金融监管总局拟建数据分类分级标准,机构处理个人信息应“明确告知、授权同意”
3月22日,国家金融监督管理总局发布《银行保险机构数据安全管理办法(征求意见稿)》(下称《办法》),向社会公开征求意见。
《办法》共九章八十一条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。
在适用范围上,《办法》明确,除了中国境内设立的银行、保险、金融资产公司、信托公司、理财公司等,金融监管总局批准设立的外国银行分行、其他金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融监督管理部门批准设立的金融组织参照适用《办法》。
根据《办法》,银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人,明确各层级负责人的责任,明确违规情形和责任追究事项,落实问责处置机制。
《办法》要求,银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求。
《办法》还要求建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,并采取差异化的安全保护措施。
所谓数据分类,银行保险机构应当对机构业务及经营管理过程中获取、产生的数据进行分类管理,数据类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。
而数据分级,则是银行保险机构应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。
其中,核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或者共享,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或者篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
敏感数据是指,一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。
就数据安全管理而言,《办法》则指出,银行保险机构应当按照国家数据安全与发展政策要求,根据自身发展战略,制定数据安全保护策略。在数据收集上,银行保险机构收集数据应当坚持“合法、正当、必要、诚信”原则,明确数据收集和处理的目的、方式、范围、规则,保障收集过程的数据安全性、数据来源可追溯。银行保险机构不得超出数据主体同意的范围向其收集数据,法律、行政法规另有规定的除外。
在数据使用上,银行保险机构应当按照“业务必要授权”原则,对敏感级及以上数据严格实施授权管理,制定数据访问闭环管理机制,并对数据访问行为实施审计。确因业务需要从生产环境提取数据的,应当建立严格的审批程序,并明确数据使用或者保存期限。
当下,不少金融机构在从事相关业务时,往往会与第三方机构展开合作,《办法》也对数据共享、数据委托处理、数据外包管理,以及数据共同处理等作出要求。
例如,银行保险机构与第三方机构进行数据共同处理时,应当按照“业务必要授权”原则制定方案并采取有效技术保护措施确保数据安全,并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。
在老百姓多为关心的个人信息保护上,《办法》明确要求,银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制。
与此同时,银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息。不得利用所收集的个人信息从事违法违规活动。
除此之外,《办法》还结合时下新技术发展的背景,要求银行保险机构应当建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术措施,保障数据安全。
在监管方面,《办法》明确,国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理,开展非现场监管、现场检查,将数据安全管理情况纳入监管评级评估体系,依法对银行保险机构数据安全事件进行处罚和处置,实施对数据安全管理的持续监管。