新规范 强要求：金融机构数据安全管控

2023年7月，中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》，引发了网络安全行业的关注与讨论。这是继工信部之后，又一部由行业、领域主管部门制定发布的数据安全相关法规，除了遵循上位法所提出的数据安全要求外，《征求意见稿》重点提出了“谁管业务，谁管业务数据，谁管数据安全”的基本原则。

近日，一则消息引爆金融和网络安全行业，国家金融监督管理总局依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项，《中华人民共和国商业银行法》第七十三条第三项，对中行嘉兴分行存在的包括“违规泄露客户信息”等 6 项主要违法违规行为处以 210 万元的罚款。银行客户数据安全问题又再一次成为社会广泛议论的焦点。

银行作为金融行业中普通公民最容易接触的实体机构，是国家金融系统的核心组成部分，对整个社会运转举足轻重。随着转型推进，储存、使用的客户数据量级呈几何式增长，面临网络安全风险与日俱增，一旦遭受网络攻击可能会导致大量客户数据泄露，给银行信誉和客户信任带来严重损害，扰乱社会正常生产秩序。根据 Erizon 发布的《2023 年数据泄漏调查报告》（DBIR）来看，74% 的金融和保险行业数据泄漏事件涉及个人数据泄露，再加上银行储存的客户信息包括身份证号码、邮箱地址、社保号码等，这些信息一旦被非法分子获取，将对客户个人财产安全构成极大威胁。

仅 2022 年上半年，人民银行及银保监会向各类金融机构共开出 685 张数据罚单，罚款金额约为 6.2 亿元，同比增长 67.5%。窥一斑而知全貌，金融行业的数据泄露事件激增，进一步凸显了银行现阶段面临的网络安全以及数据安全威胁。为应对这一挑战，银行业需尽快梳理并重视当前面临的安全风险类型，采取相应策略降低风险。

银行业频频发生数据泄露事件逐渐引起全球重视，经网络安全业内人士梳理每个数据泄漏案件详情，发现网络攻击仅仅有 20%-30% 是由黑客攻击或其他外部原因造成，由银行内部员工疏忽，甚至是“监守自盗”，擅自售卖客户隐私数据给网络犯罪组织，以谋取暴利的案件占据了 70%~80% 。

为加强中国人民银行业务领域数据安全管理工作，征求意见稿划定数据处理者管理客户资料的”红线“，此举意味着央行正在积极探索数据安全管理的规范和措施，也对银行业务数据安全提出了新的要求。

（来源：安全客）