金融行业信息科技法律法规概览(金融行业相关法律法规)

网友投稿 495 2022-10-06


金融行业信息科技法律法规概览(金融行业相关法律法规)

一、背景

金融行业是一个强监管行业,金融信息科技在金融机构数字化转型过程中逐渐由原来的支撑作用转变成了引领驱动作用,监管机构对信息科技的监管力度也变得越来越强,相应的法律法规、规章制度也越来越多。本文试着对目前金融行业信息科技相关的法律法规进行提纲挈领的梳理,目前主要的机构包括人大立法机构的法律、国家互联网信息办公室的相关法规、国务院办公厅相关的法规、工业和信息化部的相关规定、国家密码管理局的相关规定、公安机关的各种保护条例、最高法的司法解释、由国家市场监督管理总局与中国国家标准化管理委员会发布的国家标准、中国人民银行发布的金融行业标准及银保监等发布的管理办法和指南、APP专项治理工作组及信息化标准委员会发布的与APP等有关的隐私保护相关的规范、相关的团体标准。当然,部分的法律法规等文件在目前还是在草案或者征求意见稿,但是这不影响我们的学习研究,同样也可以作为工作的指导方向。

本文从几个比较关注的点出发对这些法律法规进行简要的梳理,包括网络安全、金融城域网、数据安全、消费者权益保护、征信安全管理、个人金融信息保护及个人隐私保护共七个方面,具体的法律法规及管理办法等请见最后的大图,由于个人知识有限,其中可能存在些错误,不足之处,请大家海涵。

二、主要的关注点

(一)、网络安全

金融机构网络架构主要可以参考的文件有银监会发布的《商业银行信息科技风险管理指引》(以下简称《管理指引》),在该管理指引中提出了商业银行应确保设立物理安全保护区域;商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域;商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,包括生产系统与开发系统、测试系统有效隔离,生产系统与开发系统、测试系统的管理职能相分离等等。另外在《JR/T 0068-2020 网上银行系统信息安全通用规范》中规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。对于采用云计算作为基础架构,可以参考JR/T 0166-2020 《云计算技术金融应用规范 技术架构》及JR/T 0167-2020 《云计算技术金融应用规范 安全技术要求》等标准。

网络架构通常应该遵循“纵深防御”的整体安全策略,从不信任区域到信任区域逐渐加强安全保护。重要的网络区域边界一定要部署防火墙、入侵检测、网络防病毒、流量分析、安全审计等措施。安全审计包括办公网出口的上网行为审计、运维管理的堡垒机审计、数据库环境下的数据库审计、对网络设备服务器系统的日志审计等等。另外还需要参考的一个文件是《中国银行业监督管理委员会办公厅关于印发<商业银行数据中心监管指引>的通知》,该指引对商业银行数据中心的设置包括物理中心、运营维护及信息系统的灾难恢复提出了明确的要求,同时对数据中心的投产变更报备提出了要求。

在目前实行网络安全等级保护的情况下,网络安全架构及信息系统的规划设计还应当按照等级保护的要求,可以参考GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》,金融行业的测评标准要高于国际,可以参考JR/T 0071-2020《金融行业信息系统信息安全等级保护实施指引》等文件。不同的保护等级需要投入的建设标准是不一样的,对于金融行业可以按照最低三级的标准进行建设,实际测评的等级以业务的重要性、影响程度和范围由专家人员进行判定。

(二)、金融城域网

金融城域网是一个非常特殊的专网,通常会用于向人民银行报送监管数据以及从人民银行获取相关的制度发文等,该网络应当具备高级别的安全保护能力,可以参考的文件有《中国人民银行金融城域网入网管理办法》。金融机构在接入金融城域网时必须要遵守该管理办法,该管理办法中提出了联网机构必须满足的入网技术要求及入网管理要求。主要关注的点有机构接入的申请,包括传输的内容、路径等;接入网络的管理及技术要求,如冗余容错、访问控制、日志审计、运维监控等;服务器的管理及技术要求,如服务器及客户端安全、身份认证与鉴别等;组织架构的管理、应急预案的管理等等。

