者平臺的網(wǎng)絡(luò )安全、數據安全威脅；

（四）敏感級及以上數據在不同區域的異常流動(dòng)；

（五）移動(dòng)存儲介質(zhì)的異常使用；

（六）外包、第三方合作中的數據處理異?；蛘邤祿孤?、丟失和篡改；

（七）客戶(hù)有關(guān)數據安全的投訴；

（八）數據泄露、仿冒欺詐等負面輿情；

（九）其他可能導致數據安全事件發(fā)生的情況。

第六十六條　銀行保險機構應當每年開(kāi)展一次數據安全風(fēng)險評估。審計部門(mén)應當每三年至少開(kāi)展一次數據安全全面審計，發(fā)生重大數據安全事件后應當開(kāi)展專(zhuān)項審計。銀行保險機構委托專(zhuān)業(yè)機構進(jìn)行數據安全審計時(shí)，不得使用該機構提供的產(chǎn)品和其他服務(wù)。

第六十七條　數據安全事件是指銀行保險機構數據被篡改、泄露、破壞、非法獲取、非法利用等，對個(gè)人或者組織合法權益、行業(yè)安全、國家安全造成負面影響的事件。根據其影響范圍和程度，分為特別重大、重大、較大和一般四個(gè)事件級別。

第六十八條　銀行保險機構應當建立數據安全事件應急管理機制，建立機構內部協(xié)調聯(lián)動(dòng)機制，建立服務(wù)提供商、第三方合作機構數據安全事件的報告機制，及時(shí)處置風(fēng)險隱患及安全事件。

（一）制定數據安全事件應急預案，定期開(kāi)展應急響應培訓和應急演練。

（二）發(fā)生數據安全事件后，應當立即啟動(dòng)應急處置，分析事件原因、評估事件影響、開(kāi)展事件定級，按照預案及時(shí)采取業(yè)務(wù)、技術(shù)等措施控制事態(tài)。

（三）建立數據安全事件報告機制，根據事件安全等級制定報告流程，發(fā)生數據安全事件時(shí)按照規定報告，同時(shí)按照合同、協(xié)議等有關(guān)約定履行客戶(hù)及合作方告知義務(wù)。

（四）發(fā)生數據安全事件或者使用的網(wǎng)絡(luò )產(chǎn)品和服務(wù)存在安全缺陷、漏洞時(shí)，應當立即開(kāi)展調查評估，及時(shí)采取補救措施，防止危害擴大。網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供商存在安全缺陷、漏洞隱瞞不報的，銀行保險機構應當責令其改正；未按要求整改或者造成嚴重后果的，應當取消其服務(wù)資格，按合同約定予以處罰，并向國家金融監督管理總局或者其派出機構報告。

第六十九條　數據安全事件發(fā)生2小時(shí)內，銀行保險機構應當向國家金融監督管理總局或者其派出機構報告，并在事件發(fā)生后24小時(shí)內提交正式書(shū)面報告。發(fā)生特別重大數據安全事件，銀行保險機構應當立即采取處置措施，按照規定及時(shí)告知用戶(hù)并向國家金融監督管理總局或者其派出機構、屬地公安機關(guān)報告。銀行保險機構應當每2小時(shí)將處置進(jìn)展情況上報，直至處置結束。數據安全事件處置結束后，銀行保險機構應當在五個(gè)工作日內將事件及其處置的評估、總結和改進(jìn)報告報送國家金融監督管理總局或者其派出機構。其他法律、行政法規對數據安全事件應急處置作出規定的，銀行保險機構應當執行。

 

第八章　監督管理

第七十條　國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進(jìn)行監督管理，開(kāi)展非現場(chǎng)監管、現場(chǎng)檢查，將數據安全管理情況納入監管評級評估體系，依法對銀行保險機構數據安全事件進(jìn)行處罰和處置，實(shí)施對數據安全管理的持續監管。

第七十一條　國家金融監督管理總局按照國家數據分類(lèi)分級要求，制定銀行業(yè)保險業(yè)重要數據目錄，提出核心數據目錄建議，監督指導銀行保險機構開(kāi)展數據分類(lèi)分級管理和數據保護。銀行保險機構應當按要求向國家金融監督管理總局或者其派出機構報送重要數據目錄。重要數據目錄發(fā)生重大變化應當及時(shí)報備更新后的數據目錄。

第七十二條　國家金融監督管理總局建立銀行業(yè)保險業(yè)數據安全監測預警、通報處置機制，持續監測數據安全風(fēng)險，向行業(yè)發(fā)布風(fēng)險提示，制定銀行業(yè)保險業(yè)數據安全事件應急預案，處置數據安全風(fēng)險事件。與國家數據安全管理部門(mén)建立聯(lián)防聯(lián)控管理機制，實(shí)施數據安全信息共享、風(fēng)險監測預警及數據安全事件處置。

