《银行保险机构W88win优德中国有限公司安全管理办法》发布征求意见

2024年3月22日，国家金融监督管理总局（下称“金融监管总局”）发布了《银行保险机构W88win优德中国有限公司安全管理办法（征求意见稿）》（下称“《征求意见稿》”），向社会公开征求意见。

本文拟就《征求意见稿》出台的背景与意义、适用范围及主要亮点进行简要评析。

一、背景与意义

如何防范和降低金融W88win优德中国有限公司处理活动相关安全风险一直以来都是金融监管部门的监管重点之一。原银保监会在2018年发布了我国金融W88win优德中国有限公司治理的第一份规范文件——《银行业金融机构W88win优德中国有限公司治理指引》。随后，《监管W88win优德中国有限公司安全管理办法（试行）》、《保险中介机构信息化工作监管办法》、《金融W88win优德中国有限公司安全 W88win优德中国有限公司安全分级指南》、《金融W88win优德中国有限公司安全 W88win优德中国有限公司生命周期安全规范》等相关法规和标准也陆续发布，完善金融领域W88win优德中国有限公司监管。中国人民银行（下称“央行”）于去年7月发布了《中国人民银行业务领域W88win优德中国有限公司安全管理办法(征求意见稿)》（下称“《央行征求意见稿》”），针对银行、支付机构等主体的W88win优德中国有限公司安全管理活动进行规制。

而近年来，金融监管总局针对金融领域，尤其是银行保险机构在W88win优德中国有限公司安全管理、个人信息权益保护等方面的不足也采取了针对性措施。2022年8月，金融监管总局组织开展银行保险机构侵害个人信息权益乱象专项整治，并于今年3月向各监管局、多家银行及保险机构下发通报。通报中存在的问题涉及上千家机构，问题总数超过十六万，影响消费者超过两亿人次，涵盖W88win优德中国有限公司全生命周期，包括强制同意、扩大授权、笼统授权、违规查询账户信息、不当使用客户信息、未经授权对外提供、未及时删除等问题。¹

在此背景下，金融监管总局发布了其挂牌成立后发布的第一部有关W88win优德中国有限公司安全的规定，旨在规范银行业保险业W88win优德中国有限公司处理活动，履行作为行业主管部门对本行业W88win优德中国有限公司安全监管职责，同时也为银行、保险机构等主体的W88win优德中国有限公司安全管理活动提供了更为明确的指引。

二、适用范围

适用主体。《征求意见稿》适用于在中华人民共和国境内设立的开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用社等银行金融机构；保险集团（控股）公司、保险公司、保险资产管理公司等保险机构；金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、理财公司等其他金融机构。金融监管总局批准设立的外国银行分行、其他金融机构、金融控股公司、总局管理单位以及地方金融监管部门批准设立的金融组织亦参照适用本规范文件。可以看出，《征求意见稿》以机构类型划分适用范围，主体覆盖范围广泛，意图将各类金融主体均纳入《征求意见稿》的适用范围之内予以规制。

适用的W88win优德中国有限公司处理行为。《征求意见稿》排除对开展涉及国家秘密的W88win优德中国有限公司处理活动的适用，即除国家秘密以外的W88win优德中国有限公司处理活动均会适用。

三、亮点简析

《征求意见稿》共分为九章，分别为总则、W88win优德中国有限公司安全治理、W88win优德中国有限公司分类分级、W88win优德中国有限公司安全管理、W88win优德中国有限公司安全技术保护、个人信息保护、W88win优德中国有限公司安全风险监测与处置、监督管理及附则。从具体内容上看，其针对银行保险机构的行业特点与数字化、智能化过程中的特点，结合现行W88win优德中国有限公司安全法律法规引入了更具体、更有针对性的规定。

1. W88win优德中国有限公司分级分类与重要W88win优德中国有限公司目录

在W88win优德中国有限公司分类方面，《征求意见稿》第十七条将W88win优德中国有限公司分为客户W88win优德中国有限公司、业务W88win优德中国有限公司、经营管理W88win优德中国有限公司、系统运行和安全管理W88win优德中国有限公司四类。

