AI导读:

金融监管总局发布了《银行保险机构数据安全管理办法》,要求银行保险机构将数据安全风险纳入全面风险管理体系,加强个人信息保护,并建立了数据安全事件应急响应与处置机制。

12月27日,金融监管总局正式颁布了《银行保险机构数据安全管理办法》(以下简称《办法》),该法规针对数据安全治理、分类分级、管理、技术保护、个人信息保护以及风险监测与处置等方面,提出了共计81条详尽的管理措施。

《办法》的出台,源于金融数据的高价值和高敏感性,以及近年来银行业保险业数字化变革的迅猛推进。随着新技术、新业态的不断涌现,数据合作共享日益频繁,但数据安全风险也随之增加,给金融机构带来了新的挑战。

为此,《办法》明确要求银行保险机构将数据安全风险纳入全面风险管理体系,建立管理流程,主动评估风险,并进行有效监测,以防止数据破坏、泄露或非法利用等安全事件的发生。同时,银行保险机构还需将数据纳入网络安全等级保护,对存放或传输敏感数据的机房、网络实施重点防护,保障数据在全生命周期内的完整性、保密性和可用性。

在个人信息保护方面,《办法》设立了专门章节,规定银行保险机构应按照“明确告知、授权同意”的原则处理个人信息,并限于实现金融业务处理目的的最小范围,不得过度收集。此外,对于涉及个人权益有重大影响的个人信息处理活动,还需进行个人信息保护影响评估。一旦发生个人信息泄露、篡改或丢失,银行保险机构应立即采取补救措施,并向监管部门报告。

此外,《办法》还完善了风险监测处置机制,明确了数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程。根据影响范围和程度,数据安全事件被分为特别重大、重大、较大和一般四个级别。银行保险机构需建立内部协调联动机制和外部服务商、第三方机构的报告机制,制定数据安全事件应急预案,并定期开展应急响应培训和演练。

在数据安全事件发生后,银行保险机构应立即启动应急处置,分析事件原因、评估事件影响,并按照预案及时采取业务、技术等措施控制事态。同时,还需建立数据安全事件报告机制,根据事件安全等级制定报告流程,并按照规定履行客户及合作方告知义务。数据安全事件处置结束后,银行保险机构还需将事件及其处置的评估、总结和改进报告报送属地监管部门。

(文章来源:证券时报)