上证报中国证券网讯(记者张琼斯)金融监管总局7月10日就《银行业保险业网络安全管理办法(征求意见稿)》(下称《办法》)公开征求意见。针对新技术安全,《办法》要求,金融机构应当建立新技术应用安全评估机制,新技术引入前应当开展安全评估,不得因引入新技术而降低网络安全防护水平。
招联首席经济学家董希淼表示,《办法》内容与不久前发布的《金融业网络安全管理办法(征求意见稿)》相衔接。二者将共同构建起金融业网络安全的制度框架,对于防范化解网络安全风险向金融风险演变、保障金融体系安全稳健运行具有重要意义。《办法》对于引入新技术的要求,意味着金融机构在追求技术赋能的同时,必须守住安全合规的刚性底线,即“先评估、后使用、保底线”。
《办法》共八章七十二条,围绕网络安全治理、网络安全建设和运行管理、网络安全风险监测、网络安全事件响应与处置、关键信息基础设施管理、监督管理等核心领域提出明确要求。
金融监管总局称,《办法》考虑银行业保险业金融机构的业务特点,推动落实网络安全保护责任,体现大网络安全的概念,强调全集团统一管理、科技与业务协同、三道防线协同共治的网络安全治理理念;体现分级分类管理,在对银行业保险业金融机构提出网络安全整体管理要求的基础上,针对关键信息基础设施管理提出更高要求。
《办法》总体要求,金融机构建立网络安全治理架构,构建网络安全管理体系,开展网络安全风险管理,与业务连续性管理、外包风险管理、数据安全管理等体系机制有效衔接,将网络安全风险纳入全面风险管理,确保网络安全管理能力有效支撑业务安全稳健运行。
根据《办法》,金融机构应当建立网络安全责任制。其中,党委(党组)、董(理)事会对网络安全管理工作负主体责任。金融机构主要负责人为网络安全第一责任人。
在网络安全建设和运行管理方面,《办法》要求,金融机构应制定符合业务和科技发展需要的网络安全建设规划;建立与自身业务规模、复杂程度和风险水平相适配的网络安全管理制度体系;建立信息科技供应链安全风险管理制度,选用符合国家有关规定的信息技术产品及服务等。
近年来,人工智能等新技术在银行业保险业得到广泛应用。针对新技术,《办法》明确,金融机构应当建立新技术应用安全评估机制,新技术引入前应当开展安全评估,不得因引入新技术而降低网络安全防护水平。
“这意味着金融机构引入人工智能新技术时不能盲目跟风,必须与自身风险管理能力匹配。”董希淼建议,新技术应用安全评估需覆盖模型、数据、业务等全流程,对信贷审批等高风险场景要严格准入。
关于科技外包,《办法》提出,金融机构应当按照信息科技外包监管要求,开展外包准入、服务提供商管理、外包人员管理、外包风险评估检查等相关工作。
为做好数据安全管理,《办法》要求,金融机构应当建立健全数据安全管理制度,明确数据安全主体责任及牵头部门,开展数据分类分级,依法合规使用数据。
为保护个人信息安全,《办法》明确,金融机构应当按照法律法规和监管要求履行个人信息保护义务,采取技术和管理措施对个人信息进行保护;鼓励金融机构接入国家网络身份认证公共服务,开展用户真实身份核验、认证。