近日，《金融数据安全数据生命周期安全规范》（以下简称《规范》）正式发布实施。

《规范》由中国人民银行科技司发起，全国金融标准化技术委员会归口管理。

《规范》规定了金融数据生命周期安全原则、防护要求、组织保障要求及信息系统运维保障要求。

在具体内容上分为9个部分，并附有数据采集模式、数据传输模式、数据脱敏等4个附录。

值得注意的是，该文件是中国人民银行继《金融数据安全数据安全分级指南》、《多方安全计算金融应用技术规范》、《金融业数据能力建设指引》、《人工智能算法金融应用评价规范》等行业标准发布以来的又一部关乎金融数据安全的重要技术标准。

去年4月9日，国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》，明确让数据从信息化资产进一步转变为生产要素。

金融数据因其蕴含的巨大商业价值被金融机构愈加重视，成为金融机构的重要资产。

当前，在金融科技飞速发展的大背景下，如何实现强化数据保护能力，保障金融数据安全流动，成为亟待解决的问题。

北京工商大学经济学院教授、数字金融研究中心主任张正平告诉记者：“该文件建立起覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架，适用于指导金融业机构开展电子数据安全防护工作，并为第三方测评机构等单位开展数据安全检查与评估工作提供参考。”

在数据安全原则方面，《规范》内容包括合法正当原则、目的明确原则、选择同意原则、最小够用原则、全程可控原则、动态控制原则、权责一致原则。

具体来讲，在合法正当原则上，应确保金融数据全生命周期各环节数据活动的合法性和正当性；

在目的明确原则上，应制定金融数据安全防护策略，明确金融数据生命周期各环节的安全防护目标和要求；

在选择同意原则上，应向个人金融信息主体明示数据采集和处理的目的、方式、范围、规则等，制定完善的隐私政策，在数据采集和处理前征得其授权同意等。

“由于金融数据复杂多样，该文件对数据实施生命周期安全管理，能够进一步明确数据生命周期各阶段的保护要求，有助于金融机构合理分配数据保护资源和成本，促进金融数据在机构间、行业间安全应用和共享，有利于数据价值挖掘与实现，对推动金融业数据从信息化资产向生产要素转变具有重要意义。”张正平表示。

另外，《规范》在数据共享、转让、委托处理等方面也作出明确要求。

《规范》规定，三级及以上的数据内部传输，应采取数据加密、安全传输通道或安全传输协议进行数据传输。

在原则上，三级及以上数据不应对外传输，确需传输的，应经过事先审批授权，并采取技术措施确保数据保密性。

“我们相信，在该文件的规范和指引下，金融机构的数据安全保护机制将得以完善，促进金融机构数据生命周期安全管理理念的构建，推动金融机构之间数据安全应用和共享。为金融科技向纵深发展奠定重要的制度基础，能加快金融业数字化转型进程。”张正平如是说。

来源

农村金融时报作者

田耿文

本期主编

孙金霞编辑

曹沛原制作

史翰伦