为规范银行业保险业数据处理活动，保障数据安全，促进数据合理开发利用，国家金融监督管理总局于3月22日就《银行保险机构数据安全管理办法（征求意见稿）》（以下简称“《办法》”）公开征求意见。《办法》适用于国家金融监督管理总局监管的各类金融机构（以下统称“银行保险机构”）。国家金融监督管理总局批准设立的外国银行分行、其他金融机构、金融控股公司以及总局管理单位，地方金融监督管理部门批准设立的金融组织，均参照适用《办法》。

《办法》共计八十一条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则九个章节。本文主要对其中的部分重要条款进行以下解读：

一、数据安全治理架构

《办法》要求银行保险机构建立数据安全责任制，指定归口管理部门负责本机构的数据安全工作，明确各业务领域的数据安全管理职责。其中：

党委（党组）、董（理）事会对本单位数据安全工作负主体责任。

银行保险机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。

数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，负责制定数据安全管理制度和标准、组织开展数据安全评估和审查、向党委（党组）、董（理）事会、高管层报告等需要统筹管理的数据安全工作。

业务部门按照“谁管业务、谁管业务数据、谁管数据安全”的原则，承担数据安全管理责任，落实数据安全保护管理要求。

风险合规与审计部门负责将数据安全纳入评价体系，定期开展监督评价。

信息科技部门作为数据安全的技术保护主责部门，负责建立数据安全技术保护体系、组织开展信息系统的生命周期安全管理等工作。

而对于其中的数据安全归口管理部门是否必须是独立的内设部门，目前尚无定论。若必须新设部门，对中小机构而言则成本较高。《办法》也未明确数据安全归口管理部门是否可由董事会或管理层下设的专业委员会担任，若允许指定类似于《证券基金经营机构信息技术管理办法》中的信息技术治理委员会这样的专业委员会担任数据安全归口管理部门，或能兼顾效率和成本。

二、数据分类分级

数据分类分级是高效利用、保护数据的前提条件，《办法》要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，采取差异化安全保护措施。按照《办法》规定，数据可分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据四类，可分为核心数据、重要数据、一般数据三级（一般数据又分为敏感数据和其他一般数据）。上述分类分级方法可与现有国家标准、行业标准兼容，值得关注的是数据目录的管理要求：

一是重要数据目录的报备。金融监督管理总局未来会制定银行业保险业重要数据目录，提出核心数据目录建议，监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机构应向国家金融监督管理总局或其派出机构报送重要数据目录，并在目录发生重大变化后更新报备。

二是动态管理和维护数据目录。数据的业务属性、重要程度和可能造成的危害程度发生变化，导致原安全级别不再适用的，银行保险机构应当及时动态调整数据目录。按照《办法》第十一条，维护数据目录的工作由数据安全归口管理部门负责。

延伸：考虑到《人行数据安全办法》也要求数据处理者填写报送重要数据目录、每年动态更新数据资源目录，证监会未来也很可能会在证券期货基金经营机构相关的新规中提出类似的要求。

三、数据安全管理

《办法》要求银行保险机构根据自身发展战略建立数据安全管理制度和数据处理管控机制，本文就其中相对比较重要或比较特别的数据安全管理要求整理如下：

1、数据资产管理与数据服务管理

《办法》要求银行保险机构建立企业级数据架构，对全域数据资产登记管理，建立数据资产地图；还要求银行保险机构建立企业级数据服务管理体系，制定数据服务规范，建立专职数据服务团队，统筹内外部数据加工、分析，实施数据服务需求分析、服务开发、服务部署、服务监控等活动。

建立数据资产地图有利于银行保险机构以数据分类分级为基础履行数据安全保护义务，也有助于进一步的数据挖掘与利用。至于数据服务管理，目前《办法》还未明确数据服务的类型和范围、数据服务团队的人员配置等，尚待国家标准、行业标准厘清方向。

2、数据安全评估

《办法》要求银行保险机构在处理敏感级及以上数据的业务活动时，或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时，应当事先开展数据安全评估。

《数据安全法》仅要求重要数据的处理者对其数据处理活动定期开展风险评估，《人行数据安全办法》要求在间接收集数据、数据提供、数据出境时进行评估，《办法》中开展数据安全评估的适用情形显然更广，更接近于《个人信息保护法》中个人信息保护影响的适用情形。同时，《办法》的数据安全评估的评估内容也与《个人信息保护法》中的个人信息保护影响的评估内容十分接近。

