提交需求
*
*

*
*
*
立即提交
點(diǎn)擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產(chǎn)品與服務(wù)
    解決方案
    技術(shù)支持
    合作發(fā)展
    關(guān)于美創(chuàng)
    申請(qǐng)?jiān)囉?/ul>
      網(wǎng)安利好!國(guó)家金融監(jiān)管總局重磅發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》
      發(fā)布時(shí)間:2024-12-30 閱讀次數(shù): 93 次

      2024 年 12 月 27 日,國(guó)家金融監(jiān)督管理總局印發(fā)《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法的通知》.


      銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法
      第一章  總  則
      第一條   為規(guī)范銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)處理活動(dòng),保障數(shù)據(jù)安全、金融安全,促進(jìn)數(shù)據(jù)合理開(kāi)發(fā)利用,保護(hù)個(gè)人、組織的合法權(quán)益,維護(hù)國(guó)家安全和社會(huì)公共利益,根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》《中華人民共和國(guó)商業(yè)銀行法》《中華人民共和國(guó)保險(xiǎn)法》等法律法規(guī),制定本辦法。
      第二條   本辦法所稱銀行保險(xiǎn)機(jī)構(gòu),是指在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用合作社、金融資產(chǎn)管理公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司、汽車金融公司、消費(fèi)金融公司、貨幣經(jīng)紀(jì)公司、信托公司、理財(cái)公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、保險(xiǎn)集團(tuán)(控股)公司。
      開(kāi)展涉及國(guó)家秘密的數(shù)據(jù)處理活動(dòng),適用《中華人民共和國(guó)保守國(guó)家秘密法》等法律、行政法規(guī)的規(guī)定。國(guó)家有關(guān)主管部門另有規(guī)定的,應(yīng)當(dāng)依法遵守其規(guī)定。
      第三條   本辦法所稱數(shù)據(jù),是指以電子或者其他方式對(duì)信息的記錄。
      數(shù)據(jù)處理,是指對(duì)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、共享、轉(zhuǎn)移、公開(kāi)、刪除、銷毀等。
      數(shù)據(jù)安全,是指通過(guò)采取必要措施,對(duì)數(shù)據(jù)處理活動(dòng)和數(shù)據(jù)應(yīng)用場(chǎng)景進(jìn)行管理與控制,確保數(shù)據(jù)始終處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
      數(shù)據(jù)主體,是指數(shù)據(jù)所標(biāo)識(shí)的自然人或者其監(jiān)護(hù)人、企業(yè)、機(jī)關(guān)、事業(yè)單位、社會(huì)團(tuán)體和其他組織。
      個(gè)人信息,是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。
      大數(shù)據(jù)平臺(tái),是指以處理海量數(shù)據(jù)存儲(chǔ)、計(jì)算、分析等為目的的基礎(chǔ)設(shè)施,包括數(shù)據(jù)統(tǒng)計(jì)分析類的平臺(tái)和大數(shù)據(jù)處理類平臺(tái)(如數(shù)據(jù)湖、數(shù)據(jù)倉(cāng)庫(kù)等)。
      第四條   國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)負(fù)責(zé)銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)安全的監(jiān)督管理,制定并發(fā)布監(jiān)管規(guī)章制度,對(duì)銀行保險(xiǎn)機(jī)構(gòu)履行數(shù)據(jù)安全保護(hù)義務(wù)情況進(jìn)行監(jiān)督檢查。
      第五條   銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)業(yè)務(wù)發(fā)展目標(biāo)相適應(yīng)的數(shù)據(jù)安全治理體系,建立健全數(shù)據(jù)安全管理制度,構(gòu)建覆蓋數(shù)據(jù)全生命周期和應(yīng)用場(chǎng)景的安全保護(hù)機(jī)制,開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)與處置,保障數(shù)據(jù)開(kāi)發(fā)利用活動(dòng)安全穩(wěn)健開(kāi)展。銀行保險(xiǎn)機(jī)構(gòu)利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上,履行數(shù)據(jù)安全保護(hù)義務(wù)。
      第六條   銀行保險(xiǎn)機(jī)構(gòu)開(kāi)展數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)遵守法律、法規(guī),尊重社會(huì)公德和倫理,遵守商業(yè)道德和職業(yè)道德,誠(chéng)實(shí)守信,履行數(shù)據(jù)安全保護(hù)義務(wù),承擔(dān)社會(huì)責(zé)任,不得危害國(guó)家安全、政治安全、經(jīng)濟(jì)金融安全、公共利益,不得損害個(gè)人、組織的合法權(quán)益。
      第七條   銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)統(tǒng)籌發(fā)展和安全,落實(shí)國(guó)家大數(shù)據(jù)戰(zhàn)略,推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè),加大數(shù)據(jù)創(chuàng)新應(yīng)用力度,促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展,提升金融服務(wù)的智能化水平,創(chuàng)新普惠金融服務(wù)模式,增強(qiáng)防范化解風(fēng)險(xiǎn)的能力。
      第八條   銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)持續(xù)跟蹤新興數(shù)據(jù)開(kāi)發(fā)利用和科技發(fā)展前沿動(dòng)態(tài),有效應(yīng)對(duì)大數(shù)據(jù)應(yīng)用與科技創(chuàng)新可能產(chǎn)生的規(guī)則沖突、社會(huì)風(fēng)險(xiǎn)、倫理道德風(fēng)險(xiǎn),防止數(shù)據(jù)與科技被誤用、濫用。
      第二章  數(shù)據(jù)安全治理
      第九條   銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立覆蓋董(理)事會(huì)、高管層、數(shù)據(jù)安全統(tǒng)籌、數(shù)據(jù)安全技術(shù)保護(hù)等部門的數(shù)據(jù)安全管理組織架構(gòu),明確崗位職責(zé)和工作機(jī)制,落實(shí)資源保障。
      第十條   銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全責(zé)任制,黨委(黨組)、董(理)事會(huì)對(duì)本單位數(shù)據(jù)安全工作負(fù)主體責(zé)任。銀行保險(xiǎn)機(jī)構(gòu)主要負(fù)責(zé)人為數(shù)據(jù)安全第一責(zé)任人,分管數(shù)據(jù)安全的高級(jí)管理人員為直接責(zé)任人,明確各層級(jí)負(fù)責(zé)人的責(zé)任,明確違規(guī)情形和責(zé)任追究事項(xiàng),落實(shí)問(wèn)責(zé)處置機(jī)制。
