国产综合自拍-国产综合色在线视频-国产综合色在线视频区-国产综合色精品一区二区三区-一级特黄a大片免费-一级特黄a免费大片

保險行業資源門戶網站

  1. 首頁
  2. 保險法律
  3. 正文

銀行保險機構數據安全管理辦法(公開征求意見稿)

  • 2024年03月25日
  • 10:15
  • 來源:國家金融監督管理總局網站
  • 作者:

第一章  總  則


第一條 (立法目的及依據)

為規范銀行業保險業數據處理活動,保障數據安全、金融安全,促進數據合理開發利用,保護個人、組織的合法權益,維護國家安全和社會公共利益,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》《中華人民共和國保險法》等法律法規,制定本辦法。

第二條 (適用范圍)

在中華人民共和國境內設立的開發性金融機構、政策性銀行、商業銀行、農村合作銀行、農村信用社,保險集團(控股)公司、保險公司、保險資產管理公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司、理財公司適用本辦法。

開展涉及國家秘密的數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

第三條 (術語定義)

本辦法所稱數據,是指以電子或者其他方式對信息的記錄。

數據處理,是指對數據的收集、存儲、使用、加工、傳輸、提供、共享、轉移、公開、刪除、銷毀等。

數據安全,是指通過采取必要措施,對數據處理活動和數據應用場景進行管理與控制,確保數據始終處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。

數據主體,是指數據所標識的自然人或者其監護人、企業、機關、事業單位、社會團體和其他組織。

個人信息,是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。

大數據平臺,是指以處理海量數據存儲、計算、分析等為目的的基礎設施,包括數據統計分析類的平臺和大數據處理類平臺(如數據湖、數據倉庫等)。

第四條 (數據安全監管)

國家金融監督管理總局及其派出機構負責銀行業保險業數據安全的監督管理,制定并發布監管規章制度,對銀行保險機構履行數據安全保護義務情況進行監督檢查。

第五條 (數據安全管理體系)

銀行保險機構應當建立與本機構業務發展目標相適應的數據安全治理體系,建立健全數據安全管理制度,構建覆蓋數據全生命周期和應用場景的安全保護機制,開展數據安全風險評估、監測與處置,保障數據開發利用活動安全穩健開展。銀行保險機構利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度基礎上,履行數據安全保護義務。

第六條 (保護原則與目標)

銀行保險機構開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、政治安全、金融安全、公共利益,不得損害個人、組織的合法權益。

第七條 (數據開發利用)

銀行保險機構應當統籌發展和安全,落實國家大數據戰略,推進數據基礎設施建設,加大數據創新應用力度,促進以數據為關鍵要素的數字經濟發展,提升金融服務的智能化水平,創新普惠金融服務模式,增強防范化解風險的能力。

第八條 (持續提升)

銀行保險機構應當持續跟蹤新興數據開發利用和科技發展前沿動態,有效應對大數據應用與科技創新可能產生的規則沖突、社會風險、倫理道德風險,防止數據與科技被誤用、濫用。


第二章  數據安全治理


第九條 (數據安全治理架構)

銀行保險機構應當建立覆蓋董(理)事會、高管層、數據安全統籌、數據安全技術保護等部門的數據安全管理組織架構,明確崗位職責和工作機制,落實資源保障。

第十條 (數據安全責任制)

銀行保險機構應當建立數據安全責任制,黨委(黨組)、董(理)事會對本單位數據安全工作負主體責任。銀行保險機構主要負責人為數據安全第一責任人,分管數據安全的領導為直接責任人,明確各層級負責人的責任,明確違規情形和責任追究事項,落實問責處置機制。

第十一條 (數據安全歸口管理部門)

銀行保險機構應當指定數據安全歸口管理部門,作為本機構負責數據安全工作的主責部門。其主要職責包括:

(一)組織制定數據安全管理原則、規劃、制度和標準。

(二)組織建立和維護數據目錄,推動實施數據分類分級保護。

(三)組織開展數據安全評估和審查。

(四)統籌建立數據安全應急管理機制,組織開展數據安全風險監測、預警與處置。

(五)組織開展數據安全宣貫培訓,提升員工數據安全保護意識與技能。

(六)建立和維護內部數據共享、外部數據引入、數據對外提供、數據出境的統籌管理機制,牽頭對外部數據供應商進行安全管理,統籌大數據應用、數據共享項目的安全需求管理。

(七)向黨委(黨組)、董(理)事會、高管層報告數據安全重要事項。

(八)其他須統籌管理的數據安全工作事項。

第十二條 (業務部門)

