国家金融监督管理总局制定银行保险机构数据安全管理办法

国家金融监督管理总局近日发布了《银行保险机构数据安全管理办法(征求意见稿)》(以下简称《办法》)，旨在规范银行保险机构在处理个人信息时的行为。根据《办法》规定，银行保险机构在处理个人信息时，应遵循“明确告知、授权同意”的原则，并履行必要的告知义务。这意味着，银行保险机构在收集、使用、共享和提供个人信息时，必须向个人进行充分的告知，确保其充分了解自己的权利和义务。此外，《办法》还要求银行保险机构收集个人信息的范围应限于实现金融业务处理目的的最小范围，不得过度收集。这是为了保护个人隐私和防止个人信息被滥用。在共享和对外提供个人信息时，银行保险机构也必须取得个人同意。这是为了确保银行保险机构在向第三方提供个人信息时，不会违反个人的意愿和权益。

《办法》要求银行保险机构建立数据安全责任制，落实数据安全保护管理要求。制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。同时要求银行保险机构强化数据安全管理，建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系。

为了更好地保护数据安全，银行保险机构需要将数据安全风险纳入本机构的全面风险管理体系，并采取有效措施来防范和处置数据安全风险。为此，该办法要求银行保险机构在收集数据时必须明确数据收集和处理的目的、方式、范围和规则，以确保数据的收集过程具有数据安全性，并且数据来源可追溯。同时，银行保险机构还必须遵守数据主体的同意范围，不得超出其同意的数据收集范围。具体来说，银行保险机构需要采取以下措施来保障数据的安全性:1. 明确数据收集和处理的目的:银行保险机构在收集数据时必须明确其目的，例如用于风险评估、客户管理、产品推荐等。这样可以避免无谓的数据收集和处理，从而保护数据主体的权利和利益。2. 规定数据收集和处理的方式:银行保险机构需要规定数据收集和处理的方式，例如采用问卷调查、在线申请、电话咨询等方式。这样可以确保数据收集的合法性和规范性，从而避免数据违法行为的发生。3. 明确数据收集和处理的范围:银行保险机构需要明确数据收集和处理的范围，例如仅限于客户个人信息，或者仅限于信用报告等特定领域的数据。这样可以确保数据收集的必要性和合理性，从而避免过度收集数据和侵犯数据主体权利的情况发生。4. 规定数据收集和处理的规则:银行保险机构需要规定数据收集和处理的规则，例如明确数据收集和处理的时限、方式、结果反馈等。这样可以确保数据收集和处理的程序合理、规范，从而避免数据违法行为的发生。5. 保障收集过程的数据安全性:银行保险机构需要采取必要的措施，确保数据收集过程的安全性。例如，采用加密技术、访问控制、审计跟踪等措施，保障数据在传输、存储和使用过程中的安全性。6. 确保数据来源可追溯:银行保险机构需要确保数据来源可追溯。