《银行保险机构数据安全管理办法》解读课件.pdf

汇报人：XXX

1前言

2重点内容解读

3建议

4结语

第一部分

在银行业保险业新技术、新业务模式不断涌现的大背景下，数据处理活动日

益频繁，数据安全的重要性逐步升级。随着《网络安全法》《数据安全法》《个

人信息保护法》等法律的发布，金监正式发布了《银行保险机构数据安全管理办

法》，以规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据

合理开发利用，保护个人、组织的合法权益。

《办法》明确“谁管业务、谁管业务数据、谁管数据安全”的原则，强调主

体责任的落实，为银行业、保险业的数据安全管理提供了必要指引。

第二部分

重点内容解读

《办法》共9章81条，对数据治理顶层设计、分类分级管理要求、数据安全

管理及技术体系、加强个人信息保护及完善风险监测处置机制等方面提出了更深

层次的合规要求。

1.总结

n《办法》所明确的适用范围及主体包括了银行业金融机构、保险业金融机构及其他金融机构（第二条），同时将其他银行业金融机构、保险

业金融机构、金融控股公司、地方金融监管部门批准设立的金融组织等受金监监管的其他金融机构纳入“参照执行”的范围（第八十条）。

n除涉及国秘的数据处理活

动外，上述机构所有数据

处理活动均属于《办法》

的监管范围。

1.总结

n明确数据安全治理架构

n《办法》明确提出数据安全责任制，指定归口管理部门负责本机构的数据安全工作；延续“谁管业务、谁管业务数据、谁管数据安全”

的基本原则，划分为业务、业务数据、数据安全三个维度，明确应由业务部门对相关数据处理活动履行数据安全保护义务，落实业务

流程中数据安全保护管理的要求，而非信息科技部门或风险控制部门统一负责。

n设置场景化流程化的数据安全管控措施

n《办法》新增数据安全评估机制，银行业保险业金融机构应建立数据安全管理归口部门及信息科技部门的协同机制。此外，针对敏感级及以

上数据处理活动及对数据主体有较大影响的业务活动提出了事前评估的合规要求，聚焦数据安全风险及数据主体权益，评估数据处理的必要

性及合规性、数据安全风险防控措施的有效性。

n明确银行保险机构个人信息保护要求

n《办法》基本重申了“个保法”的内容，充分体现金监对个人信息保护的重视。同时，《办法》在个人信息风险报告制度中明确要求银行保

险机构应当将相关事项的报告对象为金监总局或其派出机构，说明在银行业保险业领域，金监承担个人信息保护的监督管理职责。此外，

《办法》在对数据全生命周期的相关规定中大量参考与借鉴个保法的合规性思路。

2.数据安全治理

n数据安全治理作为《办法》的七大主要内容之一，《办法》提出了更为细化的规定，要求银行保险机构建立覆盖董（理）事会、高管层、

数据安全统筹部门、数据安全技术保护部门等的多层级治理架构（第九条），明确相关部门的具体职责，要求将数据安全纳入机构全面风

险管理体系及内控评价体系（第十一条至第十四条）。

n同时，《办法》明确指出数据安全组织架构与治理架构，包括董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门（第十

条）。

n董（理）事会对银行保险机构的数据安全工作负主体责任；

n银行保险机构主要负责人为第一责任人；

n分管数据安全的高级管理人员为直接责任人；

n数据安全归口部门为数据安全管理工作的主责部门，负责制定各项制度标准、建立维护数

据目录、统筹评估审查、组织风险监测、宣贯培训等；

2.数据安全治理

n同时，《办法》明确指出数据安全组织架构与治理架构，包括董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门（第十

条）。

n各业务部门应按照“谁管业务、谁管业务数据、谁管数据安全”的原则，对开展数据处理活动涉及的数据履行数据安全保

护义务；

n信息科技部门为