银行保险机构数据安全管理办法 （公开征求意见稿） 第一章 第一条 总 则 （立法目的及依据） 为规范银行业保险业数据处理活动，保障数据安全、金融安全， 促进数据合理开发利用，保护个人、组织的合法权益，维护国家安全 和社会公共利益，根据《中华人民共和国数据安全法》《中华人民共 和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共 和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民 共和国保险法》等法律法规，制定本办法。 第二条 （适用范围） 在中华人民共和国境内设立的开发性金融机构、政策性银行、商 业银行、农村合作银行、农村信用社，保险集团（控股）公司、保险 公司、保险资产管理公司、金融资产管理公司、信托公司、财务公司、 金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、理财 公司适用本办法。 开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守 国家秘密法》等法律、行政法规的规定。 1 第三条 （术语定义） 本办法所称数据，是指以电子或者其他方式对信息的记录。 数据处理，是指对数据的收集、存储、使用、加工、传输、提供、 共享、转移、公开、删除、销毁等。 数据安全，是指通过采取必要措施，对数据处理活动和数据应用 场景进行管理与控制，确保数据始终处于有效保护和合法利用的状 态，以及具备保障持续安全状态的能力。 数据主体，是指数据所标识的自然人或者其监护人、企业、机关、 事业单位、社会团体和其他组织。 个人信息，是以电子或者其他方式记录的与已识别或者可识别的 自然人有关的各种信息，不包括匿名化处理后的信息。 大数据平台，是指以处理海量数据存储、计算、分析等为目的的 基础设施，包括数据统计分析类的平台和大数据处理类平台（如数据 湖、数据仓库等）。 第四条 （数据安全监管） 国家金融监督管理总局及其派出机构负责银行业保险业数据安 全的监督管理，制定并发布监管规章制度，对银行保险机构履行数据 安全保护义务情况进行监督检查。 第五条 （数据安全管理体系） 银行保险机构应当建立与本机构业务发展目标相适应的数据安 全治理体系，建立健全数据安全管理制度，构建覆盖数据全生命周期 2 和应用场景的安全保护机制，开展数据安全风险评估、监测与处置， 保障数据开发利用活动安全稳健开展。银行保险机构利用互联网等信 息网络开展数据处理活动，应当在网络安全等级保护制度基础上，履 行数据安全保护义务。 第六条 （保护原则与目标） 银行保险机构开展数据处理活动，应当遵守法律、法规，尊重社 会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全 保护义务，承担社会责任，不得危害国家安全、政治安全、金融安全、 公共利益，不得损害个人、组织的合法权益。 第七条 （数据开发利用） 银行保险机构应当统筹发展和安全，落实国家大数据战略，推进 数据基础设施建设，加大数据创新应用力度，促进以数据为关键要素 的数字经济发展，提升金融服务的智能化水平，创新普惠金融服务模 式，增强防范化解风险的能力。 第八条 （持续提升） 银行保险机构应当持续跟踪新兴数据开发利用和科技发展前沿 动态，有效应对大数据应用与科技创新可能产生的规则冲突、社会风 险、伦理道德风险，防止数据与科技被误用、滥用。 第二章 数据安全治理 3 第九条 （数据安全治理架构） 银行保险机构应当建立覆盖董（理）事会、高管层、数据安全统 筹、数据安全技术保护等部门的数据安全管理组织架构，明确岗位职 责和工作机制，落实资源保障。 第十条 （数据安全责任制） 银行保险机构应当建立数据安全责任制，党委（党组）、董（理） 事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为 数据安全第一责任人，分管数据安全的领导为直接责任人，明确各层 级负责人的责任，明确违规情形和责任追究事项，落实问责处置机制。 第十一条 （数据安全归口管理部门） 银行保险机构应当指定数据安全归口管理部门，作为本机构负责 数据安全工作的主责部门。其主要职责包括： （一）组织制定数据安全管理原则、规划、制度和标准。 （二）组织建立和维护数据目录，推动实施数据分类分级保护。 （三）组织开展数据安全评估和审查。 （四）统筹建立数据安全应急管理机制，组织开展数据安全风险 监测、预警与处置。 （五）组织开展数据安全宣贯培训，提升员工数据安全保护意识 与技能。 （六）建立和维护内部数据共享、外部数据引入、数据对外提供、 数据出境的统筹管理机制，牵头对外部数据供应商进行安全管理，统 4 筹大数据应用、数据共享项目的安全需求管理。 （七）向党委（党组）、董（理）事会、高管层报告数据安全重 要事项。 （八）其他须统筹管理的数据安全工作事项。 第十二条 （业务部门） 银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安 全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保 护管理要求。 第十三条 （风险合规与审计部门） 银行保险机构风险管理、内控合规和审计部门负责将数据安全纳 入全面风险管理体系、内控评价体系，定期开展审计、监督检查与评 价，督促问题整改和开展问责。 