解读《银行保险机构数据安全管理办法》

1、出台背景

2024年12月27日，国家金融监督管理总局正式发布《银行保险机构数据安全管理办法》(以下简称《办法》)，此次发布的正式文件是在同年3月22日发布的征求意见稿上的进一步完善。

金融数据具有高价值和高敏感性，金融数据安全与国家安全和金融消费者权益密切相关。近年来，银行业保险业数字化变革加速演进，新技术、新业态不断涌现，数据合作共享日益频繁。与此同时，金融领域面临的数据安全风险形势复杂严峻，也给金融机构数据安全管理带来新的挑战。

《办法》的出台进一步压实了银行保险机构的主体责任，为其数据处理活动提供了明确的操作准则，也意味着银行保险业的数据监管与落实工作迎来了具有标志性意义的重大转折。

2、适用主体

《办法》的适用主体包括在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。

此外，国家金融监督管理总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位、地方金融管理部门批准设立的金融组织参照适用本《办法》。

3、适用范围

前述主体开展的除涉及国家秘密外的所有数据处理活动，均需适用本《办法》。

4、内容概述

《办法》共9章81条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。

5、重点解析

1）.明确数据安全治理架构，细化数据安全责任义务

《办法》要求银行保险机构建立与业务发展目标相适应的数据安全治理体系，并按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求。

《办法》明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任，机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。

《办法》要求银行保险机构在机构内部建立涵盖董(理)事会、高管层、数据安全统筹、数据安全技术保护等部门在内的多层组织架构，将数据安全归口管理部门、业务部门、风险管理部门、内控合规与审计部门、信息科技部门等部门均纳入到数据安全的治理工作中，形成了涵盖决策、管理、执行、监督四位一体的有效架构，并明确责任界限归属，有效避免因职责不明而产生的责任盲区。

2）.落实分类分级管理要求

《办法》在第三章(数据分类分级)中，落实了《数据安全法》第二十一条规定的数据处理者应当建立数据分类分级保护制度的要求。《办法》规定银行保险机构应制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，采取差异化安全保护措施。

在分类方面，本《办法》针对银行保险机构的数据特点明确了数据类型;在分级方面，根据数据的重要性和敏感程度，将数据分为核心、重要、一般三个级别(一般数据细分为敏感数据和其他一般数据)。需要注意的是，《中国人民银行业务领域数据安全管理办法(征求意见稿)》将数据项敏感性分为五个层级，对于同时适用两个《办法》的机构，需要考虑如何进行统一，也可以关注后续《中国人民银行业务领域数据安全管理办法》正式稿的发布。

《办法》还强调机构应加强数据安全级别的时效管理，建立动态调整审批机制。

3）.强化数据安全管理体系

此项内容是本《办法》的重中之重，共包含第四章(数据安全管理)和第五章(数据安全技术保护)两个章节，33条要求，覆盖全文核心内容。

《办法》严格规范了数据处理全生命周期活动要求，规定银行保险机构应根据自身发展战略，制定数据安全管理办法，建立数据处理全生命周期管控机制，包括数据收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等阶段。采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。

(1) 管理体系

《办法》明确应建立数据资产地图，以数据分类分级为基础，明确数据保护对象，围绕数据处理活动实施安全管理。《办法》多次强调开展安全评估的重要性，并规定应对数据外部引入或者合作共享、数据出境等重点关注，制定安全管理实施细则。《办法》规定银行保险机构向其他银行保险机构收集行业重要级及以上数据，需经国家金融监督管理总局同意。

《办法》特别提出银行母行、保险集团或者母公司与其子行、子公司之间建立数据安全隔离“防火墙”，并对相互共享数据采取有效保护措施，如共享数据为敏感及以上级别，应获得数据主体的授权同意。《办法》还多处提及“可追溯”的规定，涉及从数据来源到转移过程、再到模型算法各个层面，深度强化机构的数据合规义务履行。

(2) 技术体系

《办法》规定建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术措施，保障数据安全，针对大数据平台进行重点保护。《办法》明确遵循“三同步”原则，数据安全与信息系统同步规划、同步建设、同步使用。要求把数据安全保护纳入开发生命周期框架，在开发信息系统时就明确系统拟处理的数据及其安全级别，《办法》要求将数据纳入网络安全等级保护，并建立数据安全保护基线。

