关注金融行业数据安全治理，护航数字经济高质量发展

经济高质量发展 数据安全：护航数字 1《月网1络日数正据式安生全效管。理条例》历经3年正式发布，于2025年 2024年11月 增强数据安全保障能力务，也保持是竞企争业力在的数应字时化之时举代 202数3字年中国共建中设央整、体国布务局院规印划发》了明力确，指建出立：数增据强分数类据分安级全保保护障基能础 制度，应健急全处网置络工数作据体监系测。预警和 增数据强安数全管据理安正全经历保着障从能立法力到是实基践的本逐合步规转变义。务目前， 企业仍需密切关注，积极合规。 个安灵人全活信的便息规捷保范的护化数监和据管系出闭统境环化监已管日理机制益。重的完善探要索数，据也的同还识步在别促持和进续保推护进、。 数随着据大安数据全、是人技工智术能创和新区块的链动等力新兴和技底术气的广泛应用， 企业并应需对不潜断在更风新险安。全措挑战施。，为并高确度保技关术注创数新据顺安全利进，行以，识企别 保护好含数据就机是保护户好核息心市竞争洞力察等，这些 数竞据争的力安。全只与有保通密过直加接强关数系据到安企全业管的理业，务确稳保定数性据和的市完场整 性地，和实可现用可性持，续企发业展才。能在激烈的市场竞争中立于不败之 《保网法络下数首据个安国全务管院理正条式例发》布是的网管安理法条、数安法、个 2015 正式颁布并生效 或者公民、组织合法权益的，依法追究法律责任 7国月国1家日安，全《法中》华（人国民安共法和） 2017 6共月和1国日网，络《安中全华法人》民 •在条中第华二人款民规共定和情国形境的外依处法理适中用华；人民共和国境内自然人个人信息的活动，符合个保法第三 2019 5办月公，室国关家于互《联数网据信安息全管稿理）办》法公（开征求意见 2021 （网安法）正式生效 2021 9共月和1国日数，据《安中全华法人》民 •在中华人民共和国境外开展网络数据处理活动，损害中华人民共和国国家安全、公共利益 适用范围 •在中华人民共和国境内开展网络数据处理活动及其安全监督管理； •自然人因个人或者家庭事务处理个人信息的，不适用本条例。 重点关注 法）正式生效 1国1个月人1日信，息《保中护华法人》民（共个和保 2024 议审议通过《网络数据 8月30日，国务院常务会安全管理条例（草案）》 （数安法）正式生效 2021 办11公月室1日关，于国《家网互络联数网据信安息全管公理开条征例求（意征见求意见稿）》 2024 安全管理条例》签发， 9月30日，《网络数据 2025年1月1日生效 一般规定： •数据安全治理方针 •数据安全管理体系 •数据安全生命周期管理 •数据安全管理技术 特定数据处理活动要求： •国家安全审查 •重要数据安全管理 •数据出境安全管理 •个人信息保护 •网络平台服务提供者数据安全管理 违规后果 •主以要下参补照充网：安法、数安法、个保法，针对一般规定、网络安全审查和重要数据安全，作出 单站位吊可销责相令关改业正务，许给可予证警或告者，吊没销收营违业法执所照得等，责令暂停相关业务、停业整顿、关闭网 罚款（单位最高一千万元，直接负责的主管人员和其他直接责任人员最高一百万元） 中国人民银行、教育部发布了关于工业和信息化领域、金融行业、 截至2024年9月，已有多个行业主管部门，包括工业和信息化部、教育行业、电信行业及汽车行业等的数据安全相关管理办法。 社会秩序 数据分类分级是数据安全治理的基础 国家安全 影响对象 经济运行 影响程度 公共利益 个人权益 组织权益 Critical特别严重危害Major严重危害General一般危害Noimpact无危害 获根取据数、非据法在使经济用社、会非发法展共中享的，重对要国程家度安，全以、及经一济旦运遭行到、泄社露会、秩篡序改、、公损共毁利或益者、非组法织权般益数、据个三人个级权别益。