銀行保險機構應當按照“誰管業務、誰管業務數據、誰管數據安全”的原則,明確各業務領域的數據安全管理責任,落實數據安全保護管理要求。

第十三條 (風險合規與審計部門)

銀行保險機構風險管理、內控合規和審計部門負責將數據安全納入全面風險管理體系、內控評價體系,定期開展審計、監督檢查與評價,督促問題整改和開展問責。

第十四條 (數據安全技術保護部門)

銀行保險機構信息科技部門是數據安全的技術保護主責部門,其主要職責包括:

(一)建立數據安全技術保護體系,建立數據安全技術架構和保護控制基線,落實技術保護措施。

(二)制定數據安全技術標準規范制度,組織開展數據安全技術風險評估。

(三)組織開展信息系統的生命周期安全管理,確保數據安全保護措施在需求、開發、測試、投產、監測等環節得到落實。

(四)建立數據安全技術應急管理機制,組織開展數據安全風險技術監測、預警、通報與處置,防范外部攻擊行為。

(五)組織數據安全技術研究與應用。

第十五條 (數據安全文化建設)

銀行保險機構應當建立良好的數據安全文化,開展全員數據安全教育和培訓,提高數據安全保護意識和水平,形成全員共同維護數據安全和促進發展的良好環境。


第三章  數據分類分級


第十六條 (總體要求)

銀行保險機構應當制定數據分類分級保護制度,建立數據目錄和分類分級規范,動態管理和維護數據目錄,采取差異化安全保護措施。

第十七條 (數據分類)

銀行保險機構應當對機構業務及經營管理過程中獲取、產生的數據進行分類管理,數據類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。

第十八條 (數據分級)

銀行保險機構應當根據數據的重要性和敏感程度,將數據分為核心數據、重要數據、一般數據。其中,一般數據細分為敏感數據和其他一般數據。

核心數據是指對領域、群體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度的重要數據,一旦被非法使用或者共享,可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益。

重要數據是指特定領域、特定群體、特定區域或者達到一定精度和規模的數據,一旦被泄露或者篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。

敏感數據是指,一旦被泄露或者篡改、損毀,對經濟運行、社會穩定、公共利益有一定影響,或者對組織自身或者公民個體造成重要影響的數據。

除以上數據之外的數據為其他一般數據。

第十九條 (動態調整)

銀行保險機構應當加強數據安全級別的時效管理,建立動態調整審批機制,當數據的業務屬性、重要程度和可能造成的危害程度發生變化,導致原安全級別不再適用的,應當及時動態調整。


第四章  數據安全管理


第二十條 (管理體系)

銀行保險機構應當按照國家數據安全與發展政策要求,根據自身發展戰略,制定數據安全保護策略。銀行保險機構應當制定數據安全管理辦法,明確管理責任分工,建立包括數據處理全生命周期管控機制,落實保護措施。

銀行保險機構應當對數據外部引入或者合作共享、數據出境等,制定安全管理實施細則。

第二十一條 (數據資產管理)

銀行保險機構應當建立企業級數據架構,統籌開展對全域數據資產登記管理,建立數據資產地圖,以數據分類分級為基礎明確數據保護對象,圍繞數據處理活動實施安全管理。

第二十二條 (數據安全評估)

銀行保險機構在處理敏感級及以上數據的業務活動時,或者開展數據委托處理、共同處理、轉移、公開、共享等對數據主體有較大影響的活動時,應當事先開展數據安全評估。數據安全評估應當根據數據處理目的、性質和范圍,按照法律法規和倫理道德規范要求,分析數據安全風險和對數據主體權益影響,評估數據處理的必要性、合規性,評估數據安全風險及防控措施的有效性。

第二十三條 (數據服務管理)

銀行保險機構應當建立企業級數據服務管理體系,制定數據服務規范,建立專職數據服務團隊,統籌內外部數據加工、分析,實施數據服務需求分析、服務開發、服務部署、服務監控等活動。

第二十四條 (數據收集)

銀行保險機構收集數據應當堅持“合法、正當、必要、誠信”原則,明確數據收集和處理的目的、方式、范圍、規則,保障收集過程的數據安全性、數據來源可追溯。銀行保險機構不得超出數據主體同意的范圍向其收集數據,法律、行政法規另有規定的除外。

銀行保險機構向其他銀行保險機構收集行業重要級及以上數據,需經國家金融監督管理總局同意。

第二十五條 (數據收集)

銀行保險機構應當以信息系統為數據收集的主要渠道,限制或者減少其他渠道、臨時性數據收集。

銀行保險機構停止金融業務或者服務后,應當立即停止相關數據收集或者處理活動,法律、行政法規另有規定的除外。

第二十六條 (外部數據采購)

