ღღ✿，12月27日ღღ✿，国家金融监督管理总局印发银行保险机构数据安全管理办法ღღ✿。银行保险机构应当建立针对大数据ღღ✿、云计算ღღ✿、移动互联网ღღ✿、物联网等多元异构环境下的数据安全技术保护体系ღღ✿，建立数据安全技术架构ღღ✿，明确数据保护策略方法ღღ✿，采取技术措施ღღ✿，保障数据安全ღღ✿。银行保险机构应当将数据安全保护纳入信息系统开发生命周期框架ღღ✿，针对敏感级及以上数据明确安全保护要求ღღ✿，实现数据安全保护措施与信息系统的同步规划ღღ✿、同步建设ღღ✿、同步使用ღღ✿。

　　各金融监管局ღღ✿，各政策性银行ღღ✿、大型银行ღღ✿、股份制银行ღღ✿、外资银行ღღ✿、直销银行ღღ✿、金融资产管理公司ღღ✿、金融资产投资公司ღღ✿、理财公司ღღ✿，各保险集团（控股）公司ღღ✿、保险公司ღღ✿、保险资产管理公司ღღ✿、养老金管理公司ღღ✿、保险专业中介机构ღღ✿，各金融控股公司ღღ✿，各总局管理单位ღღ✿：

　　第一条 为规范银行业保险业数据处理活动ღღ✿，保障数据安全ღღ✿、金融安全ღღ✿，促进数据合理开发利用ღღ✿，保护个人ღღ✿、组织的合法权益ღღ✿，维护国家安全和社会公共利益ღღ✿，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规ღღ✿，制定本办法ღღ✿。

　　第二条 本办法所称银行保险机构ღღ✿，是指在中华人民共和国境内设立的政策性银行ღღ✿、商业银行ღღ✿、农村合作银行ღღ✿、农村信用合作社ღღ✿、金融资产管理公司ღღ✿、企业集团财务公司ღღ✿、金融租赁公司ღღ✿、汽车金融公司ღღ✿、消费金融公司ღღ✿、货币经纪公司ღღ✿、信托公司ღღ✿、理财公司ღღ✿、保险公司ღღ✿、保险资产管理公司ღღ✿、保险集团（控股）公司ღღ✿。

　　开展涉及国家秘密的数据处理活动ღღ✿，适用《中华人民共和国保守国家秘密法》等法律ღღ✿、行政法规的规定ღღ✿。国家有关主管部门另有规定的ღღ✿，应当依法遵守其规定ღღ✿。

　　数据安全ღღ✿，是指通过采取必要措施ღღ✿，对数据处理活动和数据应用场景进行管理与控制ღღ✿，确保数据始终处于有效保护和合法利用的状态ღღ✿，以及具备保障持续安全状态的能力ღღ✿。

　　个人信息ღღ✿，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息ღღ✿，不包括匿名化处理后的信息ღღ✿。

　　大数据平台ღღ✿，是指以处理海量数据存储ღღ✿、计算ღღ✿、分析等为目的的基础设施ღღ✿，包括数据统计分析类的平台和大数据处理类平台（如数据湖ღღ✿、数据仓库等）ღღ✿。

　　第四条 国家金融监督管理总局及其派出机构负责银行业保险业数据安全的监督管理ღღ✿，制定并发布监管规章制度j9九游会 - 真人游戏第一品牌ღღ✿，对银行保险机构履行数据安全保护义务情况进行监督检查ღღ✿。

　　第五条 银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系ღღ✿，建立健全数据安全管理制度ღღ✿，构建覆盖数据全生命周期和应用场景的安全保护机制ღღ✿，开展数据安全风险评估ღღ✿、监测与处置ღღ✿，保障数据开发利用活动安全稳健开展ღღ✿。银行保险机构利用互联网等信息网络开展数据处理活动ღღ✿，应当在网络安全等级保护制度基础上ღღ✿，履行数据安全保护义务ღღ✿。

　　第六条 银行保险机构开展数据处理活动ღღ✿，应当遵守法律ღღ✿、法规ღღ✿，尊重社会公德和伦理ღღ✿，遵守商业道德和职业道德ღღ✿，诚实守信ღღ✿，履行数据安全保护义务ღღ✿，承担社会责任ღღ✿，不得危害国家安全ღღ✿、政治安全ღღ✿、经济金融安全ღღ✿、公共利益ღღ✿，不得损害个人ღღ✿、组织的合法权益ღღ✿。

　　第七条 银行保险机构应当统筹发展和安全ღღ✿，落实国家大数据战略ღღ✿，推进数据基础设施建设ღღ✿，加大数据创新应用力度ღღ✿，促进以数据为关键要素的数字经济发展ღღ✿，提升金融服务的智能化水平ღღ✿，创新普惠金融服务模式ღღ✿，增强防范化解风险的能力ღღ✿。

　　第八条 银行保险机构应当持续跟踪新兴数据开发利用和科技发展前沿动态ღღ✿，有效应对大数据应用与科技创新可能产生的规则冲突ღღ✿、社会风险ღღ✿、伦理道德风险ღღ✿，防止数据与科技被误用ღღ✿、滥用ღღ✿。

