2021年4月8日，《金融數據安全 數據生命周期安全規范》（JR/T 0223-2021）（以下簡稱《規范》）正式獲批發布實施?！兑幏丁酚芍袊嗣胥y行科技司發起，全國金融標準化技術委員會歸口管理。

隨著大數據、人工智能、云計算等新技術在金融業深入應用，金融數據因其蘊含的巨大商業價值被金融機構所重視，是金融機構重要的資產。

2020年4月9日，國務院首次公布關于要素市場化配置的文件——《關于構建更加完善的要素市場化配置體制機制的意見》，讓數據從信息化資產進一步轉變為生產要素。

金融數據的重要性日益凸顯，數據泄漏、濫用、篡改等安全威脅的影響也在不斷增加，從金融機構內轉移擴大至機構間和行業間，甚至影響國家安全、社會安全、公眾利益。

如何在滿足金融業務基本需求的基礎上，強化數據保護能力，保障金融數據安全流動，已經成為當前亟待解決的問題。

金融數據復雜多樣，對數據實施生命周期安全管理，可以進一步明確數據生命周期各階段的保護要求，有助于金融業機構合理分配數據保護資源和成本，建立完善的數據生命周期防護機制。同時，合理、準確、完善的數據生命周期管理制度能夠促進金融數據在機構間、行業間安全應用和共享，有利于數據價值挖掘與實現。

《規范》規定了金融數據生命周期安全原則、防護要求、組織保障要求以及信息系統運維保障要求，在具體內容上分為9個部分，并附有數據采集模式、數據傳輸模式、數據脫敏等四個附錄。

《規范》建立了覆蓋數據采集、傳輸、存儲、使用、刪除及銷毀過程的安全框架，適用于指導金融業機構開展電子數據安全防護工作，并為第三方測評機構開展數據安全檢查與評估工作提供參考。

金融數據生命周期是指金融業機構在開展業務和進行經營管理的過程中，對金融數據進行采集、傳輸、使用、刪除、銷毀的整個過程?！兑幏丁方o出了數據生命周期安全框架遵循數據安全原則，以數據安全分級為基礎，建立覆蓋全數據生命周期過程的安全防護體系。

數據安全原則包括合法正當原則、目的明確原則、選擇同意原則、最小夠用原則、全程可控原則、動態控制原則、權責一致原則。

a)合法正當原則：應確保金融數據全生命周期各環節數據活動的合法性和正當性。

b)目的明確原則：應制定金融數據安全防護策略，明確金融數據生命周期各環節的安全防護目標和要求。

c)選擇同意原則：應向個人金融信息主體明示數據采集和處理的目的、方式、范圍、規則等，制定完善的隱私政策，在進行數據采集和處理前征得其授權同意。

d)最小夠用原則：金融業機構應僅處理個人金融信息主體授權同意的金融數據，且處理的金融數據為業務所必需的最小金融數據類型和數量。

e)全程可控原則：應采取與金融數據安全級別相匹配的安全管控機制和技術措施，確保金融數據在全生命周期各環節的保密性、完整性和可用性，避免數據在全生命周期內被未授權訪問、破壞、篡改、泄漏或丟失等。

f)動態控制原則：金融數據的安全控制策略和安全防護措施不應是一次性和靜態的，應可基于業務需求、安全環境屬性、系統用戶行為等因素實施實時和動態調整。

g)權責一致原則：應明確本機構數據安全防護工作相關部門及其職責，有關部門及人員應積極落實相關措施，履行數據安全防護職責。

《規范》明確了金融數據進行采集、傳輸、使用、刪除、銷毀的整個過程中的詳細要求。其中要求App、Web等客戶端相關業務完成后不應留存三級及以上數據，并及時對緩存進行清理。

以《金融數據安全數據安全分級指南》內容為參考，三級及以上數據包括了《個人金融信息保護技術規范》中的C3、C2類信息。

《規范》另外規定，三級及以上的數據內部傳輸，應采取數據加密、安全傳輸通道或安全傳輸協議進行數據傳輸。在原則上，三級及以上的數據不應對外傳輸，的確需要傳輸的，應經過事先審批授權，并采取技術措施確保數據保密性。

另外，《規范》在數據共享、轉讓、委托處理等方面也作出了明確要求。

責任編輯：Rachel