央行發(fā)布《金融數(shù)據(jù)生命周期安全規(guī)范》 App不應(yīng)留存三級(jí)及以上數(shù)據(jù)
發(fā)布時(shí)間::2021-04-21
2021年4月8日��,《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》(JR/T 0223-2021)(以下簡(jiǎn)稱《規(guī)范》)正式獲批發(fā)布實(shí)施?��!兑?guī)范》由人民銀行科技司發(fā)起���,全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。
隨著大數(shù)據(jù)��、人工智能����、云計(jì)算等新技術(shù)在金融業(yè)深入應(yīng)用,金融數(shù)據(jù)因其蘊(yùn)含的巨大商業(yè)價(jià)值被金融機(jī)構(gòu)所重視�����,是金融機(jī)構(gòu)重要的資產(chǎn)���。
2020年4月9日���,國(guó)務(wù)院公布關(guān)于要素市場(chǎng)化配置的文件——《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》,讓數(shù)據(jù)從信息化資產(chǎn)進(jìn)一步轉(zhuǎn)變?yōu)樯a(chǎn)要素���。
金融數(shù)據(jù)的重要性日益凸顯�,數(shù)據(jù)泄漏、濫用��、篡改等安全威脅的影響也在不斷增加�,從金融機(jī)構(gòu)內(nèi)轉(zhuǎn)移擴(kuò)大機(jī)構(gòu)間和行業(yè)間,甚影響安全�、社會(huì)安全、公眾利益�。
如何在滿足金融業(yè)務(wù)基本需求的基礎(chǔ)上,強(qiáng)化數(shù)據(jù)保護(hù)能力�����,保障金融數(shù)據(jù)安全流動(dòng)����,已經(jīng)成為當(dāng)前亟待解決的問(wèn)題��。
金融數(shù)據(jù)復(fù)雜多樣��,對(duì)數(shù)據(jù)實(shí)施生命周期安全管理�,可以進(jìn)一步明確數(shù)據(jù)生命周期各階段的保護(hù)要求,有助于金融業(yè)機(jī)構(gòu)合理分配數(shù)據(jù)保護(hù)資源和成本���,建立完善的數(shù)據(jù)生命周期防護(hù)機(jī)制���。同時(shí)�����,合理�����、準(zhǔn)確�、完善的數(shù)據(jù)生命周期管理制度能夠促進(jìn)金融數(shù)據(jù)在機(jī)構(gòu)間�、行業(yè)間安全應(yīng)用和共享,有利于數(shù)據(jù)價(jià)值挖掘與實(shí)現(xiàn)�����。
《規(guī)范》規(guī)定了金融數(shù)據(jù)生命周期安全原則���、防護(hù)要求��、組織保障要求以及信息系統(tǒng)運(yùn)維保障要求���,在具體內(nèi)容上分為9個(gè)部分,并附有數(shù)據(jù)采集模式、數(shù)據(jù)傳輸模式�����、數(shù)據(jù)等四個(gè)附錄���。
《規(guī)范》建立了覆蓋數(shù)據(jù)采集��、傳輸���、存儲(chǔ)、使用��、刪除及銷毀過(guò)程的安全框架����,適用于指導(dǎo)金融業(yè)機(jī)構(gòu)開(kāi)展電子數(shù)據(jù)安全防護(hù)工作�����,并為第三方測(cè)評(píng)機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全檢查與評(píng)估工作提供參考�����。
金融數(shù)據(jù)生命周期是指金融業(yè)機(jī)構(gòu)在開(kāi)展業(yè)務(wù)和進(jìn)行經(jīng)營(yíng)管理的過(guò)程中�,對(duì)金融數(shù)據(jù)進(jìn)行采集�����、傳輸�、使用���、刪除�����、銷毀的整個(gè)過(guò)程����?����!兑?guī)范》給出了數(shù)據(jù)生命周期安全框架遵循數(shù)據(jù)安全原則��,以數(shù)據(jù)安全分級(jí)為基礎(chǔ)�����,建立覆蓋全數(shù)據(jù)生命周期過(guò)程的安全防護(hù)體系。