　　第九条 银行保险机构应当建立覆盖董（理）事会ღღ✿、高管层ღღ✿、数据安全统筹ღღ✿、数据安全技术保护等部门的数据安全管理组织架构ღღ✿，明确岗位职责和工作机制ღღ✿，落实资源保障ღღ✿。

　　第十条 银行保险机构应当建立数据安全责任制ღღ✿，党委（党组）ღღ✿、董（理）事会对本单位数据安全工作负主体责任ღღ✿。银行保险机构主要负责人为数据安全第一责任人ღღ✿，分管数据安全的高级管理人员为直接责任人ღღ✿，明确各层级负责人的责任ღღ✿，明确违规情形和责任追究事项ღღ✿，落实问责处置机制ღღ✿。

　　第十一条 银行保险机构应当指定数据安全归口管理部门ღღ✿，作为本机构负责数据安全工作的主责部门ღღ✿。其主要职责包括ღღ✿：

　　（六）建立和维护内部数据共享ღღ✿、外部数据引入ღღ✿、数据对外提供ღღ✿、数据出境的统筹管理机制ღღ✿，牵头对外部数据供应商进行安全管理ღღ✿，统筹大数据应用ღღ✿、数据共享项目的安全需求管理ღღ✿；

　　第十二条 银行保险机构应当按照“谁管业务ღღ✿、谁管业务数据ღღ✿、谁管数据安全”的原则ღღ✿，明确各业务领域的数据安全管理责任ღღ✿，落实数据安全保护管理要求ღღ✿。

　　第十三条 银行保险机构风险管理ღღ✿、内控合规和审计部门负责将数据安全纳入全面风险管理体系ღღ✿、内控评价体系ღღ✿，定期开展审计ღღ✿、监督检查与评价ღღ✿，督促问题整改和开展问责ღღ✿。

　　（三）组织开展信息系统的生命周期安全管理ღღ✿，确保数据安全保护措施在需求ღღ✿、开发ღღ✿、测试ღღ✿、投产ღღ✿、监测等环节得到落实ღღ✿。

　　（四）建立数据安全技术应急管理机制ღღ✿，组织开展数据安全风险技术监测ღღ✿、预警ღღ✿、通报与处置ღღ✿，防范外部攻击ღღ✿、内外部破坏等危害数据安全活动ღღ✿。

　　第十五条 银行保险机构应当建立良好的数据安全文化ღღ✿，开展全员数据安全教育和培训ღღ✿，提高数据安全保护意识和水平ღღ✿，形成全员共同维护数据安全和促进发展的良好环境ღღ✿。

　　第十六条 银行保险机构应当制定数据分类分级保护制度ღღ✿，建立数据目录和分类分级规范ღღ✿，动态管理和维护数据目录天天游戏棋牌ღღ✿，采取差异化安全保护措施ღღ✿。

　　第十七条 银行保险机构应当对机构业务及经营管理过程中获取ღღ✿、产生的数据进行分类管理ღღ✿，数据类型包括客户数据ღღ✿、业务数据ღღ✿、经营管理数据ღღ✿、系统运行和安全管理数据等ღღ✿。

　　第十八条 银行保险机构应当根据数据的重要性和敏感程度ღღ✿，将数据分为核心数据ღღ✿、重要数据ღღ✿、一般数据ღღ✿。其中ღღ✿，一般数据细分为敏感数据和其他一般数据九游ღღ✿，ღღ✿。

　　核心数据ღღ✿，是指对领域ღღ✿、群体ღღ✿、区域具有较高覆盖度或者达到较高精度ღღ✿、较大规模ღღ✿、一定深度的重要数据ღღ✿，一旦被非法使用或者共享ღღ✿，可能直接影响政治安全ღღ✿、国家安全重点领域ღღ✿、国民经济命脉ღღ✿、重要民生ღღ✿、重大公共利益ღღ✿。

　　重要数据ღღ✿，是指特定领域ღღ✿、特定群体j9九游会 - 真人游戏第一品牌ღღ✿、特定区域或者达到一定精度和规模的数据ღღ✿，一旦被泄露或者篡改ღღ✿、损毁ღღ✿，可能直接危害国家安全ღღ✿、经济运行ღღ✿、社会稳定ღღ✿、公共健康和安全ღღ✿。

　　敏感数据ღღ✿，是指一旦被泄露或者篡改ღღ✿、损毁ღღ✿，对经济运行ღღ✿、社会稳定ღღ✿、公共利益有一定影响ღღ✿，或者对组织自身或者公民个体造成重要影响的数据ღღ✿。

　　第十九条 银行保险机构应当加强数据安全级别的时效管理ღღ✿，建立动态调整审批机制ღღ✿，当数据的业务属性ღღ✿、重要程度和可能造成的危害程度发生变化ღღ✿，导致原安全级别不再适用的ღღ✿，应当及时动态调整ღღ✿。

