毕马威：数据安全洞察，“威”助先行——解读金融机构数据安全管理新篇章

随着数字经济的蓬勃发展，金融行业数据安全风险日益凸显。近期，国家金融监督管理总局和中国人民银行分别发布了《银行保险机构数据安全管理办法》（征求意见稿）和《中国人民银行业务领域数据安全管理办法》（征求意见稿），旨在细化明确数据安全合规底线要求，规范金融机构的数据安全管理行为，标志着我国金融数据安全管理体系进入新阶段。

监管重点要求梳理

《银行保险机构数据安全管理办法》和《中国人民银行业务领域数据安全管理办法》的发布，体现了我国金融行业监管对数据安全管理的重视。国家金融监督管理总局与中国人民银行对数据安全关注的重点领域均包括数据安全管理责任、数据分类分级要求、数据生命周期安全管理以及风险监测、评估与处置等合规要求：

1基本原则：谁管业务，谁负责业务数据，谁管数据安全

金融机构涉及大量的个人信息和敏感数据，如客户身份信息、交易记录、财务状况等金融相关数据，一旦泄露或被盗用，可能对客户合法权益、行业安全、经济稳定甚至于国家安全产生重大影响。该基本原则首先明确了数据安全的管理责任，各金融机构的业务部门对其负责的金融业务数据进行全面监督和有效管理，以确保金融机构整体的健康、稳定和有序运行。

2数据分类分级要求

金融机构根据业务需求和法规要求，制定明确的数据分类标准，涵盖客户数据、业务数据、经营管理数据、系统运行和安全管理数据等不同类型的数据，确保各类数据得到恰当且有效的处理和保护。在数据分类的基础上，建立数据分级制度，根据数据重要性、敏感性、可用性、安全性等因素。从多维度考虑，将数据分为不同级别，以采取不同的安全管理和技术保护措施，设定相应的访问权限，严格管理，及时发现和应对潜在的安全风险。

3数据安全事件响应能力

金融机构在面对数据安全事件时，需及时、有效地识别、评估、应对事件并恢复业务。数据安全事件响应能力对于保护敏感、重要和核心数据、减少损失、维护业务连续性以及满足法规要求至关重要。金融机构对不同类型和级别的数据安全事件制定明确的应急响应计划、流程和措施，以便在事件发生时能快速识别与评估数据安全事件的原因、性质、影响、级别、潜在风险和应对措施等，确保内外部的不同部门和团队之间的信息共享、有效衔接、紧密合作，严格遵循监管报送要求，履行事中和事后报告义务，并详细记录和归档，以备后续调查和审计。

通过对比分析《银行保险机构数据安全管理办法》和《中国人民银行业务领域数据安全管理办法》，我们发现国家金融监督管理总局和中国人民银行对于数据安全监督管理细节上的主要区别在于法规适用范围、数据安全治理架构、数据分级标准、数据安全事件报告、数据安全事件审计、数据安全风险评估等合规要求：

行业合规难点与应对

尤其值得关注的是，《银行保险机构数据安全管理办法》和《中国人民银行业务领域数据安全管理办法》为我国金融数据安全管理提供了更加明确和细化的方向和指引的同时，详细列示了数据处理者未履行数据安全保护义务所需承担的法律责任。针对《银行保险机构数据安全管理办法》和《中国人民银行业务领域数据安全管理办法》，金融机构面临的数据安全合规难点与挑战主要集中于以下八方面：

金融机构应积极响应监管政策要求，加强各领域数据安全管理工作，确保金融数据安全，为金融行业的稳健发展贡献力量。为了应对以上的难点与挑战，金融机构可以采取数据安全现状评估、积极与监管沟通和协作、数据安全归口统筹管理、完善内部管理体系、加强技术研发和投入、强化人员培训和管理等措施提升自身数据安全能力：

毕马威助力金融机构数据安全合规

毕马威以数据安全管理新要求为抓手，数据安全管理和技术专业能力为基石，从多维度赋能金融机构完善数据安全管理体系，落实数据安全保护职责，整体提升数据安全合规能力。

数据安全管理合规方面，毕马威凭借金融行业数据安全保护领域的丰富经验，为数家大型国际金融机构提供数据安全组织架构设计、数据安全管理体系建设、数据分类分级标准制定、数据全生命周期安全管控、数据安全防护技术搭建、数据安全评估审计与整改、数据安全事件和应急管理等管理与技术合规咨询服务。毕马威网络安全和数据保护团队着眼于本地金融机构和跨国金融集团的数据安全管理合规痛点，提供具有针对性的合规建议和解决方案。