銀行保險機構應當制定外部數據采購、合作引入的集中審批管理制度,納入外包風險管理體系進行統籌管理,統籌建立數據需求、安全評估、收集引入、數據運維、登記備案和監督評價管理機制,對數據來源的真實性、合法性進行調查,評估數據提供者的安全保障能力及其數據安全風險,明確雙方數據安全責任及義務。

第二十七條 (數據加工)

銀行保險機構開展敏感級及以上數據清洗轉換、匯聚融合、分析挖掘等數據加工活動時,應當采用匿名化、去標識化或者其他必要安全措施保護數據主體權益,法律、行政法規另有規定的除外。數據匯聚融合衍生敏感級及以上數據,或者導致數據安全級別變化的,應當及時評估、調整安全保護措施。

第二十八條 (數據使用)

銀行保險機構應當按照“業務必要授權”原則,對敏感級及以上數據嚴格實施授權管理,制定數據訪問閉環管理機制,并對數據訪問行為實施審計。確因業務需要從生產環境提取數據的,應當建立嚴格的審批程序,并明確數據使用或者保存期限。

銀行保險機構利用互聯網等信息網絡開展數據處理活動時,要落實網絡安全等級保護、關鍵信息基礎設施安全保護、密碼保護等制度要求。

第二十九條 (數據共享及集團內部共享)

銀行保險機構應當對數據共享使用進行集中安全管控,明確企業級數據共享策略,評估數據共享使用的必要性、合規性、安全性及倫理道德規范的符合度。

銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火墻”,并對共享數據采取有效保護措施。銀行保險機構與其母行、集團,或者其子行、子公司共享敏感級及以上數據,應當獲得數據主體的授權同意,法律、行政法規另有規定的除外。不得以數據主體拒絕同意共享敏感數據而終止或者拒絕單家子行、子公司對其提供金融服務,所共享數據屬于提供產品或者服務所必需的除外。

第三十條 (數據委托處理)

銀行保險機構在委托處理數據時,應當明確所涉數據外部使用和處理的條件、場景、方式。委托處理數據時,應當以合同協議方式約定委托處理的目的、期限、處理方式、數據范圍、保護措施、雙方的數據安全責任和義務,以及受托方返還或者刪除數據的方式等,對數據處理活動進行記錄和審計,可對外公開披露的數據除外。銀行保險機構應當要求受托方在未取得其同意時,不得轉委托其他主體處理數據,不得對外共享數據,不得加工、訓練、挪用數據,或者采取其他形式處理數據以謀取合同或者協議約定以外的利益。

第三十一條 (外包管理)

銀行保險機構應當將數據委托處理納入信息科技外包管理范圍,在實施過程中不得將信息科技管理責任、數據安全主體責任外包,涉及信息科技戰略管理、信息科技風險管理、信息科技內部審計及其他有關信息科技核心競爭力的職能不得外包。

第三十二條 (數據共同處理)

銀行保險機構與第三方機構進行數據共同處理時,應當按照“業務必要授權”原則制定方案并采取有效技術保護措施確保數據安全,并以合同協議方式明確雙方在數據處理過程中的數據安全責任和義務。

第三十三條 (數據轉移)

銀行保險機構因兼并、重組、破產等需要轉移數據,應當明確數據轉移內容,通過協議、承諾等方式約定數據接收方全面承接對應數據的安全保護義務,通過公告等方式告知數據主體。數據轉移應當采用安全可靠方式進行,并確保轉移過程可追溯。

第三十四條 (數據轉移)

銀行保險機構向外部提供敏感級及以上數據,應當取得數據主體同意,法律、行政法規另有規定的除外。除國家機關依法履職外,銀行保險機構核心數據跨主體流動應當按照國家相關政策要求通過風險評估、安全審查。

第三十五條 (數據公開)

銀行保險機構應當建立對外公開披露數據的審批機制,研判可能產生的影響,數據公開應當在機構官方渠道進行發布,確保數據真實、準確、防篡改,記錄審批和發布情況。

敏感級及以上數據不得公開,法律、行政法規另有規定的或者取得數據主體授權同意的除外。

第三十六條 (數據跨境)

銀行保險機構向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息,應當承擔數據安全主體責任,并按照國家有關政策要求進行安全評估。

第三十七條 (數據備份)

銀行保險機構應當采取技術措施,對敏感級及以上數據加強重點防護。加強數據備份,制定備份策略,備份數據和生產數據應隔離分開保存,嚴格管理備份數據的訪問權限。制定備份驗證計劃,確保備份數據完整有效、業務可恢復。

第三十八條 (數據刪除與銷毀)