　　第二十条 银行保险机构应当按照国家数据安全与发展政策要求ღღ✿，根据自身发展战略ღღ✿，制定数据安全保护策略ღღ✿。银行保险机构应当制定数据安全管理办法ღღ✿，明确管理责任分工ღღ✿，建立包括数据处理全生命周期管控机制ღღ✿，落实保护措施ღღ✿。

　　第二十一条 银行保险机构应当建立企业级数据架构ღღ✿，统筹开展对全域数据资产登记管理ღღ✿，建立数据资产地图ღღ✿，以数据分类分级为基础明确数据保护对象ღღ✿，围绕数据处理活动实施安全管理ღღ✿。

　　第二十二条 银行保险机构在处理敏感级及以上数据的业务活动时ღღ✿，或者开展数据委托处理ღღ✿、共同处理ღღ✿、转移ღღ✿、公开ღღ✿、共享等对数据主体有较大影响的活动时ღღ✿，应当事先开展数据安全评估ღღ✿。数据安全评估应当根据数据处理目的ღღ✿、性质和范围ღღ✿，按照法律法规和伦理道德规范要求ღღ✿，分析数据安全风险和对数据主体权益影响ღღ✿，评估数据处理的必要性ღღ✿、合规性ღღ✿，评估数据安全风险及防控措施的有效性ღღ✿。

　　第二十三条 银行保险机构应当建立企业级数据服务管理体系ღღ✿，制定数据服务规范ღღ✿，建立专职数据服务团队ღღ✿，统筹内外部数据加工ღღ✿、分析ღღ✿，实施数据服务需求分析ღღ✿、服务开发ღღ✿、服务部署ღღ✿、服务监控等活动天天游戏棋牌ღღ✿。

　　第二十四条 银行保险机构收集数据应当坚持“合法ღღ✿、正当ღღ✿、必要ღღ✿、诚信”原则ღღ✿，明确数据收集和处理的目的ღღ✿、方式ღღ✿、范围ღღ✿、规则ღღ✿，保障收集过程的数据安全性ღღ✿、数据来源可追溯ღღ✿。银行保险机构不得超出数据主体同意的范围向其收集数据ღღ✿，法律ღღ✿、行政法规另有规定的除外ღღ✿。

　　第二十五条 银行保险机构应当以信息系统为数据收集的主要渠道ღღ✿，限制或者减少其他渠道ღღ✿、临时性数据收集ღღ✿。

　　银行保险机构停止金融业务或者服务后ღღ✿，应当立即停止相关数据收集或者处理活动ღღ✿，法律ღღ✿、行政法规另有规定的除外ღღ✿。

　　第二十六条 银行保险机构应当制定外部数据采购ღღ✿、合作引入的集中审批管理制度ღღ✿，纳入外包风险管理体系进行统筹管理ღღ✿，统筹建立数据需求ღღ✿、安全评估ღღ✿、收集引入ღღ✿、数据运维ღღ✿、登记备案和监督评价管理机制ღღ✿，对数据来源的真实性ღღ✿、合法性进行调查ღღ✿，评估数据提供者的安全保障能力及其数据安全风险ღღ✿，明确双方数据安全责任及义务ღღ✿。

　　第二十七条 银行保险机构开展敏感级及以上数据清洗转换ღღ✿、汇聚融合ღღ✿、分析挖掘等数据加工活动时ღღ✿，应当采用匿名化ღღ✿、去标识化或者其他必要安全措施保护数据主体权益ღღ✿，法律ღღ✿、行政法规另有规定的除外ღღ✿。数据汇聚融合衍生敏感级及以上数据ღღ✿，或者导致数据安全级别变化的ღღ✿，应当及时评估ღღ✿、调整安全保护措施ღღ✿。

　　第二十八条 银行保险机构应当按照“业务必要授权”原则自动化流程ღღ✿，ღღ✿，对敏感级及以上数据严格实施授权管理ღღ✿，制定数据访问闭环管理机制ღღ✿，并对数据访问行为实施审计ღღ✿。确因业务需要从生产环境提取数据的ღღ✿，应当建立严格的审批程序ღღ✿，并明确数据使用或者保存期限ღღ✿。

　　银行保险机构利用互联网等信息网络开展数据处理活动时ღღ✿，要落实网络安全等级保护ღღ✿、关键信息基础设施安全保护ღღ✿、密码保护等制度要求天天游戏棋牌ღღ✿。

　　第二十九条 银行保险机构应当对数据共享使用进行集中安全管控ღღ✿，明确企业级数据共享策略ღღ✿，评估数据共享使用的必要性ღღ✿、合规性九游会官网J9ღღ✿。ღღ✿、安全性及伦理道德规范的符合度ღღ✿。

　　银行保险机构应当建立银行母行ღღ✿、保险集团或者母公司与其子行ღღ✿、子公司数据安全隔离的“防火墙”ღღ✿，并对共享数据采取有效保护措施ღღ✿。银行保险机构与其母行ღღ✿、集团ღღ✿，或者其子行ღღ✿、子公司共享敏感级及以上数据ღღ✿，应当获得数据主体的授权同意j9九游会 - 真人游戏第一品牌ღღ✿，ღღ✿，法律ღღ✿、行政法规另有规定的除外ღღ✿。不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行ღღ✿、子公司对其提供金融服务九游会j9ღღ✿，ღღ✿，所共享数据属于提供产品或者服务所必需的除外ღღ✿。

