《银行保险机构数据安全管理办法》的六个特点

扫描分享

本文共字，预计阅读时间。

文/清华大学五道口金融学院金融安全研究中心

近日，国家金融监督管理总局发布《银行保险机构数据安全管理办法》（以下简称《办法》）。《办法》共9章81条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。主要特点有六个方面。

《办法》第三条指出：“ 本办法所称数据，是指以电子或者其他方式对信息的记录。”并明确了五个概念。

（1）数据处理，是指对数据的收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等。

（2）数据安全，是指通过采取必要措施，对数据处理活动和数据应用场景进行管理与控制，确保数据始终处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

（3）数据主体，是指数据所标识的自然人或者其监护人、企业、机关、事业单位、社会团体和其他组织。

（4）个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（5）大数据平台，是指以处理海量数据存储、计算、分析等为目的的基础设施，包括数据统计分析类的平台和大数据处理类平台（如数据湖、数据仓库等）。

明确银行保险机构党委（党组）、董（理）事会对本单位数据安全工作负主体责任，机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。

要求银行保险机构指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。

要求银行保险机构明确管理流程，主动评估风险，对数据安全风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。

要求银行保险机构开展相关数据处理活动时，应事先开展安全评估。根据数据处理目的、性质和范围，分析数据安全风险和对数据主体权益影响，评估数据处理的必要性、合规性及防控措施的有效性。

将数据纳入网络安全等级保护，对存放或传输敏感级及以上数据的机房、网络实施重点防护，在数据全生命周期内采取有效访问控制管理措施，采用安全有效的传输方式保障数据完整性、保密性、可用性。

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。