      第十一條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)指定數(shù)據(jù)安全歸口管理部門,作為本機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的主責(zé)部門。其主要職責(zé)包括:
      (一)組織制定數(shù)據(jù)安全管理原則、規(guī)劃、制度和標(biāo)準(zhǔn);
      (二)組織建立和維護(hù)數(shù)據(jù)目錄,推動(dòng)實(shí)施數(shù)據(jù)分類分級(jí)保護(hù);
      (三)組織開(kāi)展數(shù)據(jù)安全評(píng)估和審查;
      (四)統(tǒng)籌建立數(shù)據(jù)安全應(yīng)急管理機(jī)制,組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警與處置;
      (五)組織開(kāi)展數(shù)據(jù)安全宣貫培訓(xùn),提升員工數(shù)據(jù)安全保護(hù)意識(shí)與技能;
      (六)建立和維護(hù)內(nèi)部數(shù)據(jù)共享、外部數(shù)據(jù)引入、數(shù)據(jù)對(duì)外提供、數(shù)據(jù)出境的統(tǒng)籌管理機(jī)制,牽頭對(duì)外部數(shù)據(jù)供應(yīng)商進(jìn)行安全管理,統(tǒng)籌大數(shù)據(jù)應(yīng)用、數(shù)據(jù)共享項(xiàng)目的安全需求管理;
      (七)向黨委(黨組)、董(理)事會(huì)、高管層報(bào)告數(shù)據(jù)安全重要事項(xiàng);
      (八)其他須統(tǒng)籌管理的數(shù)據(jù)安全工作事項(xiàng)。
      第十二條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照“誰(shuí)管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數(shù)據(jù)、誰(shuí)管數(shù)據(jù)安全”的原則,明確各業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理責(zé)任,落實(shí)數(shù)據(jù)安全保護(hù)管理要求。
      第十三條  銀行保險(xiǎn)機(jī)構(gòu)風(fēng)險(xiǎn)管理、內(nèi)控合規(guī)和審計(jì)部門負(fù)責(zé)將數(shù)據(jù)安全納入全面風(fēng)險(xiǎn)管理體系、內(nèi)控評(píng)價(jià)體系,定期開(kāi)展審計(jì)、監(jiān)督檢查與評(píng)價(jià),督促問(wèn)題整改和開(kāi)展問(wèn)責(zé)。
      第十四條  銀行保險(xiǎn)機(jī)構(gòu)信息科技部門是數(shù)據(jù)安全的技術(shù)保護(hù)主責(zé)部門,其主要職責(zé)包括:
      (一)建立數(shù)據(jù)安全技術(shù)保護(hù)體系,建立數(shù)據(jù)安全技術(shù)架構(gòu)和保護(hù)控制基線,落實(shí)技術(shù)保護(hù)措施。
      (二)制定數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)規(guī)范制度,組織開(kāi)展數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)評(píng)估。
      (三)組織開(kāi)展信息系統(tǒng)的生命周期安全管理,確保數(shù)據(jù)安全保護(hù)措施在需求、開(kāi)發(fā)、測(cè)試、投產(chǎn)、監(jiān)測(cè)等環(huán)節(jié)得到落實(shí)。
      (四)建立數(shù)據(jù)安全技術(shù)應(yīng)急管理機(jī)制,組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)技術(shù)監(jiān)測(cè)、預(yù)警、通報(bào)與處置,防范外部攻擊、內(nèi)外部破壞等危害數(shù)據(jù)安全活動(dòng)。
      (五)組織數(shù)據(jù)安全技術(shù)研究與應(yīng)用。
      第十五條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立良好的數(shù)據(jù)安全文化,開(kāi)展全員數(shù)據(jù)安全教育和培訓(xùn),提高數(shù)據(jù)安全保護(hù)意識(shí)和水平,形成全員共同維護(hù)數(shù)據(jù)安全和促進(jìn)發(fā)展的良好環(huán)境。
      第三章  數(shù)據(jù)分類分級(jí)
      第十六條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)分類分級(jí)保護(hù)制度,建立數(shù)據(jù)目錄和分類分級(jí)規(guī)范,動(dòng)態(tài)管理和維護(hù)數(shù)據(jù)目錄,采取差異化安全保護(hù)措施。
      第十七條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)機(jī)構(gòu)業(yè)務(wù)及經(jīng)營(yíng)管理過(guò)程中獲取、產(chǎn)生的數(shù)據(jù)進(jìn)行分類管理,數(shù)據(jù)類型包括客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全管理數(shù)據(jù)等。
      第十八條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)數(shù)據(jù)的重要性和敏感程度,將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。其中,一般數(shù)據(jù)細(xì)分為敏感數(shù)據(jù)和其他一般數(shù)據(jù)。
      核心數(shù)據(jù),是指對(duì)領(lǐng)域、群體、區(qū)域具有較高覆蓋度或者達(dá)到較高精度、較大規(guī)模、一定深度的重要數(shù)據(jù),一旦被非法使用或者共享,可能直接影響政治安全、國(guó)家安全重點(diǎn)領(lǐng)域、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益。
      重要數(shù)據(jù),是指特定領(lǐng)域、特定群體、特定區(qū)域或者達(dá)到一定精度和規(guī)模的數(shù)據(jù),一旦被泄露或者篡改、損毀,可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全。
      敏感數(shù)據(jù),是指一旦被泄露或者篡改、損毀,對(duì)經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益有一定影響,或者對(duì)組織自身或者公民個(gè)體造成重要影響的數(shù)據(jù)。
      除以上數(shù)據(jù)之外的,為其他一般數(shù)據(jù)。
      第十九條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全級(jí)別的時(shí)效管理,建立動(dòng)態(tài)調(diào)整審批機(jī)制,當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化,導(dǎo)致原安全級(jí)別不再適用的,應(yīng)當(dāng)及時(shí)動(dòng)態(tài)調(diào)整。
      第四章  數(shù)據(jù)安全管理
      第二十條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家數(shù)據(jù)安全與發(fā)展政策要求,根據(jù)自身發(fā)展戰(zhàn)略,制定數(shù)據(jù)安全保護(hù)策略。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)安全管理辦法,明確管理責(zé)任分工,建立包括數(shù)據(jù)處理全生命周期管控機(jī)制,落實(shí)保護(hù)措施。
      銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)數(shù)據(jù)外部引入或者合作共享、數(shù)據(jù)出境等,制定安全管理實(shí)施細(xì)則。
      第二十一條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立企業(yè)級(jí)數(shù)據(jù)架構(gòu),統(tǒng)籌開(kāi)展對(duì)全域數(shù)據(jù)資產(chǎn)登記管理,建立數(shù)據(jù)資產(chǎn)地圖,以數(shù)據(jù)分類分級(jí)為基礎(chǔ)明確數(shù)據(jù)保護(hù)對(duì)象,圍繞數(shù)據(jù)處理活動(dòng)實(shí)施安全管理。
      第二十二條  銀行保險(xiǎn)機(jī)構(gòu)在處理敏感級(jí)及以上數(shù)據(jù)的業(yè)務(wù)活動(dòng)時(shí),或者開(kāi)展數(shù)據(jù)委托處理、共同處理、轉(zhuǎn)移、公開(kāi)、共享等對(duì)數(shù)據(jù)主體有較大影響的活動(dòng)時(shí),應(yīng)當(dāng)事先開(kāi)展數(shù)據(jù)安全評(píng)估。數(shù)據(jù)安全評(píng)估應(yīng)當(dāng)根據(jù)數(shù)據(jù)處理目的、性質(zhì)和范圍,按照法律法規(guī)和倫理道德規(guī)范要求,分析數(shù)據(jù)安全風(fēng)險(xiǎn)和對(duì)數(shù)據(jù)主體權(quán)益影響,評(píng)估數(shù)據(jù)處理的必要性、合規(guī)性,評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)及防控措施的有效性。
      第二十三條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立企業(yè)級(jí)數(shù)據(jù)服務(wù)管理體系,制定數(shù)據(jù)服務(wù)規(guī)范,建立專職數(shù)據(jù)服務(wù)團(tuán)隊(duì),統(tǒng)籌內(nèi)外部數(shù)據(jù)加工、分析,實(shí)施數(shù)據(jù)服務(wù)需求分析、服務(wù)開(kāi)發(fā)、服務(wù)部署、服務(wù)監(jiān)控等活動(dòng)。
      第二十四條  銀行保險(xiǎn)機(jī)構(gòu)收集數(shù)據(jù)應(yīng)當(dāng)堅(jiān)持“合法、正當(dāng)、必要、誠(chéng)信”原則,明確數(shù)據(jù)收集和處理的目的、方式、范圍、規(guī)則,保障收集過(guò)程的數(shù)據(jù)安全性、數(shù)據(jù)來(lái)源可追溯。銀行保險(xiǎn)機(jī)構(gòu)不得超出數(shù)據(jù)主體同意的范圍向其收集數(shù)據(jù),法律、行政法規(guī)另有規(guī)定的除外。
      銀行保險(xiǎn)機(jī)構(gòu)向其他銀行保險(xiǎn)機(jī)構(gòu)收集行業(yè)重要級(jí)及以上數(shù)據(jù),需經(jīng)國(guó)家金融監(jiān)督管理總局同意。
      第二十五條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)以信息系統(tǒng)為數(shù)據(jù)收集的主要渠道,限制或者減少其他渠道、臨時(shí)性數(shù)據(jù)收集。
      銀行保險(xiǎn)機(jī)構(gòu)停止金融業(yè)務(wù)或者服務(wù)后,應(yīng)當(dāng)立即停止相關(guān)數(shù)據(jù)收集或者處理活動(dòng),法律、行政法規(guī)另有規(guī)定的除外。
      第二十六條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定外部數(shù)據(jù)采購(gòu)、合作引入的集中審批管理制度,納入外包風(fēng)險(xiǎn)管理體系進(jìn)行統(tǒng)籌管理,統(tǒng)籌建立數(shù)據(jù)需求、安全評(píng)估、收集引入、數(shù)據(jù)運(yùn)維、登記備案和監(jiān)督評(píng)價(jià)管理機(jī)制,對(duì)數(shù)據(jù)來(lái)源的真實(shí)性、合法性進(jìn)行調(diào)查,評(píng)估數(shù)據(jù)提供者的安全保障能力及其數(shù)據(jù)安全風(fēng)險(xiǎn),明確雙方數(shù)據(jù)安全責(zé)任及義務(wù)。
      第二十七條  銀行保險(xiǎn)機(jī)構(gòu)開(kāi)展敏感級(jí)及以上數(shù)據(jù)清洗轉(zhuǎn)換、匯聚融合、分析挖掘等數(shù)據(jù)加工活動(dòng)時(shí),應(yīng)當(dāng)采用匿名化、去標(biāo)識(shí)化或者其他必要安全措施保護(hù)數(shù)據(jù)主體權(quán)益,法律、行政法規(guī)另有規(guī)定的除外。數(shù)據(jù)匯聚融合衍生敏感級(jí)及以上數(shù)據(jù),或者導(dǎo)致數(shù)據(jù)安全級(jí)別變化的,應(yīng)當(dāng)及時(shí)評(píng)估、調(diào)整安全保護(hù)措施。
      第二十八條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照“業(yè)務(wù)必要授權(quán)”原則,對(duì)敏感級(jí)及以上數(shù)據(jù)嚴(yán)格實(shí)施授權(quán)管理,制定數(shù)據(jù)訪問(wèn)閉環(huán)管理機(jī)制,并對(duì)數(shù)據(jù)訪問(wèn)行為實(shí)施審計(jì)。確因業(yè)務(wù)需要從生產(chǎn)環(huán)境提取數(shù)據(jù)的,應(yīng)當(dāng)建立嚴(yán)格的審批程序,并明確數(shù)據(jù)使用或者保存期限。
      銀行保險(xiǎn)機(jī)構(gòu)利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)時(shí),要落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、密碼保護(hù)等制度要求。
      第二十九條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)數(shù)據(jù)共享使用進(jìn)行集中安全管控,明確企業(yè)級(jí)數(shù)據(jù)共享策略,評(píng)估數(shù)據(jù)共享使用的必要性、合規(guī)性、安全性及倫理道德規(guī)范的符合度。
      銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立銀行母行、保險(xiǎn)集團(tuán)或者母公司與其子行、子公司數(shù)據(jù)安全隔離的“防火墻”,并對(duì)共享數(shù)據(jù)采取有效保護(hù)措施。銀行保險(xiǎn)機(jī)構(gòu)與其母行、集團(tuán),或者其子行、子公司共享敏感級(jí)及以上數(shù)據(jù),應(yīng)當(dāng)獲得數(shù)據(jù)主體的授權(quán)同意,法律、行政法規(guī)另有規(guī)定的除外。不得以數(shù)據(jù)主體拒絕同意共享敏感數(shù)據(jù)而終止或者拒絕單家子行、子公司對(duì)其提供金融服務(wù),所共享數(shù)據(jù)屬于提供產(chǎn)品或者服務(wù)所必需的除外。
      第三十條  銀行保險(xiǎn)機(jī)構(gòu)在委托處理數(shù)據(jù)時(shí),應(yīng)當(dāng)明確所涉數(shù)據(jù)外部使用和處理的條件、場(chǎng)景、方式。委托處理數(shù)據(jù)時(shí),應(yīng)當(dāng)以合同協(xié)議方式約定委托處理的目的、期限、處理方式、數(shù)據(jù)范圍、保護(hù)措施、雙方的數(shù)據(jù)安全責(zé)任和義務(wù),以及受托方返還或者刪除數(shù)據(jù)的方式等,對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行記錄和審計(jì),可對(duì)外公開(kāi)披露的數(shù)據(jù)除外。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)要求受托方在未取得其同意時(shí),不得轉(zhuǎn)委托其他主體處理數(shù)據(jù),不得對(duì)外共享數(shù)據(jù),不得加工、訓(xùn)練、挪用數(shù)據(jù),或者采取其他形式處理數(shù)據(jù)以謀取合同或者協(xié)議約定以外的利益。
