12月27日，国家金融监督管理总局发布《银行保险机构数据安全管理办法》（以下简称《办法》）。《办法》自公布之日起施行，《银行保险机构数据安全办法》（银保监办发〔2022〕118号）同时废止。

《办法》共9章81条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。

《办法》要求银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求。

《办法》规定，银行保险机构信息科技部门是数据安全的技术保护主责部门，其主要职责包括：（一）建立数据安全技术保护体系，建立数据安全技术架构和保护控制基线，落实技术保护措施。（二）制定数据安全技术标准规范制度，组织开展数据安全技术风险评估。（三）组织开展信息系统的生命周期安全管理，确保数据安全保护措施在需求、开发、测试、投产、监测等环节得到落实。（四）建立数据安全技术应急管理机制，组织开展数据安全风险技术监测、预警、通报与处置，防范外部攻击、内外部破坏等危害数据安全活动。（五）组织数据安全技术研究与应用。。

《办法》要求银行保险机构应当对数据外部引入或者合作共享、数据出境等，制定安全管理实施细则。银行保险机构应当制定外部数据采购、合作引入的集中审批管理制度，纳入外包风险管理体系进行统筹管理，统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制，对数据来源的真实性、合法性进行调查，评估数据提供者的安全保障能力及其数据安全风险，明确双方数据安全责任及义务。

《办法》要求银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，并对共享数据采取有效保护措施。银行保险机构与其母行、集团，或者其子行、子公司共享敏感级及以上数据，应当获得数据主体的授权同意，法律、行政法规另有规定的除外。不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务，所共享数据属于提供产品或者服务所必需的除外。

《办法》将数据安全事件根据影响范围和程度，分为特别重大、重大、较大和一般四个级别。要求机构建立内部协调联动机制和外部服务商、第三方机构的报告机制。