　　第三十条 银行保险机构在委托处理数据时ღღ✿，应当明确所涉数据外部使用和处理的条件ღღ✿、场景ღღ✿、方式ღღ✿。委托处理数据时ღღ✿，应当以合同协议方式约定委托处理的目的ღღ✿、期限ღღ✿、处理方式ღღ✿、数据范围ღღ✿、保护措施ღღ✿、双方的数据安全责任和义务ღღ✿，以及受托方返还或者删除数据的方式等ღღ✿，对数据处理活动进行记录和审计ღღ✿，可对外公开披露的数据除外ღღ✿。银行保险机构应当要求受托方在未取得其同意时j9九游会 - 真人游戏第一品牌ღღ✿，不得转委托其他主体处理数据ღღ✿，不得对外共享数据ღღ✿，不得加工ღღ✿、训练ღღ✿、挪用数据ღღ✿，或者采取其他形式处理数据以谋取合同或者协议约定以外的利益ღღ✿。

　　第三十一条 银行保险机构应当将数据委托处理纳入信息科技外包管理范围ღღ✿，在实施过程中不得将信息科技管理责任ღღ✿、数据安全主体责任外包ღღ✿，涉及信息科技战略管理j9九游会 - 真人游戏第一品牌ღღ✿、信息科技风险管理ღღ✿、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包ღღ✿。供应链服务中涉及敏感级及以上数据处理的ღღ✿，银行保险机构应当加强对供应商的准入和安全管理ღღ✿。

　　第三十二条 银行保险机构与第三方机构进行数据共同处理时ღღ✿，应当按照“业务必要授权”原则制定方案并采取有效管理和技术保护措施确保数据安全ღღ✿，并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务j9九游会 - 真人游戏第一品牌ღღ✿。

　　第三十三条 银行保险机构因合并ღღ✿、分立ღღ✿、解散ღღ✿、被宣告破产等需要转移数据的ღღ✿，应当明确数据转移内容ღღ✿，通过协议ღღ✿、承诺等方式约定数据接收方全面承接对应数据的安全保护义务ღღ✿，通过公告等方式告知数据主体ღღ✿。数据转移应当采用安全可靠方式进行ღღ✿，并确保转移过程可追溯ღღ✿。

　　第三十四条 银行保险机构向外部提供敏感级及以上数据ღღ✿，应当取得数据主体同意ღღ✿，法律j9九游会 - 真人游戏第一品牌ღღ✿、行政法规另有规定的除外ღღ✿。除国家机关依法履职外ღღ✿，银行保险机构核心数据跨主体流动应当按照国家相关政策要求通过风险评估ღღ✿、安全审查ღღ✿。

　　第三十五条 银行保险机构应当建立对外公开披露数据的审批机制ღღ✿，研判可能产生的影响ღღ✿，数据公开应当在机构官方渠道进行发布ღღ✿，确保数据真实ღღ✿、准确ღღ✿、防篡改ღღ✿，记录审批和发布情况ღღ✿。

　　第三十六条 银行保险机构向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息ღღ✿，应当承担数据安全主体责任ღღ✿，并按照国家有关政策要求进行安全评估ღღ✿。

　　第三十七条 银行保险机构应当采取技术措施ღღ✿，对敏感级及以上数据加强重点防护ღღ✿。加强数据备份ღღ✿，制定备份策略ღღ✿，备份数据和生产数据应隔离分开保存ღღ✿，严格管理备份数据的访问权限ღღ✿。制定备份验证计划ღღ✿，确保备份数据完整有效ღღ✿、业务可恢复ღღ✿。

　　第三十八条 银行保险机构应当制定数据销毁管理制度ღღ✿，按照国家ღღ✿、行业有关规定及与数据主体的约定进行数据删除或者匿名化处理ღღ✿。银行保险机构委托数据处理终止时ღღ✿，应当要求服务提供商及时删除数据ღღ✿，并采取现场检查等有效监督措施ღღ✿，确保数据被销毁ღღ✿、不可恢复ღღ✿。

　　第三十九条 银行保险机构应当建立针对大数据j9九游会 - 真人游戏第一品牌ღღ✿、云计算ღღ✿、移动互联网ღღ✿、物联网等多元异构环境下的数据安全技术保护体系ღღ✿，建立数据安全技术架构ღღ✿，明确数据保护策略方法ღღ✿，采取技术措施ღღ✿，保障数据安全ღღ✿。

　　第四十条 银行保险机构应当将数据安全保护纳入信息系统开发生命周期框架ღღ✿，针对敏感级及以上数据明确安全保护要求ღღ✿，实现数据安全保护措施与信息系统的同步规划ღღ✿、同步建设ღღ✿、同步使用ღღ✿。