第七十三條　涉及批量敏感級及以上數據的數據共享、委托處理、轉讓交易、數據轉移，銀行保險機構應當在處理、合同簽署前二十個(gè)工作日向國家金融監督管理總局或者其派出機構報告，法律、行政法規另有規定的除外。

第七十四條　銀行保險機構應當于每年1月15日前向國家金融監督管理總局或者其派出機構報送上一年度數據安全風(fēng)險評估報告，報告內容包括數據安全治理、技術(shù)保護、數據安全風(fēng)險監測及處置措施、數據安全事件及處置情況、委托和共同處理、數據出境、數據安全評估與審查情況、數據安全相關(guān)的投訴及處理情況等。

第七十五條　國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進(jìn)行現場(chǎng)檢查、事件調查，對于發(fā)現涉嫌違法違規事項的有關(guān)單位和個(gè)人，依法開(kāi)展調查?，F場(chǎng)檢查、事件調查可以委托國家、行業(yè)有關(guān)專(zhuān)業(yè)技術(shù)機構或者審計機構予以協(xié)助。

第七十六條　銀行保險機構違反本辦法要求的，國家金融監督管理總局或者其派出機構根據其違規情況，對銀行保險機構依法采取風(fēng)險提示、監管談話(huà)、監管通報、責令改正等監管措施；對涉及違規處理行為的系統或者應用，責令暫?；蛘呓K止服務(wù)；對有重大違法違規情形，或者遲報、瞞報數據安全事件和案件，或者產(chǎn)生重大數據安全風(fēng)險、事件、案件的第三方機構進(jìn)行行業(yè)通報，責令銀行保險機構暫緩或者停止合作。

第七十七條　銀行業(yè)金融機構違反本辦法要求的，國家金融監督管理總局及其派出機構可以依據《中華人民共和國銀行業(yè)監督管理法》相關(guān)規定，責令銀行業(yè)金融機構改正，并處以二十萬(wàn)以上五十萬(wàn)以下罰款；情節特別嚴重或者逾期不改正的，可以責令停業(yè)整頓或者吊銷(xiāo)其經(jīng)營(yíng)許可證。根據違規情況，可以責令銀行業(yè)金融機構對直接負責的董事、高級管理人員和其他直接責任人員給予紀律處分；銀行業(yè)金融機構的行為尚不構成犯罪的，對直接負責的董事、高級管理人員和其他直接責任人員給予警告，處五萬(wàn)元以上五十萬(wàn)元以下罰款；取消直接負責的董事、高級管理人員一定期限直至終身的任職資格，禁止直接負責的董事、高級管理人員和其他直接責任人員一定期限直至終身從事銀行業(yè)工作。構成犯罪的，依法追究刑事責任。

保險業(yè)金融機構違反本辦法要求的，國家金融監督管理總局及其派出機構可以依據《中華人民共和國保險法》相關(guān)規定，責令保險業(yè)金融機構改正，處五萬(wàn)元以上三十萬(wàn)元以下的罰款；情節嚴重的，限制其業(yè)務(wù)范圍、責令停止接受新業(yè)務(wù)或者吊銷(xiāo)業(yè)務(wù)許可證。根據違規情況，對其直接負責的主管人員和其他直接責任人員給予警告，并處一萬(wàn)元以上十萬(wàn)元以下的罰款；情節嚴重的，撤銷(xiāo)任職資格。構成犯罪的，依法追究刑事責任。

實(shí)施過(guò)程中如遇《中華人民共和國銀行業(yè)監督管理法》《中華人民共和國保險法》修訂，以修訂后的規定為準。

第七十八條　中國銀行業(yè)協(xié)會(huì )、中國保險行業(yè)協(xié)會(huì )等行業(yè)社團組織應當通過(guò)宣傳、培訓、自律、協(xié)調、服務(wù)等方式，協(xié)助引導會(huì )員單位提高數據安全管理水平。


 

第九章　附　則

第七十九條　本辦法由國家金融監督管理總局負責解釋和修訂。

第八十條　國家金融監督管理總局批準設立的其他銀行業(yè)金融機構、保險業(yè)金融機構、金融控股公司以及總局管理單位參照適用本辦法。地方金融管理部門(mén)批準設立的金融組織參照適用本辦法。

第八十一條　本辦法自公布之日起施行，《銀行保險機構數據安全辦法》（銀保監辦發(fā)〔2022〕118號）同時(shí)廢止。


 

附件：數據安全 事件分級

本文鏈接：http://www.jumpstarthappiness.com/doc/264315.html

本文關(guān)鍵詞： 金規, 國家金融監督管理總局, 銀行, 保險, 機構, 數據, 安全, 管理辦法, 通知, 全文