銀行保險機構應當制定數據銷毀管理制度,按照國家、行業有關規定及與數據主體的約定進行數據刪除或者匿名化處理。銀行保險機構委托數據處理中止時,應當要求服務提供商及時刪除數據,并采取現場檢查等有效監督措施,確保數據被銷毀、不可恢復。


第五章  數據安全技術保護


第三十九條 (數據安全技術保護體系)

銀行保險機構應當建立針對大數據、云計算、移動互聯網、物聯網等多元異構環境下的數據安全技術保護體系,建立數據安全技術架構,明確數據保護策略方法,采取技術措施,保障數據安全。

第四十條 (信息系統生命周期的數據安全)

銀行保險機構應當將數據安全保護納入信息系統開發生命周期框架,針對敏感級及以上數據明確安全保護要求,實現數據安全保護措施與信息系統的同步規劃、同步建設、同步使用。

第四十一條 (網絡安全與數據安全保護)

銀行保險機構應當將數據納入網絡安全等級保護。銀行保險機構應當根據數據安全級別,劃分網絡邏輯安全域,建立分區域數據安全保護基線,實施有效的安全控制,包括內容過濾、訪問控制和安全監控等,確保相關措施滿足處理和存儲最高級別數據的網絡安全策略和數據安全保護策略要求。存放或者傳輸敏感級及以上數據的機房、網絡應當實施重點防護,設立物理安全保護區域,對網絡邊界、重要網絡節點進行安全監控與審計。

第四十二條 (數據安全保護基線-信息系統保護)

銀行保險機構應當將敏感級及以上數據納入信息系統保護。在數據全生命周期內采取有效的訪問控制管理措施,對于不同區域流轉和共享中的數據,應當實施同等水平的安全防護措施。多來源敏感級及以上數據匯聚集中后,應當采取加強性或者至少不低于集中前最高級別數據保護強度的安全措施。

第四十三條 (數據安全保護基線-數據訪問控制)

銀行保險機構應當嚴格實施對敏感級及以上數據的管理,制定用戶對數據的訪問策略,采取有效的用戶認證和訪問控制技術措施,規范數據操作行為,用戶對數據的訪問應當符合業務開展的必要要求并與數據安全級別相匹配。敏感級及以上數據的操作應當進行日志記錄,包括操作時間、用戶標識、行為類型等,核心數據操作日志及其備份數據保存時間不低于3年,重要數據、敏感數據操作日志及其備份數據保存時間不低于1年,如涉及委托處理、共同處理的數據操作日志及其備份數據保存時間不低于3年。應當定期對數據操作行為進行審計,審計周期不超過6個月。

第四十四條 (數據安全保護基線-數據傳輸保護)

銀行保險機構敏感級及以上數據傳輸應當采用安全的傳輸方式,保障數據完整性、保密性、可用性。

銀行保險機構之間進行數據交換時,參與數據交換的相關機構應當采取有效措施保障信息數據傳輸和存儲的保密性、完整性、準確性、及時性、安全性。

第四十五條 (數據安全保護基線-數據存儲保護)

銀行保險機構應當對敏感級及以上數據采取安全存儲措施,防止勒索病毒、木馬后門等攻擊。個人身份鑒別數據不得明文存儲、傳輸和展示。敏感級及以上數據應當實施數據容災備份,定期進行數據可恢復性驗證。

第四十六條 (數據安全保護基線-數據銷毀管理)

敏感級及以上數據達到使用或者保存期限后,應當采取技術措施及時刪除或者銷毀,確保數據不可恢復。終端和移動存儲介質內的敏感級及以上數據應當采取技術保護措施,確保受控安全訪問,介質報廢或者重用時,其存儲空間數據應當完全清除并不可恢復。

第四十七條 (數據安全基礎設施)

銀行保險機構應當開展數據安全的技術基礎設施建設,支持用戶身份管理、數據匿名化、行為監測、日志審計、數據虛擬化等功能的組件化、服務化,保障安全標準在信息系統中執行的一致性。

第四十八條 (數據安全測試)

銀行保險機構開發信息系統時,應當明確系統擬處理的數據及其安全級別、訪問規則、保護需求,并實施有效的系統安全控制。系統投產上線前應當開展安全測試,確保各項安全要求落實,有效防范數據安全風險。測試環境應當與生產系統隔離,敏感級及以上數據原則上未經脫敏處理不得進入測試環境, 防止數據泄露。

第四十九條 (大數據平臺安全)

銀行保險機構應當對大數據平臺采取高可用設計、安全加固、數據備份等措施進行重點保護。應當建立大數據服務訪問授權機制,動態監測與審計大數據訪問行為。

第五十條 (數據加工)