造按成照的数危据害一程旦度遭，到将泄数露据、从篡高改到、低损分毁为或核者心非数法据获、取重、要非数法据使、用一、非程法度共，享将一，对般经数济据运可行以、从社低会到秩高序分、为公1共级利、益2或级个、人3、级组、织4合级法共权四益个等级造别成。的危害 数据分安类全 数据等级安全 影响对象数据定级要 素影响程度 一般数据 1级 个人权益、组织权益 无危害 2级 个人权益、组织权益 一般危害 3级 个人权益、组织权益 严重危害 4级 个人权益、组织权益 特别严重危害 经济运行、社会秩序、公共利益 一般危害 重要数据 经济运行、社会秩序、公共利益 严重危害 国家安全 一般危害 核心数据 经济运行、社会秩序、公共利益 特别严重危害 国家安全 特别严重危害或严重危害 参考：GB/T43697-2024《数据安全技术数据分类分级规则》4 金融行业在数据安全治理的重点关注 金稿融）行》业、目《前银已行针保对险数机据构安数全据起安草全并管发理布办了法多（项公行开业征内求的意法见规稿和）标》准，、包《括JR《/T中0国19人7-民20银20行金业融务数领域据数安据全安数全据管安理全办分法级（指征南求》意、见 考射虑关不系同，法外规资中行数还据需安统全筹级考别虑的境映内 关键挑战 数化据安分全级保分护类措的施不的精落确地会影响差异 动一态次管性理与维护是持续性工作而非 与境外的数据资产，降低管理成本 金《融J行R/业T应01重71点-2关02注0以个下人领金域融。信息保护技术规范》等。在《网络数据安全管理条例》正式生效后，依据已发布的相关法规和标准， 数据分级分类 按数照据业、务核分心类数，据梳，理形数成据重资要产数，据识目别录重要建立数据分级分类实施制度根施据数据分级分类采取差异化安全保护措实施数据目录的动态管理与维护 银办行法保（险公机开构征数求据意安见全稿管）理 安中全国管人理民办银法行（业征务求领意域见数稿据） 一般数据 其他一般数据 一般数据 敏感数据 重要数据 重要数据 核心数据 核心数据 数据安全治理与管理 安全治理架构： 明确数据安全管理相关内设部门职责分工，细化定责问责规程 指定数据安全归口管理部门 重要数据处理者书面明确数据安全负责人和数据安全牵头管理内设部门 遵数循据“，谁谁管管业数务据，安谁全管”业的务 基本原则 当应前求两同方存监异管，的具要体求问存题在具差体异分，析金，融避机免构重 复建设 金融行业在数据安全治理的重点关注（续） 数据安全治理与管理 数据安全体系建设： 风险监测等方面的相关制度要求 建据立安数全据管安理全、治数理据、安数全据技分术级、分数类据、安数全 数据生命周期管理 数结据合安《全JR分/T级01指97南-2》02、0《金J融R/数T0据2安23全- 级数据安全保护管理要求 2023》金明融确数全据生安命全周数期据各生环命节周中期不安同全层 数据安全事件管理 建机立制数据处理活动安全风险监测和告警 制预定案数据安全事件定级判定标准和应急 数据安全监督管理 建立数据安全监督合规要求和规范 依据据安不全同审监计管工机作构的要求开展全面的数 每并年依开据展要一求次完全成面上的报数工据作安全风险评估， 对理网络数据进的行安分全类承分担级主保体护责，任对所处 执行全生命周期各环节中不同层级数据 安全技术措施要求，包括数据收集、数 据加工、数据使用、数据共享、委托处 强全化意内识部，人落员实和安培全训事管件理应，急加预强案人员安  依据不同的监管机构规范应急响应与处 对全有监关督主检管查部予门以依配法合开展的网络数据安 数据服务管理体系： 建规立范数、据建服立务专管职理的体数系据、服制务定团数队据服务 理公输、开数、据数备据份跨与境存、储据销转毁移与与删提除供、、数数据据传 同意 集享团敏内感部及共以享上数据应获取得保主护体措的施授，权共和 置工作，及时有序上报事件及处置情况接全式受投等社诉信会、息监举，督报及，渠时受道理，并公处布捷的投理网诉络、举数据报安方安 常与态监化管数保据持安沟全通评估和审计工作，持续 全投诉、举报 关键挑战 体系 