对于拥有海量数据资源的银行而言,数据安全既是业务开展的基石,也关乎自身的合规风险管理。为规范银行业保险业数据处理活动,金融监管总局近日制定《银行保险机构数据安全管理办法》(以下简称《办法》),明确数据安全相关部门职责分工,强化数据分类分级管理和个人信息保护。其中,《办法》要求银行保险机构制定数据分类分级保护制度。
随着银行数字化转型深入推进,数据已经和银行各业务领域进行深度融合,与此同时,银行违规使用数据等情况也曾多次引起监管处罚。为确保数据安全,多家机构已有所行动,包括加强分类分级管理、强化数据安全风险监测等。在分析人士看来,《办法》的下发有助于明确数据领域的安全管理思路,后续机构将依规完善数据治理,不断提升数据管理水平。
强化数据分类分级管理
金融数据具有高价值和高敏感性,为确保客户信息和金融交易数据安全,《办法》明确了数据安全归口管理部门、数据安全技术保护部门以及风险合规与审计部门的职责分工,并与数据分类分级、数据安全管理、数据安全技术保护、数据安全风险监测与处置等工作相对应。
其中,在数据分类分级方面,《办法》要求银行保险机构对业务经营管理过程中获取、产生的数据进行分类管理。根据数据的重要性和敏感程度,将数据分为核心、重要、一般三个级别,并将一般数据进一步细分为敏感数据和其他一般数据,并采取差异化的安全保护措施,同时,明确当数据的业务属性、重要程度和可能造成的危害程度发生变化,导致安全级别不再适用的,机构应及时进行动态调整。
知名经济学者盘和林认为,数据分类分级管理的意义在于能够针对不同级别和敏感性的数据采取差异化的安全保护措施,提高数据管理的针对性和有效性。为提高数据分类分级管理的准确性,银行需要完善数据分类分级标准和流程,加强数据管理使用人员的培训、提高对分类分级工作的认识,此外,数据分类分级之后,还要对工作进行定期复核。
在数据的使用过程中,个人信息安全保护是管理的重点,近年来银行App未经用户同意,违规或超范围收集个人信息的情况时有发生。为此,《办法》单独设置“个人信息保护”章节,以进一步落实《数据安全法》《个人信息保护法》等上位法要求。要求银行保险机构按照“明确告知、授权同意”的原则处理个人信息,以金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息,应履行个人告知及取得同意的义务。
盘和林指出,《办法》首先是明确了各部门职责分工,金融机构数据管理方面,未来职责更加明确,将有效提高银行保险机构数据安全管理的质量。其次,是强化数据分类分级管理,有助于银行建立完善的数据安全体系,最后,是加强了个人信息保护,落实了法律法规要求,将法律要求更加具象化、具体化,让金融机构更容易执行。
摸索数据安全自主化方案
随着银行数字化转型深入推进,数据已经和银行各业务领域进行深度融合。各家银行深挖数据潜在价值赋能业务发展,随着行业对数据的依赖不断增加,数据安全风险也日益受到重视。
多家银行通过进行数据安全分类分级、加强数据安全风险监测、建立个人信息保护体系等措施强化数据安全管理。例如,工商银行强化数据安全管理,启动集团数据安全分类分级工作,从系统层、终端层、网络层和应用层实施数据全生命周期安全防护;中国银行推动数据全生命周期安全技术防护,在金融行业内首批通过了国家数据安全管理认证,持续加强银行客户信息保护和数据安全风险监测;为严防数据滥用,招商银行建立了全域个人信息保护体系,确保个人信息采集合法,该行采取大量数据脱敏工作,保证内部数据为业务发展所用。
数据安全管理是一项长周期系统性工程,在实践过程中,也不乏违规行为出现。例如,交通银行、湖北银行、山西农村商业联合银行年内就分别因数据安全管理不足、数据安全管理不到位存在风险隐患、数据安全管理较粗放存在数据泄露风险等被监管处罚。
“银行数据量大、种类多,管理难度大。同时基层人员多,违规操作和滥用较难管控。另外,外部攻击也是不容忽视的潜在风险。”盘和林指出,后续,银行应完善数据安全技术,以技术围墙保护数据,同时完善数据安全管理制度,比如数据调用需要权限,数据查询需要留痕。此外,要定期对数据安全风险进行评估,预判数据风险。
在分析人士看来,随着《办法》的印发,银行数据安全管理将更加有章可循,银行机构应对照规则进一步摸索数据安全自主化管理方案。素喜智研高级研究员苏筱芮表示,《办法》有助于明确数据领域的安全管理思路,为银行保险机构建立健全数据安全管理机制、落实人员职责分工等合规工作提供了有益参考,后续机构将依规完善数据治理,不断提升数据管理水平。
盘和林建议,银行应主动和监管部门合作,建立联合金融数据监管系统,并加强在实践中摸索数据安全的自主化方案,将数据安全案例做成手册,在机构内部进行普及。
北京商报记者 李海颜
热门跟贴