首页 银行保险机构数据安全管理办法 银行保险机构数据安全管理办法(2024年) 发布机关 金融监管总局 效力 现行有效 第一章 总则 第一条 为规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益,维护国家安全和社会公共利益,根据《中华人民共和国数据安全… 第二条 本办法所称银行保险机构,是指在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车… 第三条 本办法所称数据,是指以电子或者其他方式对信息的记录。 第四条 国家金融监督管理总局及其派出机构负责银行业保险业数据安全的监督管理,制定并发布监管规章制度,对银行保险机构履行数据安全保护义务情况进行监督检查。 第五条 银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系,建立健全数据安全管理制度,构建覆盖数据全生命周期和应用场景的安全保护机制,开展数据安全风险评估… 第六条 银行保险机构开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、政… 第七条 银行保险机构应当统筹发展和安全,落实国家大数据战略,推进数据基础设施建设,加大数据创新应用力度,促进以数据为关键要素的数字经济发展,提升金融服务的智能化水平,创… 第八条 银行保险机构应当持续跟踪新兴数据开发利用和科技发展前沿动态,有效应对大数据应用与科技创新可能产生的规则冲突、社会风险、伦理道德风险,防止数据与科技被误用、滥用。 第二章 数据安全治理 第九条 银行保险机构应当建立覆盖董(理)事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构,明确岗位职责和工作机制,落实资源保障。 第十条 银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人,分管数据安全的高级管理… 第十一条 银行保险机构应当指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门。其主要职责包括: 第十二条 银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求。 第十三条 银行保险机构风险管理、内控合规和审计部门负责将数据安全纳入全面风险管理体系、内控评价体系,定期开展审计、监督检查与评价,督促问题整改和开展问责。 第十四条 银行保险机构信息科技部门是数据安全的技术保护主责部门,其主要职责包括: 第十五条 银行保险机构应当建立良好的数据安全文化,开展全员数据安全教育和培训,提高数据安全保护意识和水平,形成全员共同维护数据安全和促进发展的良好环境。 第三章 数据分类分级 第十六条 银行保险机构应当制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施。 第十七条 银行保险机构应当对机构业务及经营管理过程中获取、产生的数据进行分类管理,数据类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。 第十八条 银行保险机构应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。 第十九条 银行保险机构应当加强数据安全级别的时效管理,建立动态调整审批机制,当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致原安全级别不再适用的,应当及时动态… 第四章 数据安全管理 第二十条 银行保险机构应当按照国家数据安全与发展政策要求,根据自身发展战略,制定数据安全保护策略。银行保险机构应当制定数据安全管理办法,明确管理责任分工,建立包括数据处理… 第二十一条 银行保险机构应当建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。 第二十二条 银行保险机构在处理敏感级及以上数据的业务活动时,或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时,应当事先开展数据安全评估。数据安… 第二十三条 银行保险机构应当建立企业级数据服务管理体系,制定数据服务规范,建立专职数据服务团队,统筹内外部数据加工、分析,实施数据服务需求分析、服务开发、服务部署、服务监控… 第二十四条 银行保险机构收集数据应当坚持“合法、正当、必要、诚信”原则,明确数据收集和处理的目的、方式、范围、规则,保障收集过程的数据安全性、数据来源可追溯。