在W88win优德中国有限公司分级方面，《征求意见稿》第十八条明确规定“银行保险机构应当根据W88win优德中国有限公司的重要性和敏感程度，将W88win优德中国有限公司分为核心W88win优德中国有限公司、重要W88win优德中国有限公司、一般W88win优德中国有限公司。其中，一般W88win优德中国有限公司细分为敏感W88win优德中国有限公司和其他一般W88win优德中国有限公司。”这一规定与央行公布的行业标准《金融W88win优德中国有限公司安全 W88win优德中国有限公司安全分级指南》和《央行征求意见稿》所规定的W88win优德中国有限公司分级方式与标准存在一定差异。《金融W88win优德中国有限公司安全 W88win优德中国有限公司安全分级指南》根据金融机构W88win优德中国有限公司使用的业务场景、W88win优德中国有限公司的公开范围、W88win优德中国有限公司安全性遭受破坏后的影响对象和所造成的影响程度，将W88win优德中国有限公司安全级别从高到低划分为5级、4级、3级、2级、1级。《央行征求意见稿》则采用了三级五层的分级方法，将W88win优德中国有限公司分为了一般W88win优德中国有限公司、重要W88win优德中国有限公司、核心W88win优德中国有限公司三大级别，并按照W88win优德中国有限公司的敏感性进一步分层级，根据W88win优德中国有限公司泄露或被非法获取/利用时可能对个人、组织合法权益或公共利益造成的危害程度分为五个层级。而在《征求意见稿》中则采用四级的分级方式，根据W88win优德中国有限公司的规模与精度、W88win优德中国有限公司泄露或者篡改、损毁所造成的影响进行分级。

诚然，《征求意见稿》第十八条对于核心W88win优德中国有限公司、重要W88win优德中国有限公司、敏感W88win优德中国有限公司与一般W88win优德中国有限公司的定义较为笼统。例如核心W88win优德中国有限公司定义中的“较高精度、较大规模、一定深度”与重要W88win优德中国有限公司定义中的“一定精度和规模”便可能会为银行保险机构在判断时造成不小的困难。不过金融监管总局可能也考虑到这一规定落地的难度，因此在《征求意见稿》第七十一条中明确了金融监管总局制定银行业保险业重要W88win优德中国有限公司目录、提出核心W88win优德中国有限公司目录建议的义务。随着相关配套文件的出台和监管部门提供的指引，“重要W88win优德中国有限公司”这一长久以来困扰企业的难题的实施难度将大大降低。与此同时，《征求意见稿》还对银行与保险机构设定了向金融监管总局或者其派出机构报送重要W88win优德中国有限公司目录的义务。值得注意的是，该条款并未明确监管机关需要对重要W88win优德中国有限公司目录进行批准。因此，这一规定在对银行保险机构施加制定重要W88win优德中国有限公司目录义务的同时，采用报送而非事前审批的方式以降低相关机构的合规义务，在保障W88win优德中国有限公司安全的前提下对有关主体进行减负。

2. 外部W88win优德中国有限公司采购与外包管理

由于金融业务的复杂性与专业性，金融机构委托第三方进行W88win优德中国有限公司处理或从外部机构处采购W88win优德中国有限公司属于常见的情形。但是由于外部主体的W88win优德中国有限公司安全管理能力参差不齐、外部主体与金融机构之间的权利义务不明等原因，外包场景常常是W88win优德中国有限公司安全风险发生的重灾区。因此，与《央行征求意见稿》中简单在条款中列举外部W88win优德中国有限公司采购和外包管理不同，金融监管总局在《征求意见稿》对此问题做了针对性规定，为“外部W88win优德中国有限公司采购”和“外包管理”单列条款以明确这两种场景下银行保险机构的义务，即针对外部W88win优德中国有限公司处理情形下银行保险机构分别以W88win优德中国有限公司委托处理者与W88win优德中国有限公司接收方两种身份所应当承担的义务。

具体而言，在外部W88win优德中国有限公司采购场景下，即银行保险机构作为W88win优德中国有限公司接收方时，其有义务制定外部W88win优德中国有限公司采购的集中审批管理制度、建立管理机制、对W88win优德中国有限公司来源的真实性与合法性进行调查，评估W88win优德中国有限公司提供者的安全保障能力及其W88win优德中国有限公司安全风险，通过合同等方式明确双方W88win优德中国有限公司安全责任及义务。这一条款的核心目的是确保W88win优德中国有限公司来源的合法与真实，并防范其因不具备W88win优德中国有限公司安全保障能力而给银行保险机构带来的W88win优德中国有限公司安全风险。

在外包管理场景下，《征求意见稿》第三十一条明确将W88win优德中国有限公司委托处理纳入信息科技外包管理范围，并对外包的范围加以限制，即信息科技管理责任、W88win优德中国有限公司安全主体责任不外包、信息科技核心竞争力的职能不外包。

