金融監管總局擬建數據分類分級標準,機構處理個人信息應“明確告知、授權同意”

3月22日,國家金融監督管理總局發佈《銀行保險機構數據安全管理辦法(徵求意見稿)》(下稱《辦法》),向社會公開徵求意見。

《辦法》共九章八十一條,包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。

在適用範圍上,《辦法》明確,除了中國境內設立的銀行、保險、金融資產公司、信託公司、理財公司等,金融監管總局批准設立的外國銀行分行、其他金融機構、金融控股公司以及總局管理單位參照適用本辦法。地方金融監督管理部門批准設立的金融組織參照適用《辦法》。

根據《辦法》,銀行保險機構應當建立數據安全責任制,黨委(黨組)、董(理)事會對本單位數據安全工作負主體責任。銀行保險機構主要負責人爲數據安全第一責任人,分管數據安全的領導爲直接責任人,明確各層級負責人的責任,明確違規情形和責任追究事項,落實問責處置機制。

《辦法》要求,銀行保險機構應當按照“誰管業務、誰管業務數據、誰管數據安全”的原則,明確各業務領域的數據安全管理責任,落實數據安全保護管理要求。

《辦法》還要求建立數據分類分級標準。要求銀行保險機構制定數據分類分級保護制度,建立數據目錄和分類分級規範,並採取差異化的安全保護措施。

所謂數據分類,銀行保險機構應當對機構業務及經營管理過程中獲取、產生的數據進行分類管理,數據類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。

而數據分級,則是銀行保險機構應當根據數據的重要性和敏感程度,將數據分爲核心數據、重要數據、一般數據。其中,一般數據細分爲敏感數據和其他一般數據。

其中,核心數據是指對領域、羣體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度的重要數據,一旦被非法使用或者共享,可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益。

重要數據是指特定領域、特定羣體、特定區域或者達到一定精度和規模的數據,一旦被泄露或者篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。

敏感數據是指,一旦被泄露或者篡改、損毀,對經濟運行、社會穩定、公共利益有一定影響,或者對組織自身或者公民個體造成重要影響的數據。

就數據安全管理而言,《辦法》則指出,銀行保險機構應當按照國家數據安全與發展政策要求,根據自身發展戰略,制定數據安全保護策略。在數據收集上,銀行保險機構收集數據應當堅持“合法、正當、必要、誠信”原則,明確數據收集和處理的目的、方式、範圍、規則,保障收集過程的數據安全性、數據來源可追溯。銀行保險機構不得超出數據主體同意的範圍向其收集數據,法律、行政法規另有規定的除外。

在數據使用上,銀行保險機構應當按照“業務必要授權”原則,對敏感級及以上數據嚴格實施授權管理,制定數據訪問閉環管理機制,並對數據訪問行爲實施審計。確因業務需要從生產環境提取數據的,應當建立嚴格的審批程序,並明確數據使用或者保存期限。

當下,不少金融機構在從事相關業務時,往往會與第三方機構展開合作,《辦法》也對數據共享、數據委託處理、數據外包管理,以及數據共同處理等作出要求。

例如,銀行保險機構與第三方機構進行數據共同處理時,應當按照“業務必要授權”原則制定方案並採取有效技術保護措施確保數據安全,並以合同協議方式明確雙方在數據處理過程中的數據安全責任和義務。

在老百姓多爲關心的個人信息保護上,《辦法》明確要求,銀行保險機構處理個人信息應當按照“明確告知、授權同意”的原則實施,法律、行政法規另有規定的除外,並在信息系統中實現相關功能控制。

與此同時,銀行保險機構處理個人信息應當具有明確、合理的目的,並應當與處理目的直接相關,收集個人信息應當限於實現金融業務處理目的的最小範圍,不得過度收集個人信息。不得利用所收集的個人信息從事違法違規活動。

除此之外,《辦法》還結合時下新技術發展的背景,要求銀行保險機構應當建立針對大數據、雲計算、移動互聯網、物聯網等多元異構環境下的數據安全技術保護體系,建立數據安全技術架構,明確數據保護策略方法,採取技術措施,保障數據安全。

在監管方面,《辦法》明確,國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進行監督管理,開展非現場監管、現場檢查,將數據安全管理情況納入監管評級評估體系,依法對銀行保險機構數據安全事件進行處罰和處置,實施對數據安全管理的持續監管。