2 浏览各金融监管局,各政策性银行、大型银行、股份制银
行、外资银行、直销银行、金融资产管理公司、金融
资产投资公司、理财公司,各保险集团(控股)公司、
保险公司、保险资产管理公司、养老金管理公司、保
险专业中介机构,各金融控股公司,各总局管理单位:
现将《银行保险机构数据安全管理办法》印发给
你们,请遵照执行。
国家金融监督管理总局
2024 年 12 月 27 日
(此件发至监管分局与地方法人银行保险机构)
- 1 -
银行保险机构数据安全管理办法
第一章 总 则
第一条 为规范银行业保险业数据处理活动,保
障数据安全、金融安全,促进数据合理开发利用,保
护个人、组织的合法权益,维护国家安全和社会公共
利益,根据《中华人民共和国数据安全法》《中华人
民共和国网络安全法》《中华人民共和国个人信息保
护法》《中华人民共和国银行业监督管理法》《中华
人民共和国商业银行法》《中华人民共和国保险法》
等法律法规,制定本办法。
第二条 本办法所称银行保险机构,是指在中华
人民共和国境内设立的政策性银行、商业银行、农村
合作银行、农村信用合作社、金融资产管理公司、企
业集团财务公司、金融租赁公司、汽车金融公司、消
费金融公司、货币经纪公司、信托公司、理财公司、
保险公司、保险资产管理公司、保险集团(控股)公
司。
开展涉及国家秘密的数据处理活动,适用《中华
- 2 -
人民共和国保守国家秘密法》等法律、行政法规的规
定。国家有关主管部门另有规定的,应当依法遵守其
规定。
第三条 本办法所称数据,是指以电子或者其他
方式对信息的记录。
数据处理,是指对数据的收集、存储、使用、加
工、传输、提供、共享、转移、公开、删除、销毁等。
数据安全,是指通过采取必要措施,对数据处理
活动和数据应用场景进行管理与控制,确保数据始终
处于有效保护和合法利用的状态,以及具备保障持续
安全状态的能力。
数据主体,是指数据所标识的自然人或者其监护
人、企业、机关、事业单位、社会团体和其他组织。
个人信息,是以电子或者其他方式记录的与已识
别或者可识别的自然人有关的各种信息,不包括匿名
化处理后的信息。
大数据平台,是指以处理海量数据存储、计算、
分析等为目的的基础设施,包括数据统计分析类的平
台和大数据处理类平台(如数据湖、数据仓库等)。
第四条 国家金融监督管理总局及其派出机构负
责银行业保险业数据安全的监督管理,制定并发布监
- 3 -
管规章制度,对银行保险机构履行数据安全保护义务
情况进行监督检查。
第五条 银行保险机构应当建立与本机构业务发
展目标相适应的数据安全治理体系,建立健全数据安
全管理制度,构建覆盖数据全生命周期和应用场景的
安全保护机制,开展数据安全风险评估、监测与处置,
保障数据开发利用活动安全稳健开展。银行保险机构
利用互联网等信息网络开展数据处理活动,应当在网
络安全等级保护制度基础上,履行数据安全保护义务。
第六条 银行保险机构开展数据处理活动,应当
遵守法律、法规,尊重社会公德和伦理,遵守商业道
德和职业道德,诚实守信,履行数据安全保护义务,
承担社会责任,不得危害国家安全、政治安全、经济
金融安全、公共利益,不得损害个人、组织的合法权
益。
第七条 银行保险机构应当统筹发展和安全,落
实国家大数据战略,推进数据基础设施建设,加大数
据创新应用力度,促进以数据为关键要素的数字经济
发展,提升金融服务的智能化水平,创新普惠金融服
务模式,增强防范化解风险的能力。
第八条 银行保险机构应当持续跟踪新兴数据开
- 4 -
发利用和科技发展前沿动态,有效应对大数据应用与
科技创新可能产生的规则冲突、社会风险、伦理道德
风险,防止数据与科技被误用、滥用。
第二章 数据安全治理
第九条 银行保险机构应当建立覆盖董(理)事
会、高管层、数据安全统筹、数据安全技术保护等部