依构据建不适同应的新数技据术层环级境采的取数不据同安的全安技全术措保施护， 的方式将相应技术落地实现 构需建要覆结盖合数实据际全的生数命据周场期景的考安虑全所管需控的时数，据安数全字的水核印心、技数术据能防力泄，漏如、加隐密私、计数算据、脱数敏据、自通动过化技定术工级具达、标产等品，平同台时（还数需据要安考全虑应如用何） 在别面、对评数估据、安应全对事并件恢时复，业需务要能够迅速识 从金融监管角度当前非常理关注如括何对数实据质 重进行建设 发金生融后企，业如应何针对进应行急应相急关处置的流与程监管、演报练备，着 特定数据处理活动要求 •网络数据处理者开展网络数据处理活动， 国家安全审查 影照国家有可关规影定进国行家国安家全安的全，审应查 •个人信息处理者总体合规要求应以个保法和其 个人信息保护 关要求人：信息保护规定为主，在以下方面应遵循 o细化个人信息转移的具体条件、保存期限的具体 o向其他网络数据处理者提供、委托处理个人信息 落 o处用理于重10要00数万据人的以处上理个者人的信有息关的于，网还络应数当据遵安守全适负 的处理情况记录，应当至少保存3年 责处要求人理和、网共络同数处据理安个全人管信息理前机构开、展以风及险评提供估、的委相托关 •数个据出境安全管理总体合规要求应以网出安境法规、 数据出境安全管理 定为主，在以下方面应遵循补充要 o国安家全采风取险措和施威，胁防。范任、何处个置人网、络组数织据不跨得境提 供专用于破坏、避开术措施程 施工帮具等助等活动的，不得为其破提供技术开支持 专题管理事项应重点关注与其他相关合规要求和实践的衔接与补充 键主审查信办息法考基：础设国施安安法全、保网护安条法例、、数网安络法安、全关 信其他息主安全要规参考范等：个保法、网安法、GB/T35273个人 办法、促进和规范数据跨境流动规定等 其据他出主境要安全参评考估：办网法安、法个、人个信保息法出、境数标安准法合、同数 特定数据处理活动要求（续）——网络平台服务提供者 用户和平台内经营者提供服务， 网络平台服务提供者面向大量 可能包括：提供信息发布和交互 的社交媒体平台、提供支付服务 的网络平台、提供视听服务的网 络平台、提供应用程序分发服务 的网络平台、预装应用程序的智 能终端等设备生产者等。 网络平台服务提供者数据安全管理 •网络平台服务提供者在数据安全方面的管理要求在《条例》中被首次提出，主要包括： o 明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务，督促第三方产品和服务提供者加强网络数据安全管理，其中，应用程序分发服务的网络平台服务提供者还应当建立应用程序核验规则并开展网络数据安全相关核验 o通过自动化决策方式向个人进行信息推送的，个性化推荐易关闭、个人特征标签可删除 o国家鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息 大型网络平台服务提供者是指 注册用户5000万以上或者月活 复杂，网络数据处理活动对国家 跃用户1000万以上，业务类型 有重要影响的网络平台。 安全、经济运行、国计民生等具 •此外，大型网络平台服务提供者： o每年度发布个人信息保护社会责任报告 防范网络数据跨境安全风险 o跨境提供网络数据，应当遵守国家数据跨境安全管理要求，健全相关技术和管理措施， 权 o不得利用网络数据、算法以及平台规则等，开展不当网络数据处理活动，损害用户合法 o如涉及重要数据处理，年度风险评估还应充分说明关键业务和供应链网络数据安全等情况 特定数据处理活动要求（续）——重要数据安全管理 重要数据安全管理目前，关于重要数据的识别和保护，部分行业领域主管（监管）部门已明确其行 《面提条出例明》确对要涉求及：重要数据的网络数据处理者在以下方数据安全治理方针 应当明确网络数据安全负责人和网络数据安全管理机构，网络数据安全负责人应当具备网络数据安全专业知