銀行保險機構開展自動化決策分析、模型算法開發、數據標注等活動,應當保證數據處理透明度和結果公平合理。銀行保險機構應當對人工智能模型開發應用進行統一管理,建立模型算法產品外部引入的準入機制,對模型研發過程進行主動管理,實現模型算法可驗證、可審核、可追溯。

第五十一條 (數據加工)

銀行保險機構信息系統、模型算法投入使用時,應當開展數據安全審查,審查數據與模型使用的合理性、正當性、可解釋性,以及數據利用對相關主體合法權益的影響、倫理道德風險及防控措施有效性等。

第五十二條 (數據加工)

銀行保險機構使用人工智能技術開展業務時,應當就數據對決策結果影響進行解釋說明和信息披露,實時監測自動化處理與系統運行結果,建立人工智能應用的風險緩釋措施,包括制定退出人工智能應用的替代方案,對安全威脅制定應急方案并開展演練。

第五十三條 (外部交互數據安全)

銀行保險機構在建設開放銀行、金融生態或者與第三方數據合作時,要實現自身與外部的安全風險隔離,與外部機構的數據交互應當通過集中管理的外聯平臺或者應用程序接口實施,依據“業務必需、最小權限”原則,采取有效措施對接口設計、開發、服務、運行等進行集中安全保護管理。


第六章  個人信息保護


第五十四條 (處理原則)

銀行保險機構處理個人信息應當按照“明確告知、授權同意”的原則實施,法律、行政法規另有規定的除外,并在信息系統中實現相關功能控制。

第五十五條 (處理原則)

銀行保險機構處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,收集個人信息應當限于實現金融業務處理目的的最小范圍,不得過度收集個人信息。不得利用所收集的個人信息從事違法違規活動。

第五十六條 (告知義務)

銀行保險機構處理個人信息前,應當真實、準確、完整地向個人告知其個人信息的處理目的、處理方式、處理的個人信息種類、保存期限,個人行使其信息權利的申請受理和處理程序,以及法律法規規定應當告知的其他事項。

銀行保險機構應當制定個人信息處理規則,個人信息處理規則應當公開展示、易于訪問、內容明確、清晰易懂。

第五十七條 (告知義務)

銀行保險機構不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務,處理個人信息屬于提供產品或者服務所必需的除外。

第五十八條 (影響評估)

銀行保險機構在開展涉及對個人權益有重大影響的個人信息處理活動時,應當進行個人信息保護影響評估,評估內容包括個人信息處理的合法性、必要性,對個人權益的影響及安全風險,所采取的保護措施合法性、有效性以及是否與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十九條 (共享和外部提供)

銀行保險機構與其母行、集團,或者其子行、子公司共享個人信息,及向外部提供個人信息,應當履行向個人告知及取得其同意等相關事項的義務。

第六十條 (跨境傳輸)

銀行保險機構向中華人民共和國境外提供個人信息的,除滿足第五十九條規定的要求外,還應當向個人告知其向境外接收方行使信息權利的方式和程序等事項,法律、行政法規另有規定的除外。

第六十一條 (委托處理)

銀行保險機構委托第三方處理個人信息的,應當在合同或者協議條款內明確受托人對個人信息的保護義務、保護措施和期限等,并嚴格監督受托人以約定的處理目的、處理方式等處理個人信息,與第三方傳輸個人敏感數據必須確保安全,防范數據濫用和泄漏風險。未經銀行保險機構同意,受托人不得轉委托他人處理個人信息。

第六十二條 (自動化決策)

銀行保險機構在算法設計、訓練數據選擇和模型生成時,應當采取有效措施,保障個人合法權益。利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正。

第六十三條 (個人信息風險報告)

發生或者可能發生個人信息泄露、篡改、丟失的,銀行保險機構應當立即采取補救措施,同時通知個人并報送國家金融監督管理總局或者其派出機構。通知應當包括下列事項:

(一)發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;

(二)銀行保險機構采取的補救措施和個人可以采取的減輕危害的措施。

銀行保險機構采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,可以不通知個人;監管部門認為可能造成危害的,有權要求銀行保險機構通知個人。


第七章  數據安全風險監測與處置


第六十四條 (數據安全風險管理機制)

銀行保險機構應當將數據安全風險納入本機構全面風險管理體系,明確數據安全風險監測、風險評估、應急響應及報告、事件處置的組織架構和管理流程,有效防范和處置數據安全風險。

第六十五條 (風險監測)

銀行保險機構應當對數據安全威脅進行有效監測,實施監督檢查,主動評估風險,防止數據篡改、破壞、泄露、非法利用等安全事件發生。監測內容包括:

(一)超范圍授權或者使用系統特權賬號;

(二)內部人員異常訪問、使用數據;