(三)、数据安全

数据安全涵盖的范围非常的广,包括金融机构的经营数据、开发的代码信息及后面要提到的消费者权益保护、征信信息、个人金融信息等等。数据安全因为面临的严峻形势及强监管要求,在金融机构已经提到了非常高的地位。主要的法律包括《网络安全法》《数据安全法》,与之配套的有大量的法规标准及发文,主要包括GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》、GB/T 36073-2018 《数据管理能力成熟度评估模型》、GB/T 37973-2019 《信息安全技术 大数据安全管理指南》、JR/T 0218-2021《金融业数据能力建设指引》、JR/T 0223-2021 《金融数据安全 数据生命周期安全规范》、JR/T 0197-2020 《金融数据安全 数据安全分级指南》等。针对数据安全目前还没有看到专门的数据安全风险评估办法或者指导,可以参考GB/T 31509-2015 《信息安全技术 信息安全风险评估实施指南》。

(四)、消费者权益保护

消费者权益保护作为金融机构的一个重要的工作,人民银行及银保监都会进行监督管理,要求银行、支付机构应当将金融消费者权益保护纳入公司治理、企业文化建设和经营发展战略,制定本机构金融消费者权益保护工作的总体规划和具体工作措施。建立金融消费者权益保护专职部门或者指定牵头部门,明确部门及人员职责,确保部门有足够的人力、物力能够独立开展工作,并定期向高级管理层、董(理)事会汇报工作开展情况。

主要法律法规包括《中华人民共和国消费者权益保护法》,这是一部基础性的法律,与之配套的是《中国人民银行金融消费者权益保护实施办法》,几乎涉及到公司企业的各个部门,如董事会、行政、内控合规、审计、信息科技、运营、人力资源、产品及各业务部门,其中主要与信息科技相关的为第三章 消费者金融信息保护。消费者金融信息的处理包括消费者金融信息的收集、存储、使用、加工、传输、提供、公开等。要求金融机构完善消费者信息保护制度,包括制定个人金融信息保护应急预案,并组织应急演练;至少每半年排查一次个人金融信息安全隐患;定期对数据进行备份及恢复验证,并且进行灾难恢复的演练等。

(五)、征信安全管理

征信信息是一种比较特殊的个人信息,也是一种非常特殊的数据,人民银行及其分支机构对各接入机构进行监督管理评级,主要的参考法规有《征信业管理条例》、《中国人民银行关于进一步加强征信信息安全管理的通知》、JR/T 0117-2014 《征信机构信息安全规范》、《征信业务管理办法(征求意见稿)》等文件。征信业务涉及到机构的众多部门,如风险管理、业务、内控合规、信息科技等部门。与信息科技相关的主要包括系统功能的安全保障,如防止征信系统用户信息泄露、用户登陆控制、操作日志记录审计等、终端安全等;接入机构的网络安全,包括区域隔离及安全传输等;物理安全,包括摄像监控等;信息安全管理制度等等。

(六)、个人金融信息保护

个人金融信息保护是监管机构狠抓的一项工作,从最近的一些罚单上可以看出,监管单位对金融机构对个人信息保护的要求是越来越高,前面提到的消费者权益保护以及征信信息保护都是个人金融信息保护的有机组成部分。主要可以参考的法律法规包括《个人信息保护法(草案)》、《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》、GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 39335-2020《个人信息安全影响评估指南》、GB/T 37964-2019 《信息安全技术 个人信息去标识化指南》、《个人金融信息(数据)保护试行办法(初稿)》、JR/T 0171-2020《个人金融信息保护技术规范》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。可以看到有非常多的法律法规对个人信息及个人金融信息形成了强有力的约束和指导。

个人(金融)信息是数据安全不可或缺的组成部分,其生命周期同样包括生成、采集、传输、存储、处理、使用、交换共享、删除与销毁,在众多的法律法规中非常具有参考意义的是GB/T 35273-2020《信息安全技术 个人信息安全规范》及JR/T 0171-2020《个人金融信息保护技术规范》,在JR/T 0171-2020《个人金融信息保护技术规范》中对个人(金融)信息的保护细节都提出了非常明确的要求,在工作中应当多去参考这两份文件。

(七)、个人隐私保护

三、金融行业信息科技法律法规概览附件


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:#导入MD文档图片#信息收集这一篇就够了
下一篇:什么是XSS攻击?XSS攻击有哪几种类型?(什么叫xss攻击)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~