人行&金融监管总局在数据安全监管的区别

点击  "合规社"  > 点击右上角“···” > 设为星标⭐

在数字化时代，数据安全已成为全球关注的焦点，尤其在金融领域，金融数据具有高价值和高敏感性，金融数据安全与国家安全和金融消费者权益密切相关，数据安全的重要性更是不言而喻。与此同时，金融领域面临的数据安全风险形势复杂严峻，也给金融机构数据安全管理带来新的挑战。

2024年3月22日，国家金融监督管理总局起草《银行保险机构数据安全管理办法（公开征求意见稿）》，向社会公开征求意见。2024年12月27日，国家金融监督管理总局印发《银行保险机构数据安全管理办法》，自公布之日起施行，《银行保险机构数据安全办法》（银保监办发〔2022〕118号）同时废止。

《银行保险机构数据安全办法》明确银行保险机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。要求银行保险机构指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。

同时，《银行保险机构数据安全办法》将数据安全风险纳入全面风险管理体系，并进一步银行保险机构数据安全评估义务。

此前，中国人民银行为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理，就向社会公开征求意见。

《中国人民银行业务领域数据安全管理办法（征求意见稿）》和《银行保险机构数据安全管理办法》的接连发布，体现了我国金融行业监管对数据安全管理的重视。人行和金融监管总局两者都在数据安全领域承担着重要的职责，共同构建了我国金融数据安全的监管框架。

那两者到底有啥不一样？很多会人比较疑惑。我们基于这两份文件的内容，一起探讨人行和金融监管总局在数据安全监管上的差异和侧重点。

人行：根据《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《人行数据安全管理办法》），人行主要负责监管其业务领域内的数据安全管理，包括货币政策业务、跨境人民币业务、银行间市场交易业务等。人行的数据安全管理办法侧重于其直接承担监督管理职责的各类业务活动时，所产生和收集的不涉及国家秘密的网络数据。

金融监管总局：根据《银行保险机构数据安全管理办法》（以下简称《金监数据安全管理办法》），金融监管总局负责监管银行业保险业数据处理活动（指以电子或者其他方式对信息的记录）。

银行保险机构，是指在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团（控股）公司。

人行：《人行数据安全管理办法》中，数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。

在数据分级基础上，数据处理者应当参考行业标准，根据数据遭到泄露或者被非法获取、非法利用时，可能对个人、组织合法权益或者公共利益等造成的危害程度，将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级；非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级，标识其层级。

因此，人行把数据安全级别被划分为五级。

人行：《人行数据安全管理办法》规定数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据，并填写报送重要数据目录内容。

由中国人民银行汇总后确定重要数据具体目录。

金融监管总局：《金监数据安全管理办法》规定国家金融监督管理总局按照国家数据分类分级要求，制定银行业保险业重要数据目录，提出核心数据目录建议，监督指导银行保险机构开展数据分类分级管理和数据保护。

人行：《人行数据安全管理办法》规定数据处理者应当将数据安全事件纳入网络安全事件应急响应机制统一管理，制定相关应急预案，做好事件定级、处置、总结、报告、整改工作，按照规程向中国人民银行或其住所地分支机构、其他有关主管部门报告事件信息。

金融监管总局：《金监数据安全管理办法》规定数据安全事件发生2小时内，银行保险机构应当向国家金融监督管理总局或者其派出机构报告，并在事件发生后24小时内提交正式书面报告。

发生特别重大数据安全事件，银行保险机构应当立即采取处置措施，按照规定及时告知用户并向国家金融监督管理总局或者其派出机构、属地公安机关报告。

银行保险机构应当每2小时将处置进展情况上报，直至处置结束。

数据安全事件处置结束后，银行保险机构应当在五个工作日内将事件及其处置的评估、总结和改进报告报送国家金融监督管理总局或者其派出机构。

人行：《人行数据安全管理办法》规定数据处理者应当每年至少开展一次针对数据安全事件的应急演练，确保应急处置措施的效率和效果。

金融监管总局：《金监数据安全管理办法》规定，银行保险机构制定数据安全事件应急预案，定期开展应急响应培训和应急演练。

人行：《人行数据安全管理办法》规定重要数据的数据处理者应当自行或者委托检测机构，每年组织开展一次全面的数据安全风险评估工作。

除法律、行政法规已明确的内容外，风险评估报告还应当重点评估下列风险，并提出改进应对措施：

（一）数据分类分级实施制度、违规数据处理活动定责规程和问责处罚措施、数据处理活动全流程数据安全管理制度和相关操作规程的建设情况；

（二）数据安全决策、管理、执行、监督各层面职责划分和对应岗位设置是否明确、合理，实际职责落实情况；

（三）人员培训和日常管理情况；

（四）重要数据识别判定情况，处理重要数据的目的、范围、规模、方式、类型、存储期限和存储地点等情况；

（五）重要数据相关的数据处理活动记录信息的真实性与完整性；

（六）重要数据相关的数据处理活动全流程管理和技术措施执行情况及其有效性；

（七）存储重要数据信息系统的网络安全等级保护测评和问题整改落实情况；

（八）重要数据相关的数据处理活动风险监测预警和溯源排查情况；

（九）数据安全事件定级判定标准建设情况，应急预案、应急处置流程设计与演练实施情况，以及本年度发生的数据安全事件及处置情况；

数据安全风险评估报告报送时间要求：于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告，并按照行政法规要求向对应的网信部门报送。

金融监管总局：银行保险机构应当每年开展一次数据安全风险评估。

报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等。

人行：《人行数据安全管理办法》规定数据处理者应当围绕全流程数据安全管理制度和相关操作规程执行情况、数据安全相关投诉处理情况，每年至少开展一次与数据安全相关的合规审计。发生重大以上数据安全事件后，应当及时开展专项审计，督促数据处理活动过程留痕，安全保障责任落实到人。

金融监管总局数据安全相关行政处罚案例

金融监管总局与数据安全直接相关的处罚较多，以下列举几个经典案例：

2024年4月19日，湖北银行股份有限公司因数据安全管理不到位，存在风险隐患等八违法违规行为，被国家金融监督管理总局湖北监管局罚款290万元。

2024年9月25日，山西农村商业联合银行股份有限公司因“数据安全管理较粗放，存在数据泄露风险”等两项违法㚘行为，被国家金融监督管理总局山西监管局处罚60万元人民币。

此外，2023年11月13日，华美银行（中国）有限公司因“生产环境安全管控不足”和“生产数据安全管控不足”被国家金融监督管理总局上海监管局责令整改，并处罚款60万元人民币。

相比人行在数据安全方面的行政处罚，金融监管总局的行政处罚依据主要为《中华人民共和国银行业监督管理法》第四十六条第五款：严重违反审慎经营规则的。

两个数据安全管理对监管处罚依据的规定

依据《人行数据安全管理办法》规定，违反数据安全相关义务，中国人民银行及其分支机构主要是依照三驾马车：《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护》等。

而依据《金监数据安全管理办法》规定，银行业金融机构违反本办法要求的，国家金融监督管理总局及其派出机构可以依据《中华人民共和国银行业监督管理法》相关规定；保险业金融机构违反本办法要求的，国家金融监督管理总局及其派出机构可以依据《中华人民共和国保险法》相关规定。