银行保险机构数据安全管理.docVIP

PAGE

PAGE1

银行保险机构数据安全管理办法

第一章总则

（立法目的及依据）

为规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益，维护国家安全和社会公共利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规，制定本办法。

（适用范围）

在中华人民共和国境内设立的开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用社，保险集团（控股）公司、保险公司、保险资产管理公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、理财公司适用本办法。

开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

（术语定义）

本办法所称数据，是指以电子或者其他方式对信息的记录。

数据处理，是指对数据的收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等。

数据安全，是指通过采取必要措施，对数据处理活动和数据应用场景进行管理与控制，确保数据始终处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据主体，是指数据所标识的自然人或者其监护人、企业、机关、事业单位、社会团体和其他组织。

个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

大数据平台，是指以处理海量数据存储、计算、分析等为目的的基础设施，包括数据统计分析类的平台和大数据处理类平台（如数据湖、数据仓库等）。

（数据安全监管）

国家金融监督管理总局及其派出机构负责银行业保险业数据安全的监督管理，制定并发布监管规章制度，对银行保险机构履行数据安全保护义务情况进行监督检查。

（数据安全管理体系）

银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系，建立健全数据安全管理制度，构建覆盖数据全生命周期和应用场景的安全保护机制，开展数据安全风险评估、监测与处置，保障数据开发利用活动安全稳健开展。银行保险机构利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度基础上，履行数据安全保护义务。

（保护原则与目标）

银行保险机构开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、政治安全、金融安全、公共利益，不得损害个人、组织的合法权益。

（数据开发利用）

银行保险机构应当统筹发展和安全，落实国家大数据战略，推进数据基础设施建设，加大数据创新应用力度，促进以数据为关键要素的数字经济发展，提升金融服务的智能化水平，创新普惠金融服务模式，增强防范化解风险的能力。

（持续提升）

银行保险机构应当持续跟踪新兴数据开发利用和科技发展前沿动态，有效应对大数据应用与科技创新可能产生的规则冲突、社会风险、伦理道德风险，防止数据与科技被误用、滥用。

第二章数据安全治理

（数据安全治理架构）

银行保险机构应当建立覆盖董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构，明确岗位职责和工作机制，落实资源保障。

（数据安全责任制）

银行保险机构应当建立数据安全责任制，党委（党组）、董（理）事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人，明确各层级负责人的责任，明确违规情形和责任追究事项，落实问责处置机制。

（数据安全归口管理部门）

银行保险机构应当指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门。其主要职责包括：

（一）组织制定数据安全管理原则、规划、制度和标准。

（二）组织建立和维护数据目录，推动实施数据分类分级保护。

（三）组织开展数据安全评估和审查。

（四）统筹建立数据安全应急管理机制，组织开展数据安全风险监测、预警与处置。

（五）组织开展数据安全宣贯培训，提升员工数据安全保护意识与技能。

（六）建立和维护内部数据共享、外部数据引入、数据对外提供、数据出境的统筹管理机制，牵头对外部数据供应商进行安全管理，统筹大数据应用、数据共享项目的安全需求管理。

（七）向党委（党组）、董（理）事会、高管层报告数据安全重要事项。

（八）其他须统筹管理的数据安全工作事项。

（业务部门）

银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求。

（风险合规与审计部门）

银行保险机构风险管理、内控合规和审计部门负责将数据安全纳入全面风险管理体系、内控评价体系，定期开展审