(三)對數據集中共享的系統或者平臺的網絡安全、數據安全威脅;

(四)敏感級及以上數據在不同區域的異常流動;

(五)移動存儲介質的異常使用;

(六)外包、第三方合作中的數據處理異常或者數據泄露、丟失和篡改;

(七)客戶有關數據安全的投訴;

(八)數據泄露、仿冒欺詐等負面輿情;

(九)其他可能導致數據安全事件發生的情況。

第六十六條 (風險評估與審計)

銀行保險機構應當每年開展一次數據安全風險評估。審計部門應當每三年至少開展一次數據安全全面審計,發生重大數據安全事件后應當開展專項審計。銀行保險機構委托專業機構進行數據安全審計時,不得使用該機構提供的產品和其他服務。

第六十七條 (數據安全事件分級)

數據安全事件是指銀行保險機構數據被篡改、泄露、破壞、非法獲取、非法利用等,對個人或者組織合法權益、行業安全、國家安全造成負面影響的事件。根據其影響范圍和程度,分為特別重大、重大、較大和一般四個事件級別。

第六十八條 (應急響應與處置)

銀行保險機構應當建立數據安全事件應急管理機制,建立機構內部協調聯動機制,建立服務提供商、第三方合作機構數據安全事件的報告機制,及時處置風險隱患及安全事件。

(一)制定數據安全事件應急預案,定期開展應急響應培訓和應急演練。

(二)發生數據安全事件后,應當立即啟動應急處置,分析事件原因、評估事件影響、開展事件定級,按照預案及時采取業務、技術等措施控制事態。

(三)建立數據安全事件報告機制,根據事件安全等級制定報告流程,發生數據安全事件時按照規定報告,同時按照合同、協議等有關約定履行客戶及合作方告知義務。

(四)發生數據安全事件或者使用的網絡產品和服務存在安全缺陷、漏洞時,應當立即開展調查評估,及時采取補救措施,防止危害擴大。網絡產品和服務提供商存在安全缺陷、漏洞隱瞞不報的,銀行保險機構應當責令其改正;未按要求整改或者造成嚴重后果的,應當取消其服務資格,按合同約定予以處罰,并向國家金融監督管理總局或者其派出機構報告。

第六十九條 (事件監管報告)

數據安全事件發生2小時內,銀行保險機構應當向國家金融監督管理總局或者其派出機構報告,并在事件發生后24小時內提交正式書面報告。發生特別重大數據安全事件,銀行保險機構應當立即采取處置措施,按照規定及時告知用戶并向屬地公安機關、金融監管機構報告。銀行保險機構應當每2小時將處置進展情況上報,直至處置結束。數據安全事件處置結束后,銀行保險機構應當在五個工作日內將事件及其處置的評估、總結和改進報告報送屬地監管部門。其他法律、行政法規對數據安全事件應急處置作出規定的,銀行保險機構應當執行。


第八章  監督管理


第七十條 (監管方式)

國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進行監督管理,開展非現場監管、現場檢查,將數據安全管理情況納入監管評級評估體系,依法對銀行保險機構數據安全事件進行處罰和處置,實施對數據安全管理的持續監管。

第七十一條 (數據目錄管理)

國家金融監督管理總局按照國家數據分類分級要求,制定銀行業保險業重要數據目錄,提出核心數據目錄建議,監督指導銀行保險機構開展數據分類分級管理和數據保護。銀行保險機構應當按要求向國家金融監督管理總局或者其派出機構報送重要數據目錄。重要數據目錄發生重大變化應當及時報備更新后的數據目錄。

第七十二條 (行業監測預警)

國家金融監督管理總局建立銀行業保險業數據安全監測預警、通報處置機制,持續監測數據安全風險,向行業發布風險提示,制定銀行業保險業數據安全事件應急預案,處置數據安全風險事件。與國家數據安全管理部門建立聯防聯控管理機制,實施數據安全信息共享、風險監測預警及數據安全事件處置。

第七十三條 (機構報告)

涉及批量敏感級及以上數據的數據共享、委托處理、轉讓交易、數據轉移,銀行保險機構應當在處理、合同簽署前二十個工作日向國家金融監督管理總局或者其派出機構報告,法律、行政法規另有規定的除外。

第七十四條 (機構報告)

銀行保險機構應當于每年1月15日前向國家金融監督管理總局或者其派出機構報送上一年度數據安全風險評估報告,報告內容包括數據安全治理、技術保護、數據安全風險監測及處置措施、數據安全事件及處置情況、委托和共同處理、數據出境、數據安全評估與審查情況、數據安全相關的投訴及處理情況等。

第七十五條 (現場檢查與事件處置)