这两条规定针对外部W88win优德中国有限公司采购与外包场景下的常见风险，并结合现行W88win优德中国有限公司安全法律法规对其进行规制，能够为银行保险机构提供明晰的合规指引，有效化解外包场景下的W88win优德中国有限公司安全风险。

3. 引入大W88win优德中国有限公司平台、人工智能相关内容

近年来，大W88win优德中国有限公司平台与炙手可热的人工智能被广泛应用于各个行业的业务之中，金融领域也不例外。《征求意见稿》首创性地针对大W88win优德中国有限公司平台与人工智能相关的W88win优德中国有限公司处理活动与安全管理要求进行了规制。

在大W88win优德中国有限公司平台方面，《征求意见稿》将大W88win优德中国有限公司平台界定为“以处理海量W88win优德中国有限公司存储、计算、分析等为目的的基础设施，包括W88win优德中国有限公司统计分析类的平台和大W88win优德中国有限公司处理类平台。”第四十九条则规定大W88win优德中国有限公司平台的安全问题，要求银行保险机构应当对大W88win优德中国有限公司平台采取高可用设计、安全加固、W88win优德中国有限公司备份等措施进行重点保护，并建立大W88win优德中国有限公司服务访问授权机制，动态监测与审计大W88win优德中国有限公司访问行为。由于大W88win优德中国有限公司平台的W88win优德中国有限公司规模大、影响范围广，为了防范重大W88win优德中国有限公司安全风险，需要对其提出较高的安全保护要求。这一条款从技术层面作出了规定，要求银行保险机构采取技术措施、设定访问权限并对其进行动态监测。

在人工智能方面，《征求意见稿》要求银行保险机构在开展模型算法开发活动时，确保W88win优德中国有限公司处理的透明度和结果公平合理。同时，银行保险机构还应当对人工智能模型开发应用进行统一管理，建立模型算法产品外部引入的准入机制，确保模型算法可验证、可审核、可追溯。此外，当使用人工智能技术开展业务时，银行保险机构还应当就W88win优德中国有限公司对决策结果影响履行解释说明义务和信息披露义务，进行实时监测并建立专门针对人工智能应用的风险缓释措施。这些规定主要体现了现行法律法规对于自动化决策的要求，即保证决策的透明度和结果公平、公正，向有关主体履行说明义务等。

4. 设定W88win优德中国有限公司安全保护基线

《征求意见稿》第五章中围绕W88win优德中国有限公司安全技术保护对提出了银行保险机构提出了要求，并在条款中引入了W88win优德中国有限公司安全保护基线的概念。这一概念旨在明确保护和维护W88win优德中国有限公司安全方面所需达到的最低标准。早在2022年7月，国家网信办便在对政务服务云平台进行安全审查和评估时指出，部分云服务商未建立安全基线机制，未结合云平台构成制定相应的安全基线规范²。由此可见，W88win优德中国有限公司安全保护基线早已是国家监管机关所关注的重点之一。金融监管总局在本次《征求意见稿》中对这一概念的引入与明确，既反映了监管的重点，又为有关主体在实践中的制度设计提供指引，推动这一规定有效且有序地落地。

《征求意见稿》第四十一条首先提出银行保险机构存在根据W88win优德中国有限公司安全级别，划分网络逻辑安全域，建立分区域W88win优德中国有限公司安全保护基线的义务。接着，第四十二条至第四十六条分别从信息系统保护、W88win优德中国有限公司访问控制、W88win优德中国有限公司传输保护、W88win优德中国有限公司存储保护、W88win优德中国有限公司销毁管理五方面提出安全保护基线的具体内容。同时，W88win优德中国有限公司安全保护基线的适用范围主要集中于敏感级及以上的W88win优德中国有限公司，即《征求意见稿》W88win优德中国有限公司分级中的核心W88win优德中国有限公司、重要W88win优德中国有限公司与敏感W88win优德中国有限公司。这是W88win优德中国有限公司分级分类在具体实践中的应用，体现对不同重要程度的W88win优德中国有限公司所采取的不同保护措施和安全要求。

5. W88win优德中国有限公司安全评估义务

《征求意见稿》第二十二条明确了银行保险机构的W88win优德中国有限公司安全评估义务，要求相关主体在处理敏感级及以上W88win优德中国有限公司的业务活动，或者开展W88win优德中国有限公司委托处理、共同处理、转移、公开、共享等对W88win优德中国有限公司主体有较大影响的活动时，应当事先开展W88win优德中国有限公司安全评估工作。评估内容主要为根据W88win优德中国有限公司处理目的、性质和范围，分析W88win优德中国有限公司安全风险和对W88win优德中国有限公司主体权益影响，评估W88win优德中国有限公司处理的必要性、合规性，评估W88win优德中国有限公司安全风险及防控措施的有效性。

