观韬视点 | 基于《银行保险机构数据安全管理办法》探讨银行保险机构数据安全合规体系建设
作者:王渝伟
前言:2024年12月27日,国家金融监督管理总局(以下简称“金融监管总局”)正式颁布《银行保险机构数据安全管理办法》(以下简称“《办法》”)。作为金融监管总局成立后首部针对数据安全的监管法规,《办法》共九章八十一条,详细规定了数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置等内容,为银行保险机构的数据处理活动和数据安全管理提供了清晰的合规指引。
事实上,在《数据安全法》《个人信息保护法》等上位法实施后,银行保险机构已采取一些数据安全合规措施,以满足法律要求,但目前采取的措施更多地还停留在传统的信息安全层面,数据安全仍是一个较新和面临较大挑战的领域,对于大多数银行保险机构来说,其并没有建立真正意义上的数据安全合规体系。《办法》的出台进一步细化了金融行业的数据安全监管要求,大多数银行保险机构面临的最大问题在于:在现有合规与安全体系的基础上,如何有效落实《办法》提出的具体要求,以确保符合法规要求,并逐步建立完整的数据安全合规体系。本文将结合《办法》的具体条款,探讨银行保险机构如何构建和完善数据安全合规体系,并根据机构现状优化数据管理流程及安全管理措施,以实现《办法》的合规要求。
一、《办法》的实施将会对银行保险机构数据合规体系产生何种影响?
自《网络安全法》《数据安全法》《个人信息保护法》相继生效以来,数据安全合规已成为监管机构与金融机构共同关注的重点。金融机构数据因其高度敏感性和高价值性,其安全性直接关系到金融机构的运营稳定、金融消费者权益保护,甚至可能影响金融体系的整体安全。因此,金融监管部门相继出台了多项针对数据安全的监管规则,以强化行业合规管理。例如,中国证券监督管理委员会于2023年2月发布《证券期货业网络和信息安全管理办法》,中国人民银行于2023年7月发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》,这些法规均体现了金融监管机构在自身监管领域内对数据安全问题的持续关注和规范引导。
在《办法》出台之前,原中国银行保险监督管理委员会已发布《银行保险机构信息科技外包风险监管办法》《征信业管理条例》《银行保险机构消费者权益保护管理办法》等规定,同时,该行业内亦有多项标准文件,如《金融信息服务安全规范》(GB/T 36618-2018)、《金融数据安全 数据安全分级指南》(JR/T 0197-2020)、《个人金融信息保护技术规范》(JR/T 0171-2020)等。然而,这些规定多针对特定业务场景或数据治理的某一方面,而缺乏系统性的数据安全管理规范。《办法》的出台填补了这一监管空白,标志着银行保险机构数据安全管理进入新的发展阶段。
《办法》的发布标志着银行保险行业数据安全保护迈入了新的阶段,其明确提出了更高的数据安全管理和合规要求,促使银行保险机构在现有合规与安全体系基础上优化整合内部管理机制,提升数据安全保护能力,以满足监管要求。
二、《办法》要求下,银行保险如何构建数据安全合规体系?
《办法》共九章八十一条,对银行保险机构的数据安全合规管理提出了更高要求。然而,面对复杂的法律条文,在没有优秀的行业实践可供参考的情况下,银行保险机构可能无从下手,不知如何有效落实。事实上,《办法》不仅明确了监管要求,还提供了构建数据安全合规体系的指引,相关规定可拆分为五个方面:1)组织与人员建设;2)数据安全合规制度建设;3)数据全生命周期管理机制建设;4)数据安全技术保障措施建设;5)合规留痕建设。这五个方面构成了银行保险机构数据安全合规体系的支柱,为机构梳理和完善内部管理机制提供了清晰的逻辑框架。结合《办法》的相关规定,银行保险机构数据安全合规管理体系整体框架如下图1所示。
银行保险机构可以首先围绕上述五个方面建立内部管理机制,使合规工作更加体系化和有序化,然后可以对照《办法》的具体条款,识别与现有流程之间的差距,找出需要优化的环节,并据此进行调整和完善。通过这一体系化的方法,银行保险机构不仅能够更高效地满足监管要求,还能在落实过程中持续提升数据安全管理水平,使合规工作更具针对性和可操作性。
图1:银行保险机构数据安全合规管理体系整体框架示意图
(一)组织与人员建设
《办法》第九至十五条、第二十三条明确要求银行保险机构建立数据安全管理组织架构,并落实数据安全责任制。机构需设立数据安全归口管理部门,并明确业务部门、风险管理部门、内控合规部门、审计部门、信息科技部门等相关部门在数据安全管理中的职责和协作机制。此外,机构还需加强人员培训,以提升从业人员的数据安全专业素养,同时增强全体员工的数据安全意识。《办法》第二十三条进一步要求银行保险机构设立专职数据服务团队,统筹数据加工与分析活动,以提高数据管理专业化水平。
综上所述,《办法》对银行保险机构的组织与人员建设作出了具体规定,详见下图2。