门的数据安全管理组织架构,明确岗位职责和工作机
制,落实资源保障。
第十条 银行保险机构应当建立数据安全责任
制,党委(党组)、董(理)事会对本单位数据安全
工作负主体责任。银行保险机构主要负责人为数据安
全第一责任人,分管数据安全的高级管理人员为直接
责任人,明确各层级负责人的责任,明确违规情形和
责任追究事项,落实问责处置机制。
第十一条 银行保险机构应当指定数据安全归口
管理部门,作为本机构负责数据安全工作的主责部门。
其主要职责包括:
(一)组织制定数据安全管理原则、规划、制度
和标准;
- 5 -
(二)组织建立和维护数据目录,推动实施数据
分类分级保护;
(三)组织开展数据安全评估和审查;
(四)统筹建立数据安全应急管理机制,组织开
展数据安全风险监测、预警与处置;
(五)组织开展数据安全宣贯培训,提升员工数
据安全保护意识与技能;
(六)建立和维护内部数据共享、外部数据引入、
数据对外提供、数据出境的统筹管理机制,牵头对外
部数据供应商进行安全管理,统筹大数据应用、数据
共享项目的安全需求管理;
(七)向党委(党组)、董(理)事会、高管层
报告数据安全重要事项;
(八)其他须统筹管理的数据安全工作事项。
第十二条 银行保险机构应当按照“谁管业务、
谁管业务数据、谁管数据安全”的原则,明确各业务
领域的数据安全管理责任,落实数据安全保护管理要
求。
第十三条 银行保险机构风险管理、内控合规和
审计部门负责将数据安全纳入全面风险管理体系、内
控评价体系,定期开展审计、监督检查与评价,督促
- 6 -
问题整改和开展问责。
第十四条 银行保险机构信息科技部门是数据安
全的技术保护主责部门,其主要职责包括:
(一)建立数据安全技术保护体系,建立数据安
全技术架构和保护控制基线,落实技术保护措施。
(二)制定数据安全技术标准规范制度,组织开
展数据安全技术风险评估。
(三)组织开展信息系统的生命周期安全管理,
确保数据安全保护措施在需求、开发、测试、投产、
监测等环节得到落实。
(四)建立数据安全技术应急管理机制,组织开
展数据安全风险技术监测、预警、通报与处置,防范
外部攻击、内外部破坏等危害数据安全活动。
(五)组织数据安全技术研究与应用。
第十五条 银行保险机构应当建立良好的数据安
全文化,开展全员数据安全教育和培训,提高数据安
全保护意识和水平,形成全员共同维护数据安全和促
进发展的良好环境。
第三章 数据分类分级
- 7 -
第十六条 银行保险机构应当制定数据分类分级
保护制度,建立数据目录和分类分级规范,动态管理
和维护数据目录,采取差异化安全保护措施。
第十七条 银行保险机构应当对机构业务及经营
管理过程中获取、产生的数据进行分类管理,数据类
型包括客户数据、业务数据、经营管理数据、系统运
行和安全管理数据等。
第十八条 银行保险机构应当根据数据的重要性
和敏感程度,将数据分为核心数据、重要数据、一般
数据。其中,一般数据细分为敏感数据和其他一般数
据。
核心数据,是指对领域、群体、区域具有较高覆
盖度或者达到较高精度、较大规模、一定深度的重要
数据,一旦被非法使用或者共享,可能直接影响政治
安全、国家安全重点领域、国民经济命脉、重要民生、
重大公共利益。
重要数据,是指特定领域、特定群体、特定区域
或者达到一定精度和规模的数据,一旦被泄露或者篡
改、损毁,可能直接危害国家安全、经济运行、社会
稳定、公共健康和安全。
敏感数据,是指一旦被泄露或者篡改、损毁,对
- 8 -
经济运行、社会稳定、公共利益有一定影响,或者对
组织自身或者公民个体造成重要影响的数据。
除以上数据之外的,为其他一般数据。
第十九条 银行保险机构应当加强数据安全级别
的时效管理,建立动态调整审批机制,当数据的业务
属性、重要程度和可能造成的危害程度发生变化,导