　　第四十一条 银行保险机构应当将数据纳入网络安全等级保护ღღ✿。银行保险机构应当根据数据安全级别ღღ✿，划分网络逻辑安全域ღღ✿，建立分区域数据安全保护基线ღღ✿，实施有效的安全控制ღღ✿，包括内容过滤ღღ✿、访问控制和安全监控等ღღ✿，确保相关措施满足处理和存储最高级别数据的网络安全策略和数据安全保护策略要求ღღ✿。存放或者传输敏感级及以上数据的机房ღღ✿、网络应当实施重点防护ღღ✿，设立物理安全保护区域ღღ✿，对网络边界ღღ✿、重要网络节点进行安全监控与审计ღღ✿。

　　第四十二条 银行保险机构应当将敏感级及以上数据纳入信息系统保护ღღ✿。在数据全生命周期内采取有效的访问控制管理措施ღღ✿，对于不同区域流转和共享中的数据ღღ✿，应当实施同等水平的安全防护措施天天游戏棋牌ღღ✿。多来源敏感级及以上数据汇聚集中后ღღ✿，应当采取加强性或者至少不低于集中前最高级别数据保护强度的安全措施九游会j9官方网站ღღ✿，ღღ✿。

　　第四十三条 银行保险机构应当严格实施对敏感级及以上数据的管理ღღ✿，制定用户对数据的访问策略ღღ✿，采取有效的用户认证和访问控制技术措施ღღ✿，规范数据操作行为ღღ✿，用户对数据的访问应当符合业务开展的必要要求并与数据安全级别相匹配ღღ✿。敏感级及以上数据的操作应当进行日志记录ღღ✿，包括操作时间ღღ✿、用户标识ღღ✿、行为类型等ღღ✿，核心数据操作日志及其备份数据保存时间不低于三年ღღ✿，重要数据ღღ✿、敏感数据操作日志及其备份数据保存时间不低于一年ღღ✿，如涉及委托处理ღღ✿、共同处理的数据操作日志及其备份数据保存时间不低于三年ღღ✿。应当定期对数据操作行为进行审计ღღ✿，审计周期不超过六个月ღღ✿。

　　第四十四条 银行保险机构敏感级及以上数据传输应当采用安全的传输方式ღღ✿，保障数据完整性ღღ✿、保密性ღღ✿、可用性ღღ✿。

　　银行保险机构之间进行数据交换时ღღ✿，参与数据交换的相关机构应当采取有效措施保障信息数据传输和存储的保密性ღღ✿、完整性ღღ✿、准确性ღღ✿、及时性ღღ✿、安全性ღღ✿。

　　第四十五条 银行保险机构应当对敏感级及以上数据采取安全存储措施ღღ✿，防止勒索病毒ღღ✿、木马后门等攻击ღღ✿。个人身份鉴别数据不得明文存储ღღ✿、传输和展示ღღ✿。敏感级及以上数据应当实施数据容灾备份ღღ✿，定期进行数据可恢复性验证ღღ✿。

　　第四十六条 敏感级及以上数据达到使用或者保存期限后ღღ✿，应当采取技术措施及时删除或者销毁ღღ✿，确保数据不可恢复ღღ✿。终端和移动存储介质内的敏感级及以上数据应当采取技术保护措施ღღ✿，确保受控安全访问ღღ✿，介质报废或者重用时ღღ✿，其存储空间数据应当完全清除并不可恢复ღღ✿。

　　第四十七条 银行保险机构应当开展数据安全的技术基础设施建设ღღ✿，支持用户身份管理ღღ✿、数据匿名化ღღ✿、行为监测ღღ✿、日志审计ღღ✿、数据虚拟化等功能的组件化ღღ✿、服务化ღღ✿，保障安全标准在信息系统中执行的一致性ღღ✿。

　　第四十八条 银行保险机构开发信息系统时ღღ✿，应当明确系统拟处理的数据及其安全级别ღღ✿、访问规则ღღ✿、保护需求ღღ✿，并实施有效的系统安全控制ღღ✿。系统投产上线前应当开展安全测试ღღ✿，确保各项安全要求落实ღღ✿，有效防范数据安全风险ღღ✿。测试环境应当与生产系统隔离ღღ✿，敏感级及以上数据原则上未经脱敏处理不得进入测试环境ღღ✿，防止数据泄露ღღ✿。

　　第四十九条 银行保险机构应当对大数据平台采取高可用设计ღღ✿、安全加固ღღ✿、数据备份等措施进行重点保护ღღ✿。应当建立大数据服务访问授权机制ღღ✿，动态监测与审计大数据访问行为ღღ✿。

　　第五十条 银行保险机构开展自动化决策分析ღღ✿、模型算法开发ღღ✿、数据标注等活动ღღ✿，应当保证数据处理透明度和结果公平合理ღღ✿。银行保险机构应当对人工智能模型开发应用进行统一管理ღღ✿，建立模型算法产品外部引入的准入机制ღღ✿，对模型研发过程进行主动管理ღღ✿，实现模型算法可验证ღღ✿、可审核ღღ✿、可追溯ღღ✿。