图2:《办法》关于银行保险机构数据安全合规组织与人员建设的主要要求
(二)数据安全合规制度建设
《办法》第十六至二十一条、第二十三条规定了银行保险机构应当制定包括数据分类分级保护制度、数据安全保护战略、数据安全管理办法、安全管理实施细则(针对数据外部引入、数据合作共享、数据出境等特殊场景)、数据服务规范等内部规程,建立企业级数据架构、数据资产地图、企业级数据服务管理体系。
需要特别指出,《办法》对于银行保险机构如何进行开展数据分类分级保护的制度提出了更为细化的要求:(1)在数据分类上,银行保险机构应当对于机构业务及经营管理过程中获取、产生的数据进行分类,数据类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等;(2)在数据分级上,银行保险机构应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据,其中一般数据细分为敏感数据和其他一般数据;(3)针对已经分类分级后的数据,采取差异化的安全保护措施;(4)加强数据安全级别的时效管理,建立动态调整审批机制,在数据的业务属性、重要程度和可能造成的危害程度发生变化,导致原安全级别不再适用时,应当及时动态调整。
综上所述,《办法》对银行保险机构的数据安全合规制度建设作出了具体规定,详见下图3。
图3:《办法》关于银行保险机构数据安全合规制度建设的主要要求
(三)数据处理全生命周期管理机制建设
《数据安全法》第二十七条明确要求数据处理者建立健全全流程数据安全管理制度,《办法》第二十条对此作出具体回应,要求银行保险机构建立数据处理全生命周期管控机制,并落实相应的安全保护措施。此外,《办法》第五条、第五十四条、第五十六条及第五十七条明确了数据(含个人信息)的处理原则,并在第四章“数据安全管理”和第六章“个人信息保护”中,针对数据在收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等环节的合规要求作出详细规定。建立数据全生命周期管理机制,有助于确保数据在整个处理过程中始终处于安全、合规的管理之下,从而有效降低机构面临的数据泄露及合规风险。
综上所述,《办法》对银行保险机构的数据处理全生命周期管理机制建设作出了具体规定,详见下图4。
图4:《办法》关于银行保险机构数据处理全生命周期管理机制建设的主要要求
(四)数据安全技术保障措施建设
技术措施是保障数据安全的重要屏障。通过加密、访问控制、数据脱敏等手段,技术措施能够直接保障数据安全,并随着技术进步不断更新优化,确保数据合规体系的有效运行和持续完善。《数据安全法》《个人信息保护法》《网络安全法》均对数据处理者、个人信息处理者、网络运营者提出了采取相应技术措施保障数据与网络安全的要求。《办法》通过第五章“数据安全技术保护”明确规定了银行保险机构为保障数据安全应当采取的各种技术保护措施,包括要求采取加密、访问控制、数据脱敏、备份等技术手段确保数据安全。此外,《办法》强调应建立大数据服务访问授权机制、数据安全审查制度,并完善人工智能应用的风险缓释措施,以适应新技术环境下的数据安全挑战。
综上所述,《办法》对银行保险机构的数据安全技术保障措施建设作出了具体规定,详见下图5。
图5:《办法》关于银行保险机构数据安全技术保障措施建设的主要要求
(五)数据合规留痕建设
数据合规留痕是指在企业数据处理活动中,对数据的收集、存储、使用、传输、删除等各个环节进行记录和保存,以确保数据处理的合规性、可追溯性和透明度。该机制有助于企业在法律审查、合规审计或数据安全事件发生时,提供充分的证据,以证明其数据处理活动的合法性和合规性。
合规留痕可分为静态合规留痕和动态合规留痕两个方面。静态合规留痕主要涉及组织与人员建设、数据安全合规制度建设、数据处理全生命周期管理机制建设、数据安全技术保障措施建设等方面的记录和存档,表现形式包括制度文件、人员培训记录、技术措施部署记录等。动态合规留痕则要求银行保险机构对数据风险进行实时监测和管控。《办法》第六十三至第六十九条、第七十四条对此作出具体规定,包括但不限于:将数据安全风险纳入本机构全面风险管理体系、持续监测数据安全威胁、定期开展数据安全风险评估和审计并向监管部门报告,以及建立数据安全事件应急管理机制等。
综上所述,《办法》对银行保险机构的数据合规留痕体系建设提出了明确要求,详见下图6。
图6:《办法》关于银行保险机构数据合规留痕建设的主要要求
结语
《办法》的出台标志着金融行业数据安全管理进入系统化、精细化的新阶段。本文围绕《办法》的主要内容,分析了其对银行保险机构数据安全合规体系的影响,并从组织架构、制度建设、全生命周期管理、技术保障、合规留痕五个方面探讨了机构如何构建和优化数据安全管理体系。银行保险机构应以《办法》为指引,结合自身业务特点,完善数据安全管理体系,提升数据保护能力,以确保合规经营和金融安全稳定。
