近期，国家金融监督管理总局公布的行政处罚显示，多家银行因数据安全管理不完善，存在安全风险等违法违规行为而遭受严厉的经济处罚。为构建更为坚固的金融数据安全防线，国家金融监督管理总局于2024年3月22日发布了《银行保险机构数据安全管理办法（征求意见稿）》（以下简称《管理办法》），全面覆盖数据安全治理、分类分级、全生命周期保护以及风险监测等多个关键领域。本文将从《管理办法》的制定背景入手，深入解读其中的核心条款，并探讨银行保险机构可采取的合规措施，以期为有关机构提供有益参考。

2018年5月21日，原中国银行保险监督管理委员会（以下简称“银保监”）发布了《银行业金融机构数据治理指引》，标志着我国金融数据治理领域首部具有里程碑意义的指导性文件正式落地。该指引明确了金融机构在数据治理方面的基本框架，从数据质量控制、数据价值实现等方面指导相关机构加强数据治理。随后，为进一步完善金融数据安全与监管的法律体系，银保监、中国人民银行等监督部门陆续出台了《银保监监管数据安全管理办法（试行）》、《保险中介机构信息化工作监管办法》、《银行保险机构消费者权益保护管理办法》以及《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《央行数安办法》）等重要文件，从不同维度构建了金融行业数据安全的防护网。

此外，《金融数据安全 数据安全分级指南》（JR/T 0197—2020）（以下简称《指南》）与《金融数据安全 数据生命周期安全规范》（JR/T 0223—2021）等行业标准的发布，进一步细化了金融数据安全管理的具体要求，为金融机构在数据分类分级、数据生命周期管理等关键环节提供了科学、系统的指导。

（二）实践层面：银行保险业数据安全事件频发

尽管上位法以及相关金融数据安全标准已构建了一套相对完善的数据治理框架，但在具体实践中，我们发现金融机构因未能遵守数据保护的相关法律法规而遭受处罚的情况仍然频繁发生。以2024年银行业监管处罚情况为例，中国人民银行、国家金融监督管理总局及各地通信管理局针对银行业金融机构的执法行动频繁且力度增强。在这些处罚案例中，数据治理机制的缺陷、客户敏感信息保护措施的缺失、以及违规收集个人信息等行为被频繁提及，成为导致处罚的主要诱因。根据相关统计，2024年第一季度银行保险机构数据质量和数据合规问题成为监管处罚的焦点。因数据质量不合格和数据合规性问题而受到处罚的法人机构数量共计201家，累计开出的罚单数量达到360张，涉及的罚金金额总计高达2.3亿元人民币^[1]。这些数据反映出金融机构在数据管理和保护方面的问题并非个例，这种普遍性的问题表明，金融行业亟需加强监管和内部治理，以确保数据安全和合规性。

在金融行业数字化转型的浪潮中，大数据、云计算、人工智能等新技术与新业务模式的蓬勃发展，极大地推动了数据在金融领域的深度应用与广泛共享。然而，这一进程也伴随着数据泄露、非法获取、滥用等安全风险的急剧增加，给金融稳定与个人信息权益保护带来了严峻挑战。因此，加强数据安全保护，构建完善的数据安全治理体系，成为金融行业可持续发展的必然要求。在此背景下，《管理办法》作为首部全面覆盖银行保险机构的综合性数据安全法规，为数据处理活动和数据应用场景设定了更为清晰和严格的监管框架，不仅提升了银行保险机构整体的数据安全水平，也为确保金融行业的稳健发展提供了坚实的法律保障。

数据分类分级作为我国数据安全的基本制度，旨在通过将数据按照其重要性、敏感程度和对国家安全、公共利益的影响进行分类和分级，实现对数据的差异化保护。《管理办法》对此提出了具体要求，指导银行保险机构必须建立一套完善的数据分类分级保护机制，并据此建立相应的数据目录和分类分级规范，确保各类数据得到与其风险等级相匹配的安全保护。