第十四条 （数据安全技术保护部门） 银行保险机构信息科技部门是数据安全的技术保护主责部门，其 主要职责包括： （一）建立数据安全技术保护体系，建立数据安全技术架构和保 护控制基线，落实技术保护措施。 （二）制定数据安全技术标准规范制度，组织开展数据安全技术 风险评估。 （三）组织开展信息系统的生命周期安全管理，确保数据安全保 护措施在需求、开发、测试、投产、监测等环节得到落实。 5 （四）建立数据安全技术应急管理机制，组织开展数据安全风险 技术监测、预警、通报与处置，防范外部攻击行为。 （五）组织数据安全技术研究与应用。 第十五条 （数据安全文化建设） 银行保险机构应当建立良好的数据安全文化，开展全员数据安全 教育和培训，提高数据安全保护意识和水平，形成全员共同维护数据 安全和促进发展的良好环境。 第三章 第十六条 数据分类分级 （总体要求） 银行保险机构应当制定数据分类分级保护制度，建立数据目录和 分类分级规范，动态管理和维护数据目录，采取差异化安全保护措施。 第十七条 （数据分类） 银行保险机构应当对机构业务及经营管理过程中获取、产生的数 据进行分类管理，数据类型包括客户数据、业务数据、经营管理数据、 系统运行和安全管理数据等。 第十八条 （数据分级） 银行保险机构应当根据数据的重要性和敏感程度，将数据分为核 心数据、重要数据、一般数据。其中，一般数据细分为敏感数据和其 他一般数据。 6 核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高 精度、较大规模、一定深度的重要数据，一旦被非法使用或者共享， 可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民 生、重大公共利益。 重要数据是指特定领域、特定群体、特定区域或者达到一定精度 和规模的数据，一旦被泄露或者篡改、损毁，可能直接危害国家安全、 经济运行、社会稳定、公共健康和安全。 敏感数据是指，一旦被泄露或者篡改、损毁，对经济运行、社会 稳定、公共利益有一定影响，或者对组织自身或者公民个体造成重要 影响的数据。 除以上数据之外的数据为其他一般数据。 第十九条 （动态调整） 银行保险机构应当加强数据安全级别的时效管理，建立动态调整 审批机制，当数据的业务属性、重要程度和可能造成的危害程度发生 变化，导致原安全级别不再适用的，应当及时动态调整。 第四章 数据安全管理 第二十条 （管理体系） 银行保险机构应当按照国家数据安全与发展政策要求，根据自身 发展战略，制定数据安全保护策略。银行保险机构应当制定数据安全 7 管理办法，明确管理责任分工，建立包括数据处理全生命周期管控机 制，落实保护措施。 银行保险机构应当对数据外部引入或者合作共享、数据出境等， 制定安全管理实施细则。 第二十一条 （数据资产管理） 银行保险机构应当建立企业级数据架构，统筹开展对全域数据资 产登记管理，建立数据资产地图，以数据分类分级为基础明确数据保 护对象，围绕数据处理活动实施安全管理。 第二十二条 （数据安全评估） 银行保险机构在处理敏感级及以上数据的业务活动时，或者开展 数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影 响的活动时，应当事先开展数据安全评估。数据安全评估应当根据数 据处理目的、性质和范围，按照法律法规和伦理道德规范要求，分析 数据安全风险和对数据主体权益影响，评估数据处理的必要性、合规 性，评估数据安全风险及防控措施的有效性。 第二十三条 （数据服务管理） 银行保险机构应当建立企业级数据服务管理体系，制定数据服务 规范，建立专职数据服务团队，统筹内外部数据加工、分析，实施数 据服务需求分析、服务开发、服务部署、服务监控等活动。 第二十四条 （数据收集） 银行保险机构收集数据应当坚持“合法、正当、必要、诚信”原 8 则，明确数据收集和处理的目的、方式、范围、规则，保障收集过程 的数据安全性、数据来源可追溯。银行保险机构不得超出数据主体同 意的范围向其收集数据，法律、行政法规另有规定的除外。 银行保险机构向其他银行保险机构收集行业重要级及以上数据， 需经国家金融监督管理总局同意。 第二十五条 （数据收集） 银行保险机构应当以信息系统为数据收集的主要渠道，限制或者 减少其他渠道、临时性数据收集。 银行保险机构停止金融业务或者服务后，应当立即停止相关数据 收集或者处理活动，法律、行政法规另有规定的除外。 第二十六条 （外部数据采购） 银行保险机构应当制定外部数据采购、合作引入的集中审批管理 制度，纳入外包风险管理体系进行统筹管理，统筹建立数据需求、安 全评估、收集引入、数据运维、登记备案和监督评价管理机制，对数 据来源的真实性、合法性进行调查，评估数据提供者的安全保障能力 及其数据安全风险，明确双方数据安全责任及义务。 第二十七条 （数据加工） 银行保险机构开展敏感级及以上数据清洗转换、汇聚融合、分析 挖掘等数据加工活动时，应当采用匿名化、去标识化或者其他必要安 全措施保护数据主体权益，法律、行政法规另有规定的除外。数据汇 聚融合衍生敏感级及以上数据，或者导致数据安全级别变化的，应当 9 及时评估、调整安全保护措施。 第二十八条 （数据使用） 银行保险机构应当按照“业务必要授权”原则，对敏感级及以上 数据严格实施授权管理，制定数据访问闭环管理机制，并对数据访问 行为实施审计。确因业务需要从生产