國家金融監督管理總局及其派出機構對銀行保險機構數據安全保護情況進行現場檢查、事件調查,對于發現涉嫌違法違規事項的有關單位和個人,依法開展調查。現場檢查、事件調查可以委托國家、行業有關專業技術機構或者審計機構予以協助。

第七十六條 (監管措施與法律責任)

銀行保險機構違反本辦法要求的,國家金融監督管理總局或者其派出機構根據其違規情況,對銀行保險機構依法采取風險提示、監管談話、監管通報、責令改正等監管措施;對涉及違規處理行為的系統或者應用,責令暫停或者終止服務;對有重大違法違規情形,或者遲報、瞞報數據安全事件和案件,或者產生重大數據安全風險、事件、案件的第三方機構進行行業通報,責令銀行保險機構暫緩或者停止合作。

第七十七條 (監管措施與法律責任)

銀行業金融機構違反本辦法要求的,國家金融監督管理總局或者其派出機構可以依據《中華人民共和國銀行業監督管理法》相關規定,責令銀行機構改正,并處以二十萬以上五十萬以下罰款;情節特別嚴重或者逾期不改正的,可以責令停業整頓或者吊銷其經營許可證。根據違規情況,可以責令銀行業金融機構對直接負責的董事、高級管理人員和其他直接責任人員給予紀律處分;銀行業金融機構的行為尚不構成犯罪的,對直接負責的董事、高級管理人員和其他直接責任人員給予警告,處五萬元以上五十萬元以下罰款;取消直接負責的董事、高級管理人員一定期限直至終身的任職資格,禁止直接負責的董事、高級管理人員和其他直接責任人員一定期限直至終身從事銀行業工作。構成犯罪的,依法追究刑事責任。

保險機構違反本辦法要求的,國家金融監督管理總局或者其派出機構可以依據《中華人民共和國保險法》相關規定,責令保險機構改正,處五萬元以上三十萬元以下的罰款;情節嚴重的,限制其業務范圍、責令停止接受新業務或者吊銷業務許可證。根據違規情況,對其直接負責的主管人員和其他直接責任人員給予警告,并處一萬元以上十萬元以下的罰款;情節嚴重的,撤銷任職資格。構成犯罪的,依法追究刑事責任。

實施過程中如遇《中華人民共和國銀行業監督管理法》《中華人民共和國保險法》修訂,以修訂后的規定為準。

第七十八條 (行業協會職責)

中國銀行業協會、中國保險行業協會等行業社團組織應當通過宣傳、培訓、自律、協調、服務等方式,協助引導會員單位提高數據安全管理水平。


第九章  附  則


第七十九條 (解釋和修訂)

本辦法由國家金融監督管理總局負責解釋和修訂。

第八十條 (參照執行)

國家金融監督管理總局批準設立的外國銀行分行、其他金融機構、金融控股公司以及總局管理單位參照適用本辦法。地方金融監督管理部門批準設立的金融組織參照適用本辦法。

第八十一條 (生效日期)

本辦法自公布之日起施行,《銀行保險機構數據安全辦法》(銀保監辦發〔2022〕118號)同時廢止。


附件:數據安全事件分級

附件


數據安全事件分級


一、特別重大數據安全事件

1.核心數據遭到泄露、破壞或者非法獲取、非法利用。

2.重要數據遭到泄露、破壞或者非法獲取、非法利用,對2個及以上省級區域經濟運行秩序造成特別嚴重影響。

3.敏感級及以上數據遭到大規模泄露、破壞或者非法獲取、非法利用,導致下述情形之一的:

(1)對公共利益造成特別嚴重危害,造成特別重大經濟損失,或者產生特別重大社會群體性事件;

(2)對銀行業保險業核心業務、系統重要性金融機構、關鍵信息基礎設施等生產經營造成特別嚴重威脅或者影響,包括導致大面積業務中斷、大量處理能力喪失、大面積關鍵信息基礎設施癱瘓等。

4.其他對國家安全、政治安全、經濟金融安全、公共利益造成特別嚴重影響的。

二、重大數據安全事件

1.重要數據遭到泄露、破壞或者非法獲取、非法利用,對省級區域經濟帶來重大影響或者對銀行保險行業安全造成影響。

2.敏感級及以上數據遭到泄露、破壞或者非法獲取、非法利用,導致下述情形之一的:

(1)對多個銀行保險機構的業務、重要信息系統生產運營造成嚴重威脅或者影響,可能導致區域性或者部分金融機構的業務中斷、信息系統中斷、處理能力喪失等;

(2)對公眾利益造成嚴重危害,產生大范圍社會負面影響,可能導致或者直接造成大面積投訴、社會群體性事件;