      第三十一條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)將數(shù)據(jù)委托處理納入信息科技外包管理范圍,在實(shí)施過(guò)程中不得將信息科技管理責(zé)任、數(shù)據(jù)安全主體責(zé)任外包,涉及信息科技戰(zhàn)略管理、信息科技風(fēng)險(xiǎn)管理、信息科技內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不得外包。供應(yīng)鏈服務(wù)中涉及敏感級(jí)及以上數(shù)據(jù)處理的,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)供應(yīng)商的準(zhǔn)入和安全管理。
      第三十二條  銀行保險(xiǎn)機(jī)構(gòu)與第三方機(jī)構(gòu)進(jìn)行數(shù)據(jù)共同處理時(shí),應(yīng)當(dāng)按照“業(yè)務(wù)必要授權(quán)”原則制定方案并采取有效管理和技術(shù)保護(hù)措施確保數(shù)據(jù)安全,并以合同協(xié)議方式明確雙方在數(shù)據(jù)處理過(guò)程中的數(shù)據(jù)安全責(zé)任和義務(wù)。
      第三十三條  銀行保險(xiǎn)機(jī)構(gòu)因合并、分立、解散、被宣告破產(chǎn)等需要轉(zhuǎn)移數(shù)據(jù)的,應(yīng)當(dāng)明確數(shù)據(jù)轉(zhuǎn)移內(nèi)容,通過(guò)協(xié)議、承諾等方式約定數(shù)據(jù)接收方全面承接對(duì)應(yīng)數(shù)據(jù)的安全保護(hù)義務(wù),通過(guò)公告等方式告知數(shù)據(jù)主體。數(shù)據(jù)轉(zhuǎn)移應(yīng)當(dāng)采用安全可靠方式進(jìn)行,并確保轉(zhuǎn)移過(guò)程可追溯。
      第三十四條  銀行保險(xiǎn)機(jī)構(gòu)向外部提供敏感級(jí)及以上數(shù)據(jù),應(yīng)當(dāng)取得數(shù)據(jù)主體同意,法律、行政法規(guī)另有規(guī)定的除外。除國(guó)家機(jī)關(guān)依法履職外,銀行保險(xiǎn)機(jī)構(gòu)核心數(shù)據(jù)跨主體流動(dòng)應(yīng)當(dāng)按照國(guó)家相關(guān)政策要求通過(guò)風(fēng)險(xiǎn)評(píng)估、安全審查。
      第三十五條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立對(duì)外公開(kāi)披露數(shù)據(jù)的審批機(jī)制,研判可能產(chǎn)生的影響,數(shù)據(jù)公開(kāi)應(yīng)當(dāng)在機(jī)構(gòu)官方渠道進(jìn)行發(fā)布,確保數(shù)據(jù)真實(shí)、準(zhǔn)確、防篡改,記錄審批和發(fā)布情況。
      敏感級(jí)及以上數(shù)據(jù)不得公開(kāi),法律、行政法規(guī)另有規(guī)定或者取得數(shù)據(jù)主體授權(quán)同意的除外。
      第三十六條  銀行保險(xiǎn)機(jī)構(gòu)向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息,應(yīng)當(dāng)承擔(dān)數(shù)據(jù)安全主體責(zé)任,并按照國(guó)家有關(guān)政策要求進(jìn)行安全評(píng)估。
      第三十七條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)采取技術(shù)措施,對(duì)敏感級(jí)及以上數(shù)據(jù)加強(qiáng)重點(diǎn)防護(hù)。加強(qiáng)數(shù)據(jù)備份,制定備份策略,備份數(shù)據(jù)和生產(chǎn)數(shù)據(jù)應(yīng)隔離分開(kāi)保存,嚴(yán)格管理備份數(shù)據(jù)的訪問(wèn)權(quán)限。制定備份驗(yàn)證計(jì)劃,確保備份數(shù)據(jù)完整有效、業(yè)務(wù)可恢復(fù)。
      第三十八條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)銷毀管理制度,按照國(guó)家、行業(yè)有關(guān)規(guī)定及與數(shù)據(jù)主體的約定進(jìn)行數(shù)據(jù)刪除或者匿名化處理。銀行保險(xiǎn)機(jī)構(gòu)委托數(shù)據(jù)處理終止時(shí),應(yīng)當(dāng)要求服務(wù)提供商及時(shí)刪除數(shù)據(jù),并采取現(xiàn)場(chǎng)檢查等有效監(jiān)督措施,確保數(shù)據(jù)被銷毀、不可恢復(fù)。
      第五章  數(shù)據(jù)安全技術(shù)保護(hù)
      第三十九條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立針對(duì)大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多元異構(gòu)環(huán)境下的數(shù)據(jù)安全技術(shù)保護(hù)體系,建立數(shù)據(jù)安全技術(shù)架構(gòu),明確數(shù)據(jù)保護(hù)策略方法,采取技術(shù)措施,保障數(shù)據(jù)安全。
      第四十條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)將數(shù)據(jù)安全保護(hù)納入信息系統(tǒng)開(kāi)發(fā)生命周期框架,針對(duì)敏感級(jí)及以上數(shù)據(jù)明確安全保護(hù)要求,實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)措施與信息系統(tǒng)的同步規(guī)劃、同步建設(shè)、同步使用。
      第四十一條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)將數(shù)據(jù)納入網(wǎng)絡(luò)安全等級(jí)保護(hù)。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)數(shù)據(jù)安全級(jí)別,劃分網(wǎng)絡(luò)邏輯安全域,建立分區(qū)域數(shù)據(jù)安全保護(hù)基線,實(shí)施有效的安全控制,包括內(nèi)容過(guò)濾、訪問(wèn)控制和安全監(jiān)控等,確保相關(guān)措施滿足處理和存儲(chǔ)最高級(jí)別數(shù)據(jù)的網(wǎng)絡(luò)安全策略和數(shù)據(jù)安全保護(hù)策略要求。存放或者傳輸敏感級(jí)及以上數(shù)據(jù)的機(jī)房、網(wǎng)絡(luò)應(yīng)當(dāng)實(shí)施重點(diǎn)防護(hù),設(shè)立物理安全保護(hù)區(qū)域,對(duì)網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全監(jiān)控與審計(jì)。
      第四十二條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)將敏感級(jí)及以上數(shù)據(jù)納入信息系統(tǒng)保護(hù)。在數(shù)據(jù)全生命周期內(nèi)采取有效的訪問(wèn)控制管理措施,對(duì)于不同區(qū)域流轉(zhuǎn)和共享中的數(shù)據(jù),應(yīng)當(dāng)實(shí)施同等水平的安全防護(hù)措施。多來(lái)源敏感級(jí)及以上數(shù)據(jù)匯聚集中后,應(yīng)當(dāng)采取加強(qiáng)性或者至少不低于集中前最高級(jí)別數(shù)據(jù)保護(hù)強(qiáng)度的安全措施。
