背景

为规范银行和保险行业的数据处理活动，确保数据和金融安全，促进合法数据利用，并保护公共利益及金融消费者权益，《银行和保险机构数据安全管理规定》（以下简称《规定》）正式发布。该规定建立了全面的数据治理和安全管理框架，明确了金融机构在数据安全方面的责任和义务。

主要内容

加强数据治理

• 各机构需建立与业务发展目标相匹配的数据安全治理体系。

• 实行数据安全责任制，确保业务负责人直接对数据安全负责。

实施差异化数据管理

• 机构应根据数据的重要性和敏感性将数据分为核心数据、重要数据和一般数据。

• 一般数据还需进一步划分为敏感数据和普通数据，并采取相应的安全防护措施。

强化数据安全管理

• 建立完整的数据安全管理框架，规范数据的处理、传输、披露和共享。

• 机构在开展数据外包处理时需进行安全评估，并在数据全生命周期内采取保护措施。

加强个人信息保护

• 个人信息处理必须遵循“明示告知、事先同意”原则。

• 数据收集需遵循最小必要原则，仅限于满足业务需要。

• 机构在向第三方披露个人信息前，必须征得客户明确同意。

完善风险监测与应急响应机制

• 数据安全风险需纳入综合风险管理体系。

• 机构应明确数据安全风险评估、应急响应、信息报告及事件处理的组织架构和流程，以有效防范安全事件。

实施与未来展望

《规定》的出台是金融监管加强数据安全管理、防范系统性风险的重要举措。未来，CNAFI将：

• 加强对银行和保险机构数据安全合规性的监督管理；

• 提供指导和支持，帮助机构落实监管要求；

• 推动金融机构提升数据安全管理能力，保障金融数据安全，防范信息安全威胁。

通过上述措施，《规定》将有效构建强有力的数据保护体系，提升金融行业的安全性和稳定性，增强公众对金融服务的信任。