存儲域
數據庫加密 諾亞防勒索訪問域
數據庫防水壩 數據庫防火牆 數據庫安(ān)全審計 動态脫敏流動域
靜态脫敏 數據水印 API安(ān)全 醫(yī)療防統方運維服務(wù)
數據庫運維服務(wù) 中(zhōng)間件運維服務(wù) 國(guó)産(chǎn)信創改造服務(wù) 駐場運維服務(wù) 供數服務(wù)安(ān)全咨詢服務(wù)
數據出境安(ān)全治理(lǐ)服務(wù) 數據安(ān)全能(néng)力評估認證服務(wù) 數據安(ān)全風險評估服務(wù) 數據安(ān)全治理(lǐ)咨詢服務(wù) 數據分(fēn)類分(fēn)級咨詢服務(wù) 個人信息風險評估服務(wù) 數據安(ān)全檢查服務(wù)2025中(zhōng)國(guó)互聯網産(chǎn)業年會丨《中(zhōng)國(guó)互聯網産(chǎn)業綠色算力發展倡議》正式發布
2025-02-07
美創用(yòng)戶專訪 | 精(jīng)細化管理(lǐ):醫(yī)療行業數據分(fēn)類分(fēn)級的策略與實踐
2025-01-10
容災演練雙月報|美創助力某特大型通信基礎設施央企順利完成多(duō)個核心系統異地容災演練
2025-01-10
國(guó)家級|美創、徐醫(yī)附院共建項目入選工(gōng)信部《2024年網絡安(ān)全技(jì )術應用(yòng)典型案例拟支持項目名(míng)單》
2024-12-20
全球數據跨境流動合作(zuò)倡議
2024-11-22
近日,筆(bǐ)者就某銀行數據資産(chǎn)入表進行了數據合規評估,該行入表數據為(wèi)從第三方處購(gòu)買的數據,在獲得信息主體(tǐ)授權的前提下,可(kě)通過API接口方式從第三方處查詢、使用(yòng)用(yòng)戶信息。依賴多(duō)年來所沉澱的數據,該行從不同業務(wù)維度構建統計指标;基于智能(néng)化算法搭建評估模型;引入失信人員、失信企業等信息作(zuò)為(wèi)風險評估參考,形成了“某銀行智能(néng)風控數據模型”。該數據模型可(kě)以為(wèi)貸款準入、反欺詐、額度測算、評級、定價等服務(wù)提供數據依據,也可(kě)應用(yòng)于内部運營管理(lǐ),優化風控系統,通過相關數據資源提高服務(wù)效率和服務(wù)質(zhì)量。
金融數據合規不僅要符合《民(mín)法典》《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》等普遍适用(yòng)于數據合規的一般性規定;還應符合金融行業的特别監管要求,尤其需要注意一些指導金融機構開展金融數據安(ān)全防護工(gōng)作(zuò)的行業标準,如《金融數據安(ān)全分(fēn)級指南》、《金融數據安(ān)全數據生命周期安(ān)全規範》、《個人金融信息保護技(jì )術規範》等,下面主要從數據分(fēn)級分(fēn)類和數據生命周期管控兩個角度進行介紹:
1.金融數據分(fēn)類分(fēn)級
《網絡安(ān)全法》規定,國(guó)家實行網絡安(ān)全等級保護制度,網絡運營者應當按照網絡安(ān)全等級保護制度的要求,采取數據分(fēn)類、重要數據備份等措施;《數據安(ān)全法》也規定了要對數據實行分(fēn)類分(fēn)級保護。雖然對于數據分(fēn)級分(fēn)類國(guó)家尚無專門的法律規定,但金融行業作(zuò)為(wèi)合規性建設最早最完善的行業,早已出台了各種行業标準。從銀行角度來看,中(zhōng)國(guó)人民(mín)銀行于2020年2月13日發布了《個人金融信息保護技(jì )術規範》,将個人金融信息按敏感程度從高到低分(fēn)為(wèi)C3、C2、C1三個類别:C3 類别信息主要為(wèi)用(yòng)戶鑒别信息;C2類别信息主要為(wèi)可(kě)識别特定個人金融信息主體(tǐ)身份與金融狀況的個人金融信息,以及用(yòng)于金融産(chǎn)品與服務(wù)的關鍵信息;C1類别信息主要為(wèi)機構内部的信息資産(chǎn),主要指供金融業機構内部使用(yòng)的個人金融信息。