3、数据收集与采购

和《人行数据安全办法》的规定类似，《办法》要求以信息系统为数据收集的主要渠道，停止金融业务或者服务后应当立即停止相关数据收集或者处理活动，采购外部数据时要评估数据来源的真实性、合法性。比较特别的是，《办法》要求银行保险机构向其他银行保险机构收集行业重要级及以上数据，需经国家金融监督管理总局同意。

另外一个值得注意的点是，《办法》要求银行保险机构不得超出数据主体同意的范围向其收集数据。不同于《个人信息保护法》、《民法典》中存在“处理个人信息须取得个人信息主体同意”的规定，《数据安全法》并没有类似于“处理数据须取得数据主体同意”的规定。《人行数据安全办法》也仅规定，数据处理者间接收集数据应取得数据主体同意。《办法》在多处规定中采用了“数据主体授权同意方可进行处理”的规制思路，无疑是吸收了《个人信息保护法》规制思路的大胆尝试。银行保险机构未来可能需要借助隐私政策、协议等，取得数据主体的同意。

4、数据加工与使用

《办法》要求银行保险机构开展敏感级及以上数据的加工活动时，应当采用匿名化、去标识化或者其他必要安全措施保护数据主体权益。与《人行数据安全办法》的规定类似，《办法》要求银行保险机构对敏感级及以上数据严格实施授权管理，制定数据访问闭环管理机制，并对数据访问行为实施审计。

5、数据共享、转移、公开

《办法》要求银行保险机构对数据共享使用进行集中安全管控，明确企业级数据共享策略，建立集团、母公司、子公司之间的数据安全隔离“防火墙”。银行保险机构应当建立对外公开披露数据的审批机制，在机构官方渠道进行发布，并记录审批和发布情况。对敏感级及以上的数据进行共享、转移、公开等处理的，除进行数据安全评估外，还应当获得数据主体的同意。

四、数据安全技术保护

《办法》提出了多项技术保护要求，包括：建立数据安全技术架构，将数据安全保护纳入信息系统开发生命周期框架，将数据纳入网络安全等级保护，明确数据安全保护基线等。

对于数据的操作日志以及备份的保存要求，《办法》规定核心数据以及涉及委托处理、共同处理的数据的保存时间不低于3年，重要数据、敏感数据的保存时间不低于1年，且应当至少每6个月对数据操作行为进行审计。《人行数据安全办法》也提到了数据操作日志，但保存时间和审计频率都低于《办法》的要求。

延伸：关于数据操作日志的保存及其审计，未来也很可能被纳入证监会下的相关规定中。

五、数据安全风险监测与处置、报告

《办法》要求银行保险机构将数据安全风险纳入全面风险管理体系，明确风险监测评估、应急响应报告、事件处置的管理流程。

1、风险监测、评估、审计

《办法》要求的监测内容比较广，除了数据访问异常、数据安全威胁、数据异常使用或数据丢失等问题外，还包括客户数据安全投诉、负面舆情（数据泄露、仿冒欺诈）等。

除了上文提到的因开展处理敏感级及以上数据等业务活动而需要进行数据安全评估外，《办法》还要求银行保险机构每年开展一次数据安全风险评估。

此外，《办法》要求机构三年开展一次数据安全全面审计，发生重大数据安全事件后还要开展专项审计，这对机构审计部门人员的配备要求可能有所提高。

2、应急响应与处置

《办法》要求银行保险机构应当制定数据安全事件应急预案，定期开展应急响应培训和应急演练，建立数据安全事件报告机制。发生数据安全事件后，应当按照预案及时采取业务、技术等措施控制事态，按规定报告，并按合同履行客户及合作方告知义务。发生数据安全事件或者使用的网络产品和服务存在安全缺陷、漏洞时，应当立即开展调查评估。此外，若网络产品和服务提供商未按要求整改或者造成严重后果的，银行保险机构应当取消其服务资格、追究违约责任，并向国家金融监督管理总局或者其派出机构报告。

3、机构报告

《办法》要求银行保险机构履行的报告义务可分为三类：

（1）事件监管报告

银行保险机构在数据安全事件发生2小时内，向国家金融监督管理总局或者其派出机构报告，在事件发生后24小时内提交正式书面报告。发生特别重大数据安全事件的，银行保险机构应立即采取处置措施，并按规定及时告知用户、向属地公安机关、金融监管机构报告。银行保险机构需每2小时将处置进展情况上报。数据安全事件处置结束后，银行保险机构应当在五个工作日内向属地监管部门报送事件及其处置的评估、总结和改进报告。

（2）事前报告

涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移，银行保险机构应当在处理、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告。

（3）定期报告

银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告。