　　第五十一条 银行保险机构信息系统ღღ✿、模型算法投入使用前ღღ✿，应当开展数据安全审查ღღ✿，审查数据与模型使用的合理性ღღ✿、正当性ღღ✿、可解释性ღღ✿，以及数据利用对相关主体合法权益的影响ღღ✿、伦理道德风险及防控措施有效性等ღღ✿。

　　第五十二条 银行保险机构使用人工智能技术开展业务时ღღ✿，应当就数据对决策结果影响进行解释说明和信息披露ღღ✿，实时监测自动化处理与系统运行结果ღღ✿，建立人工智能应用的风险缓释措施ღღ✿，包括制定退出人工智能应用的替代方案ღღ✿，对安全威胁制定应急方案并开展演练ღღ✿。

　　第五十三条 银行保险机构在建设开放银行ღღ✿、金融生态或者与第三方数据合作时ღღ✿，要实现自身与外部的安全风险隔离ღღ✿，与外部机构的数据交互应当通过集中管理的外联平台或者应用程序接口实施ღღ✿，依据“业务必需ღღ✿、最小权限”原则ღღ✿，采取有效措施对接口设计ღღ✿、开发ღღ✿、服务ღღ✿、运行等进行集中安全保护管理ღღ✿。

　　第五十四条 银行保险机构处理个人信息应当按照“明确告知ღღ✿、授权同意”的原则实施ღღ✿，法律ღღ✿、行政法规另有规定的除外ღღ✿，并在信息系统中实现相关功能控制ღღ✿。

　　第五十五条 银行保险机构处理个人信息应当具有明确ღღ✿、合理的目的ღღ✿，并应当与处理目的直接相关ღღ✿，收集个人信息应当限于实现金融业务处理目的的最小范围ღღ✿，不得过度收集个人信息ღღ✿。不得利用所收集的个人信息从事违法违规活动ღღ✿。

　　第五十六条 银行保险机构处理个人信息前ღღ✿，应当真实ღღ✿、准确ღღ✿、完整地向个人告知其个人信息的处理目的ღღ✿、处理方式ღღ✿、处理的个人信息种类ღღ✿、保存期限ღღ✿，个人行使其信息权利的申请受理和处理程序ღღ✿，以及法律法规规定应当告知的其他事项ღღ✿。

　　银行保险机构应当制定个人信息处理规则ღღ✿，个人信息处理规则应当公开展示ღღ✿、易于访问ღღ✿、内容明确ღღ✿、清晰易懂ღღ✿。

　　第五十七条 银行保险机构不得以个人不同意处理其个人信息或者撤回同意为由ღღ✿，拒绝提供产品或者服务ღღ✿，处理个人信息属于提供产品或者服务所必需的除外ღღ✿。

　　第五十八条 银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时ღღ✿，应当进行个人信息保护影响评估ღღ✿，评估内容包括个人信息处理的合法性ღღ✿、必要性ღღ✿，对个人权益的影响及安全风险ღღ✿，所采取的保护措施合法性ღღ✿、有效性以及是否与风险程度相适应ღღ✿。个人信息保护影响评估报告和处理情况记录应当至少保存三年ღღ✿。

　　第五十九条 银行保险机构与其母行ღღ✿、集团ღღ✿，或者其子行ღღ✿、子公司共享个人信息ღღ✿，及向外部提供个人信息ღღ✿，应当履行向个人告知及取得其同意等相关事项的义务ღღ✿。

　　第六十条 银行保险机构向中华人民共和国境外提供个人信息的ღღ✿，除满足第三十六条ღღ✿、第五十九条规定的要求外ღღ✿，还应当向个人告知其向境外接收方行使信息权利的方式和程序等事项ღღ✿，法律ღღ✿、行政法规另有规定的除外ღღ✿。

　　第六十一条 银行保险机构委托第三方处理个人信息的ღღ✿，应当在合同或者协议条款内明确受托人对个人信息的保护义务ღღ✿、保护措施和期限等ღღ✿，并严格监督受托人以约定的处理目的ღღ✿、处理方式等处理个人信息ღღ✿，与第三方传输个人敏感数据必须确保安全ღღ✿，防范数据滥用和泄漏风险ღღ✿。未经银行保险机构同意ღღ✿，受托人不得转委托他人处理个人信息ღღ✿。

　　第六十二条 银行保险机构在算法设计ღღ✿、训练数据选择和模型生成时ღღ✿，应当采取有效措施ღღ✿，保障个人合法权益ღღ✿。利用个人信息进行自动化决策ღღ✿，应当保证决策的透明度和结果公平ღღ✿、公正ღღ✿。

　　第六十三条 发生或者可能发生个人信息泄露ღღ✿、篡改ღღ✿、丢失的ღღ✿，银行保险机构应当立即采取补救措施ღღ✿，同时通知个人并报送国家金融监督管理总局或者其派出机构ღღ✿。通知应当包括下列事项ღღ✿：

