AI导读:

金融监管总局发布《银行保险机构数据安全管理办法》,要求将数据安全风险纳入全面风险管理体系,强化个人信息保护,完善风险监测处置机制。

12月27日,金融监管总局正式颁布了《银行保险机构数据安全管理办法》(简称《办法》),全面涵盖了数据安全治理、分类分级、安全管理、技术保护、个人信息保护及风险监测处置等81条细则。

《办法》强调,鉴于金融数据的高价值与敏感性,银行保险机构必须将数据安全风险纳入全面风险管理体系,确保数据的完整性和保密性。同时,提出对敏感级及以上数据实施重点防护,以应对日益复杂的数据安全挑战。

在数据安全风险管理方面,《办法》要求银行保险机构明确管理流程,主动评估风险,并定期进行审计、监督检查与评价。此外,数据需纳入网络安全等级保护,采取有效访问控制和安全传输方式。

在个人信息保护方面,《办法》要求银行保险机构制定数据分类分级保护制度,并根据数据的重要性进行差异化保护。同时,明确了处理个人信息的原则,即“明确告知、授权同意”,并限制在最小范围内使用,防止过度收集。对于涉及个人权益的重大信息处理活动,需进行保护影响评估。

《办法》还完善了风险监测处置机制,将数据安全事件分为四个级别,并要求机构建立应急预案、内部协调联动机制和外部报告机制。在数据安全事件发生后,应立即启动应急处置,分析原因、评估影响,并按规定报告,同时采取补救措施。

根据《办法》,银行保险机构在数据安全事件发生后2小时内需向金融监管总局或其派出机构报告,并在24小时内提交正式书面报告。对于特别重大事件,应立即采取处置措施,并及时告知用户及向相关部门报告,每2小时上报处置进展,直至处置结束。

(文章来源:券商中国)