□本报记者 苏洁

为规范银行保险机构数据处理活动，保障数据安全，促进数据合理开发利用，稳步提升金融服务数字化、智能化水平，保护个人和组织的合法权益，近期，金融监管总局制定《银行保险机构数据安全管理办法（征求意见稿）》（以下简称《办法》）。在明确数据安全治理架构、建立数据分类分级标准、强化数据安全管理等方面提出了要求。这对于银行保险等金融机构数据管理将带来哪些影响？

明确数据分级分类管理

《办法》对数据安全和管理提出了明确要求，比如明确数据安全治理架构，要求银行保险机构建立数据安全责任制，指定归口管理部门负责本机构的数据安全工作；建立数据分类分级标准，要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施；加强个人信息保护，要求银行保险机构在处理个人信息时，应按照“明确告知、授权同意”的原则实施，并履行必要的告知义务。

素喜智研首席研究员苏筱芮表示，《办法》从架构、标准、管理等多维度入手，相较此前的文件来说更侧重于技术思维的应用，从顶层制度对银行机构的数据安全工作提出了更为细致的要求，落实颁布后将有利于引导机构充分关注数据安全工作，并依照文件条款，将合规主线贯穿在业务的前中后各流程中。

苏筱芮指出，《办法》制定后，随着制度层面的不断完善，监管也会更趋向于常态化，包括涉数据安全相关的罚单也会常态化。银行保险机构一方面将会更加关注数据相关管理机制的完善，另一方面也会加快数据安全相关岗位的设置及人才的招募进度，以便更好地提升合规水平。与此同时，银行机构需要充分关注这一趋势，从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理，例如采集前需征求用户同意，必要时应采取去标识化原则等，通过制度及流程的梳理来加强内部管控，遵循“用户授权、最小够用、专事专用、全程防护”原则，对于其中的不规范信息管理行为及时纠偏，将数据管理与金融消费者保护工作有机结合，持续强化合规“防火墙”的构建。

招联首席研究员董希淼表示，数据安全与国家安全、个人安全息息相关。从国家层面，依照法律、行政法规规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全；从企业与金融机构层面，积极开展基于云端的安全服务，可以有效提升数据安全水平。

同盾科技副总裁、法律合规部总经理赵冉冉表示，《办法》整体上衔接了《网络安全法》《数据安全法》《个人信息保护法》等数据领域的核心要求与立法精神，并在此基础之上提出了实操落地的技术性细节要求，对于银行、保险等金融机构的数据治理规范化、标准化提供了相当翔实的指引。除此以外，《办法》还强调了权责一致、责任明确，安全保障义务具体落实到人，部门职责罗列清晰、贴合实际，具有极强的实操性。而同步确定的法律责任，则为上述责任的实际履行增添了必要的砝码。《办法》的出台必然会要求机构进一步开展大量的合规管理工作，这将为企业合规工作的开展指明方向、提供指引。

愈加注重数据安全管理

近几年，国家愈加注重数据管理和个人信息保护，《办法》中也有所提及。《数据安全法》《个人信息保护法》等相继发布，对规范数据处理活动、个人信息保护等提出了明确要求。同时，金融行业数字化变革加速演进，新技术、新业务模式不断涌现，数据的使用、加工、传输、共享等活动日益频繁，进一步凸显数据安全保护的重要性。

赵冉冉表示，银行保险机构相较于其他行业，数据管理和安全建设方面相对更加健全、完善。由于银行保险机构涉及大量敏感数据和客户资金，对数据的安全性和合规性要求更高。这也促使银行保险机构在数据管理和安全方面投入更多资源，以提升整体的数据安全管理水平。

《办法》还提到，银行保险机构在实施过程中不得将信息科技管理责任、数据安全主体责任外包，涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。这是否会影响金融机构和数据安全公司的合作模式？

赵冉冉认为，对于部分自身安全或技术能力相对较弱、进而将许多关键业务外包的银行保险机构，在《办法》要求下，他们需要重新梳理整体业务框架以及具体流程，甚至中断原有的“一揽子”外包模式；对于一般外包技术服务供应商而言，虽然他们可能会面临更多的监管和更严格的管理，但并不意味着其与金融机构的合作模式将受到限制。相反，有可能促进双方合作更加紧密和深入，外包技术服务供应商通过提供更专业的解决方案，来适应金融机构的新需求。

“未来，金融机构与外包技术服务供应商建立长期稳定的合作关系或将是一种很好的模式，将有助于双方共同研发新技术、优化管理流程，以提升数据管理水平，促进数据合理开发利用。”赵冉冉说。