　　银行保险机构采取措施能够有效避免信息泄露ღღ✿、篡改ღღ✿、丢失造成危害的天天游戏棋牌ღღ✿，可以不通知个人ღღ✿；监管部门认为可能造成危害的ღღ✿，有权要求银行保险机构通知个人ღღ✿。

　　第六十四条 银行保险机构应当将数据安全风险纳入本机构全面风险管理体系ღღ✿，明确数据安全风险监测ღღ✿、风险评估ღღ✿、应急响应及报告ღღ✿、事件处置的组织架构和管理流程ღღ✿，有效防范和处置数据安全风险ღღ✿。

　　第六十五条 银行保险机构应当对数据安全威胁进行有效监测ღღ✿，实施监督检查ღღ✿，主动评估风险ღღ✿，防止数据篡改ღღ✿、破坏ღღ✿、泄露ღღ✿、非法利用等安全事件发生ღღ✿。监测内容包括ღღ✿：

　　第六十六条 银行保险机构应当每年开展一次数据安全风险评估ღღ✿。审计部门应当每三年至少开展一次数据安全全面审计ღღ✿，发生重大数据安全事件后应当开展专项审计ღღ✿。银行保险机构委托专业机构进行数据安全审计时天天游戏棋牌ღღ✿，不得使用该机构提供的产品和其他服务ღღ✿。

　　第六十七条 数据安全事件是指银行保险机构数据被篡改ღღ✿、泄露ღღ✿、破坏ღღ✿、非法获取ღღ✿、非法利用等ღღ✿，对个人或者组织合法权益ღღ✿、行业安全ღღ✿、国家安全造成负面影响的事件ღღ✿。根据其影响范围和程度ღღ✿，分为特别重大ღღ✿、重大ღღ✿、较大和一般四个事件级别ღღ✿。

　　第六十八条 银行保险机构应当建立数据安全事件应急管理机制ღღ✿，建立机构内部协调联动机制ღღ✿，建立服务提供商ღღ✿、第三方合作机构数据安全事件的报告机制ღღ✿，及时处置风险隐患及安全事件ღღ✿。

　　（二）发生数据安全事件后ღღ✿，应当立即启动应急处置ღღ✿，分析事件原因ღღ✿、评估事件影响ღღ✿、开展事件定级ღღ✿，按照预案及时采取业务ღღ✿、技术等措施控制事态ღღ✿。

　　（三）建立数据安全事件报告机制ღღ✿，根据事件安全等级制定报告流程ღღ✿，发生数据安全事件时按照规定报告ღღ✿，同时按照合同ღღ✿、协议等有关约定履行客户及合作方告知义务ღღ✿。

　　（四）发生数据安全事件或者使用的网络产品和服务存在安全缺陷ღღ✿、漏洞时ღღ✿，应当立即开展调查评估ღღ✿，及时采取补救措施ღღ✿，防止危害扩大ღღ✿。网络产品和服务提供商存在安全缺陷ღღ✿、漏洞隐瞒不报的ღღ✿，银行保险机构应当责令其改正ღღ✿；未按要求整改或者造成严重后果的ღღ✿，应当取消其服务资格j9九游会 - 真人游戏第一品牌j9九游会官方网站ღღ✿。ღღ✿，按合同约定予以处罚ღღ✿，并向国家金融监督管理总局或者其派出机构报告ღღ✿。

　　第六十九条 数据安全事件发生2小时内ღღ✿，银行保险机构应当向国家金融监督管理总局或者其派出机构报告ღღ✿，并在事件发生后24小时内提交正式书面报告ღღ✿。发生特别重大数据安全事件ღღ✿，银行保险机构应当立即采取处置措施ღღ✿，按照规定及时告知用户并向国家金融监督管理总局或者其派出机构ღღ✿、属地公安机关报告ღღ✿。银行保险机构应当每2小时将处置进展情况上报ღღ✿，直至处置结束ღღ✿。数据安全事件处置结束后ღღ✿，银行保险机构应当在五个工作日内将事件及其处置的评估ღღ✿、总结和改进报告报送国家金融监督管理总局或者其派出机构ღღ✿。其他法律ღღ✿、行政法规对数据安全事件应急处置作出规定的ღღ✿，银行保险机构应当执行ღღ✿。

　　第七十条 国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理ღღ✿，开展非现场监管ღღ✿、现场检查ღღ✿，将数据安全管理情况纳入监管评级评估体系ღღ✿，依法对银行保险机构数据安全事件进行处罚和处置ღღ✿，实施对数据安全管理的持续监管ღღ✿。

　　第七十一条 国家金融监督管理总局按照国家数据分类分级要求ღღ✿，制定银行业保险业重要数据目录ღღ✿，提出核心数据目录建议ღღ✿，监督指导银行保险机构开展数据分类分级管理和数据保护ღღ✿。银行保险机构应当按要求向国家金融监督管理总局或者其派出机构报送重要数据目录ღღ✿。重要数据目录发生重大变化应当及时报备更新后的数据目录ღღ✿。