致原安全级别不再适用的,应当及时动态调整。
第四章 数据安全管理
第二十条 银行保险机构应当按照国家数据安全
与发展政策要求,根据自身发展战略,制定数据安全
保护策略。银行保险机构应当制定数据安全管理办法,
明确管理责任分工,建立包括数据处理全生命周期管
控机制,落实保护措施。
银行保险机构应当对数据外部引入或者合作共
享、数据出境等,制定安全管理实施细则。
第二十一条 银行保险机构应当建立企业级数
据架构,统筹开展对全域数据资产登记管理,建立数
据资产地图,以数据分类分级为基础明确数据保护对
象,围绕数据处理活动实施安全管理。
第二十二条 银行保险机构在处理敏感级及以
- 9 -
上数据的业务活动时,或者开展数据委托处理、共同
处理、转移、公开、共享等对数据主体有较大影响的
活动时,应当事先开展数据安全评估。数据安全评估
应当根据数据处理目的、性质和范围,按照法律法规
和伦理道德规范要求,分析数据安全风险和对数据主
体权益影响,评估数据处理的必要性、合规性,评估
数据安全风险及防控措施的有效性。
第二十三条 银行保险机构应当建立企业级数
据服务管理体系,制定数据服务规范,建立专职数据
服务团队,统筹内外部数据加工、分析,实施数据服
务需求分析、服务开发、服务部署、服务监控等活动。
第二十四条 银行保险机构收集数据应当坚持
“合法、正当、必要、诚信”原则,明确数据收集和
处理的目的、方式、范围、规则,保障收集过程的数
据安全性、数据来源可追溯。银行保险机构不得超出
数据主体同意的范围向其收集数据,法律、行政法规
另有规定的除外。
银行保险机构向其他银行保险机构收集行业重要
级及以上数据,需经国家金融监督管理总局同意。
第二十五条 银行保险机构应当以信息系统为
数据收集的主要渠道,限制或者减少其他渠道、临时
- 10 -
性数据收集。
银行保险机构停止金融业务或者服务后,应当立
即停止相关数据收集或者处理活动,法律、行政法规
另有规定的除外。
第二十六条 银行保险机构应当制定外部数据
采购、合作引入的集中审批管理制度,纳入外包风险
管理体系进行统筹管理,统筹建立数据需求、安全评
估、收集引入、数据运维、登记备案和监督评价管理
机制,对数据来源的真实性、合法性进行调查,评估
数据提供者的安全保障能力及其数据安全风险,明确
双方数据安全责任及义务。
第二十七条 银行保险机构开展敏感级及以上
数据清洗转换、汇聚融合、分析挖掘等数据加工活动
时,应当采用匿名化、去标识化或者其他必要安全措
施保护数据主体权益,法律、行政法规另有规定的除
外。数据汇聚融合衍生敏感级及以上数据,或者导致
数据安全级别变化的,应当及时评估、调整安全保护
措施。
第二十八条 银行保险机构应当按照“业务必要
授权”原则,对敏感级及以上数据严格实施授权管理,
制定数据访问闭环管理机制,并对数据访问行为实施
- 11 -
审计。确因业务需要从生产环境提取数据的,应当建
立严格的审批程序,并明确数据使用或者保存期限。
银行保险机构利用互联网等信息网络开展数据处
理活动时,要落实网络安全等级保护、关键信息基础
设施安全保护、密码保护等制度要求。
第二十九条 银行保险机构应当对数据共享使
用进行集中安全管控,明确企业级数据共享策略,评
估数据共享使用的必要性、合规性、安全性及伦理道
德规范的符合度。
银行保险机构应当建立银行母行、保险集团或者
母公司与其子行、子公司数据安全隔离的“防火墙”,
并对共享数据采取有效保护措施。银行保险机构与其
母行、集团,或者其子行、子公司共享敏感级及以上
数据,应当获得数据主体的授权同意,法律、行政法
规另有规定的除外。不得以数据主体拒绝同意共享敏
感数据而终止或者拒绝单家子行、子公司对其提供金
融服务,所共享数据属于提供产品或者服务所必需的
除外。
