简评《银行保险机构数据安全管理办法》

2024年12月27日，国家金融监督管理总局（下称“金融监管总局”）正式发布《银行保险机构数据安全管理办法》（下称“《银保数安办法》”），即日起生效实施。2024年3月，金融监管总局曾发布该文件的征求意见稿（下称“《征求意见稿》”），向社会征求意见。本文拟就《银保数安办法》出台的背景与意义、适用范围及主要义务进行简要评析。

一、背景与意义

2018年，我国第一部金融数据治理的规范性文件《银行业金融机构数据治理指引》正式出台。随着我国以《网络安全法》、《数据安全法》、《个人信息保护法》（下称“《个保法》”）为核心的网络信息安全法律体系构建完成，监管机关又陆续出台了多部法规和标准，并发布了多份与数据安全相关文件的征求意见稿，包括《监管数据安全管理办法（试行）》、《保险中介机构信息化工作监管办法》、《金融数据安全 数据安全分级指南》、《金融数据安全 数据生命周期安全规范》、《中国人民银行业务领域数据安全管理办法(征求意见稿)》（下称“《央行征求意见稿》”）等等。

除立法方面的不断推进之外，金融监管部门也对实践中金融机构在数据安全与个人信息权益保护等方面暴露的问题与风险陆续开展执法行动。这些执法行动频率高、所涉范围广、惩处力度强。例如，2022年，金融监管总局组织开展了银行保险机构侵害个人信息权益乱象专项整治工作并下发通报。这些通报涉及上千家机构，问题总数超十六万，影响消费者超两亿人次¹。又如，今年金融监管总局还对多家银行机构进行了通报与处罚，处罚原因包括数据安全管理不到位或缺失，而部分罚款甚至高达数百万²。

鉴于上述情况，金融机构在数据安全方面亟待一部全面、具体且有针对性的法规进行规范。《银保数安办法》作为金融监管总局正式挂牌后颁布的第一部与数据安全相关的规定，旨在对银行保险机构处理和保护金融数据和用户个人信息进行全面指导，这也呼应了主管部门防范和控制金融数据处理风险的监管趋势。

二、适用范围

适用主体。《银保数安办法》适用于银行保险机构，即“在我国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团（控股）公司”。相较于《征求意见稿》对适用主体的规定，《银保数安办法》进行了细微调整，包括删去了开发性金融机构，修改农村合作社的表述为农村信用合作社，并在财务公司前添加“企业集团”这一限定。此外，《银保数安办法》第八十条还规定金融监管总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司、总局管理单位以及地方金融管理部门批准设立的金融组织也参照适用此规范文件。

可以看出，《银保数安办法》以机构类型划分适用范围，覆盖的主体范围广泛，旨在将银行业保险业各类金融机构均纳入该办法的适用范围之内予以规制。在《征求意见稿》基础上的调整也主要为删去已包含在定义部分中的重复列举项以及进一步对主体范围加以限定，从而确保该法适用主体范围更为精准明确。

适用的数据处理行为。《银保数安办法》适用于除涉及国家秘密以外的所有数据处理活动。该法第二条明确对开展涉及国家秘密的数据处理活动，应当适用《保守国家秘密法》等法律、行政法规的规定。相较于《征求意见稿》，还额外增加了“国家有关主管部门另有规定的，应当依法遵守其规定”的内容，完善了与其他法律法规的衔接。

三、主要义务

《银保数安办法》结构清晰，涵盖了数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理等方面的内容，并在现行数据安全法律法规的基础上结合银行保险机构的行业特性引入了更具体、更有针对性的规定。

1、数据安全管理组织架构

《银保数安办法》第二章规定银行保险机构应建立覆盖董（理）事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构。同时，《银保数安办法》还分别对数据安全归口管理部门、业务部门、风险合规与审计部门、数据安全技术保护部门等多个职能部门，规定了不同的数据安全管理义务。另外，《银保数安办法》以数据安全文化建设进行兜底，要求开展面向所有员工的数据安全教育和培训，提高数据安全保护意识和水平。

2、数据分级分类与重要数据目录

在数据分类方面，《银保数安办法》第十七条延续了此前《金融数据安全 数据安全分级指南》中的分类标准，并在此基础上将数据进一步分为客户数据、业务数据、经营管理数据、系统运行和安全管理数据四类。