银行保险机构不… 第二十五条 银行保险机构应当以信息系统为数据收集的主要渠道,限制或者减少其他渠道、临时性数据收集。 第二十六条 银行保险机构应当制定外部数据采购、合作引入的集中审批管理制度,纳入外包风险管理体系进行统筹管理,统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评… 第二十七条 银行保险机构开展敏感级及以上数据清洗转换、汇聚融合、分析挖掘等数据加工活动时,应当采用匿名化、去标识化或者其他必要安全措施保护数据主体权益,法律、行政法规另有规… 第二十八条 银行保险机构应当按照“业务必要授权”原则,对敏感级及以上数据严格实施授权管理,制定数据访问闭环管理机制,并对数据访问行为实施审计。确因业务需要从生产环境提取数据… 第二十九条 银行保险机构应当对数据共享使用进行集中安全管控,明确企业级数据共享策略,评估数据共享使用的必要性、合规性、安全性及伦理道德规范的符合度。 第三十条 银行保险机构在委托处理数据时,应当明确所涉数据外部使用和处理的条件、场景、方式。委托处理数据时,应当以合同协议方式约定委托处理的目的、期限、处理方式、数据范围、… 第三十一条 银行保险机构应当将数据委托处理纳入信息科技外包管理范围,在实施过程中不得将信息科技管理责任、数据安全主体责任外包,涉及信息科技战略管理、信息科技风险管理、信息科… 第三十二条 银行保险机构与第三方机构进行数据共同处理时,应当按照“业务必要授权”原则制定方案并采取有效管理和技术保护措施确保数据安全,并以合同协议方式明确双方在数据处理过程… 第三十三条 银行保险机构因合并、分立、解散、被宣告破产等需要转移数据的,应当明确数据转移内容,通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务,通过公告等方… 第三十四条 银行保险机构向外部提供敏感级及以上数据,应当取得数据主体同意,法律、行政法规另有规定的除外。除国家机关依法履职外,银行保险机构核心数据跨主体流动应当按照国家相关… 第三十五条 银行保险机构应当建立对外公开披露数据的审批机制,研判可能产生的影响,数据公开应当在机构官方渠道进行发布,确保数据真实、准确、防篡改,记录审批和发布情况。 第三十六条 银行保险机构向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,应当承担数据安全主体责任,并按照国家有关政策要求进行安全评估。 第三十七条 银行保险机构应当采取技术措施,对敏感级及以上数据加强重点防护。加强数据备份,制定备份策略,备份数据和生产数据应隔离分开保存,严格管理备份数据的访问权限。制定备份… 第三十八条 银行保险机构应当制定数据销毁管理制度,按照国家、行业有关规定及与数据主体的约定进行数据删除或者匿名化处理。银行保险机构委托数据处理终止时,应当要求服务提供商及时… 第五章 数据安全技术保护 第三十九条 银行保险机构应当建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术措施,保障… 第四十条 银行保险机构应当将数据安全保护纳入信息系统开发生命周期框架,针对敏感级及以上数据明确安全保护要求,实现数据安全保护措施与信息系统的同步规划、同步建设、同步使用。 第四十一条 银行保险机构应当将数据纳入网络安全等级保护。银行保险机构应当根据数据安全级别,划分网络逻辑安全域,建立分区域数据安全保护基线,实施有效的安全控制,包括内容过滤、… 第四十二条 银行保险机构应当将敏感级及以上数据纳入信息系统保护。在数据全生命周期内采取有效的访问控制管理措施,对于不同区域流转和共享中的数据,应当实施同等水平的安全防护措施… 第四十三条 银行保险机构应当严格实施对敏感级及以上数据的管理,制定用户对数据的访问策略,采取有效的用户认证和访问控制技术措施,规范数据操作行为,用户对数据的访问应当符合业务… 第四十四条 银行保险机构敏感级及以上数据传输应当采用安全的传输方式,保障数据完整性、保密性、可用性。 第四十五条 银行保险机构应当对敏感级及以上数据采取安全存储措施,防止勒索病毒、木马后门等攻击。个人身份鉴别数据不得明文存储、传输和展示。敏感级及以上数据应当实施数据容灾备份… 第四十六条 敏感级及以上数据达到使用或者保存期限后,应当采取技术措施及时删除或者销毁,确保数据不可恢复。终端和移动存储介质内的敏感级及以上数据应当采取技术保护措施,确保受控… 第四十七条 银行保险机构应当开展数据安全的技术基础设施建设,支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能的组件化、服务化,保障安全标准在信息系统中执行… 第四十八条 银行保险机构开发信息系统时,应当明确系统拟处理的数据及其安全级别、访问规则、保护需求,并实施有效的系统安全控制。