第三十条 银行保险机构在委托处理数据时,应
当明确所涉数据外部使用和处理的条件、场景、方式。
委托处理数据时,应当以合同协议方式约定委托处理
- 12 -
的目的、期限、处理方式、数据范围、保护措施、双
方的数据安全责任和义务,以及受托方返还或者删除
数据的方式等,对数据处理活动进行记录和审计,可
对外公开披露的数据除外。银行保险机构应当要求受
托方在未取得其同意时,不得转委托其他主体处理数
据,不得对外共享数据,不得加工、训练、挪用数据,
或者采取其他形式处理数据以谋取合同或者协议约定
以外的利益。
第三十一条 银行保险机构应当将数据委托处
理纳入信息科技外包管理范围,在实施过程中不得将
信息科技管理责任、数据安全主体责任外包,涉及信
息科技战略管理、信息科技风险管理、信息科技内部
审计及其他有关信息科技核心竞争力的职能不得外
包。供应链服务中涉及敏感级及以上数据处理的,银
行保险机构应当加强对供应商的准入和安全管理。
第三十二条 银行保险机构与第三方机构进行
数据共同处理时,应当按照“业务必要授权”原则制
定方案并采取有效管理和技术保护措施确保数据安
全,并以合同协议方式明确双方在数据处理过程中的
数据安全责任和义务。
第三十三条 银行保险机构因合并、分立、解散、
- 13 -
被宣告破产等需要转移数据的,应当明确数据转移内
容,通过协议、承诺等方式约定数据接收方全面承接
对应数据的安全保护义务,通过公告等方式告知数据
主体。数据转移应当采用安全可靠方式进行,并确保
转移过程可追溯。
第三十四条 银行保险机构向外部提供敏感级
及以上数据,应当取得数据主体同意,法律、行政法
规另有规定的除外。除国家机关依法履职外,银行保
险机构核心数据跨主体流动应当按照国家相关政策要
求通过风险评估、安全审查。
第三十五条 银行保险机构应当建立对外公开
披露数据的审批机制,研判可能产生的影响,数据公
开应当在机构官方渠道进行发布,确保数据真实、准
确、防篡改,记录审批和发布情况。
敏感级及以上数据不得公开,法律、行政法规另
有规定或者取得数据主体授权同意的除外。
第三十六条 银行保险机构向境外提供在中华
人民共和国境内运营中收集和产生的重要数据和个人
信息,应当承担数据安全主体责任,并按照国家有关
政策要求进行安全评估。
第三十七条 银行保险机构应当采取技术措施,
- 14 -
对敏感级及以上数据加强重点防护。加强数据备份,
制定备份策略,备份数据和生产数据应隔离分开保存,
严格管理备份数据的访问权限。制定备份验证计划,
确保备份数据完整有效、业务可恢复。
第三十八条 银行保险机构应当制定数据销毁
管理制度,按照国家、行业有关规定及与数据主体的
约定进行数据删除或者匿名化处理。银行保险机构委
托数据处理终止时,应当要求服务提供商及时删除数
据,并采取现场检查等有效监督措施,确保数据被销
毁、不可恢复。
第五章 数据安全技术保护
第三十九条 银行保险机构应当建立针对大数
据、云计算、移动互联网、物联网等多元异构环境下
的数据安全技术保护体系,建立数据安全技术架构,
明确数据保护策略方法,采取技术措施,保障数据安
全。
第四十条 银行保险机构应当将数据安全保护纳
入信息系统开发生命周期框架,针对敏感级及以上数
据明确安全保护要求,实现数据安全保护措施与信息
- 15 -
系统的同步规划、同步建设、同步使用。
第四十一条 银行保险机构应当将数据纳入网
络安全等级保护。银行保险机构应当根据数据安全级
别,划分网络逻辑安全域,建立分区域数据安全保护
基线,实施有效的安全控制,包括内容过滤、访问控
制和安全监控等,确保相关措施满足处理和存储最高
级别数据的网络安全策略和数据安全保护策略要求。
存放或者传输敏感级及以上数据的机房、网络应当实
施重点防护,设立物理安全保护区域,对网络边界、