      第四十三條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格實(shí)施對(duì)敏感級(jí)及以上數(shù)據(jù)的管理,制定用戶對(duì)數(shù)據(jù)的訪問(wèn)策略,采取有效的用戶認(rèn)證和訪問(wèn)控制技術(shù)措施,規(guī)范數(shù)據(jù)操作行為,用戶對(duì)數(shù)據(jù)的訪問(wèn)應(yīng)當(dāng)符合業(yè)務(wù)開(kāi)展的必要要求并與數(shù)據(jù)安全級(jí)別相匹配。敏感級(jí)及以上數(shù)據(jù)的操作應(yīng)當(dāng)進(jìn)行日志記錄,包括操作時(shí)間、用戶標(biāo)識(shí)、行為類型等,核心數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時(shí)間不低于三年,重要數(shù)據(jù)、敏感數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時(shí)間不低于一年,如涉及委托處理、共同處理的數(shù)據(jù)操作日志及其備份數(shù)據(jù)保存時(shí)間不低于三年。應(yīng)當(dāng)定期對(duì)數(shù)據(jù)操作行為進(jìn)行審計(jì),審計(jì)周期不超過(guò)六個(gè)月。
      第四十四條  銀行保險(xiǎn)機(jī)構(gòu)敏感級(jí)及以上數(shù)據(jù)傳輸應(yīng)當(dāng)采用安全的傳輸方式,保障數(shù)據(jù)完整性、保密性、可用性。
      銀行保險(xiǎn)機(jī)構(gòu)之間進(jìn)行數(shù)據(jù)交換時(shí),參與數(shù)據(jù)交換的相關(guān)機(jī)構(gòu)應(yīng)當(dāng)采取有效措施保障信息數(shù)據(jù)傳輸和存儲(chǔ)的保密性、完整性、準(zhǔn)確性、及時(shí)性、安全性。
      第四十五條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)敏感級(jí)及以上數(shù)據(jù)采取安全存儲(chǔ)措施,防止勒索病毒、木馬后門等攻擊。個(gè)人身份鑒別數(shù)據(jù)不得明文存儲(chǔ)、傳輸和展示。敏感級(jí)及以上數(shù)據(jù)應(yīng)當(dāng)實(shí)施數(shù)據(jù)容災(zāi)備份,定期進(jìn)行數(shù)據(jù)可恢復(fù)性驗(yàn)證。
      第四十六條  敏感級(jí)及以上數(shù)據(jù)達(dá)到使用或者保存期限后,應(yīng)當(dāng)采取技術(shù)措施及時(shí)刪除或者銷毀,確保數(shù)據(jù)不可恢復(fù)。終端和移動(dòng)存儲(chǔ)介質(zhì)內(nèi)的敏感級(jí)及以上數(shù)據(jù)應(yīng)當(dāng)采取技術(shù)保護(hù)措施,確保受控安全訪問(wèn),介質(zhì)報(bào)廢或者重用時(shí),其存儲(chǔ)空間數(shù)據(jù)應(yīng)當(dāng)完全清除并不可恢復(fù)。
      第四十七條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)開(kāi)展數(shù)據(jù)安全的技術(shù)基礎(chǔ)設(shè)施建設(shè),支持用戶身份管理、數(shù)據(jù)匿名化、行為監(jiān)測(cè)、日志審計(jì)、數(shù)據(jù)虛擬化等功能的組件化、服務(wù)化,保障安全標(biāo)準(zhǔn)在信息系統(tǒng)中執(zhí)行的一致性。
      第四十八條  銀行保險(xiǎn)機(jī)構(gòu)開(kāi)發(fā)信息系統(tǒng)時(shí),應(yīng)當(dāng)明確系統(tǒng)擬處理的數(shù)據(jù)及其安全級(jí)別、訪問(wèn)規(guī)則、保護(hù)需求,并實(shí)施有效的系統(tǒng)安全控制。系統(tǒng)投產(chǎn)上線前應(yīng)當(dāng)開(kāi)展安全測(cè)試,確保各項(xiàng)安全要求落實(shí),有效防范數(shù)據(jù)安全風(fēng)險(xiǎn)。測(cè)試環(huán)境應(yīng)當(dāng)與生產(chǎn)系統(tǒng)隔離,敏感級(jí)及以上數(shù)據(jù)原則上未經(jīng)脫敏處理不得進(jìn)入測(cè)試環(huán)境,防止數(shù)據(jù)泄露。
      第四十九條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)大數(shù)據(jù)平臺(tái)采取高可用設(shè)計(jì)、安全加固、數(shù)據(jù)備份等措施進(jìn)行重點(diǎn)保護(hù)。應(yīng)當(dāng)建立大數(shù)據(jù)服務(wù)訪問(wèn)授權(quán)機(jī)制,動(dòng)態(tài)監(jiān)測(cè)與審計(jì)大數(shù)據(jù)訪問(wèn)行為。
      第五十條  銀行保險(xiǎn)機(jī)構(gòu)開(kāi)展自動(dòng)化決策分析、模型算法開(kāi)發(fā)、數(shù)據(jù)標(biāo)注等活動(dòng),應(yīng)當(dāng)保證數(shù)據(jù)處理透明度和結(jié)果公平合理。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)人工智能模型開(kāi)發(fā)應(yīng)用進(jìn)行統(tǒng)一管理,建立模型算法產(chǎn)品外部引入的準(zhǔn)入機(jī)制,對(duì)模型研發(fā)過(guò)程進(jìn)行主動(dòng)管理,實(shí)現(xiàn)模型算法可驗(yàn)證、可審核、可追溯。
      第五十一條  銀行保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)、模型算法投入使用前,應(yīng)當(dāng)開(kāi)展數(shù)據(jù)安全審查,審查數(shù)據(jù)與模型使用的合理性、正當(dāng)性、可解釋性,以及數(shù)據(jù)利用對(duì)相關(guān)主體合法權(quán)益的影響、倫理道德風(fēng)險(xiǎn)及防控措施有效性等。
      第五十二條  銀行保險(xiǎn)機(jī)構(gòu)使用人工智能技術(shù)開(kāi)展業(yè)務(wù)時(shí),應(yīng)當(dāng)就數(shù)據(jù)對(duì)決策結(jié)果影響進(jìn)行解釋說(shuō)明和信息披露,實(shí)時(shí)監(jiān)測(cè)自動(dòng)化處理與系統(tǒng)運(yùn)行結(jié)果,建立人工智能應(yīng)用的風(fēng)險(xiǎn)緩釋措施,包括制定退出人工智能應(yīng)用的替代方案,對(duì)安全威脅制定應(yīng)急方案并開(kāi)展演練。
      第五十三條  銀行保險(xiǎn)機(jī)構(gòu)在建設(shè)開(kāi)放銀行、金融生態(tài)或者與第三方數(shù)據(jù)合作時(shí),要實(shí)現(xiàn)自身與外部的安全風(fēng)險(xiǎn)隔離,與外部機(jī)構(gòu)的數(shù)據(jù)交互應(yīng)當(dāng)通過(guò)集中管理的外聯(lián)平臺(tái)或者應(yīng)用程序接口實(shí)施,依據(jù)“業(yè)務(wù)必需、最小權(quán)限”原則,采取有效措施對(duì)接口設(shè)計(jì)、開(kāi)發(fā)、服務(wù)、運(yùn)行等進(jìn)行集中安全保護(hù)管理。
      第六章  個(gè)人信息保護(hù)
      第五十四條  銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息應(yīng)當(dāng)按照“明確告知、授權(quán)同意”的原則實(shí)施,法律、行政法規(guī)另有規(guī)定的除外,并在信息系統(tǒng)中實(shí)現(xiàn)相關(guān)功能控制。
      第五十五條  銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),收集個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)金融業(yè)務(wù)處理目的的最小范圍,不得過(guò)度收集個(gè)人信息。不得利用所收集的個(gè)人信息從事違法違規(guī)活動(dòng)。
      第五十六條  銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息前,應(yīng)當(dāng)真實(shí)、準(zhǔn)確、完整地向個(gè)人告知其個(gè)人信息的處理目的、處理方式、處理的個(gè)人信息種類、保存期限,個(gè)人行使其信息權(quán)利的申請(qǐng)受理和處理程序,以及法律法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。
      銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定個(gè)人信息處理規(guī)則,個(gè)人信息處理規(guī)則應(yīng)當(dāng)公開(kāi)展示、易于訪問(wèn)、內(nèi)容明確、清晰易懂。