在数据分级方面，《银保数安办法》规定应当根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据。其中，一般数据又进一步细分为敏感数据和其他一般数据。这一规定与现行的各个金融数据分级标准均有所不同。《金融数据安全 数据安全分级指南》是以金融机构数据使用的业务场景、数据的公开范围、数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级、4级、3级、2级、1级。而《央行征求意见稿》则采用了三级五层的分级方法，分为一般数据、重要数据、核心数据三大级别，并按照数据的敏感性，即根据数据泄露或被非法获取/利用时可能对个人、组织合法权益或公共利益造成的危害程度分为五个层级。考虑到《央行征求意见稿》并未正式颁布，因此现阶段仍应以《银保数安办法》要求履行数据分级分类义务。

在重要数据方面，《银保数安办法》第七十一条中明确应由金融监管总局制定银行业保险业重要数据目录、提出核心数据目录建议。这与《网络数据安全条例》（下称“《网数条例》”）之中关于各部门应按照数据分类分级保护制度，确定本部门以及相关行业、领域的重要数据具体目录，并对经其确认的重要数据及时向网络数据处理者告知或者公开发布的要求相一致。这条还进一步规定银行保险机构应按要求向金融监管总局或其派出机构报送重要数据目录，并在重要数据目录发生重大变化时及时报备更新后的数据目录。

3、 个人信息保护

《银保数安办法》第六章以专章的方式对个人信息保护作出规定。这些规定是在《个保法》的框架内，结合金融行业特点对《个保法》相关要求进行针对性落地，也是对此前银行保险机构侵害个人信息权益乱象专项整治中所发现问题的立法规制。

本章节的主要内容包括：处理个人信息时应履行告知义务；应取得授权同意；处理的个人信息应当与处理目的直接相关；收集个人信息应当限于实现金融业务处理目的的最小范围；开展对个人权益有重大影响的个人信息处理活动时应进行个人信息保护影响评估；共享和对外提供个人信息时，应当履行必要的告知义务，并取得必要同意；委托第三方处理个人信息时，应通过合同等方式明确受托人对个人信息的保护义务、保护措施和期限等；利用个人信息进行自动化决策应保证决策的透明度和结果公平、公正；发生或者可能发生个人信息安全事件时，应立即采取补救措施，并向监管部门报告；履行个人信息跨境传输有关法律法规的要求等。

值得注意的是，《银保数安办法》第六十三条明确发生个人信息安全事件时，应当向其履行报送义务的主管机关为金融监管总局或其派出机构。相较于《个保法》采用的“履行个人信息保护职责的部门”，《银保数安办法》该条款在明确了具体的主管机关、为企业提供清晰指引的同时，也明确了金融监管总局是银行保险行业负责履行个人信息保护职责的部门之一。

4、数据安全风险评估

《银保数安办法》第二十二条提出了银行保险机构的数据安全评估义务，要求相关主体在处理敏感级及以上数据的业务活动，或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时，应当事先开展数据安全评估工作。评估内容包括根据数据处理目的、性质和范围分析数据安全风险和对数据主体权益影响，评估数据处理的必要性、合规性，评估数据安全风险及防控措施的有效性。

与此同时，《银保数安办法》第六十六条和第七十四条还要求银行保险机构应每年开展一次数据安全风险评估，并于每年1月15日前向金融监管总局或其派出机构报送上一年度数据安全风险评估报告。报告的内容包括数据安全治理、技术保护、数据安全风险监测及处置、数据安全事件及处置、委托和共同处理、数据出境、数据安全评估与审查、数据安全投诉及处理。此处采取的监管方式与重要数据目录监管方式相同，仅要求“报送”而无需获得监管机关审批。这些规定是《网数条例》中关于对特定情形下的重要数据处理进行风险评估并向主管机关报送的义务在金融领域的体现，并鉴于金融行业与国家经济安全、民生的息息相关性以及金融数据的敏感性，扩展了需要进行风险评估的数据类型范围并补充了风险评估报告中应当包含的内容。

5、外包管理

当前，金融机构委托第三方进行数据处理较为普遍，但由于外部主体的数据安全管理能力参差不齐、与金融机构之间的权责不清、应急管理机制不完善等原因，外包场景常常是数据安全风险发生的重灾区。原银保监会于2021年便发布《银行保险机构信息科技外包风险监管办法》以规范银行保险机构的信息科技外包活动，加强外包风险管控。金融监管总局也在2023年向各金融机构下发《关于加强第三方合作中网络和数据安全管理的通知》，针对暴露出的外包服务管理风险问题要求金融机构制定风险整改方案和计划并履行报告义务。