重要网络节点进行安全监控与审计。
第四十二条 银行保险机构应当将敏感级及以
上数据纳入信息系统保护。在数据全生命周期内采取
有效的访问控制管理措施,对于不同区域流转和共享
中的数据,应当实施同等水平的安全防护措施。多来
源敏感级及以上数据汇聚集中后,应当采取加强性或
者至少不低于集中前最高级别数据保护强度的安全措
施。
第四十三条 银行保险机构应当严格实施对敏
感级及以上数据的管理,制定用户对数据的访问策略,
采取有效的用户认证和访问控制技术措施,规范数据
操作行为,用户对数据的访问应当符合业务开展的必
- 16 -
要要求并与数据安全级别相匹配。敏感级及以上数据
的操作应当进行日志记录,包括操作时间、用户标识、
行为类型等,核心数据操作日志及其备份数据保存时
间不低于三年,重要数据、敏感数据操作日志及其备
份数据保存时间不低于一年,如涉及委托处理、共同
处理的数据操作日志及其备份数据保存时间不低于三
年。应当定期对数据操作行为进行审计,审计周期不
超过六个月。
第四十四条 银行保险机构敏感级及以上数据
传输应当采用安全的传输方式,保障数据完整性、保
密性、可用性。
银行保险机构之间进行数据交换时,参与数据交
换的相关机构应当采取有效措施保障信息数据传输和
存储的保密性、完整性、准确性、及时性、安全性。
第四十五条 银行保险机构应当对敏感级及以
上数据采取安全存储措施,防止勒索病毒、木马后门
等攻击。个人身份鉴别数据不得明文存储、传输和展
示。敏感级及以上数据应当实施数据容灾备份,定期
进行数据可恢复性验证。
第四十六条 敏感级及以上数据达到使用或者
保存期限后,应当采取技术措施及时删除或者销毁,
- 17 -
确保数据不可恢复。终端和移动存储介质内的敏感级
及以上数据应当采取技术保护措施,确保受控安全访
问,介质报废或者重用时,其存储空间数据应当完全
清除并不可恢复。
第四十七条 银行保险机构应当开展数据安全
的技术基础设施建设,支持用户身份管理、数据匿名
化、行为监测、日志审计、数据虚拟化等功能的组件
化、服务化,保障安全标准在信息系统中执行的一致
性。
第四十八条 银行保险机构开发信息系统时,应
当明确系统拟处理的数据及其安全级别、访问规则、
保护需求,并实施有效的系统安全控制。系统投产上
线前应当开展安全测试,确保各项安全要求落实,有
效防范数据安全风险。测试环境应当与生产系统隔离,
敏感级及以上数据原则上未经脱敏处理不得进入测试
环境,防止数据泄露。
第四十九条 银行保险机构应当对大数据平台
采取高可用设计、安全加固、数据备份等措施进行重
点保护。应当建立大数据服务访问授权机制,动态监
测与审计大数据访问行为。
第五十条 银行保险机构开展自动化决策分析、
- 18 -
模型算法开发、数据标注等活动,应当保证数据处理
透明度和结果公平合理。银行保险机构应当对人工智
能模型开发应用进行统一管理,建立模型算法产品外
部引入的准入机制,对模型研发过程进行主动管理,
实现模型算法可验证、可审核、可追溯。
第五十一条 银行保险机构信息系统、模型算法
投入使用前,应当开展数据安全审查,审查数据与模
型使用的合理性、正当性、可解释性,以及数据利用
对相关主体合法权益的影响、伦理道德风险及防控措
施有效性等。
第五十二条 银行保险机构使用人工智能技术
开展业务时,应当就数据对决策结果影响进行解释说
明和信息披露,实时监测自动化处理与系统运行结果,
建立人工智能应用的风险缓释措施,包括制定退出人
工智能应用的替代方案,对安全威胁制定应急方案并
开展演练。
第五十三条 银行保险机构在建设开放银行、金
融生态或者与第三方数据合作时,要实现自身与外部
的安全风险隔离,与外部机构的数据交互应当通过集
中管理的外联平台或者应用程序接口实施,依据“业
