央行发布《金融数据生命周期安全规范》 App不应留存三级及以上数据
陈拾九移动支付网2021/4/14 9:43:35

2021年4月8日,《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)(以下简称《规范》)正式获批发布实施。《规范》由中国人民银行科技司发起,全国金融标准化技术委员会归口管理。

随着大数据、人工智能、云计算等新技术在金融业深入应用,金融数据因其蕴含的巨大商业价值被金融机构所重视,是金融机构重要的资产。

2020年4月9日,国务院首次公布关于要素市场化配置的文件——《关于构建更加完善的要素市场化配置体制机制的意见》,让数据从信息化资产进一步转变为生产要素。

金融数据的重要性日益凸显,数据泄漏、滥用、篡改等安全威胁的影响也在不断增加,从金融机构内转移扩大至机构间和行业间,甚至影响国家安全、社会安全、公众利益。

如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据安全流动,已经成为当前亟待解决的问题。

金融数据复杂多样,对数据实施生命周期安全管理,可以进一步明确数据生命周期各阶段的保护要求,有助于金融业机构合理分配数据保护资源和成本,建立完善的数据生命周期防护机制。同时,合理、准确、完善的数据生命周期管理制度能够促进金融数据在机构间、行业间安全应用和共享,有利于数据价值挖掘与实现。

《规范》规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,在具体内容上分为9个部分,并附有数据采集模式、数据传输模式、数据脱敏等四个附录。

《规范》建立了覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架,适用于指导金融业机构开展电子数据安全防护工作,并为第三方测评机构开展数据安全检查与评估工作提供参考。

金融数据生命周期是指金融业机构在开展业务和进行经营管理的过程中,对金融数据进行采集、传输、使用、删除、销毁的整个过程。《规范》给出了数据生命周期安全框架遵循数据安全原则,以数据安全分级为基础,建立覆盖全数据生命周期过程的安全防护体系。

数据生命周期安全框架

数据安全原则包括合法正当原则、目的明确原则、选择同意原则、最小够用原则、全程可控原则、动态控制原则、权责一致原则。

a)合法正当原则:应确保金融数据全生命周期各环节数据活动的合法性和正当性。

b)目的明确原则:应制定金融数据安全防护策略,明确金融数据生命周期各环节的安全防护目标和要求。

c)选择同意原则:应向个人金融信息主体明示数据采集和处理的目的、方式、范围、规则等,制定完善的隐私政策,在进行数据采集和处理前征得其授权同意。

d)最小够用原则:金融业机构应仅处理个人金融信息主体授权同意的金融数据,且处理的金融数据为业务所必需的最小金融数据类型和数量。

e)全程可控原则:应采取与金融数据安全级别相匹配的安全管控机制和技术措施,确保金融数据在全生命周期各环节的保密性、完整性和可用性,避免数据在全生命周期内被未授权访问、破坏、篡改、泄漏或丢失等。

f)动态控制原则:金融数据的安全控制策略和安全防护措施不应是一次性和静态的,应可基于业务需求、安全环境属性、系统用户行为等因素实施实时和动态调整。

g)权责一致原则:应明确本机构数据安全防护工作相关部门及其职责,有关部门及人员应积极落实相关措施,履行数据安全防护职责。

《规范》明确了金融数据进行采集、传输、使用、删除、销毁的整个过程中的详细要求。其中要求App、Web等客户端相关业务完成后不应留存三级及以上数据,并及时对缓存进行清理。

以《金融数据安全数据安全分级指南》内容为参考,三级及以上数据包括了《个人金融信息保护技术规范》中的C3、C2类信息。

《规范》另外规定,三级及以上的数据内部传输,应采取数据加密、安全传输通道或安全传输协议进行数据传输。在原则上,三级及以上的数据不应对外传输,的确需要传输的,应经过事先审批授权,并采取技术措施确保数据保密性。

另外,《规范》在数据共享、转让、委托处理等方面也作出了明确要求。

点击下载《金融数据安全 数据生命周期安全规范

2021第四届中国金融科技发展大会将于5月27日-28日在重庆举行,央行、国家金融科技认证中心、公安一所、网联、工行、腾讯、清华大学、廊坊银行、重庆农商行、包头农商行等嘉宾将带来精彩分享,详情见大会专栏:https://m.mpaypass.com.cn/activity/FTDC2021/

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消