《银保数安办法》第三十一条明确将数据委托处理纳入信息科技外包管理范围。《银行保险机构信息科技外包风险监管办法》此前只适用于银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，以及与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动。而《银保数安办法》该条款则扩大了信息科技外包监管的范围，即与其他第三方合作过程中委托处理非重要数据和客户个人信息的信息科技活动按照《银保数安办法》也需要纳入到《银行保险机构信息科技外包风险监管办法》的规制范围之内。

该条款还对外包的范围加以限制，即信息科技管理责任、数据安全主体责任不外包、信息科技核心竞争力的职能不外包，将关键责任排除在外包范围之外，有效化解外包场景下的部分数据安全风险。

值得一提的是，相较于《征求意见稿》，该条款额外增加对供应商准入的规定。该条款要求供应链服务中涉及敏感级及以上数据处理的，应当加强对供应商的准入和安全管理，体现了对敏感级及以上数据的例外保护，也回应了此前针对供应商准入管理不到位而暴露的风险问题。

6、数据安全保护基线

《银保数安办法》第五章围绕数据安全技术保护对银行保险机构提出了要求，并在条款中引入了数据安全保护基线的概念，即保护和维护数据安全方面所需达到的最低标准。其适用范围主要集中于敏感级及以上的数据，即核心数据、重要数据与敏感数据。

该章规定了银行保险机构应根据数据安全级别，划分网络逻辑安全域，建立分区域数据安全保护基线，并分别从信息系统保护、数据访问控制、数据传输保护、数据存储保护、数据销毁管理五方面提出安全保护基线的具体内容。这一规定本质上是数据分级分类在具体实践中的应用，体现对不同重要程度的数据应采取的不同保护措施和安全要求。

7、数据安全事件应急管理

《银保数安办法》要求银行保险机构建立数据安全事件应急管理机制，包括：制定数据安全事件应急预案，定期开展应急响应培训和演练；发生数据安全事件后，应当立即启动应急处置；建立数据安全事件报告机制，发生数据安全事件时按照规定履行报告和告知义务；发生数据安全事件或者使用的网络产品和服务存在安全缺陷、漏洞时，立即开展调查评估，及时采取补救措施。

与此同时，金融监管总局还对相关机构施加了报告安全事件的义务。具体为，银行保险机构应在数据安全事件发生2小时内向金融监管总局或其派出机构报告，并在事件发生后24小时内提交正式书面报告。此外，还应当每2小时将处置进展情况上报，直至处置结束。同时，数据安全事件处置结束后，银行保险机构应在五个工作日内将事件及其处置的评估、总结和改进报告进行报送。

鉴于个人信息亦包含在数据范畴之内，因此如果发生数据安全事件且相关数据包含个人信息，则应在履行此处的数据安全事件报告义务的同时，结合《银保数安办法》第六十三条的规定一并履行发生个人信息安全事件时应当履行的处理义务及报告义务。关于个人信息安全事件的报告内容包括：发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；采取的补救措施和个人可以采取的减轻危害的措施。

值得一提的是，第六十九条在《征求意见稿》的基础上将原先条款中采用的“属地监管机关”这一表述统一为“金融监管总局或其派出机构”，既与该办法的上下文保持一致，也更明晰了应由哪一监管机关履行监督义务，降低实践中的不确定性。

8、数据安全审计

《银保数安办法》第六十六条明确了审计部门应当开展数据安全审计的两种场景，即每三年开展至少一次数据安全全面审计，与在发生重大数据安全事件后应当开展专项审计。审计对象包括但不限于数据访问活动、数据委托处理、网络安全、日志、大数据访问等。

同时，第六十六条还明确要求保障审计机构的独立性，银行保险机构委托专业机构进行数据安全审计时，不得使用该机构提供的产品和其他服务，谨防审计结果的公正性和独立性受到影响。

四、结语

《银保数安办法》的正式实施表明金融监管总局持续强化银行业保险业数据安全监管工作、防范金融数据风险以及回应金融消费者关切。在《银保数安办法》适用范围内的相关银行保险机构应当尽快研究学习该条款，根据该办法的规定梳理合规义务清单以完善数据安全组织管理体系、做好数据分级分类内部标准、加强数据安全技术保护与个人信息保护、落实数据安全风险应急处置机制。

1. 参见每日经济新闻2024年3月26日的报道《监管通报银行保险机构侵害个人信息权益乱象：机构自查出15.42万个问题，影响消费者1.99亿人次》，https://baijiahao.baidu.com/s?id=1794594119160566352&wfr=spider&for=pc。

2. 参见：https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1158905&itemId=4114&generaltype=9、https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1166772&itemId=4113&generaltype=9。