务必需、最小权限”原则,采取有效措施对接口设计、
- 19 -
开发、服务、运行等进行集中安全保护管理。
第六章 个人信息保护
第五十四条 银行保险机构处理个人信息应当
按照“明确告知、授权同意”的原则实施,法律、行
政法规另有规定的除外,并在信息系统中实现相关功
能控制。
第五十五条 银行保险机构处理个人信息应当
具有明确、合理的目的,并应当与处理目的直接相关,
收集个人信息应当限于实现金融业务处理目的的最小
范围,不得过度收集个人信息。不得利用所收集的个
人信息从事违法违规活动。
第五十六条 银行保险机构处理个人信息前,应
当真实、准确、完整地向个人告知其个人信息的处理
目的、处理方式、处理的个人信息种类、保存期限,
个人行使其信息权利的申请受理和处理程序,以及法
律法规规定应当告知的其他事项。
银行保险机构应当制定个人信息处理规则,个人
信息处理规则应当公开展示、易于访问、内容明确、
清晰易懂。
- 20 -
第五十七条 银行保险机构不得以个人不同意
处理其个人信息或者撤回同意为由,拒绝提供产品或
者服务,处理个人信息属于提供产品或者服务所必需
的除外。
第五十八条 银行保险机构在开展涉及对个人
权益有重大影响的个人信息处理活动时,应当进行个
人信息保护影响评估,评估内容包括个人信息处理的
合法性、必要性,对个人权益的影响及安全风险,所
采取的保护措施合法性、有效性以及是否与风险程度
相适应。个人信息保护影响评估报告和处理情况记录
应当至少保存三年。
第五十九条 银行保险机构与其母行、集团,或
者其子行、子公司共享个人信息,及向外部提供个人
信息,应当履行向个人告知及取得其同意等相关事项
的义务。
第六十条 银行保险机构向中华人民共和国境外
提供个人信息的,除满足第三十六条、第五十九条规
定的要求外,还应当向个人告知其向境外接收方行使
信息权利的方式和程序等事项,法律、行政法规另有
规定的除外。
第六十一条 银行保险机构委托第三方处理个
- 21 -
人信息的,应当在合同或者协议条款内明确受托人对
个人信息的保护义务、保护措施和期限等,并严格监
督受托人以约定的处理目的、处理方式等处理个人信
息,与第三方传输个人敏感数据必须确保安全,防范
数据滥用和泄漏风险。未经银行保险机构同意,受托
人不得转委托他人处理个人信息。
第六十二条 银行保险机构在算法设计、训练数
据选择和模型生成时,应当采取有效措施,保障个人
合法权益。利用个人信息进行自动化决策,应当保证
决策的透明度和结果公平、公正。
第六十三条 发生或者可能发生个人信息泄露、
篡改、丢失的,银行保险机构应当立即采取补救措施,
同时通知个人并报送国家金融监督管理总局或者其派
出机构。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、
丢失的信息种类、原因和可能造成的危害;
(二)银行保险机构采取的补救措施和个人可以
采取的减轻危害的措施。
银行保险机构采取措施能够有效避免信息泄露、
篡改、丢失造成危害的,可以不通知个人;监管部门
认为可能造成危害的,有权要求银行保险机构通知个
- 22 -
人。
第七章 数据安全风险监测与处置
第六十四条 银行保险机构应当将数据安全风
险纳入本机构全面风险管理体系,明确数据安全风险
监测、风险评估、应急响应及报告、事件处置的组织
架构和管理流程,有效防范和处置数据安全风险。
第六十五条 银行保险机构应当对数据安全威
胁进行有效监测,实施监督检查,主动评估风险,防
止数据篡改、破坏、泄露、非法利用等安全事件发生。
监测内容包括:
(一)超范围授权或者使用系统特权账号;
(二)内部人员异常访问、使用数据;
(三)对数据集中共享的系统或者平台的网络安
全、数据安全威胁;
(四)敏感级及以上数据在不同区域的异常流
动;