在数字化浪潮中，人工智能在银行保险业的应用愈发广泛，此次《办法》对人工智能也作出了规定。《办法》规定应对人工智能模型开发应用进行统一管理、对模型算法进行相应的安全管控和安全审查，在使用人工智能技术开展业务时，需对数据如何影响决策结果进行解释说明和信息披露，建立监测及风险缓释措施，包括制定人工智能应用退出的替代方案和制定安全应急方案及开展演练。

4）. 加强个人信息保护

《办法》单独设置了“个人信息保护”章节，承继了《数据安全法》《个人信息保护法》的规定，并依据银行保险业特点进一步进行了规范。

《办法》规定以“明确告知、授权同意”的原则处理个人信息，按照实现金融业务处理目的的最小范围收集个人信息。《办法》针对银行保险机构与其母行、集团，或者其子行、子公司之间共享个人信息作出了同样的告知要求。特别地，针对算法设计、训练数据选择和模型生成方面，作出保护措施要求，保障个人合法权益。

5）. 完善风险监测处置机制

《办法》将数据安全风险纳入全面风险管理体系。规定银行保险机构明确管理流程，主动评估风险，对数据安全风险进行有效监测，并建立数据安全应急管理机制，防止及应对数据破坏、泄露、非法利用等安全事件发生。规定在发生安全事件时，并依据事件级别选择向国家金融监督管理总局或者其派出机构、属地公安机关报告。

《办法》规定涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移，银行保险机构应在处理、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告。《办法》规定银行保险机构应于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告。

最后，《办法》针对违反规定的情况明确了惩戒措施，规定由国家金融监督管理总局及其派出机构监督管理，违规机构将受到相应处罚并可能面临法律风险，促使其严守数据安全底线。

6、银行保险机构合规应对策略

一是落实数据安全责任制

搭建由董(理)事会、高管层、数据安全技术保护、业务部门、风险管理、内控合规、审计部门等组成的数据安全组织架构，明确相关部门及责任人职责。指定数据安全归口管理部门承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置、开展数据安全培训等职责。按照“谁管业务，谁管业务数据，谁管数据安全”的原则进行落实。

二是开展数据分类分级建设

数据分类分级是数据安全建设的基础，银行保险机构应该依据本《办法》，参考相关政策标准制定分类分级保护制度，建立本单位的数据目录及分类分级规范，并对数据进行动态维护。

三是建立数据安全保护体系

银行保险机构应依据本单位发展目标建立数据安全治理体系，建立健全覆盖数据全生命周期的数据安全管理制度，采取并落实相应的技术措施。

具体而言，各机构可以参考《办法》提出的数据处理各环节及特定场景的措施要求建设，需要注意的是，在具体建设过程中需结合满足其他数据安全政策法规，如《数据安全法》等。

应在信息系统开发生命周期过程中规划落实数据安全相关要求，包括需求、开发、测试、投产等阶段。以下为本《办法》针对各阶段措施要求的提炼解读，在具体建设过程中还应结合参考《中华人民共和国数据安全法》、《JR/T 0223-2021 金融数据安全 数据生命周期安全规范》、《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0287-2023 人工智能算法金融应用信息披露指南》等相关金融政策标准实现相关功能，切实做好个人信息保护和数据安全防护。

(1)在需求阶段，应基于数据全生命周期进行需求分析，如收集信息过程的合法性、正当性、必要性的分析，数据收集和处理的目的、方式、范围、规则分析;传输过程的数据加密、防篡改的需求分析;使用过程的访问控制、双因素认证需求分析;加工过程的匿名化、去标识化需求分析;存储过程的加密需求分析等等。

