Loading
0

《银行保险机构数据安全管理办法(金规〔2024〕24号)》

知安全 2025年11月25日 国家金融监管总局 58 0

金融监管总局关于印发

银行保险机构数据安全管理办法的通知

金规〔2024〕24号  

各金融监管局,各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司,各保险集团(控股)公司、保险公司、保险资产管理公司、养老金管理公司、保险专业中介机构,各金融控股公司,各总局管理单位:

现将《银行保险机构数据安全管理办法》印发给你们,请遵照执行。

金融监管总局          

2024年12月27日    

银行保险机构数据安全管理办法

第一章 总  则

第一条 为规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益,维护国家安全和社会公共利益,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国保险法》等法律法规,制定本办法。

第二条 本办法所称银行保险机构,是指在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。

开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。国家有关主管部门另有规定的,应当依法遵守其规定。

第三条 本办法所称数据,是指以电子或者其他方式对信息的记录。

数据处理,是指对数据的收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等。

数据安全,是指通过采取必要措施,对数据处理活动和数据应用场景进行管理与控制,确保数据始终处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

数据主体,是指数据所标识的自然人或者其监护人、企业、机关、事业单位、社会团体和其他组织。

个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

大数据平台,是指以处理海量数据存储、计算、分析等为目的的基础设施,包括数据统计分析类的平台和大数据处理类平台(如数据湖、数据仓库等)。

第四条 国家金融监督管理总局及其派出机构负责银行业保险业数据安全的监督管理,制定并发布监管规章制度,对银行保险机构履行数据安全保护义务情况进行监督检查。

第五条 银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系,建立健全数据安全管理制度,构建覆盖数据全生命周期和应用场景的安全保护机制,开展数据安全风险评估、监测与处置,保障数据开发利用活动安全稳健开展。银行保险机构利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度基础上,履行数据安全保护义务。

第六条 银行保险机构开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、政治安全、经济金融安全、公共利益,不得损害个人、组织的合法权益。

劳动不易,本文隐藏内容请 登录后查看

附件:数据安全事件分级

附 件

数 据 安 全 事 件 分 级

一、特别重大数据安全事件

1.核心数据遭到泄露、破坏或者非法获取、非法利用。

2.重要数据遭到泄露、破坏或者非法获取、非法利用,对2个及以上省级区域经济运行秩序造成特别严重影响。

3.敏感级及以上数据遭到大规模泄露、破坏或者非法获取、非法利用,导致下述情形之一的:

(1)对公共利益造成特别严重危害,造成特别重大经济损失,或者产生特别重大社会群体性事件;

(2)对银行业保险业核心业务、系统重要性金融机构、关键信息基础设施等生产经营造成特别严重威胁或者影响,包括导致大面积业务中断、大量处理能力丧失、大面积关键信息基础设施瘫痪等。

4.其他对国家安全、政治安全、经济金融安全、公共利益造成特别严重影响的。

二、重大数据安全事件

1.重要数据遭到泄露、破坏或者非法获取、非法利用,对省级区域经济带来重大影响或者对银行保险行业安全造成影响。

2.敏感级及以上数据遭到泄露、破坏或者非法获取、非法利用,导致下述情形之一的:

(1)对多个银行保险机构的业务、重要信息系统生产运营造成严重威胁或者影响,可能导致区域性或者部分金融机构的业务中断、信息系统中断、处理能力丧失等;

(2)对公众利益造成严重危害,产生大范围社会负面影响,可能导致或者直接造成大面积投诉、社会群体性事件;

(3)对多个个人或者组织权益造成严重影响,包括对党政机关、企事业单位、社会团体等多个组织造成严重经济或者技术损失,对生产经营秩序产生直接影响;多人财产安全受到严重危害、尊严遭受侵害等。

3.其他对国家安全、经济金融安全、公共利益、个人和组织权益造成严重影响的。

三、较大数据安全事件

敏感级及以上数据遭到泄露、破坏或者非法获取、非法利用,导致下述情形之一的:

1.对个人造成不可消除或者消除代价较大的负面影响,包括个人财产安全遭受损失或者可能产生重大损失,个人名誉尊严受到侵害,产生投诉、诉讼事件等。

2.对组织造成不可消除或者消除代价较大的负面影响,包括造成或者可能造成较大经济或者技术损失,部分业务无法正常开展,声誉受到破坏等。

3.银行保险机构自身部分业务无法正常开展或者本机构声誉受到破坏;银行保险机构重要信息系统安全稳定运行受到威胁或者影响,可能产生较大及以上级别的重要信息系统突发事件。

4.其他对经济金融安全、公共利益造成一般影响,或者对个人和组织权益造成较大影响的。

四、一般数据安全事件

除上述数据安全事件外,对组织或者个人造成一定影响的数据安全事件。

声明:本文为原创,作者为 知安全,转载时请保留本声明及附带文章链接:https://www.safety-officer.cn/archives/427.html