來源：北京商報

對於擁有資源的銀行而言，數據安全既是業務開展的基石，也關乎自身的合規風險管理。為規範銀行業保險業數據處理活動，金融監管總局近日製定《銀行保險機構數據安全管理辦法》（以下簡稱《辦法》），明確數據安全相關部門職責分工，強化數據分類分級管理和個人信息保護。

隨著銀行數字化轉型深入推進，數據已經和銀行各業務領域進行深度融合，與此同時，銀行違規使用數據等情況也曾多次引起監管處罰。為確保數據安全，多家機構已有所行動，包括加強分類分級管理、強化數據安全風險監測等。在分析人士看來，《辦法》的下發有助於明確數據領域的安全管理思路，後續機構將依規完善數據治理，不斷提升數據管理水平。

強化數據分類分級管理

金融數據具有高價值和高敏感性，為確保客戶信息和金融交易數據安全，《辦法》明確了數據安全歸口管理部門、數據安全技術保護部門以及風險合規與審計部門的職責分工，並與數據分類分級、數據安全管理、數據安全技術保護、數據安全風險監測與處置等工作相對應。

其中，在數據分類分級方麵，《辦法》要求銀行保險機構對業務經營管理過程中獲取、產生的數據進行分類管理。根據數據的重要性和敏感程度，將數據分為核心、重要、一般三個級別，並將一般數據進一步細分為敏感數據和其他一般數據，並采取差異化的安全保護措施，同時，明確當數據的業務屬性、重要程度和可能造成的危害程度發生變化，導致安全級別不再適用的，機構應及時進行動態調整。

知名經濟學者盤和林認為，數據分類分級管理的意義在於能夠針對不同級別和敏感性的數據采取差異化的安全保護措施，提高數據管理的針對性和有效性。為提高數據分類分級管理的準確性，銀行需要完善數據分類分級標準和流程，加強數據管理使用人員的培訓、提高對分類分級工作的認識，此外，數據分類分級之後，還要對工作進行定期複核。

在數據的使用過程中，個人信息安全保護是管理的重點，近年來銀行App未經用戶同意，違規或超範圍收集個人信息的情況時有發生。為此，《辦法》單獨設置“個人信息保護”章節，以進一步落實《數據安全法》《個人信息保護法》等上位法要求。要求銀行保險機構按照“明確告知、授權同意”的原則處理個人信息，以金融業務處理目的的最小範圍收集個人信息。共享和向外部提供個人信息，應履行個人告知及取得同意的義務。

盤和林指出，《辦法》首先是明確了各部門職責分工，金融機構數據管理方麵，未來職責更加明確，將有效提高銀行保險機構數據安全管理的質量。其次，是強化數據分類分級管理，有助於銀行建立完善的數據安全體係，最後，是加強了個人信息保護，落實了法律法規要求，將法律要求更加具象化、具體化，讓金融機構更容易執行。

摸索數據安全自主化方案

隨著銀行數字化轉型深入推進，數據已經和銀行各業務領域進行深度融合。各家銀行深挖數據潛在價值賦能業務發展，隨著行業對數據的依賴不斷增加，數據安全風險也日益受到重視。

多家銀行通過進行數據安全分類分級、加強數據安全風險監測、建立個人信息保護體係等措施強化數據安全管理。例如，強化數據安全管理，啟動集團數據安全分類分級工作，從係統層、終端層、網絡層和應用層實施數據全生命周期安全防護；推動數據全生命周期安全技術防護，在金融行業內首批通過了國家數據安全管理認證，持續加強銀行客戶信息保護和數據安全風險監測；為嚴防數據濫用，建立了全域個人信息保護體係，確保個人信息采集合法，該行采取大量數據脫敏工作，保證內部數據為業務發展所用。

數據安全管理是一項長周期係統性工程，在實踐過程中，也不乏違規行為出現。例如，、湖北銀行、山西農村商業聯合銀行年內就分別因數據安全管理不足、數據安全管理不到位存在風險隱患、數據安全管理較粗放存在數據泄露風險等被監管處罰。

“銀行數據量大、種類多，管理難度大。同時基層人員多，違規操作和濫用較難管控。另外，外部攻擊也是不容忽視的潛在風險。”盤和林指出，後續，銀行應完善數據安全技術，以技術圍牆保護數據，同時完善數據安全管理製度，比如數據調用需要權限，數據查詢需要留痕。此外，要定期對數據安全風險進行評估，預判數據風險。

在分析人士看來，隨著《辦法》的印發，銀行數據安全管理將更加有章可循，銀行機構應對照規則進一步摸索數據安全自主化管理方案。素喜智研高級研究員蘇筱芮表示，《辦法》有助於明確數據領域的安全管理思路，為銀行保險機構建立健全數據安全管理機製、落實人員職責分工等合規工作提供了有益參考，後續機構將依規完善數據治理，不斷提升數據管理水平。

盤和林建議，銀行應主動和監管部門合作，建立聯合金融數據監管係統，並加強在實踐中摸索數據安全的自主化方案，將數據安全案例做成手冊，在機構內部進行普及。