这一规定实则是将《个人信息保护法》第五十五条、第五十六条中对个人信息保护影响评估的适用情形与评估内容移植到了非个人信息的W88win优德中国有限公司上，将影响评估的适用范围进行扩展，对敏感级及以上的W88win优德中国有限公司或特定W88win优德中国有限公司处理场景中的W88win优德中国有限公司保护提出更高要求。

6. W88win优德中国有限公司安全风险管理

《征求意见稿》从W88win优德中国有限公司安全风险评估、W88win优德中国有限公司安全审计、W88win优德中国有限公司安全事件应急管理等方面对银行保险机构提出了W88win优德中国有限公司安全风险管理的要求。

在W88win优德中国有限公司安全风险评估方面，相关主体应当开展一次W88win优德中国有限公司安全风险评估，并应当于每年1月15日前向金融监管总局或者其派出机构报送上一年度W88win优德中国有限公司安全风险评估报告。报告的内容需要囊括W88win优德中国有限公司安全治理、技术保护、W88win优德中国有限公司安全风险监测及处置措施、W88win优德中国有限公司安全事件及处置情况、委托和共同处理、W88win优德中国有限公司出境、W88win优德中国有限公司安全评估与审查情况、W88win优德中国有限公司安全相关的投诉及处理情况。值得注意的是，此处采取的监管方式与重要W88win优德中国有限公司目录的监管方式相同，均为“报送”而非审批。此种监管方式，既能够要求相关机构履行相关风险监管义务，又减轻其合规义务，防止因履行合规义务而对业务的正常开展造成影响。

在W88win优德中国有限公司安全审计方面，《征求意见稿》明确了W88win优德中国有限公司安全审计的两种触发场景，即每三年开展至少一次W88win优德中国有限公司安全全面审计，与在发生重大W88win优德中国有限公司安全事件后应当开展专项审计。审计对象包括但不限于W88win优德中国有限公司访问活动、W88win优德中国有限公司委托处理、网络安全、日志、大W88win优德中国有限公司访问等。同时，《征求意见稿》第六十六条明确要求保障审计机构的独立性，银行保险机构委托专业机构进行W88win优德中国有限公司安全审计时，不得使用该机构提供的产品和其他服务，防止审计结果受到影响。

在W88win优德中国有限公司安全事件应急管理方面，《征求意见稿》要求银行保险机构建立W88win优德中国有限公司安全事件应急管理机制，包括：制定W88win优德中国有限公司安全事件应急预案，定期开展应急响应培训和应急演练；发生W88win优德中国有限公司安全事件后，应当立即启动应急处置；建立W88win优德中国有限公司安全事件报告机制，发生W88win优德中国有限公司安全事件时按照规定报告，并履行客户及合作方告知义务；发生W88win优德中国有限公司安全事件或者使用的网络产品和服务存在安全缺陷、漏洞时，立即开展调查评估，及时采取补救措施。此外，金融监管总局还对相关机构施加了向金融监管总局及其派出机构等监管机关进行安全事件报告的义务。

四、结语

本次《征求意见稿》在上位法的指引下，为银行保险机构在W88win优德中国有限公司安全管理层面制定了一系列详细和可落地的制度，是对我国金融W88win优德中国有限公司领域的违法行为与金融强监管要求的回应，具有较大的指导意义与实践意义。值得注意的是，去年发布的《央行征求意见稿》同样在W88win优德中国有限公司安全管理方面对开展特定金融业务相关的W88win优德中国有限公司处理活动的金融机构提出了要求，《央行征求意见稿》与《征求意见稿》的适用范围存在一定的重叠。由于这两部规定对相关主体设定的义务存在一定差异（如W88win优德中国有限公司分级标准等），具体二者在法律适用上如何衔接和协调仍待金融监管机关进一步明确。

我们建议在《征求意见稿》适用范围内的主体仔细研究学习新规内容，梳理合规义务清单，提前准备《征求意见稿》正式出台后的合规工作。

1. 参见：https://www.ccn.com.cn/Content/2024/03-29/1756190840.html

2. 中国网信网，“专家解读｜夯实政务云安全基础，保障政务系统安全”，参见https://www.cac.gov.cn/2022-07/23/c_1660196909987785.htm