(五)移动存储介质的异常使用;
(六)外包、第三方合作中的数据处理异常或者
数据泄露、丢失和篡改;
- 23 -
(七)客户有关数据安全的投诉;
(八)数据泄露、仿冒欺诈等负面舆情;
(九)其他可能导致数据安全事件发生的情况。
第六十六条 银行保险机构应当每年开展一次
数据安全风险评估。审计部门应当每三年至少开展一
次数据安全全面审计,发生重大数据安全事件后应当
开展专项审计。银行保险机构委托专业机构进行数据
安全审计时,不得使用该机构提供的产品和其他服务。
第六十七条 数据安全事件是指银行保险机构
数据被篡改、泄露、破坏、非法获取、非法利用等,
对个人或者组织合法权益、行业安全、国家安全造成
负面影响的事件。根据其影响范围和程度,分为特别
重大、重大、较大和一般四个事件级别。
第六十八条 银行保险机构应当建立数据安全
事件应急管理机制,建立机构内部协调联动机制,建
立服务提供商、第三方合作机构数据安全事件的报告
机制,及时处置风险隐患及安全事件。
(一)制定数据安全事件应急预案,定期开展应
急响应培训和应急演练。
(二)发生数据安全事件后,应当立即启动应急
处置,分析事件原因、评估事件影响、开展事件定级,
- 24 -
按照预案及时采取业务、技术等措施控制事态。
(三)建立数据安全事件报告机制,根据事件安
全等级制定报告流程,发生数据安全事件时按照规定
报告,同时按照合同、协议等有关约定履行客户及合
作方告知义务。
(四)发生数据安全事件或者使用的网络产品和
服务存在安全缺陷、漏洞时,应当立即开展调查评估,
及时采取补救措施,防止危害扩大。网络产品和服务
提供商存在安全缺陷、漏洞隐瞒不报的,银行保险机
构应当责令其改正;未按要求整改或者造成严重后果
的,应当取消其服务资格,按合同约定予以处罚,并
向国家金融监督管理总局或者其派出机构报告。
第六十九条 数据安全事件发生 2 小时内,银行
保险机构应当向国家金融监督管理总局或者其派出机
构报告,并在事件发生后 24 小时内提交正式书面报
告。发生特别重大数据安全事件,银行保险机构应当
立即采取处置措施,按照规定及时告知用户并向国家
金融监督管理总局或者其派出机构、属地公安机关报
告。银行保险机构应当每 2 小时将处置进展情况上报,
直至处置结束。数据安全事件处置结束后,银行保险
机构应当在五个工作日内将事件及其处置的评估、总
- 25 -
结和改进报告报送国家金融监督管理总局或者其派出
机构。其他法律、行政法规对数据安全事件应急处置
作出规定的,银行保险机构应当执行。
第八章 监督管理
第七十条 国家金融监督管理总局及其派出机构
对银行保险机构数据安全保护情况进行监督管理,开
展非现场监管、现场检查,将数据安全管理情况纳入
监管评级评估体系,依法对银行保险机构数据安全事
件进行处罚和处置,实施对数据安全管理的持续监管。
第七十一条 国家金融监督管理总局按照国家
数据分类分级要求,制定银行业保险业重要数据目录,
提出核心数据目录建议,监督指导银行保险机构开展
数据分类分级管理和数据保护。银行保险机构应当按
要求向国家金融监督管理总局或者其派出机构报送重
要数据目录。重要数据目录发生重大变化应当及时报
备更新后的数据目录。
第七十二条 国家金融监督管理总局建立银行
业保险业数据安全监测预警、通报处置机制,持续监
测数据安全风险,向行业发布风险提示,制定银行业
- 26 -
保险业数据安全事件应急预案,处置数据安全风险事
件。与国家数据安全管理部门建立联防联控管理机制,
实施数据安全信息共享、风险监测预警及数据安全事
件处置。
第七十三条 涉及批量敏感级及以上数据的数
据共享、委托处理、转让交易、数据转移,银行保险
机构应当在处理、合同签署前二十个工作日向国家金
融监督管理总局或者其派出机构报告,法律、行政法
