银行保险机构数据安全治理将迎来全面升级。3月22日，来自金融监管总局官网信息，为规范银行保险机构数据处理活动，保障数据安全，金融监管总局制定了《银行保险机构数据安全管理办法（征求意见稿）》（以下简称《办法》），《办法》要求银行保险机构按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任；制定数据分类分级保护制度，并采取差异化的安全保护措施。

建立数据分类分级标准

近年来，《数据安全法》《个人信息保护法》等上位法相继发布，对规范数据处理活动、个人信息保护等提出了明确要求。同时，金融行业数字化变革加速演进，新技术、新业务模式不断涌现，数据的使用、加工、传输、共享等活动日益频繁，进一步凸显数据安全保护的重要性。

国家金融监督管理总局有关司局负责人在答记者时指出，有必要充分发挥监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部制度，采取有效的措施加强数据管理和保护，确保客户信息和金融交易数据安全。

《办法》共九章八十一条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。

《办法》明确，建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。同时，强化数据安全管理，银行保险机构应按照国家数据安全与发展政策要求，根据自身发展战略建立数据安全管理制度和数据处理管控机制，在开展相关数据业务处理活动时应当进行数据安全评估。

博通咨询金融行业资深分析师王蓬博指出，政策的制定恰逢其时。在金融机构数据管理方面，可遵循此前出台的《网络安全法》《个人信息保护法》《反洗钱法》等，但金融有其特殊性，从银行业角度来说，金融数据更加敏感，需要实现对敏感数据的监控与分析、因此，有必要出台相关办法弥补可能存在的漏洞。

落实数据安全责任制

伴随着金融行业数字化转型升级提速，金融数据安全不容忽视，《办法》为金融机构数据治理提供了指南，北京商报记者注意到，此次《办法》亮点颇多，不仅落实了数据安全责任制，也完善了数据安全风险监测与处置机制。

《办法》要求，银行保险机构应当建立数据安全责任制，党委（党组）、董（理）事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人，明确各层级负责人的责任，明确违规情形和责任追究事项，落实问责处置机制。

“《办法》将数据安全风险纳入全面风险管理体系。”上述国家金融监督管理总局有关司局负责人强调，要求银行保险机构明确管理流程，主动评估风险，对数据安全风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。

银行保险机构应当对数据安全威胁进行有效监测，实施监督检查，主动评估风险，防止数据篡改、破坏、泄露、非法利用等安全事件发生。

具体来看，监测内容包括：超范围授权或者使用系统特权账号；内部人员异常访问、使用数据；对数据集中共享的系统或者平台的网络安全、数据安全威胁；敏感级及以上数据在不同区域的异常流动；移动存储介质的异常使用；外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改；客户有关数据安全的投诉；数据泄露、仿冒欺诈等负面舆情等情况。

处理个人信息要经授权同意

信息化、数字化、智能化给金融消费者带来便利的同时，个人信息被侵害的情况屡见不鲜。在金融领域，金融类App、小程序都是不规范使用用户隐私信息的“重灾区”，从近年来违规案例来看，侵害金融消费者权益多集中于违规收集个人信息；App强制、频繁、过度索取权限；未明示个人信息处理规则等方面。

为保护金融消费者权益，《办法》要求，银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施，法律、行政法规另有规定的除外，并在信息系统中实现相关功能控制。

处理原则上，银行保险机构处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，收集个人信息应当限于实现金融业务处理目的的最小范围，不得过度收集个人信息。不得利用所收集的个人信息从事违法违规活动。

在开展涉及对个人权益有重大影响的个人信息处理活动时，《办法》也提到，银行保险机构应当进行个人信息保护影响评估，评估内容包括个人信息处理的合法性、必要性，对个人权益的影响及安全风险，所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

光大银行金融市场部宏观研究员周茂华表示，大数据时代，数据是新型要素资源，如何保障数据安全开发利用和流通，对于数字经济、金融健康发展具有重要意义。《办法》的制定意义重大影响深远，在数据治理安全架构、数据分类分级标准、数据安全管理、个人信息安全保护、数据安全风险监测与处置机制及监管等方面均作了明确规定，有助于明确金融机构数据安全管理职责，规范使用，为数据金融健康发展明确了发展方向。

北京商报记者 宋亦桐