      第五十七條  銀行保險(xiǎn)機(jī)構(gòu)不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù),處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。
      第五十八條  銀行保險(xiǎn)機(jī)構(gòu)在開(kāi)展涉及對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)時(shí),應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,評(píng)估內(nèi)容包括個(gè)人信息處理的合法性、必要性,對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn),所采取的保護(hù)措施合法性、有效性以及是否與風(fēng)險(xiǎn)程度相適應(yīng)。個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。
      第五十九條  銀行保險(xiǎn)機(jī)構(gòu)與其母行、集團(tuán),或者其子行、子公司共享個(gè)人信息,及向外部提供個(gè)人信息,應(yīng)當(dāng)履行向個(gè)人告知及取得其同意等相關(guān)事項(xiàng)的義務(wù)。
      第六十條  銀行保險(xiǎn)機(jī)構(gòu)向中華人民共和國(guó)境外提供個(gè)人信息的,除滿足第三十六條、第五十九條規(guī)定的要求外,還應(yīng)當(dāng)向個(gè)人告知其向境外接收方行使信息權(quán)利的方式和程序等事項(xiàng),法律、行政法規(guī)另有規(guī)定的除外。
      第六十一條  銀行保險(xiǎn)機(jī)構(gòu)委托第三方處理個(gè)人信息的,應(yīng)當(dāng)在合同或者協(xié)議條款內(nèi)明確受托人對(duì)個(gè)人信息的保護(hù)義務(wù)、保護(hù)措施和期限等,并嚴(yán)格監(jiān)督受托人以約定的處理目的、處理方式等處理個(gè)人信息,與第三方傳輸個(gè)人敏感數(shù)據(jù)必須確保安全,防范數(shù)據(jù)濫用和泄漏風(fēng)險(xiǎn)。未經(jīng)銀行保險(xiǎn)機(jī)構(gòu)同意,受托人不得轉(zhuǎn)委托他人處理個(gè)人信息。
      第六十二條  銀行保險(xiǎn)機(jī)構(gòu)在算法設(shè)計(jì)、訓(xùn)練數(shù)據(jù)選擇和模型生成時(shí),應(yīng)當(dāng)采取有效措施,保障個(gè)人合法權(quán)益。利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正。
      第六十三條  發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)立即采取補(bǔ)救措施,同時(shí)通知個(gè)人并報(bào)送國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)。通知應(yīng)當(dāng)包括下列事項(xiàng):
      (一)發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
      (二)銀行保險(xiǎn)機(jī)構(gòu)采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施。
      銀行保險(xiǎn)機(jī)構(gòu)采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,可以不通知個(gè)人;監(jiān)管部門認(rèn)為可能造成危害的,有權(quán)要求銀行保險(xiǎn)機(jī)構(gòu)通知個(gè)人。
      第七章  數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置
      第六十四條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)將數(shù)據(jù)安全風(fēng)險(xiǎn)納入本機(jī)構(gòu)全面風(fēng)險(xiǎn)管理體系,明確數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)及報(bào)告、事件處置的組織架構(gòu)和管理流程,有效防范和處置數(shù)據(jù)安全風(fēng)險(xiǎn)。
      第六十五條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)數(shù)據(jù)安全威脅進(jìn)行有效監(jiān)測(cè),實(shí)施監(jiān)督檢查,主動(dòng)評(píng)估風(fēng)險(xiǎn),防止數(shù)據(jù)篡改、破壞、泄露、非法利用等安全事件發(fā)生。監(jiān)測(cè)內(nèi)容包括:
      (一)超范圍授權(quán)或者使用系統(tǒng)特權(quán)賬號(hào);
      (二)內(nèi)部人員異常訪問(wèn)、使用數(shù)據(jù);
      (三)對(duì)數(shù)據(jù)集中共享的系統(tǒng)或者平臺(tái)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全威脅;
      (四)敏感級(jí)及以上數(shù)據(jù)在不同區(qū)域的異常流動(dòng);
      (五)移動(dòng)存儲(chǔ)介質(zhì)的異常使用;
      (六)外包、第三方合作中的數(shù)據(jù)處理異常或者數(shù)據(jù)泄露、丟失和篡改;
      (七)客戶有關(guān)數(shù)據(jù)安全的投訴;
      (八)數(shù)據(jù)泄露、仿冒欺詐等負(fù)面輿情;
      (九)其他可能導(dǎo)致數(shù)據(jù)安全事件發(fā)生的情況。
      第六十六條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)每年開(kāi)展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。審計(jì)部門應(yīng)當(dāng)每三年至少開(kāi)展一次數(shù)據(jù)安全全面審計(jì),發(fā)生重大數(shù)據(jù)安全事件后應(yīng)當(dāng)開(kāi)展專項(xiàng)審計(jì)。銀行保險(xiǎn)機(jī)構(gòu)委托專業(yè)機(jī)構(gòu)進(jìn)行數(shù)據(jù)安全審計(jì)時(shí),不得使用該機(jī)構(gòu)提供的產(chǎn)品和其他服務(wù)。
      第六十七條  數(shù)據(jù)安全事件是指銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)被篡改、泄露、破壞、非法獲取、非法利用等,對(duì)個(gè)人或者組織合法權(quán)益、行業(yè)安全、國(guó)家安全造成負(fù)面影響的事件。根據(jù)其影響范圍和程度,分為特別重大、重大、較大和一般四個(gè)事件級(jí)別。
      第六十八條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全事件應(yīng)急管理機(jī)制,建立機(jī)構(gòu)內(nèi)部協(xié)調(diào)聯(lián)動(dòng)機(jī)制,建立服務(wù)提供商、第三方合作機(jī)構(gòu)數(shù)據(jù)安全事件的報(bào)告機(jī)制,及時(shí)處置風(fēng)險(xiǎn)隱患及安全事件。
      (一)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,定期開(kāi)展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練。
      (二)發(fā)生數(shù)據(jù)安全事件后,應(yīng)當(dāng)立即啟動(dòng)應(yīng)急處置,分析事件原因、評(píng)估事件影響、開(kāi)展事件定級(jí),按照預(yù)案及時(shí)采取業(yè)務(wù)、技術(shù)等措施控制事態(tài)。
      (三)建立數(shù)據(jù)安全事件報(bào)告機(jī)制,根據(jù)事件安全等級(jí)制定報(bào)告流程,發(fā)生數(shù)據(jù)安全事件時(shí)按照規(guī)定報(bào)告,同時(shí)按照合同、協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)。
