法律图书馆>>新法规速递>>正文
国家金融监督管理总局关于印发银行保险机构数据安全管理办法的通知(5)

第五十六条 银行保险机构处理个人信息前,应当真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、处理的个人信息种类、保存期限,个人行使其信息权利的申请受理和处理程序,以及法律法规规定应当告知的其他事项。

银行保险机构应当制定个人信息处理规则,个人信息处理规则应当公开展示、易于访问、内容明确、清晰易懂。

第五十七条 银行保险机构不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。

第五十八条 银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估,评估内容包括个人信息处理的合法性、必要性,对个人权益的影响及安全风险,所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十九条 银行保险机构与其母行、集团,或者其子行、子公司共享个人信息,及向外部提供个人信息,应当履行向个人告知及取得其同意等相关事项的义务。

第六十条 银行保险机构向中华人民共和国境外提供个人信息的,除满足第三十六条、第五十九条规定的要求外,还应当向个人告知其向境外接收方行使信息权利的方式和程序等事项,法律、行政法规另有规定的除外。

第六十一条 银行保险机构委托第三方处理个人信息的,应当在合同或者协议条款内明确受托人对个人信息的保护义务、保护措施和期限等,并严格监督受托人以约定的处理目的、处理方式等处理个人信息,与第三方传输个人敏感数据必须确保安全,防范数据滥用和泄漏风险。未经银行保险机构同意,受托人不得转委托他人处理个人信息。

第六十二条 银行保险机构在算法设计、训练数据选择和模型生成时,应当采取有效措施,保障个人合法权益。利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。

第六十三条 发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,同时通知个人并报送国家金融监督管理总局或者其派出机构。通知应当包括下列事项:

(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

(二)银行保险机构采取的补救措施和个人可以采取的减轻危害的措施。

银行保险机构采取措施能够有效避免信息泄露、篡改、丢失造成危害的,可以不通知个人;监管部门认为可能造成危害的,有权要求银行保险机构通知个人。



第七章 数据安全风险监测与处置



第六十四条 银行保险机构应当将数据安全风险纳入本机构全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。

第六十五条 银行保险机构应当对数据安全威胁进行有效监测,实施监督检查,主动评估风险,防止数据篡改、破坏、泄露、非法利用等安全事件发生。监测内容包括:

(一)超范围授权或者使用系统特权账号;

(二)内部人员异常访问、使用数据;

(三)对数据集中共享的系统或者平台的网络安全、数据安全威胁;

(四)敏感级及以上数据在不同区域的异常流动;

(五)移动存储介质的异常使用;

(六)外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改;

(七)客户有关数据安全的投诉;

(八)数据泄露、仿冒欺诈等负面舆情;

(九)其他可能导致数据安全事件发生的情况。

第六十六条 银行保险机构应当每年开展一次数据安全风险评估。审计部门应当每三年至少开展一次数据安全全面审计,发生重大数据安全事件后应当开展专项审计。银行保险机构委托专业机构进行数据安全审计时,不得使用该机构提供的产品和其他服务。

第六十七条 数据安全事件是指银行保险机构数据被篡改、泄露、破坏、非法获取、非法利用等,对个人或者组织合法权益、行业安全、国家安全造成负面影响的事件。根据其影响范围和程度,分为特别重大、重大、较大和一般四个事件级别。

第六十八条 银行保险机构应当建立数据安全事件应急管理机制,建立机构内部协调联动机制,建立服务提供商、第三方合作机构数据安全事件的报告机制,及时处置风险隐患及安全事件。

(一)制定数据安全事件应急预案,定期开展应急响应培训和应急演练。

(二)发生数据安全事件后,应当立即启动应急处置,分析事件原因、评估事件影响、开展事件定级,按照预案及时采取业务、技术等措施控制事态。

(三)建立数据安全事件报告机制,根据事件安全等级制定报告流程,发生数据安全事件时按照规定报告,同时按照合同、协议等有关约定履行客户及合作方告知义务。

(四)发生数据安全事件或者使用的网络产品和服务存在安全缺陷、漏洞时,应当立即开展调查评估,及时采取补救措施,防止危害扩大。网络产品和服务提供商存在安全缺陷、漏洞隐瞒不报的,银行保险机构应当责令其改正;未按要求整改或者造成严重后果的,应当取消其服务资格,按合同约定予以处罚,并向国家金融监督管理总局或者其派出机构报告。

总共7页  [1] [2] [3] [4] 5 [6] [7] 
上一页  下一页  

相关法规:
·银行保险机构操作风险管理办法 / 国家金融监督管理总局(2023-12-27)
·国家金融监督管理总局关于印发《银行保险机构涉刑案件风险防控管理办法》的通知 / 国家金融监督管理总局(2023-11-2)
·银行保险机构消费者权益保护管理办法 / 中国银行保险监督管理委员会(2022-12-26)
·银行保险机构公司治理监管评估办法 / 中国银行保险监督管理委员会(2022-11-28)
·银行保险机构关联交易管理办法 / 中国银行保险监督管理委员会(2022-1-14)
===============================
声明:本法规由《法律图书馆》网站
(http://www.law-lib.com)免费提供.
仅供学术研究参考使用,
请与正式出版物或发文原件核对后使用。
===============================
手机法律图书馆>>导航>>搜索