查看原文
其他

数据安全管理新规拟规制银行保险机构

官振鸣 商法CBLJ
2024-12-13


银行与金融


官振鸣


正策律师事务所高级合伙人


家金融监督管理总局于2024年3月22日发布《银行保险机构数据安全管理办法(征求意见稿)》(下称《意见稿》),《意见稿》结合中国《数据安全法》《网络安全法》《个人信息保护法》等法律法规,针对各金融机构数据处理活动提出具体要求,本文将基于《意见稿》对有关金融机构提出部分合规建议。


加强内部数据合规

首先,《意见稿》要求金融机构建立数据安全治理架构与数据安全责任制;其次,《意见稿》要求金融机构各部门分工负责保障数据安全,例如数据安全归口管理部门为负责数据安全工作的主责部门,负责组织制定数据安全管理原则、规划、制度和标准等工作;各业务部门应确保各自业务领域的数据安全,贯彻数据安全保护管理要求;风险合规与审计部门负责将数据安全纳入全面风险管理体系、内控评价体系,定期开展审计、监督检查与评价,督促问题整改和开展问责;数据安全技术保护部门为数据安全的技术保护主责部门,负责建立数据安全技术保护体系、架构和保护基线,落实技术保护措施等工作;最后,《意见稿》要求金融机构应开展全员数据安全教育和培训,提高数据安全保护意识和水平,形成全员共同维护数据安全和促进发展的良好环境。


做好数据分级

依数据的重要性和敏感程度,《意见稿》将数据分为核心数据、重要数据与一般数据。金融机构应制定数据分类分级保护制度,做好数据分级并进行动态调整,确保各级别数据的安全。


加强管理第三方机构

《意见稿》格外关注金融机构与第三方合作处理数据,对其作出具体、严格的规定,包括但不限于:


(1)要求金融机构制定有关安全管理实施细则;


(2)要求金融机构在转移数据等场景下,事先开展数据安全评估,评估内容应包括数据处理的必要性、合规性、数据安全风险及防控措施的有效性;


(3)要求金融机构制定外部数据采购、合作引入的集中审批管理制度,纳入外包风险管理体系进行统筹管理,统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制,对数据来源的真实性、合法性进行调查,评估数据提供者的安全保障能力及其数据安全风险,明确双方的数据安全责任及义务。


(4)在委托处理数据的场景下。首先,金融机构应明确所涉数据外部使用和处理的条件、场景、方式;其次,委托处理数据合同应包括委托处理的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务,以及受托方返还或者删除数据的方式等内容;复次,金融机构应对数据处理活动进行记录和审计;再次,金融机构应监督数据处理受托方的行为,向数据处理受托方提出转委托需取得金融机构的同意,严禁其对外共享数据,确保其基于合同目的处理数据。最后,在金融机构委托数据处理中止时,应当要求服务提供商及时删除数据,并采取现场检查等有效监督措施,确保数据被销毁、不可恢复。


(5)要求金融机构依据《银行保险机构信息科技外包风险监管办法》的要求,不得将信息科技管理责任、数据安全主体责任外包,涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能亦不得外包。


(6)在与第三方机构共同处理数据的场景下,应按照“业务必要授权”原则制定方案并采取有效技术保护措施确保数据安全,在合同中明确各方的数据安全责任和义务。


此外,在与第三方机构合作过程中,金融机构应当对数据处理异常或者泄露、丢失等情况进行监测,防止数据篡改、破坏、泄露、非法利用等安全事件发生。


妥善保管材料

保存数据操作日志及其备份数据。《意见稿》要求金融机构对敏感级及以上数据的操作进行日志记录(内容包括操作时间、用户标识、行为类型等),核心数据操作日志及其备份数据保存时间不低于三年,重要数据、敏感数据操作日志及其备份数据保存时间不低于一年,如涉及委托处理、共同处理的数据操作日志及其备份数据保存时间不低于三年。


保存个人信息保护影响评估报告和处理情况记录。《意见稿》要求金融机构在开展涉及对个人权益有重大影响的个人信息处理活动时进行个人信息保护影响评估,相应个人信息保护影响评估报告和处理情况记录应当至少保存三年。


《意见稿》提出由国家金融监督管理总局制定银行业保险业重要数据目录,提出核心数据目录建议,有关金融机构应充分关注并据此调整自身的数据保护工作。



作者 | 正策律师事务所高级合伙人官振鸣

电邮:guanzhenming@joint-win.com


本文刊载于《商法》2024年4月刊。如欲阅读电子版,欢迎浏览《商法》官网。

往期专栏精选



长按扫码关注我们

为了让您第一时间获取专业法律资源

请常点“在看”

并将CBLJ 商法设为星标


阅读原文查看更多正策律师事务所的相关内容

继续滑动看下一个
商法CBLJ
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存