规另有规定的除外。
第七十四条 银行保险机构应当于每年 1 月 15
日前向国家金融监督管理总局或者其派出机构报送上
一年度数据安全风险评估报告,报告内容包括数据安
全治理、技术保护、数据安全风险监测及处置措施、
数据安全事件及处置情况、委托和共同处理、数据出
境、数据安全评估与审查情况、数据安全相关的投诉
及处理情况等。
第七十五条 国家金融监督管理总局及其派出
机构对银行保险机构数据安全保护情况进行现场检
查、事件调查,对于发现涉嫌违法违规事项的有关单
位和个人,依法开展调查。现场检查、事件调查可以
委托国家、行业有关专业技术机构或者审计机构予以
- 27 -
协助。
第七十六条 银行保险机构违反本办法要求的,
国家金融监督管理总局或者其派出机构根据其违规情
况,对银行保险机构依法采取风险提示、监管谈话、
监管通报、责令改正等监管措施;对涉及违规处理行
为的系统或者应用,责令暂停或者终止服务;对有重
大违法违规情形,或者迟报、瞒报数据安全事件和案
件,或者产生重大数据安全风险、事件、案件的第三
方机构进行行业通报,责令银行保险机构暂缓或者停
止合作。
第七十七条 银行业金融机构违反本办法要求
的,国家金融监督管理总局及其派出机构可以依据《中
华人民共和国银行业监督管理法》相关规定,责令银
行业金融机构改正,并处以二十万以上五十万以下罚
款;情节特别严重或者逾期不改正的,可以责令停业
整顿或者吊销其经营许可证。根据违规情况,可以责
令银行业金融机构对直接负责的董事、高级管理人员
和其他直接责任人员给予纪律处分;银行业金融机构
的行为尚不构成犯罪的,对直接负责的董事、高级管
理人员和其他直接责任人员给予警告,处五万元以上
五十万元以下罚款;取消直接负责的董事、高级管理
- 28 -
人员一定期限直至终身的任职资格,禁止直接负责的
董事、高级管理人员和其他直接责任人员一定期限直
至终身从事银行业工作。构成犯罪的,依法追究刑事
责任。
保险业金融机构违反本办法要求的,国家金融监
督管理总局及其派出机构可以依据《中华人民共和国
保险法》相关规定,责令保险业金融机构改正,处五
万元以上三十万元以下的罚款;情节严重的,限制其
业务范围、责令停止接受新业务或者吊销业务许可证。
根据违规情况,对其直接负责的主管人员和其他直接
责任人员给予警告,并处一万元以上十万元以下的罚
款;情节严重的,撤销任职资格。构成犯罪的,依法
追究刑事责任。
实施过程中如遇《中华人民共和国银行业监督管
理法》《中华人民共和国保险法》修订,以修订后的
规定为准。
第七十八条 中国银行业协会、中国保险行业协
会等行业社团组织应当通过宣传、培训、自律、协调、
服务等方式,协助引导会员单位提高数据安全管理水
平。
- 29 -
第九章 附 则
第七十九条 本办法由国家金融监督管理总局
负责解释和修订。
第八十条 国家金融监督管理总局批准设立的其
他银行业金融机构、保险业金融机构、金融控股公司
以及总局管理单位参照适用本办法。地方金融管理部
门批准设立的金融组织参照适用本办法。
第八十一条 本办法自公布之日起施行,《银行
保险机构数据安全办法》(银保监办发〔2022〕118
号)同时废止。
附件:数据安全事件分级
1.国家金融监督管理总局发布《银行保险机构数据安
全管理办法》
https://www.nfra.gov.cn/cn/view/pages/ItemDeta
il.html?docId=1192305&itemId=915
2.国家金融监督管理总局有关司局负责人就《银行保
险机构数据安全管理办法》答记者问
- 30 -
https://www.nfra.gov.cn/cn/view/pages/ItemDeta
il.html?docId=1192306&itemId=915
- 31 -