      (四)發(fā)生數(shù)據(jù)安全事件或者使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞時(shí),應(yīng)當(dāng)立即開(kāi)展調(diào)查評(píng)估,及時(shí)采取補(bǔ)救措施,防止危害擴(kuò)大。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商存在安全缺陷、漏洞隱瞞不報(bào)的,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)責(zé)令其改正;未按要求整改或者造成嚴(yán)重后果的,應(yīng)當(dāng)取消其服務(wù)資格,按合同約定予以處罰,并向國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)告。
      第六十九條  數(shù)據(jù)安全事件發(fā)生2小時(shí)內(nèi),銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)向國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)告,并在事件發(fā)生后24小時(shí)內(nèi)提交正式書(shū)面報(bào)告。發(fā)生特別重大數(shù)據(jù)安全事件,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時(shí)告知用戶并向國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)、屬地公安機(jī)關(guān)報(bào)告。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)每2小時(shí)將處置進(jìn)展情況上報(bào),直至處置結(jié)束。數(shù)據(jù)安全事件處置結(jié)束后,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在五個(gè)工作日內(nèi)將事件及其處置的評(píng)估、總結(jié)和改進(jìn)報(bào)告報(bào)送國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)。其他法律、行政法規(guī)對(duì)數(shù)據(jù)安全事件應(yīng)急處置作出規(guī)定的,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)執(zhí)行。
      第八章  監(jiān)督管理
      第七十條  國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)對(duì)銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全保護(hù)情況進(jìn)行監(jiān)督管理,開(kāi)展非現(xiàn)場(chǎng)監(jiān)管、現(xiàn)場(chǎng)檢查,將數(shù)據(jù)安全管理情況納入監(jiān)管評(píng)級(jí)評(píng)估體系,依法對(duì)銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全事件進(jìn)行處罰和處置,實(shí)施對(duì)數(shù)據(jù)安全管理的持續(xù)監(jiān)管。
      第七十一條  國(guó)家金融監(jiān)督管理總局按照國(guó)家數(shù)據(jù)分類分級(jí)要求,制定銀行業(yè)保險(xiǎn)業(yè)重要數(shù)據(jù)目錄,提出核心數(shù)據(jù)目錄建議,監(jiān)督指導(dǎo)銀行保險(xiǎn)機(jī)構(gòu)開(kāi)展數(shù)據(jù)分類分級(jí)管理和數(shù)據(jù)保護(hù)。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按要求向國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)送重要數(shù)據(jù)目錄。重要數(shù)據(jù)目錄發(fā)生重大變化應(yīng)當(dāng)及時(shí)報(bào)備更新后的數(shù)據(jù)目錄。
      第七十二條  國(guó)家金融監(jiān)督管理總局建立銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警、通報(bào)處置機(jī)制,持續(xù)監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn),向行業(yè)發(fā)布風(fēng)險(xiǎn)提示,制定銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)安全事件應(yīng)急預(yù)案,處置數(shù)據(jù)安全風(fēng)險(xiǎn)事件。與國(guó)家數(shù)據(jù)安全管理部門建立聯(lián)防聯(lián)控管理機(jī)制,實(shí)施數(shù)據(jù)安全信息共享、風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警及數(shù)據(jù)安全事件處置。
      第七十三條  涉及批量敏感級(jí)及以上數(shù)據(jù)的數(shù)據(jù)共享、委托處理、轉(zhuǎn)讓交易、數(shù)據(jù)轉(zhuǎn)移,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在處理、合同簽署前二十個(gè)工作日向國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)告,法律、行政法規(guī)另有規(guī)定的除外。
      第七十四條  銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)于每年1月15日前向國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)報(bào)送上一年度數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告,報(bào)告內(nèi)容包括數(shù)據(jù)安全治理、技術(shù)保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)及處置措施、數(shù)據(jù)安全事件及處置情況、委托和共同處理、數(shù)據(jù)出境、數(shù)據(jù)安全評(píng)估與審查情況、數(shù)據(jù)安全相關(guān)的投訴及處理情況等。
      第七十五條  國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)對(duì)銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全保護(hù)情況進(jìn)行現(xiàn)場(chǎng)檢查、事件調(diào)查,對(duì)于發(fā)現(xiàn)涉嫌違法違規(guī)事項(xiàng)的有關(guān)單位和個(gè)人,依法開(kāi)展調(diào)查?,F(xiàn)場(chǎng)檢查、事件調(diào)查可以委托國(guó)家、行業(yè)有關(guān)專業(yè)技術(shù)機(jī)構(gòu)或者審計(jì)機(jī)構(gòu)予以協(xié)助。
      第七十六條  銀行保險(xiǎn)機(jī)構(gòu)違反本辦法要求的,國(guó)家金融監(jiān)督管理總局或者其派出機(jī)構(gòu)根據(jù)其違規(guī)情況,對(duì)銀行保險(xiǎn)機(jī)構(gòu)依法采取風(fēng)險(xiǎn)提示、監(jiān)管談話、監(jiān)管通報(bào)、責(zé)令改正等監(jiān)管措施;對(duì)涉及違規(guī)處理行為的系統(tǒng)或者應(yīng)用,責(zé)令暫?;蛘呓K止服務(wù);對(duì)有重大違法違規(guī)情形,或者遲報(bào)、瞞報(bào)數(shù)據(jù)安全事件和案件,或者產(chǎn)生重大數(shù)據(jù)安全風(fēng)險(xiǎn)、事件、案件的第三方機(jī)構(gòu)進(jìn)行行業(yè)通報(bào),責(zé)令銀行保險(xiǎn)機(jī)構(gòu)暫緩或者停止合作。