系统投产上线前应当开展安全测试,确保各项安全要求… 第四十九条 银行保险机构应当对大数据平台采取高可用设计、安全加固、数据备份等措施进行重点保护。应当建立大数据服务访问授权机制,动态监测与审计大数据访问行为。 第五十条 银行保险机构开展自动化决策分析、模型算法开发、数据标注等活动,应当保证数据处理透明度和结果公平合理。银行保险机构应当对人工智能模型开发应用进行统一管理,建立模型… 第五十一条 银行保险机构信息系统、模型算法投入使用前,应当开展数据安全审查,审查数据与模型使用的合理性、正当性、可解释性,以及数据利用对相关主体合法权益的影响、伦理道德风险… 第五十二条 银行保险机构使用人工智能技术开展业务时,应当就数据对决策结果影响进行解释说明和信息披露,实时监测自动化处理与系统运行结果,建立人工智能应用的风险缓释措施,包括制… 第五十三条 银行保险机构在建设开放银行、金融生态或者与第三方数据合作时,要实现自身与外部的安全风险隔离,与外部机构的数据交互应当通过集中管理的外联平台或者应用程序接口实施,… 第六章 个人信息保护 第五十四条 银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施,法律、行政法规另有规定的除外,并在信息系统中实现相关功能控制。 第五十五条 银行保险机构处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,收集个人信息应当限于实现金融业务处理目的的最小范围,不得过度收集个人信息。不得利用所… 第五十六条 银行保险机构处理个人信息前,应当真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、处理的个人信息种类、保存期限,个人行使其信息权利的申请受理和处理程序… 第五十七条 银行保险机构不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。 第五十八条 银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估,评估内容包括个人信息处理的合法性、必要性,对个人权益的影响及安全风… 第五十九条 银行保险机构与其母行、集团,或者其子行、子公司共享个人信息,及向外部提供个人信息,应当履行向个人告知及取得其同意等相关事项的义务。 第六十条 银行保险机构向中华人民共和国境外提供个人信息的,除满足第三十六条、第五十九条规定的要求外,还应当向个人告知其向境外接收方行使信息权利的方式和程序等事项,法律、行… 第六十一条 银行保险机构委托第三方处理个人信息的,应当在合同或者协议条款内明确受托人对个人信息的保护义务、保护措施和期限等,并严格监督受托人以约定的处理目的、处理方式等处理… 第六十二条 银行保险机构在算法设计、训练数据选择和模型生成时,应当采取有效措施,保障个人合法权益。利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。 第六十三条 发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,同时通知个人并报送国家金融监督管理总局或者其派出机构。通知应当包括下列事项: 第七章 数据安全风险监测与处置 第六十四条 银行保险机构应当将数据安全风险纳入本机构全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风… 第六十五条 银行保险机构应当对数据安全威胁进行有效监测,实施监督检查,主动评估风险,防止数据篡改、破坏、泄露、非法利用等安全事件发生。监测内容包括: 第六十六条 银行保险机构应当每年开展一次数据安全风险评估。审计部门应当每三年至少开展一次数据安全全面审计,发生重大数据安全事件后应当开展专项审计。银行保险机构委托专业机构进… 第六十七条 数据安全事件是指银行保险机构数据被篡改、泄露、破坏、非法获取、非法利用等,对个人或者组织合法权益、行业安全、国家安全造成负面影响的事件。根据其影响范围和程度,分… 第六十八条 银行保险机构应当建立数据安全事件应急管理机制,建立机构内部协调联动机制,建立服务提供商、第三方合作机构数据安全事件的报告机制,及时处置风险隐患及安全事件。 第六十九条 数据安全事件发生2小时内,银行保险机构应当向国家金融监督管理总局或者其派出机构报告,并在事件发生后24小时内提交正式书面报告。