　　第七十二条 国家金融监督管理总局建立银行业保险业数据安全监测预警ღღ✿、通报处置机制ღღ✿，持续监测数据安全风险ღღ✿，向行业发布风险提示ღღ✿，制定银行业保险业数据安全事件应急预案ღღ✿，处置数据安全风险事件ღღ✿。与国家数据安全管理部门建立联防联控管理机制ღღ✿，实施数据安全信息共享ღღ✿、风险监测预警及数据安全事件处置ღღ✿。

　　第七十三条 涉及批量敏感级及以上数据的数据共享ღღ✿、委托处理ღღ✿、转让交易ღღ✿、数据转移ღღ✿，银行保险机构应当在处理ღღ✿、合同签署前二十个工作日向国家金融监督管理总局或者其派出机构报告ღღ✿，法律ღღ✿、行政法规另有规定的除外ღღ✿。

　　第七十四条 银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告ღღ✿，报告内容包括数据安全治理ღღ✿、技术保护ღღ✿、数据安全风险监测及处置措施AI应用ღღ✿。ღღ✿、数据安全事件及处置情况ღღ✿、委托和共同处理ღღ✿、数据出境ღღ✿、数据安全评估与审查情况ღღ✿、数据安全相关的投诉及处理情况等ღღ✿。

　　第七十五条 国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行现场检查ღღ✿、事件调查ღღ✿，对于发现涉嫌违法违规事项的有关单位和个人ღღ✿，依法开展调查ღღ✿。现场检查ღღ✿、事件调查可以委托国家ღღ✿、行业有关专业技术机构或者审计机构予以协助ღღ✿。

　　第七十六条 银行保险机构违反本办法要求的ღღ✿，国家金融监督管理总局或者其派出机构根据其违规情况ღღ✿，对银行保险机构依法采取风险提示ღღ✿、监管谈话ღღ✿、监管通报ღღ✿、责令改正等监管措施ღღ✿；对涉及违规处理行为的系统或者应用ღღ✿，责令暂停或者终止服务ღღ✿；对有重大违法违规情形ღღ✿，或者迟报ღღ✿、瞒报数据安全事件和案件ღღ✿，或者产生重大数据安全风险ღღ✿、事件ღღ✿、案件的第三方机构进行行业通报ღღ✿，责令银行保险机构暂缓或者停止合作ღღ✿。

　　第七十七条 银行业金融机构违反本办法要求的ღღ✿，国家金融监督管理总局及其派出机构可以依据《中华人民共和国银行业监督管理法》相关规定ღღ✿，责令银行业金融机构改正ღღ✿，并处以二十万以上五十万以下罚款ღღ✿；情节特别严重或者逾期不改正的ღღ✿，可以责令停业整顿或者吊销其经营许可证ღღ✿。根据违规情况ღღ✿，可以责令银行业金融机构对直接负责的董事ღღ✿、高级管理人员和其他直接责任人员给予纪律处分ღღ✿；银行业金融机构的行为尚不构成犯罪的ღღ✿，对直接负责的董事ღღ✿、高级管理人员和其他直接责任人员给予警告ღღ✿，处五万元以上五十万元以下罚款ღღ✿；取消直接负责的董事ღღ✿、高级管理人员一定期限直至终身的任职资格ღღ✿，禁止直接负责的董事ღღ✿、高级管理人员和其他直接责任人员一定期限直至终身从事银行业工作天天游戏棋牌ღღ✿。构成犯罪的ღღ✿，依法追究刑事责任ღღ✿。

　　保险业金融机构违反本办法要求的ღღ✿，国家金融监督管理总局及其派出机构可以依据《中华人民共和国保险法》相关规定ღღ✿，责令保险业金融机构改正ღღ✿，处五万元以上三十万元以下的罚款ღღ✿；情节严重的ღღ✿，限制其业务范围ღღ✿、责令停止接受新业务或者吊销业务许可证ღღ✿。根据违规情况ღღ✿，对其直接负责的主管人员和其他直接责任人员给予警告ღღ✿，并处一万元以上十万元以下的罚款ღღ✿；情节严重的ღღ✿，撤销任职资格ღღ✿。构成犯罪的ღღ✿，依法追究刑事责任ღღ✿。

　　实施过程中如遇《中华人民共和国银行业监督管理法》《中华人民共和国保险法》修订ღღ✿，以修订后的规定为准ღღ✿。

　　第七十八条 中国银行业协会ღღ✿、中国保险行业协会等行业社团组织应当通过宣传ღღ✿、培训ღღ✿、自律ღღ✿、协调ღღ✿、服务等方式ღღ✿，协助引导会员单位提高数据安全管理水平ღღ✿。

　　第八十条 国家金融监督管理总局批准设立的其他银行业金融机构ღღ✿、保险业金融机构ღღ✿、金融控股公司以及总局管理单位参照适用本办法ღღ✿。地方金融管理部门批准设立的金融组织参照适用本办法ღღ✿。

　　第八十一条 本办法自公布之日起施行ღღ✿，《银行保险机构数据安全办法》（银保监办发〔2022〕118号）同时废止ღღ✿。