該規定還強調,同一信息在不同的服務(wù)場景中(zhōng)可(kě)能(néng)處于不同的類别,應依據服務(wù)場景以及該信息在其中(zhōng)的作(zuò)用(yòng)對信息的類别進行識别,并實施針對性的保護措施。 除此外,《金融數據安(ān)全分(fēn)級指南》也從國(guó)家安(ān)全、公(gōng)衆權益、個人隐私、企業合法權益的角度,按照影響程度将金融數據安(ān)全級别從高到低進行了五級劃分(fēn)。
2.金融數據的生命周期管控
構建數據分(fēn)類分(fēn)級管理(lǐ)體(tǐ)系後,切實做好保障數據安(ān)全工(gōng)作(zuò),還需具(jù)體(tǐ)落實在數據的采集、傳輸、存儲、使用(yòng)、删除和銷毀等生命周期管理(lǐ)的各環節。《個人金融信息保護技(jì )術規範》、《金融數據安(ān)全 數據生命周期安(ān)全規範》等金融行業标準系統規定了采集、傳輸、存儲、使用(yòng)、删除和銷毀等金融數據生命周期環節的合規要求。除了與《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》等法律規定一緻的外,主要的特殊合規要求具(jù)體(tǐ)如下:(1)數據采集:應通過合同協議等方式,明确雙方在數據安(ān)全方面的責任及義務(wù);從外部數據供應方處采集數據,應制定數據供應方約束機制;采集的企業客戶數據應與提供的金融産(chǎn)品或服務(wù)直接相關,不應超範圍采集數據;應明确數據采集過程中(zhōng)個人金融信息和重要數據的知悉範圍和安(ān)全管控措施,确保采集數據的合規性、完整性和真實性;采集數據時,應對數據采集設備或系統的真實性進行驗證;采集 3 級及以上數據時,還應結合口令密碼、設備指紋、設備物(wù)理(lǐ)位置、網絡接入方式、設備風險情況等多(duō)種因素對數據采集設備或系統的真實性進行增強驗證等;向個人信息主體(tǐ)采集數據時,APP、WEB 等客戶端相關業務(wù)完成後不應留存 3 級及以上數據,并及時對緩存進行清理(lǐ);采集的個人金融信息應與提供的金融産(chǎn)品或服務(wù)直接相關,并與合同協議條款、隐私政策中(zhōng)約定采集的内容保持一緻,不應超範圍采集數據等。(2)數據傳輸:采取措施加強數據傳輸過程中(zhōng)的網絡和數據安(ān)全;金融數據傳輸涉及金融業機構内部數據傳輸、金融業機構與外部機構或客戶的數據傳輸兩種形式,不同傳輸形式和不同傳輸對象應采用(yòng)不同的數據傳輸技(jì )術方式等。(3)數據存儲:将數據分(fēn)域分(fēn)級存儲;依據最小(xiǎo)夠用(yòng)原則存儲數據;不應因存儲形式或存儲時效的改變而降低安(ān)全保護強度等。(4)數據使用(yòng):就數據訪問、數據導出、數據加工(gōng)、數據展示、開發測試、彙聚融合、公(gōng)開披露、數據轉讓、委托處理(lǐ)、數據共享提出了具(jù)體(tǐ)明确的要求。(5)數據删除:個人金融信息主體(tǐ)要求删除個人金融信息時,應依據國(guó)家及行業主管部門有(yǒu)關規定,以及與個人金融信息主體(tǐ)的約定予以響應;超過國(guó)家及行業主管部門有(yǒu)關規定、内部規章及合同協議所述保存期限的數據,應執行數據删除操作(zuò)等。(6)數據銷毀:采用(yòng)不可(kě)恢複的方式對存儲介質(zhì)進行銷毀;存儲介質(zhì)如需使用(yòng),通過技(jì )術手段安(ān)全地擦除數據,确保介質(zhì)中(zhōng)的數據不可(kě)再被恢複或以其他(tā)形式被利用(yòng);定時驗證數據删除結果等。
轉載自:衆成清泰律師事務(wù)所
官方訂閱号
官方服務(wù)号
第59号
浙公(gōng)網安(ān)備 33010502006954号 
