《银行保险机构数据安全管理办法》发布征求意见

2024年3月22日，国家金融监督管理总局（下称“金融监管总局”）发布了《银行保险机构数据安全管理办法（征求意见稿）》（下称“《征求意见稿》”），向社会公开征求意见。

本文拟就《征求意见稿》出台的背景与意义、适用范围及主要亮点进行简要评析。

一、背景与意义

在此背景下，金融监管总局发布了其挂牌成立后发布的第一部有关数据安全的规定，旨在规范银行业保险业数据处理活动，履行作为行业主管部门对本行业数据安全监管职责，同时也为银行、保险机构等主体的数据安全管理活动提供了更为明确的指引。

二、适用范围

适用主体。《征求意见稿》适用于在中华人民共和国境内设立的开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用社等银行金融机构；保险集团（控股）公司、保险公司、保险资产管理公司等保险机构；金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、理财公司等其他金融机构。金融监管总局批准设立的外国银行分行、其他金融机构、金融控股公司、总局管理单位以及地方金融监管部门批准设立的金融组织亦参照适用本规范文件。可以看出，《征求意见稿》以机构类型划分适用范围，主体覆盖范围广泛，意图将各类金融主体均纳入《征求意见稿》的适用范围之内予以规制。

适用的数据处理行为。《征求意见稿》排除对开展涉及国家秘密的数据处理活动的适用，即除国家秘密以外的数据处理活动均会适用。

三、亮点简析

《征求意见稿》共分为九章，分别为总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。从具体内容上看，其针对银行保险机构的行业特点与数字化、智能化过程中的特点，结合现行数据安全法律法规引入了更具体、更有针对性的规定。

1.数据分级分类与重要数据目录

在数据分类方面，《征求意见稿》第十七条将数据分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据四类。

在数据分级方面，《征求意见稿》第十八条明确规定“银行保险机构应当根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据。其中，一般数据细分为敏感数据和其他一般数据。”这一规定与央行公布的行业标准《金融数据安全数据安全分级指南》和《央行征求意见稿》所规定的数据分级方式与标准存在一定差异。《金融数据安全数据安全分级指南》根据金融机构数据使用的业务场景、数据的公开范围、数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级、4级、3级、2级、1级。《央行征求意见稿》则采用了三级五层的分级方法，将数据分为了一般数据、重要数据、核心数据三大级别，并按照数据的敏感性进一步分层级，根据数据泄露或被非法获取/利用时可能对个人、组织合法权益或公共利益造成的危害程度分为五个层级。而在《征求意见稿》中则采用四级的分级方式，根据数据的规模与精度、数据泄露或者篡改、损毁所造成的影响进行分级。

2.外部数据采购与外包管理

由于金融业务的复杂性与专业性，金融机构委托第三方进行数据处理或从外部机构处采购数据属于常见的情形。但是由于外部主体的数据安全管理能力参差不齐、外部主体与金融机构之间的权利义务不明等原因，外包场景常常是数据安全风险发生的重灾区。因此，与《央行征求意见稿》中简单在条款中列举外部数据采购和外包管理不同，金融监管总局在《征求意见稿》对此问题做了针对性规定，为“外部数据采购”和“外包管理”单列条款以明确这两种场景下银行保险机构的义务，即针对外部数据处理情形下银行保险机构分别以数据委托处理者与数据接收方两种身份所应当承担的义务。

在外包管理场景下，《征求意见稿》第三十一条明确将数据委托处理纳入信息科技外包管理范围，并对外包的范围加以限制，即信息科技管理责任、数据安全主体责任不外包、信息科技核心竞争力的职能不外包。

这两条规定针对外部数据采购与外包场景下的常见风险，并结合现行数据安全法律法规对其进行规制，能够为银行保险机构提供明晰的合规指引，有效化解外包场景下的数据安全风险。

在人工智能方面，《征求意见稿》要求银行保险机构在开展模型算法开发活动时，确保数据处理的透明度和结果公平合理。同时，银行保险机构还应当对人工智能模型开发应用进行统一管理，建立模型算法产品外部引入的准入机制，确保模型算法可验证、可审核、可追溯。此外，当使用人工智能技术开展业务时，银行保险机构还应当就数据对决策结果影响履行解释说明义务和信息披露义务，进行实时监测并建立专门针对人工智能应用的风险缓释措施。这些规定主要体现了现行法律法规对于自动化决策的要求，即保证决策的透明度和结果公平、公正，向有关主体履行说明义务等。

4.设定数据安全保护基线

《征求意见稿》第四十一条首先提出银行保险机构存在根据数据安全级别，划分网络逻辑安全域，建立分区域数据安全保护基线的义务。接着，第四十二条至第四十六条分别从信息系统保护、数据访问控制、数据传输保护、数据存储保护、数据销毁管理五方面提出安全保护基线的具体内容。同时，数据安全保护基线的适用范围主要集中于敏感级及以上的数据，即《征求意见稿》数据分级中的核心数据、重要数据与敏感数据。这是数据分级分类在具体实践中的应用，体现对不同重要程度的数据所采取的不同保护措施和安全要求。

5.数据安全评估义务

这一规定实则是将《个人信息保护法》第五十五条、第五十六条中对个人信息保护影响评估的适用情形与评估内容移植到了非个人信息的数据上，将影响评估的适用范围进行扩展，对敏感级及以上的数据或特定数据处理场景中的数据保护提出更高要求。

6.数据安全风险管理

《征求意见稿》从数据安全风险评估、数据安全审计、数据安全事件应急管理等方面对银行保险机构提出了数据安全风险管理的要求。

在数据安全审计方面，《征求意见稿》明确了数据安全审计的两种触发场景，即每三年开展至少一次数据安全全面审计，与在发生重大数据安全事件后应当开展专项审计。审计对象包括但不限于数据访问活动、数据委托处理、网络安全、日志、大数据访问等。同时，《征求意见稿》第六十六条明确要求保障审计机构的独立性，银行保险机构委托专业机构进行数据安全审计时，不得使用该机构提供的产品和其他服务，防止审计结果受到影响。

四、结语

我们建议在《征求意见稿》适用范围内的主体仔细研究学习新规内容，梳理合规义务清单，提前准备《征求意见稿》正式出台后的合规工作。