规范数据处理活动

保障数据安全与金融安全

境内各类银行保险机构

涉及国家秘密的特殊规定

数据处理

数据安全

数据主体

个人信息

大数据平台

总局及其派出机构负责数据安全的监督管理，制定并发布监管规章制度，对机构履行数据安全保护义务情况进行监督检 查。

建立与本机构业务发展目 标相适应的数据安全治理体系

建立健全数据安全管理制度

构建覆盖数据全生命周期和应用场景的安全保护机制

开展数据安全风险评估、监测与处置

利用互联网等信息网络开展 数据处理活动，在网络安全等级保护制度基础上，履行 数据安全保护义务。

遵法守德

落实国家大数据战略

关注科技动态防范数据与科技误用滥用

建立覆盖董(理)事会、高 管层、数据安全统筹、数据安全技术保护等部门的数据安全 管理组织架构

党委、董事会对数据安全负主体责任

机构主要负责人为第一责任人

分管数据安全高级管理人员为直接责任人

明确责任、违规情形、责任追究，问责机制

主责部门

1.分类

2.分级

明确管理责任分工

数据处理全生命周期管控机制

落实保护措施

分析数据安全 风险和对数据主体权益影响

评估数据处理的必要性、合规性

评估数据安全风险及防控措施的有效性

收集数据应当坚持“合法、 正当、必要、诚信”原则

向其他银行保险机构收集行业重要级及 以上数据，需经国家金融监督管理总局同意。

信息系统为数据收集 的主要渠道

应当制定外部数据采购、合 作引入的集中审批管理制度

采用匿 名化、去标识化或者其他必要安全措施保护数据主体权益

按照“业务必要授权” 原则，对敏感级及以上数据严格实施授权管理

向外部提供敏感级及以上数 据，应当取得数据主体同意

敏感级及以上数据不得公开

重点防护，加强备份管理，备份数据生产数据分开保存，控制访问权限，验证备份数据完整有效、业务可恢复。

应当对数据共享使用进行集中安全管控

在委托处理数据时，应当明确 所涉数据外部使用和处理的条件、场景、方式。

应当将数据委托处理纳入信 息科技外包管理范围

与第三方机构进行数据共同处理时，应当按照“业务必要授权”原则制定方案，并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。

因合并、分立等需要转移数据的，应当明确数据转移内容，通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务，通过公告等方式告知数据主体。

应当建立对外公开披露数据的审批机制

向境外提供重要数据和个人信息，应当承担数据安全主体责任

应当制定数据销毁管理制度

委托数据处理终止时， 应当要求服务提供商及时删除数据

划分网络逻 辑安全域，建立分区域数据安全保护基线

实施有效的安全控制，包括内容过滤、访问控制和安全监控

存放或者传输敏感级及以上数据的机房、 网络应当实施重点防护

数据访问

数据传输

数据存储

数据销毁

用户身份管理

数据匿名化

行为监测

日志审计

数据虚拟化等

保障安全标准在信息系统中执行的一致性。

系统开发、测试

大数据平台建设

人工智能

开展第三方合作

应当制定个人信息处理规则

处理个人信息前应履行告知

对个人权益有重大影响的应当进行个人信息保护影响评估

共享个人信息，及向外部提供个人信息，应当履 行向个人告知及取得其同意等相关事项的义务

委托第三方处理个人信息，应当在合同或者协议条款进行约束

算法设计、训练数据选择 和模型生成时，应当采取有效措施，保障个人合法权益

采取补救措施

通知个人并报送监管机构

(一)超范围授权或者使用系统特权账号；

(二)内部人员异常访问、使用数据；

(三)对数据集中共享的系统或者平台的网络安全、数 据安全威胁；

(四)敏感级及以上数据在不同区域的异常流动；

(五)移动存储介质的异常使用；

(六)外包、第三方合作中的数据处理异常或者数据泄 露、丢失和篡改；

(七)客户有关数据安全的投诉；

(八)数据泄露、仿冒欺诈等负面舆情；

(九)其他可能导致数据安全事件发生的情况。

每年开展一次数据安全风险评估

至少每三年开展一次数据安全全面审计

重大数据安全事件后进行专项审计

委托审计不得使用其产品与其他服务

数据被篡改、泄露、破坏、非法获取、非法利用等，造成负面影响的事件。

建立数据安全事件应急管理机制

数据安全事件报告

非现场监管

现场检查

纳入监管评级评估体系

监管机构制定重要数据目录，指导机构开展分类分级管理和数据保护

应当按要求向监管机构报送重要数据目录，并动态更新

应当在处理、 合同签署前二十个工作日向监管机构报告

报告内容包括数据安全治理、技术保护、 数据安全风险监测及处置措施、数据安全事件及处置情况、 委托和共同处理、数据出境、数据安全评估与审查情况、数 据安全相关的投诉及处理情况等。

监管措施

处罚