法律图书馆>>新法规速递>>正文
国家金融监督管理总局关于印发银行保险机构数据安全管理办法的通知(3)

银行保险机构停止金融业务或者服务后,应当立即停止相关数据收集或者处理活动,法律、行政法规另有规定的除外。

第二十六条 银行保险机构应当制定外部数据采购、合作引入的集中审批管理制度,纳入外包风险管理体系进行统筹管理,统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制,对数据来源的真实性、合法性进行调查,评估数据提供者的安全保障能力及其数据安全风险,明确双方数据安全责任及义务。

第二十七条 银行保险机构开展敏感级及以上数据清洗转换、汇聚融合、分析挖掘等数据加工活动时,应当采用匿名化、去标识化或者其他必要安全措施保护数据主体权益,法律、行政法规另有规定的除外。数据汇聚融合衍生敏感级及以上数据,或者导致数据安全级别变化的,应当及时评估、调整安全保护措施。

第二十八条 银行保险机构应当按照“业务必要授权”原则,对敏感级及以上数据严格实施授权管理,制定数据访问闭环管理机制,并对数据访问行为实施审计。确因业务需要从生产环境提取数据的,应当建立严格的审批程序,并明确数据使用或者保存期限。

银行保险机构利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护等制度要求。

第二十九条 银行保险机构应当对数据共享使用进行集中安全管控,明确企业级数据共享策略,评估数据共享使用的必要性、合规性、安全性及伦理道德规范的符合度。

银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”,并对共享数据采取有效保护措施。银行保险机构与其母行、集团,或者其子行、子公司共享敏感级及以上数据,应当获得数据主体的授权同意,法律、行政法规另有规定的除外。不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务,所共享数据属于提供产品或者服务所必需的除外。

第三十条 银行保险机构在委托处理数据时,应当明确所涉数据外部使用和处理的条件、场景、方式。委托处理数据时,应当以合同协议方式约定委托处理的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务,以及受托方返还或者删除数据的方式等,对数据处理活动进行记录和审计,可对外公开披露的数据除外。银行保险机构应当要求受托方在未取得其同意时,不得转委托其他主体处理数据,不得对外共享数据,不得加工、训练、挪用数据,或者采取其他形式处理数据以谋取合同或者协议约定以外的利益。

第三十一条 银行保险机构应当将数据委托处理纳入信息科技外包管理范围,在实施过程中不得将信息科技管理责任、数据安全主体责任外包,涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。供应链服务中涉及敏感级及以上数据处理的,银行保险机构应当加强对供应商的准入和安全管理。

第三十二条 银行保险机构与第三方机构进行数据共同处理时,应当按照“业务必要授权”原则制定方案并采取有效管理和技术保护措施确保数据安全,并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。

第三十三条 银行保险机构因合并、分立、解散、被宣告破产等需要转移数据的,应当明确数据转移内容,通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务,通过公告等方式告知数据主体。数据转移应当采用安全可靠方式进行,并确保转移过程可追溯。

第三十四条 银行保险机构向外部提供敏感级及以上数据,应当取得数据主体同意,法律、行政法规另有规定的除外。除国家机关依法履职外,银行保险机构核心数据跨主体流动应当按照国家相关政策要求通过风险评估、安全审查。

第三十五条 银行保险机构应当建立对外公开披露数据的审批机制,研判可能产生的影响,数据公开应当在机构官方渠道进行发布,确保数据真实、准确、防篡改,记录审批和发布情况。

敏感级及以上数据不得公开,法律、行政法规另有规定或者取得数据主体授权同意的除外。

第三十六条 银行保险机构向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,应当承担数据安全主体责任,并按照国家有关政策要求进行安全评估。

第三十七条 银行保险机构应当采取技术措施,对敏感级及以上数据加强重点防护。加强数据备份,制定备份策略,备份数据和生产数据应隔离分开保存,严格管理备份数据的访问权限。制定备份验证计划,确保备份数据完整有效、业务可恢复。

第三十八条 银行保险机构应当制定数据销毁管理制度,按照国家、行业有关规定及与数据主体的约定进行数据删除或者匿名化处理。银行保险机构委托数据处理终止时,应当要求服务提供商及时删除数据,并采取现场检查等有效监督措施,确保数据被销毁、不可恢复。



第五章 数据安全技术保护



第三十九条 银行保险机构应当建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术措施,保障数据安全。

总共7页  [1] [2] 3 [4] [5] [6] [7] 
上一页  下一页  

相关法规:
·银行保险机构操作风险管理办法 / 国家金融监督管理总局(2023-12-27)
·国家金融监督管理总局关于印发《银行保险机构涉刑案件风险防控管理办法》的通知 / 国家金融监督管理总局(2023-11-2)
·银行保险机构消费者权益保护管理办法 / 中国银行保险监督管理委员会(2022-12-26)
·银行保险机构公司治理监管评估办法 / 中国银行保险监督管理委员会(2022-11-28)
·银行保险机构关联交易管理办法 / 中国银行保险监督管理委员会(2022-1-14)
===============================
声明:本法规由《法律图书馆》网站
(http://www.law-lib.com)免费提供.
仅供学术研究参考使用,
请与正式出版物或发文原件核对后使用。
===============================
手机法律图书馆>>导航>>搜索