在数据分类方面，中国人民银行已发布了《金融数据安全 数据安全分级指南》(JR/T 0197—2020），将金融数据分为客户数据、业务数据、经营管理数据和监管数据四类。《管理办法》在承继这一行业标准的基础上，结合相关经营管理实践，进一步将数据类型细化为客户数据、业务数据、经营管理数据、系统运行和安全管理数据五类，以此来实现对各类数据的全面覆盖和精准保护。

在数据分级方面，《管理办法》与现行的金融数据分级标准之间存在着一些差异。《管理办法》以数据的重要性和敏感度为依据，将数据区分为核心、重要、敏感以及其他一般数据四个等级。相对而言，《央行数安办法》则采纳了更为细致的“三级五层”分级体系，在核心、重要、一般数据的基础上，进一步根据数据的敏感性细分为五个层级。这两个文件虽然都致力于规范银行业金融机构的数据安全管理，但在数据分级的具体实施上存在差异，可能会导致监管实践中的交叉与重叠。目前，两者均处于公开征求意见的阶段，其具体条款和实施细节仍在讨论之中，尚未最终确定。展望未来，监管部门或将着手于协调两者在数据分级颗粒度上的差异，以实现更为统一和高效的监管目标。

（二）数据全生命周期管理

《管理办法》秉承了数据安全监管的基本策略，对数据处理全生命周期进行细致监管，涵盖数据的收集、使用、加工、传输、提供、共享、转移、公开、删除、销毁等环节。在此基础上，该办法将个人信息保护的相关规则融入其中，并对达到特定级别的数据进行了专门规范。

在数据收集与采购方面，《管理办法》的监管思路与《央行数安办法》保持一致，均强调了数据来源的合法性与真实性，并明确将信息系统作为数据收集的主要渠道。《管理办法》进一步规定，银行保险机构向其他银行保险机构收集行业重要级及以上数据时，需经国家金融监督管理总局同意。此外，该办法明确指出银行保险机构在收集数据时，不得超出数据主体的同意范围。需要注意的是，《数据安全法》在数据处理方面并未明确规定必须取得数据主体的同意，而《管理办法》在监管策略上的调整，体现了监管机构将数据安全与个人信息保护有机统一的尝试。这一变化意味着监管机构正逐步加强对金融机构在数据采集及应用过程中的监管要求，进一步确保了金融数据处理活动的合法性与安全性。

在数据加工和使用方面，《管理办法》采用分级管理策略。对于敏感级别及以上的数据，要求在加工过程中采取匿名化、去标识化等必要的安全措施，以保护数据主体的权益。同时，要求严格实施授权管理，建立健全数据访问闭环管理机制，并对数据访问行为进行审计。

在数据转移方面，《管理办法》对银行保险机构提出了四项要求：首先，应事先开展数据安全评估，分析安全风险和对数据主体权益影响，评估转移的必要性和合规性；其次，通过协议等方式与数据接收方明确对应数据的安全保护义务；再次，通过公告等方式告知数据主体，对于敏感级别及以上的数据，需取得数据主体的同意；最后，采取安全可靠的方式进行数据转移，确保过程可追溯。

（三） 基于场景的合规管理

1.集团内部共享

在金融集团的日常运作中，内部数据共享被视为提升工作效率和促进业务协同的关键手段。通过合理共享数据资源，集团内部能够实现信息的快速流通和有效利用，从而增强决策支持，提高运营效率。然而，随着数据共享的深入，合规性问题也日益凸显。许多金融集团已经在合规管理方面做出了积极尝试。例如，光大银行已经制定了《数据共享安全管理办法》和《集团数据共享治理框架协议》，以确保数据在集团内部流动时的安全性和合规性。

针对金融集团内部数据共享现象，《管理办法》提出了明确的合规要求。该办法强调必须建立数据安全“防火墙”，确保集团内部在数据共享时进行充分的风险隔离，以防止金融数据的不当流动。尤为重要的是，在共享敏感级别及以上数据时，《管理办法》明确规定必须事先获得数据主体的明确授权和同意。这不仅保障了数据的合法合规使用，而且强化了数据主体的知情权和选择权。通过这些措施，金融集团可以在强化内部控制、优化数据治理的同时，促进业务协同和信息共享，实现数据资源的有效利用和风险的妥善管理。