      第七十七條  銀行業(yè)金融機(jī)構(gòu)違反本辦法要求的,國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)可以依據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》相關(guān)規(guī)定,責(zé)令銀行業(yè)金融機(jī)構(gòu)改正,并處以二十萬(wàn)以上五十萬(wàn)以下罰款;情節(jié)特別嚴(yán)重或者逾期不改正的,可以責(zé)令停業(yè)整頓或者吊銷其經(jīng)營(yíng)許可證。根據(jù)違規(guī)情況,可以責(zé)令銀行業(yè)金融機(jī)構(gòu)對(duì)直接負(fù)責(zé)的董事、高級(jí)管理人員和其他直接責(zé)任人員給予紀(jì)律處分;銀行業(yè)金融機(jī)構(gòu)的行為尚不構(gòu)成犯罪的,對(duì)直接負(fù)責(zé)的董事、高級(jí)管理人員和其他直接責(zé)任人員給予警告,處五萬(wàn)元以上五十萬(wàn)元以下罰款;取消直接負(fù)責(zé)的董事、高級(jí)管理人員一定期限直至終身的任職資格,禁止直接負(fù)責(zé)的董事、高級(jí)管理人員和其他直接責(zé)任人員一定期限直至終身從事銀行業(yè)工作。構(gòu)成犯罪的,依法追究刑事責(zé)任。
      保險(xiǎn)業(yè)金融機(jī)構(gòu)違反本辦法要求的,國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)可以依據(jù)《中華人民共和國(guó)保險(xiǎn)法》相關(guān)規(guī)定,責(zé)令保險(xiǎn)業(yè)金融機(jī)構(gòu)改正,處五萬(wàn)元以上三十萬(wàn)元以下的罰款;情節(jié)嚴(yán)重的,限制其業(yè)務(wù)范圍、責(zé)令停止接受新業(yè)務(wù)或者吊銷業(yè)務(wù)許可證。根據(jù)違規(guī)情況,對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員給予警告,并處一萬(wàn)元以上十萬(wàn)元以下的罰款;情節(jié)嚴(yán)重的,撤銷任職資格。構(gòu)成犯罪的,依法追究刑事責(zé)任。
      實(shí)施過(guò)程中如遇《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》《中華人民共和國(guó)保險(xiǎn)法》修訂,以修訂后的規(guī)定為準(zhǔn)。
      第七十八條  中國(guó)銀行業(yè)協(xié)會(huì)、中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)等行業(yè)社團(tuán)組織應(yīng)當(dāng)通過(guò)宣傳、培訓(xùn)、自律、協(xié)調(diào)、服務(wù)等方式,協(xié)助引導(dǎo)會(huì)員單位提高數(shù)據(jù)安全管理水平。
      第九章  附  則
      第七十九條  本辦法由國(guó)家金融監(jiān)督管理總局負(fù)責(zé)解釋和修訂。
      第八十條  國(guó)家金融監(jiān)督管理總局批準(zhǔn)設(shè)立的其他銀行業(yè)金融機(jī)構(gòu)、保險(xiǎn)業(yè)金融機(jī)構(gòu)、金融控股公司以及總局管理單位參照適用本辦法。地方金融管理部門批準(zhǔn)設(shè)立的金融組織參照適用本辦法。
      第八十一條  本辦法自公布之日起施行,《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全辦法》(銀保監(jiān)辦發(fā)〔2022〕118號(hào))同時(shí)廢止。
      數(shù)據(jù)安全事件分級(jí)
      一、特別重大數(shù)據(jù)安全事件
      1.核心數(shù)據(jù)遭到泄露、破壞或者非法獲取、非法利用。
      2.重要數(shù)據(jù)遭到泄露、破壞或者非法獲取、非法利用,對(duì)2個(gè)及以上省級(jí)區(qū)域經(jīng)濟(jì)運(yùn)行秩序造成特別嚴(yán)重影響。
      3.敏感級(jí)及以上數(shù)據(jù)遭到大規(guī)模泄露、破壞或者非法獲取、非法利用,導(dǎo)致下述情形之一的:
      (1)對(duì)公共利益造成特別嚴(yán)重危害,造成特別重大經(jīng)濟(jì)損失,或者產(chǎn)生特別重大社會(huì)群體性事件;
      (2)對(duì)銀行業(yè)保險(xiǎn)業(yè)核心業(yè)務(wù)、系統(tǒng)重要性金融機(jī)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施等生產(chǎn)經(jīng)營(yíng)造成特別嚴(yán)重威脅或者影響,包括導(dǎo)致大面積業(yè)務(wù)中斷、大量處理能力喪失、大面積關(guān)鍵信息基礎(chǔ)設(shè)施癱瘓等。
      4.其他對(duì)國(guó)家安全、政治安全、經(jīng)濟(jì)金融安全、公共利益造成特別嚴(yán)重影響的。
      二、重大數(shù)據(jù)安全事件
      1.重要數(shù)據(jù)遭到泄露、破壞或者非法獲取、非法利用,對(duì)省級(jí)區(qū)域經(jīng)濟(jì)帶來(lái)重大影響或者對(duì)銀行保險(xiǎn)行業(yè)安全造成影響。
      2.敏感級(jí)及以上數(shù)據(jù)遭到泄露、破壞或者非法獲取、非法利用,導(dǎo)致下述情形之一的:
      (1)對(duì)多個(gè)銀行保險(xiǎn)機(jī)構(gòu)的業(yè)務(wù)、重要信息系統(tǒng)生產(chǎn)運(yùn)營(yíng)造成嚴(yán)重威脅或者影響,可能導(dǎo)致區(qū)域性或者部分金融機(jī)構(gòu)的業(yè)務(wù)中斷、信息系統(tǒng)中斷、處理能力喪失等;
      (2)對(duì)公眾利益造成嚴(yán)重危害,產(chǎn)生大范圍社會(huì)負(fù)面影響,可能導(dǎo)致或者直接造成大面積投訴、社會(huì)群體性事件;
      (3)對(duì)多個(gè)個(gè)人或者組織權(quán)益造成嚴(yán)重影響,包括對(duì)黨政機(jī)關(guān)、企事業(yè)單位、社會(huì)團(tuán)體等多個(gè)組織造成嚴(yán)重經(jīng)濟(jì)或者技術(shù)損失,對(duì)生產(chǎn)經(jīng)營(yíng)秩序產(chǎn)生直接影響;多人財(cái)產(chǎn)安全受到嚴(yán)重危害、尊嚴(yán)遭受侵害等。
      3.其他對(duì)國(guó)家安全、經(jīng)濟(jì)金融安全、公共利益、個(gè)人和組織權(quán)益造成嚴(yán)重影響的。
      三、較大數(shù)據(jù)安全事件
      敏感級(jí)及以上數(shù)據(jù)遭到泄露、破壞或者非法獲取、非法利用,導(dǎo)致下述情形之一的:
      1.對(duì)個(gè)人造成不可消除或者消除代價(jià)較大的負(fù)面影響,包括個(gè)人財(cái)產(chǎn)安全遭受損失或者可能產(chǎn)生重大損失,個(gè)人名譽(yù)尊嚴(yán)受到侵害,產(chǎn)生投訴、訴訟事件等。
      2.對(duì)組織造成不可消除或者消除代價(jià)較大的負(fù)面影響,包括造成或者可能造成較大經(jīng)濟(jì)或者技術(shù)損失,部分業(yè)務(wù)無(wú)法正常開(kāi)展,聲譽(yù)受到破壞等。
      3.銀行保險(xiǎn)機(jī)構(gòu)自身部分業(yè)務(wù)無(wú)法正常開(kāi)展或者本機(jī)構(gòu)聲譽(yù)受到破壞;銀行保險(xiǎn)機(jī)構(gòu)重要信息系統(tǒng)安全穩(wěn)定運(yùn)行受到威脅或者影響,可能產(chǎn)生較大及以上級(jí)別的重要信息系統(tǒng)突發(fā)事件。
      4.其他對(duì)經(jīng)濟(jì)金融安全、公共利益造成一般影響,或者對(duì)個(gè)人和組織權(quán)益造成較大影響的。
      四、一般數(shù)據(jù)安全事件
      除上述數(shù)據(jù)安全事件外,對(duì)組織或者個(gè)人造成一定影響的數(shù)據(jù)安全事件。
      上一條:數(shù)據(jù)安全與數(shù)字化轉(zhuǎn)型的柔性融合
      下一條:數(shù)據(jù)出境要注意安全
      免費(fèi)試用
      服務(wù)熱線

      馬上咨詢

      400-811-3777

      回到頂部