近日，金融监管总局制定发布《银行保障机构数据安全治理办法》(以下简称《办法》)。相关司局负责东谈主就相关问题复兴了记者发问。

　　一、《办法》制定的布景是什么？

　　答：金融数据具有高价值和崇高锐性，金融数据安全与国度安全和金融破费者权力密切相关。连年来，银行业保障业数字化变革加快演进，新时候、新业态束缚露馅，数据和谐分享日益频频。与此同期，金融范围靠近的数据安全风险场面复杂严峻，也给金融机构数据安全治理带来新的挑战。对此，有必要充分进展监管的“指挥棒”作用，通过强化政策条件指引银行保障机构压实主体拖累，完善里面机制，采用有用的治理和时候措施加强数据安全保护，确保客户信息和金融走动数据的安全。

　　二、《办法》的主要骨子和特色是什么？

　　答：《办法》共9章81条。包括总则、数据安全治理、数据分类分级、数据安全治理、数据安全时候保护、个东谈主信息保护、数据安全风险监测与处理、监督治理及附则。主要特色包括：

　　一是落实数据安全拖累制。明确银行保障机构党委(党组)、董(理)事会对本单元数据安全责任负主体拖累，机构主要负责东谈主为数据安全第一拖累东谈主，分摊数据安全的携带为径直拖累东谈主。

　　二是明确数据安全归口治理部门。条件银行保障机构指定数据安全归口治理部门，看成本机构负责数据安全责任的主责部门，承担制定数据安全治理轨制要领、建筑爱戴数据目次、鼓吹数据分类分级保护、组织开展风险监测、预警及处理等职责。

　　三是将数据安全风险纳入全面风险治理体系。条件银行保障机构明确治理进程，主动评估风险，对数据安全风险进行有用监测，防患数据落魄、透露、犯法期骗等安全事件发生。风险治理、内控合规和审计部门依期对数据安全开展审计、监督查验与评价。

　　四是强化数据安全评估。条件银行保障机构开展相关数据处理行动时，应事前开展安全评估。把柄数据处理地点、性质和范围，分析数据安全风险和对数据主体权力影响，评估数据处理的必要性、合规性及防控措施的有用性。

　　五是建筑数据安全保护基线。将数据纳入彀络安全品级保护，对存放或传输明锐级及以上数据的机房、汇集引申重心看护，在数据全人命周期内采用有用探问结果治理措施，弃取安全有用的传输时势保障数据完满性、守密性、可用性。

　　三、《办法》在数据分类分级方面建议了哪些具体条件？

　　答：《办法》条件银行保障机构制定数据分类分级保护轨制，建筑数据目次和分类分级模范，动态治理和爱戴数据目次，并采用各别化的安全保护措施。在数据分类方面，对机构业务及打算治理过程中得到、产生的数据进行分类治理，具体类型包括客户数据、业务数据、打算治理数据、系统开动和安全治理数据等。在数据分级方面，银行保障机构应把柄数据的紧要性和明锐进度，将数据分为中枢数据、紧要数据、一般数据，其中一般数据细分为明锐数据和其他一般数据；当数据的业务属性、紧要进度和可能形成的危害进度发生变化，导致安全级别不再适用的，实时进行动态转移。

　　四、《办法》国法的数据安全治理职责有哪些？

　　答：《办法》条件银行保障机构按照国度政策条件，把柄本身发展政策，制定数据安全保护策略；把柄数据处理地点、性质和范围，炒股配资按照法律轨则和伦理谈德模范条件，对相关数据业务处理行动进行安全评估，分析数据安全风险和对数据主体权力影响，评估数据处理的必要性、合规性及防控措施的有用性；网罗数据应坚抓“正当、正派、必要、诚信”原则，明确数据网罗和处理的地点、时势、范围、国法，保障网罗过程的数据安全性、数据起原可追忆；在数据集团里面分享的过程中，应建筑总行(公司)与其子公司数据安全阻遏的“防火墙”，并对分享数据采用有用保护措施；《办法》还对数据加工、托福处理、共同处理、数据转化、数据跨境等具体的数据处理场景远隔建议了相应安全治理条件。

　　五、《办法》在个东谈主信息保护方面有哪些国法？

　　答：《办法》单独建树“个东谈主信息保护”章节，以进一步落实《数据安全法》《个东谈主信息保护法》等上位法条件，体现保护破费者信息和权力的政策导向。主要国法包括：银行保障机构处理个东谈主信息应按照“明确见告、授权答应”的原则引申，并限于罢了金融业务处理地点的最小范围，不得过度网罗个东谈主信息。处理、分享和对外提供个东谈主信息时，应当本质必要的见告义务，并取得必要答应。不得以个东谈主不答应处理其个东谈主信息无意除去答应为由，驱逐提供居品无意处事，处理个东谈主信息属于提供居品无意处事所必需的之外。在开展波及对个东谈主权力有紧要影响的个东谈主信息处理行动时，应当进行个东谈主信息保护影响评估。托福第三方处理个东谈主信息时，应明确受托东谈主对个东谈主信息的保护义务、保护措施和期限等。发生无意可能发生个东谈主信息透露、改造、丢失的，银行保障机构应当立即采用扶直措施，并向监管部门敷陈。

　　六、《办法》国法的数据安全事件救急反馈与处理机制包含哪些骨子？

　　答：《办法》将数据安全事件把柄影响范围和进度，分为绝顶紧要、紧要、较大和一般四个级别。条件机构建筑里面和谐联动机制和外部处事商、第三方机构的敷陈机制。具体包括：一是制定数据安全事件救急预案，依期开展救急反馈培训和救急演练。二是数据安全事件发生后，立即启动救急处理，分析事件原因、评估事件影响、开展事件定级，按照预案实时采用业务、时候等措施结果事态。三是建筑数据安全事件敷陈机制，把柄事件安全品级制定敷陈进程，发生数据安全事件时按照国法敷陈，同期按照合同、左券等相关商定本质客户及和谐方见告义务。四是发生数据安全事件无意使用的居品和处事存在颓势时，立即开展捕快评估，实时采用扶直措施。

　　银行保障机构应在数据安全事件发生2小时内向总局或其派出机构敷陈，并在事件发生后24小时内提交精致书面敷陈。发生绝顶紧要数据安全事件，银行保障机构应当立即采用处理措施，按照国法实时见告用户并向属地公安机关、金融监管机构敷陈。银行保障机构应当每2小时将处理进展情况上报，直至处理扫尾。数据安全事件处理扫尾后，银行保障机构应当在五个责任日内将事件过甚处理的评估、追想和更始敷陈报送属地监管部门。

　　七、《办法》公开征求意见情况若何？

　　答：《办法》草拟过程中已等闲征求了相关部门及各类银行保障机构意见，并组织部分机构召开专题会议现场听取意见建议。2024年3月至4月，总局就《办法》面向社会公开征求意见。各方反馈的相关合理化意见建议均被罗致，未罗致意见主要皆集在数据审计周期、监管报送时限等方面。

　　(国度金融监督治理总局网站)

• 国度
• 金融
• 智利
• 总局
• 监督