发生特别重大数据安全事件,银行保险… 第八章 监督管理 第七十条 国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理,开展非现场监管、现场检查,将数据安全管理情况纳入监管评级评估体系,依法对银行保险机构… 第七十一条 国家金融监督管理总局按照国家数据分类分级要求,制定银行业保险业重要数据目录,提出核心数据目录建议,监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机… 第七十二条 国家金融监督管理总局建立银行业保险业数据安全监测预警、通报处置机制,持续监测数据安全风险,向行业发布风险提示,制定银行业保险业数据安全事件应急预案,处置数据安全… 第七十三条 涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移,银行保险机构应当在处理、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告,法律、… 第七十四条 银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测及处… 第七十五条 国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行现场检查、事件调查,对于发现涉嫌违法违规事项的有关单位和个人,依法开展调查。现场检查、事件调查… 第七十六条 银行保险机构违反本办法要求的,国家金融监督管理总局或者其派出机构根据其违规情况,对银行保险机构依法采取风险提示、监管谈话、监管通报、责令改正等监管措施;对涉及违… 第七十七条 银行业金融机构违反本办法要求的,国家金融监督管理总局及其派出机构可以依据《中华人民共和国银行业监督管理法》相关规定,责令银行业金融机构改正,并处以二十万元以上五… 第七十八条 中国银行业协会、中国保险行业协会等行业社团组织应当通过宣传、培训、自律、协调、服务等方式,协助引导会员单位提高数据安全管理水平。 第九章 附则 第七十九条 本办法由国家金融监督管理总局负责解释和修订。 第八十条 国家金融监督管理总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融管理部门批准设立的金融组织参照适用本办法。 第八十一条 本办法自公布之日起施行,《银行保险机构数据安全办法》(银保监办发〔2022〕118号)同时废止。 附件: 数据安全事件分级 附件 一、 特别重大数据安全事件 1. 核心数据遭到泄露、破坏或者非法获取、非法利用。 2. 重要数据遭到泄露、破坏或者非法获取、非法利用,对2个及以上省级区域经济运行秩序造成特别严重影响。 3. 敏感级及以上数据遭到大规模泄露、破坏或者非法获取、非法利用,导致下述情形之一的: (1) 对公共利益造成特别严重危害,造成特别重大经济损失,或者产生特别重大社会群体性事件; (2) 对银行业保险业核心业务、系统重要性金融机构、关键信息基础设施等生产经营造成特别严重威胁或者影响,包括导致大面积业务中断、大量处理能力丧失、大面积关键信息基础设施… 4. 其他对国家安全、政治安全、经济金融安全、公共利益造成特别严重影响的。 二、 重大数据安全事件 1. 重要数据遭到泄露、破坏或者非法获取、非法利用,对省级区域经济带来重大影响或者对银行保险行业安全造成影响。 2. 敏感级及以上数据遭到泄露、破坏或者非法获取、非法利用,导致下述情形之一的: (1) 对多个银行保险机构的业务、重要信息系统生产运营造成严重威胁或者影响,可能导致区域性或者部分金融机构的业务中断、信息系统中断、处理能力丧失等; (2) 对公众利益造成严重危害,产生大范围社会负面影响,可能导致或者直接造成大面积投诉、社会群体性事件; (3) 对多个个人或者组织权益造成严重影响,包括对党政机关、企事业单位、社会团体等多个组织造成严重经济或者技术损失,对生产经营秩序产生直接影响;多人财产安全受到严重危害… 3. 其他对国家安全、经济金融安全、公共利益、个人和组织权益造成严重影响的。 三、 较大数据安全事件 1. 对个人造成不可消除或者消除代价较大的负面影响,包括个人财产安全遭受损失或者可能产生重大损失,个人名誉尊严受到侵害,产生投诉、诉讼事件等。 2. 对组织造成不可消除或者消除代价较大的负面影响,包括造成或者可能造成较大经济或者技术损失,部分业务无法正常开展,声誉受到破坏等。 3. 银行保险机构自身部分业务无法正常开展或者本机构声誉受到破坏;银行保险机构重要信息系统安全稳定运行受到威胁或者影响,可能产生较大及以上级别的重要信息系统突发事件。 4. 其他对经济金融安全、公共利益造成一般影响,或者对个人和组织权益造成较大影响的。 四、 一般数据安全事件