21世纪经济报道记者李览青上海报道

12月27日，国家金融监督管理总局颁布了《银行保险机构数据安全管理办法》（简称《银保办法》），旨在指导银行保险机构强化主体责任，健全内部机制，采用高效的管理和技术手段保障客户信息与金融交易数据的安全。

金融数据因具有高价值和高敏感性，其安全直接关系到国家安全和金融消费者权益。随着银行业与保险业数字化转型步伐的加快，新技术与新业态层出不穷，数据合作与共享日益频繁。然而，金融领域面临的数据安全风险也日趋复杂严峻，对金融机构的数据安全管理提出了新挑战。总局有关司局负责人在答记者问时强调，监管的“指挥棒”作用至关重要。

《银保办法》共9章81条，内容涵盖数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理等多个方面。该办法不仅适用于政策性银行、大型银行、股份制银行等金融机构，还涵盖了保险集团、保险公司、金融控股公司等，以及地方金融管理部门批准设立的金融组织。

经过与《征求意见稿》的逐字对比，记者发现正式文件的改动较少，主要是对表述进行了规范。例如，将“适用于金融监管总局批准设立的外国分行、其他金融机构”修改为“适用于金融监管总局批准设立的其他银行业金融机构、保险业金融机构”。在数据安全技术应急管理机制方面，除了防范外部攻击外，还新增了对“内外部破坏”等危害数据安全活动的防范要求。

在数据转移规范上，《银保办法》对“银行保险机构因兼并、重组、破产等需要转移数据”的表述进行了细化，明确为“银行保险机构因合并、分立、解散、被宣告破产等需要转移数据”。

《银保办法》对银行保险机构提出了五个方面的明确要求：一是强化数据治理顶层设计，建立与业务发展目标相适应的数据安全治理体系，落实数据安全责任制；二是落实分类分级管理要求，对业务经营管理过程中获取、产生的数据进行分类管理，并根据数据的重要性和敏感程度采取差异化的安全保护措施；三是强化数据安全管理体系，建立健全数据安全管理制度，保障数据全生命周期安全；四是加强个人信息保护，按照“明确告知、授权同意”的原则处理个人信息；五是完善风险监测处置机制，将数据安全风险纳入全面风险管理体系。

此外，针对人工智能等新技术、新业态带来的数据安全与模型安全风险，《银保办法》要求银行保险机构保障数据处理的透明度和结果的公平合理，关注数据与模型使用的合理性、正当性、可解释性，并建立风险缓释措施。

有银行合规人士指出，除《银保办法》外，央行系统去年征求意见的《中国人民银行业务领域数据安全管理办法（征求意见稿）》同样值得关注，两者均强调了“谁管业务，谁管业务数据，谁管数据安全”的基本原则，并落实了数据安全责任制。

（文章来源：21世纪经济报道）