2.外包管理

在金融业务不断拓展的今天，银行保险机构信息科技外包现象日益普遍，但随之而来的数据安全问题亦引起了行业和监管机构的高度关注。以2024年3月26日国家金融监督管理局发布的《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》为例，其中明确指出银行保险机构在与第三方合作过程中存在管控失效问题，严重侵害了数据主体的合法权益。

针对这些问题，为明确有关主体责任并加强数据安全管理，《管理办法》将数据委托处理纳入信息科技外包管理范围。同时，明确规定在实施数据外包过程中，银行保险机构不得将信息科技管理责任、数据安全主体责任外包给第三方。这意味着，银行必须持续承担起对外包服务提供商的监管职责，确保其数据处理活动符合法律法规和银行的安全标准。此外，《管理办法》还特别指出，涉及信息科技战略管理、风险管理、内部审计以及其他核心竞争力的职能不得外包。这些规定目的在于保持银行信息科技的核心竞争力，并确保对于最为关键的操作和决策环节能够维持完全的内部控制，并防止数据泄露等风险。

3.数据跨境

数据跨境传输作为金融业务全球化的产物，既为金融机构拓展业务和深化国际合作提供了便利，也带来了数据安全与隐私保护方面的重大挑战。银行和保险机构在处理向境外传输在中国境内收集和产生的数据时，面临的责任尤为重大，这不仅关乎个人信息的保护，更触及到国家安全和金融系统的稳定。鉴于此，《管理办法》与现行数据跨境传输规则相协调，明确规定银行保险机构在向境外提供重要数据和个人信息前，必须承担数据安全的主体责任，并按照国家有关政策要求进行安全评估。

（四） 数据安全风险管理

《管理办法》中设立了专门章节，明确了银行保险机构在数据安全风险管理方面的详细机制。这些机制覆盖了风险检测、风险评估与审计、数据安全事件分级、应急响应与处置以及事件监管报告等关键方面，确保银行保险机构在各个关键环节能够有效地履行其义务。

此外，为了进一步提升数据安全监管的透明度和有效性，《管理办法》特别引入了定期报告机制。根据这一机制，银行保险机构必须在每年1月15日前向国家金融监督管理总局或其派出机构提交上一年度的数据安全风险评估报告，报告内容需涵盖数据安全治理、技术保护、数据安全风险监测及处置措施等情况。

首先，在事前预防方面，银行保险机构应建立一个明确且高效的数据安全治理架构，明确各层级和部门的数据安全责任。同时，制定全面的数据安全管理制度和操作规程，确保数据在收集、存储、处理、传输和销毁的每个环节都严格遵守安全标准。对于敏感级及以上数据的业务活动，或开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时，应事先开展数据安全评估，以识别潜在风险并采取相应的风险防控措施。此外，机构还应重视员工的数据安全意识教育，通过定期培训提升他们对数据安全风险的识别、理解和防范能力。

其次，在事中监督方面，银行保险机构需要建立有效的数据安全风险监测机制，动态监控数据访问和使用情况，迅速识别并妥善处理任何异常活动。同时，机构应定期对数据安全管理制度的执行情况进行检查和审计，确保各项措施得到有效落实。在金融个人信息保护方面，机构应严格遵循相关法律法规的规定，采取一切必要的技术管理措施来确保个人信息安全，包括但不限于数据加密、访问控制、部署防火墙等。

最后，在事后应急处置方面，银行保险机构应制定详细的应急预案，明确应急响应流程和责任分工。一旦发生数据安全事件，机构应迅速启动应急预案，采取措施控制事态发展，减轻事件影响。同时，机构应及时向监管机构报告事件情况，并根据事件性质和影响程度，采取相应的补救措施，包括但不限于通知受影响的个人、进行事件调查、加强安全防护等。