(2)在开发阶段，应严格落实需求阶段要求。应在开发阶段明确系统拟处理的数据及其安全级别;应明确系统访问规则，并采取有效的用户认证机制，保证用户对数据的访问符合相应的数据安全级别要求且满足业务开展的必要需求;应对敏感级及以上数据的操作具备日志记录功能，包括操作时间、用户标识、行为类型等;应采用安全的数据传输方式，保障数据完整性、保密性、可用性;在与外部机构数据发生交互时，应通过集中管理的外联平台或应用程序接口实施，并满足“业务必需、最小权限”原则;在开展自动化决策分析、模型算法开发、数据标注等活动时，应保证数据处理透明度和结果公平合理，采用人工智能技术时，应就数据对决策结果影响进行解释说明和信息披露;应采取安全存储措施，保证数据的保密性、完整性、准确性、及时性、安全性，防止勒索病毒、木马后门等攻击。

(3)系统投产上线前应开展安全测试，确保各项安全要求落实，有效防范数据安全风险。测试环境应与生产系统隔离，敏感级及以上数据原则上未经脱敏处理不得进入测试环境，防止数据泄露;在信息系统、模型算法投入使用前，应开展数据安全审查，审查数据与模型使用的合理性、正当性、可解释性，及数据利用对相关主体合法权益的影响、伦理道德风险及防控措施有效性等。

(4)系统投产上线后，应对敏感级及以上数据实施数据容灾备份，定期进行数据可恢复性验证;应满足数据及日志备份的时间要求，核心数据操作日志及其备份数据保存时间不低于三年，重要数据、敏感数据操作日志及其备份数据保存时间不低于一年，如涉及委托处理、共同处理的数据操作日志及其备份数据保存时间不低于三年;应定期对数据操作行为进行审计，审计周期不超过六个月;在采用人工智能技术时，应实时监测自动化处理与系统运行结果，建立相应风险缓释措施，包括制定退出人工智能应用的替代方案、对安全威胁制定应急方案并开展演练。系统停用时，应立即停止相关数据收集或者处理活动(法律、行政法规另有规定的除外)。

四是加强对个人信息的保护

银行保险机构收集、处理个人信息应符合个人信息政策法规，对于处理个人信息的信息系统，尤其是APP，应满足相关设计要求。在具体建设过程中还应结合参考《中华人民共和国个人信息保护法》、《JR/T 0171-2020 个人金融信息保护技术规范》等相关金融标准实现相关功能，切实做好个人信息保护和数据安全防护。

(1)应遵循“明确告知、授权同意”的原则：在处理个人信息前，应取得用户同意，并确告知用户个人信息处理目的、方式、涉及个人信息种类、保存期限。

(2)系统所收集处理的个人信息需与处理目的直接相关，仅限于实现金融业务处理目的的最小范围，不得过度收集。

(3)应制定个人信息处理规则，并向用户公开展示，规则要易于访问、内容明确、清晰易懂。

(4)个人身份鉴别数据不得明文存储、传输和展示。

(5)不得在系统功能上，以个人不同意或者撤回同意处理其个人信息为由，拒绝提供产品或者服务(处理个人信息属于提供产品或者服务所必需的除外)。

(6)采用人工智能、模型算法、涉及开展自动化决策分析的系统，参照满足本章第三部分数据安全保护体系要求中的相关措施。

另外，系统一旦发生或者可能发生个人信息泄露、篡改、丢失，应立即采取补救措施，同时通知个人并报送国家金融监督管理总局或其派出机构。

五是建立数据安全监测保障机制

银行保险机构应对数据安全威胁进行监测，定期开展风险评估及审计，建立数据安全应急响应机制，保证在数据安全事件发生后能够及时处置控制事态，并根据事件发生级别按要求向国家金融监督管理总局或者其派出机构、属地公安机关报告。《办法》的发布实施，为银行保险机构的数据安全管理工作提供了明确的规范和指引。银行保险机构应深刻认识到数据安全的重要性，积极响应、全面落实《办法》要求，采取有效措施，为机构在数字化转型进程中提供有力保障，实现数据价值的安全释放和可持续发展。

对于我们银行系金融科技公司来说，在信息系统开发生命周期的各环节，也应遵循数据安全保护要求，将数据安全相关要求落到实处，切实保障我公司软件产品的数据安全及交付质量。

未来，随着技术的不断进步和数据应用场景的日益丰富，银行保险机构仍应持续关注政策变化和行业发展趋势，不断优化和完善数据安全治理体系，以适应新形势下的数据安全需求。

来源：数字安全助手、北银金融科技