(3)對多個個人或者組織權益造成嚴重影響,包括對黨政機關、企事業單位、社會團體等多個組織造成嚴重經濟或者技術損失,對生產經營秩序產生直接影響;多人財產安全受到嚴重危害、尊嚴遭受侵害等。

3.其他對國家安全、經濟金融安全、公共利益、個人和組織權益造成嚴重影響的。

三、較大數據安全事件

敏感級及以上數據遭到泄露、破壞或者非法獲取、非法利用,導致下述情形之一的:

1.對個人造成不可消除或者消除代價較大的負面影響,包括個人財產安全遭受損失或者可能產生重大損失,個人名譽尊嚴受到侵害,產生投訴、訴訟事件等。

2.對組織造成不可消除或者消除代價較大的負面影響,包括造成或者可能造成較大經濟或者技術損失,部分業務無法正常開展,聲譽受到破壞等。

3.銀行保險機構自身部分業務無法正常開展或者本機構聲譽受到破壞;銀行保險機構重要信息系統安全穩定運行受到威脅或者影響,可能產生較大及以上級別的重要信息系統突發事件。

4.其他對經濟金融安全、公共利益造成一般影響,或者對個人和組織權益造成較大影響的。

四、一般數據安全事件

除上述數據安全事件外,對組織或者個人造成一定影響的數據安全事件。


閱讀排行榜

  1. 1

    國家金融監督管理總局辦公廳關于大力發展商業保險年金有關事項的通知

  2. 2

    國家金融監督管理總局辦公廳關于加強銀行業保險業移動互聯網應用程序管理的通知

  3. 3

    國務院關于加強監管防范風險推動保險業高質量發展的若干意見

  4. 4

    保險公司縣域機構統計制度

  5. 5

    金融機構涉刑案件管理辦法

  6. 6

    國家金融監督管理總局關于健全人身保險產品定價機制的通知

  7. 7

    金融機構合規管理辦法(征求意見稿)

  8. 8

    國家金融監督管理總局關于加強和改進互聯網財產保險業務監管有關事項的通知

  9. 9

    保險資產風險分類辦法(征求意見稿)

  10. 10

    國家金融監督管理總局上海市人民政府關于加快上海國際再保險中心建設的實施意見

推薦閱讀

  1. 1

    華泰人壽高管變陣!友邦三員大將轉會鄭少瑋擬任總經理即將赴任業內預計華泰個險開啟“友邦化”

  2. 2

    金融監管總局開年八大任務:報行合一、新能源車險、利差損一個都不能少

  3. 3

    53歲楊明剛已任中國太平黨委委員,有望出任副總經理

  4. 4

    非上市險企去年業績盤點:保險業務收入現正增長產壽險業績分化

  5. 5

    春節前夕保險高管頻繁變陣

  6. 6

    金融監管總局印發通知要求全力做好防汛救災保險賠付及預賠工作

  7. 7

    31人死亡!銀川燒烤店爆炸事故已排查部分承保情況,預估保險賠付超1400萬元

  8. 8

    中國銀保監會發布《關于開展人壽保險與長期護理保險責任轉換業務試點的通知》

  9. 9

    董事長變更后,中國人壽新添80后女總助

  10. 10

    國內首家批發保險經紀公司來了,保險中介未來將走向何方?

關注我們

主站蜘蛛池模板: 欧美乱大交xxxxx在线观看| 98国内自拍在线视频| 福利岛国深夜在线| 高清精品一区二区三区一区| 国产精品久久久久久久免费| 国产精品日本一区二区在线播放| 国产在线更新| 国产免费影院| 国产成人久久精品二区三区| 成人在线观看一区| 99这里只有精品66视频| 99久久免费中文字幕精品| 91精品国产福利尤物免费| 在线久草视频| 亚洲三级中文字幕| 性感美女视频黄.免费网站| 三级网站免费看| 欧美在线黄| 免费va国产高清不卡大片| 久草视频精品在线| 国产特级全黄一级毛片不卡| 国产younv真实| 真正全免费视频a毛片| 一级a毛片免费观看| 亚洲成人在线视频| 欧美一级毛片香蕉网| 美国毛片一级视频在线aa| 久久99久久99| 国产欧美一区二区三区在线| 国产成人久久综合二区| 99久热在线精品视频播| 亚洲综合视频网| 午夜伦4480yy妇女久久久| 欧美一级特黄视频| 久草在线| 草草视频手机在线观看视频| 亚洲免费影院| 欧美一级毛片大片免费播放| 久久久久久免费精品视频| 国产亚洲精品一品区99热| 成人爽a毛片在线视频网站|