官方：銀保機構不得過度收集個人信息

中新經緯12月27日電 據國家金融監督管理總局網站消息，該局近日製定《銀行保險機構數據安全管理辦法》(以下簡稱《辦法》)。《辦法》規定，銀行保險機構不得過度收集個人信息；不得以個人不同意處理其個人信息或者撤回同意爲由，拒絕提供產品或者服務，處理個人信息屬於提供產品或者服務所必需的除外。

《辦法》要求銀行保險機構制定數據分類分級保護制度，建立數據目錄和分類分級規範，動態管理和維護數據目錄，並採取差異化的安全保護措施。

在數據分類方面，對機構業務及經營管理過程中獲取、產生的數據進行分類管理，具體類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。

在數據分級方面，銀行保險機構應根據數據的重要性和敏感程度，將數據分爲核心數據、重要數據、一般數據，其中一般數據細分爲敏感數據和其他一般數據；當數據的業務屬性、重要程度和可能造成的危害程度發生變化，導致安全級別不再適用的，及時進行動態調整。

《辦法》要求銀行保險機構按照國家政策要求，根據自身發展戰略，制定數據安全保護策略；根據數據處理目的、性質和範圍，按照法律法規和倫理道德規範要求，對相關數據業務處理活動進行安全評估，分析數據安全風險和對數據主體權益影響，評估數據處理的必要性、合規性及防控措施的有效性；收集數據應堅持“合法、正當、必要、誠信”原則，明確數據收集和處理的目的、方式、範圍、規則，保障收集過程的數據安全性、數據來源可追溯；在數據集團內部共享的過程中，應建立總行(公司)與其子公司數據安全隔離的“防火牆”，並對共享數據採取有效保護措施；《辦法》還對數據加工、委託處理、共同處理、數據轉移、數據跨境等具體的數據處理場景分別提出了相應安全管理要求。

在個人信息保護方面，《辦法》單獨設置“個人信息保護”章節，以進一步落實《數據安全法》《個人信息保護法》等上位法要求，體現保護消費者信息和權益的政策導向。主要規定包括：銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施，並限於實現金融業務處理目的的最小範圍，不得過度收集個人信息。處理、共享和對外提供個人信息時，應當履行必要的告知義務，並取得必要同意。不得以個人不同意處理其個人信息或者撤回同意爲由，拒絕提供產品或者服務，處理個人信息屬於提供產品或者服務所必需的除外。在開展涉及對個人權益有重大影響的個人信息處理活動時，應當進行個人信息保護影響評估。委託第三方處理個人信息時，應明確受託人對個人信息的保護義務、保護措施和期限等。發生或者可能發生個人信息泄露、篡改、丟失的，銀行保險機構應當立即採取補救措施，並向監管部門報告。(中新經緯APP)