數(shù)據(jù)生命周期安全框架
數(shù)據(jù)安全原則包括合法正當(dāng)原則����、目的明確原則、選擇同意原則��、小夠用原則���、全程可控原則����、動(dòng)態(tài)控制原則�、權(quán)責(zé)一致原則。
a)合法正當(dāng)原則:應(yīng)確保金融數(shù)據(jù)全生命周期各環(huán)節(jié)數(shù)據(jù)活動(dòng)的合法性和正當(dāng)性�。
b)目的明確原則:應(yīng)制定金融數(shù)據(jù)安全防護(hù)策略,明確金融數(shù)據(jù)生命周期各環(huán)節(jié)的安全防護(hù)目標(biāo)和要求�。
c)選擇同意原則:應(yīng)向個(gè)人金融信息主體明示數(shù)據(jù)采集和處理的目的、方式����、范圍�����、規(guī)則等,制定完善的隱私政策�,在進(jìn)行數(shù)據(jù)采集和處理前征得其授權(quán)同意。
d)小夠用原則:金融業(yè)機(jī)構(gòu)應(yīng)僅處理個(gè)人金融信息主體授權(quán)同意的金融數(shù)據(jù)��,且處理的金融數(shù)據(jù)為業(yè)務(wù)所必需的小金融數(shù)據(jù)類型和數(shù)量�。
e)全程可控原則:應(yīng)采取與金融數(shù)據(jù)安全級(jí)別相匹配的安全管控機(jī)制和技術(shù)措施,確保金融數(shù)據(jù)在全生命周期各環(huán)節(jié)的保密性��、完整性和可用性�����,避免數(shù)據(jù)在全生命周期內(nèi)被未授權(quán)訪問(wèn)����、破壞、篡改���、泄漏或丟失等���。
f)動(dòng)態(tài)控制原則:金融數(shù)據(jù)的安全控制策略和安全防護(hù)措施不應(yīng)是一次性和靜態(tài)的,應(yīng)可基于業(yè)務(wù)需求���、安全環(huán)境屬性�����、系統(tǒng)用戶行為等因素實(shí)施實(shí)時(shí)和動(dòng)態(tài)調(diào)整���。
g)權(quán)責(zé)一致原則:應(yīng)明確本機(jī)構(gòu)數(shù)據(jù)安全防護(hù)工作相關(guān)部門及其職責(zé)��,有關(guān)部門及人員應(yīng)積極落實(shí)相關(guān)措施����,履行數(shù)據(jù)安全防護(hù)職責(zé)�����。
《規(guī)范》明確了金融數(shù)據(jù)進(jìn)行采集�、傳輸、使用�����、刪除���、銷毀的整個(gè)過(guò)程中的詳細(xì)要求。其中要求App�、Web等客戶端相關(guān)業(yè)務(wù)完成后不應(yīng)留存三級(jí)及以上數(shù)據(jù)��,并及時(shí)對(duì)緩存進(jìn)行清理���。
以《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》內(nèi)容為參考,三級(jí)及以上數(shù)據(jù)包括了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中的C3�、C2類信息。
《規(guī)范》另外規(guī)定�����,三級(jí)及以上的數(shù)據(jù)內(nèi)部傳輸��,應(yīng)采取數(shù)據(jù)加密��、安全傳輸通道或安全傳輸協(xié)議進(jìn)行數(shù)據(jù)傳輸����。在原則上,三級(jí)及以上的數(shù)據(jù)不應(yīng)對(duì)外傳輸�����,的確需要傳輸?shù)?���,?yīng)經(jīng)過(guò)事先審批授權(quán)����,并采取技術(shù)措施確保數(shù)據(jù)保密性���。
另外�����,《規(guī)范》在數(shù)據(jù)共享��、轉(zhuǎn)讓�、委托處理等方面也作出了明確要求�����。
