汇业评论

文 | 钱静雯 汇业律师事务所 合伙人

2024年12月27日，国家金监总局发布《关于印发银行保险机构数据安全管理办法的通知》（金规〔2024〕24号，下称“银保文件”）自公布之日起施行。我们曾在《保险业务数字化痛点之网数合规》一文中简要讨论过其征求意见稿版本的基本要求。

国家金监总局发布时强调，各方反馈的相关合理化意见建议均被采纳，未采纳意见主要集中在数据审计周期、监管报送时限等方面。作为在本行业中衔接《数据安全法》的重要法律文件，银保文件进一步细化了相关规则，拉齐了各类机构的合规尺度，填补了部分制度性空白，明确了监管执法管辖和流程，特别融合了过往专项治理行动的经验，其主要内容如下：

银保文件从宏观体系建设、架构搭建到微观细节层面的审批流程、技术措施等诸多方面均提出了具体的要求，我们结合合规逻辑和落地路径，归纳四条快读须知如下：

1四大核心架构搭建

（1）建立企业级数据架构（21#）

文件要求机构开展对全域数据资产登记管理，建立数据资产地图，以数据分类分级为基础明确数据保护对象，围绕数据处理活动实施安全管理。

*就数据分类分级而言，银保文件规定数据分类的对象包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据，基本囊括银保机构日常业务处理的全部数据。

在数据分级上，银保文件进一步提出根据数据的重要性和敏感程度，将数据分为核心数据、重要数据和一般数据，一般数据又分为敏感数据和其他一般数据。这一整体逻辑与中国人民银行2023年7月发布的《中国人民银行业务领域数据安全管理办法（征求意见稿）》[1]（下称“人行文件”）及现有国标/行标的分级方式均不同。

此外，银保文件未对“核心数据”和“重要数据”的认定方法作出明确说明，而是由金融监管总局制定银行业和保险业的重要数据目录，银保机构向金融监管总局或其派出机构报送重要数据目录。这一逻辑与人行文件要求也存在差异，后者规定在人行组织下，由数据处理者填报重要数据目录，由人行汇总后确认。据悉金融监督机构已经在推进重要数据目录制定工作，我们翘首以待后续成果的呈现。

（2）数据安全管理组织架构（9#）

银保文件对此提出了精细化的要求，强调银保机构需建立多层级数据安全治理架构，包括董事会、高管层、归口管理部门、业务部门、风险合规与审计部门等，形成“党委（党组）、董（理）事会、高管层统筹，业务与职能部门执行”的模式。

银保文件要求指定“数据安全归口管理部门”，但未做进一步限制或指向，我们理解可以根据实际情况进行柔性调控。同时，遵照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确开展数据处理活动的具体业务部门应当对相关活动涉及的数据履行数据安全保护义务，而非由某一部门统一归口负责，有利于提高业务和业务数据处理部门的合规意识，压实主体责任。

此外，银保文件引入了“数据安全评估”规则，明确了在处理敏感数据以及涉及委托处理、共享等场景时需履行评估义务。结合《个人信息保护法》中关于个人信息影响评估（PIA）的触发条件和评估内容，在后续的合规落地过程中，可从制度和实施层面考虑将两者同步或合并执行。值得注意的是，除“法规法规”外，“伦理道德规范”也被列为数据安全风险和对数据主体权益影响的标准之一，用于评估数据处理的必要性、合规性。

（3）数据安全事件组织架构（64#、65#、66#）

在安全应急管理方面，银保文件首先要求将数据安全风险纳入机构现有的全面风险管理体系，要求明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效防范和处置数据安全风险。

其次，引入数据安全风险评估制度：要求定期审计（每1年）+全面审计（每3年）+专项审计（重大事件后）相结合。

再次，区分一组概念“数据安全威胁”和“数据安全事件”各自的内涵，明确监测“数据安全威胁”的目的是防止“数据安全事件”发生，并罗列了8项属于“数据安全威胁”需要被监测的内容，例如包括负面舆情、数据异常流动、客诉、内部异常访问、合作数据处理异常等，我们认为涉及面向较为广泛，可能需要多个部门协同监测或建立联动工作机制以全面履行监测义务。

（4）数据安全技术架构（14#、39#）

在第五章专章规定技术架构的重要性，要求技术措施与信息系统“3个同步”，强调保障安全标准在信息系统中执行的一致性，结合实务，建议机构在后续信息系统更新/功能上新时，在规划、建设、应用阶段都充分考虑安全技术措施的适配性。

2法定上报义务

首先，值得银保机构关注的是，涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移的处理活动，新规要求在处理、合同签署前20个工作日进行上报。建议尽快将该报告义务嵌入先行相关采购、法务合同管理流程中，以免发生延报漏报。

其次，根据银保文件规定，机构每年1月15日前应向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告，并同步规定了报告需涵盖的内容。

再者，发现安全事件或威胁时（63#）须及时上报，并在其后按照规定时限要求上报事件、书面报告、处置进展情况及处置报告（69#）。

3三方合作规则

金监部门参照此前执法行动发现的问题，对三方合作涉及的事前、事中、事后全链做了详细规定。

整体上，以“业务必需、最小权限”（53#）为数据交互原则，落实安全风险隔离。

合作前，除了要求制定外部数据采购、合作引入的集中审批管理制度（26#），调查数据来源真实性、合法性，评估数据提供者的安全保障能力及其安全风险外，在数据委托处理场景下，要求明确所涉数据外部使用和处理的条件、场景、方式（30#）、纳入外包管理范畴（31#），禁止责任外包、核心竞争职能外包，并在涉及敏感级及以上数据处理场景中强调对供应商的准入和安全管理（31#），在合同中明确受托人对个人信息的保护义务、保护措施和期限等（61#）。此外，共同处理场景下，规定必须以合同协议方式明确双方在数据处理过程中的数据安全责任和义务（32#）。

合作中，要求对外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改等风险进行监测（65#）；并要求建立服务提供商、第三方合作机构数据安全事件的报告机制（68#）。

合作终止后，要求执行数据销毁制度（38#），采取现场检查等措施确保数据不可恢复。

4数据利用与开发

主管部门在鼓励银保机构持续跟踪新兴数据开发利用和科技发展前沿动态的基础上，同时要求有效应对大数据应用与科技创新可能产生的规则冲突、社会风险、伦理道德风险，防止数据与科技被误用、滥用。

针对AI模型开发，为实现模型算法可验证、可审核、可追溯的目标，要求建立准入机制和事前安全审查机制，审查数据与模型使用的合理性、正当性、可解释性，以及数据利用对相关主体合法权益的影响、伦理道德风险及防控措施有效性等。

针对大数据利用，要求平台采取技术措施、建立服务访问授权机制，进行平台保护、监测与审计大数据访问行为。

脚注

[1] 适用范围上，银保文件适用于更广泛的境内金融机构，而人行文件专注于人行业务数据。二者适用范围既有交叉，也有分别适用的空间。两套规定在实际执行过程中可能引发一定的困惑。我们理解，机构应首先结合自身的组织性质及经营业务特征，审慎判断适用的规则体系。对于确需同时遵循两套规则的机构，究竟应以何种分类标准为优先依据，抑或需分别适用两套分类标准，仍有待主管部门在后续立法或执法实践中进一步予以明确。