金融数据治理体系持续完善,银行保险数据安全管理升级
2024-04-09
3月22日,国家金融监督管理总局发布《银行保险机构数据安全管理办法(征求意见稿)》(下称《办法》)。《办法》共9章81条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。具体关注如下:
一是完善金融数据安全管理是金融高质量发展的应有之义。数字经济时代数据不仅贯穿于金融业务的全流程,更是金融机构的重要资产,数据安全风险也成为金融机构数字化转型和金融科技创新中伴生的问题。一方面,金融机构拥有海量数据,但由于数据种类繁杂,数据安全保护难以精细分级,数据全生命周期防护能力不足;另一方面,由于缺少清晰完善的数据安全管理机制,数据安全信息有效共享受到影响,存在统筹数据安全与数据应用的困难。近年来金融机构数据泄露事件频出、金融监管机构频频开出数据罚单,反映出进一步加强金融数据安全管理体系建设的紧迫性。金融安全是国家安全的重要组成部分,保障数据安全是金融业高质量发展的要求,这需要发挥监管机构作用,压实银行保险机构主体责任,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。《办法》作为加强金融数据安全管理的重要制度,将促进金融业稳健经营、金融体系平稳发展、金融创新服务实体经济水平提升,是加快建设金融强国战略目标的内在要求。
二是《办法》将进一步完善我国金融数据治理体系。数据是新质生产力的关键生产要素。2020年3月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,要求探索建立统一规范的数据管理制度、数据隐私保护制度和安全审查制度,推动完善适用于大数据环境下的数据分类分级安全保护制度。随着《数据安全法》《个人信息保护法》《网络安全审查办法》《数据出境安全评估办法》《关键信息基础设施保护安全条例》等法律法规的相继出台,我国已建立起相对完整的数据安全管理体系。金融数据治理作为数据治理的重要组成部分,既要遵循数据治理的发展规律和一般规则,更要求基于金融数据的特殊性构建差异化的金融数据治理体系。我国正在逐步加强金融数据治理体系构建。2018年,原银保监会发布了《银行业金融机构数据治理指引》,成为我国金融数据治理开创性的政策规范;其后,各金融监管机构陆续出台《证券期货业数据分类分级指引》《中国银保监会监管数据安全管理办法(试行)》《金融数据安全数据安全分级指南》《金融数据安全数据安全评估规范》《金融数据安全数据生命周期安全规范》《证券期货业网络和信息安全管理办法》等金融数据治理制度文件。《办法》围绕数据安全这一金融数据治理的核心主题,要求银行保险机构按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,制定数据分类分级保护制度,并采取差异化的安全保护措施,完善了现有的金融数据治理制度体系。
三是《办法》紧扣当前金融数据安全保护的突出问题。《办法》在数据治理安全架构、数据分类分级标准、数据安全管理、健全数据安全技术保护体系、个人信息安全保护、数据安全风险监测与处置机制及监管等方面均作了明确规定。其中特别是个人信息安全保护方面的规定,回应了关注度较高的客户数据泄露等风险事件。根据Verizon 发布的《2023 年数据泄漏调查报告》,74%的金融和保险行业数据泄露事件涉及个人数据泄露,加之银行的客户信息包括身份证号码、电话号码、消费习惯、住址等敏感信息,一旦被非法分子获取,将对客户个人人身、财产安全构成极大威胁,这也是《网络安全法》将金融行业数据认定为关键信息基础设施,在网络安全等级保护制度基础上实行重点保护的原因。《办法》涉及个人信息保护内容共10条,包括个人信息保护的处理原则、告知义务影响评估、共享和外部提供、跨境传输、委托处理、自动化决策、个人信息风险报告等内容,要求银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行影响评估;在机构内部共享个人信息或向外部提供个人信息时、在跨境传输时,应当告知并取得个人同意;在算法设计、训练数据选择和模型生成时,应当采取有效措施保障个人合法权益。这些规定将在较大程度上减少个人信息安全受到侵害的风险。此外《办法》将数据安全风险纳入银行保险机构全面风险管理体系,通过对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。
四是金融数据治理需在保障安全的前提上扩大开放。金融业是拥有丰富数据要素的行业,需要高度重视数据治理特别是数据安全,更需统筹考虑金融数据的价值挖掘、开放共享和多元融合等包容、开放和科学的治理安排。现阶段的金融数据治理需充分考虑目前我国加快推进金融、数字等领域制度型高水平的因素,积极参与国际金融数据治理,特别是在数据跨境流动、数据安全、数据开放共享、数据争议管辖等影响未来金融数据治理的走向的关键议题方面,加强国内金融数据治理体系与国际规则体系的适配性的战略统筹和系统谋划。同时,以自贸区港作为金融数据安全管理与开放的压力测试区,用好《促进和规范数据跨境流动规定》赋予自贸区在国家数据分类分级保护制度框架下自行制定区内负面清单的政策,落实在海南自贸港实施区域性国际数据跨境流动制度安排,及上海推动电子支付、金融数据出境、金融科技等金融数字治理的要求,在金融数据采集、处理、控制、存储、流动等全数据生命周期的安全管理和流动开放上,加强与国际规则标准接轨,摸索适合中国特色的平衡金融数据安全与流动的路径。
(点评人:中国银行海南金融研究院高级研究员 王少辉)
