2016年11月7日釋出、2017年6月1日起施行的《中華人民共和國網路安全法》第四章第四十條指出,“網路運營者應當對其收集的使用者資訊嚴格保密,並建立健全使用者資訊保護制度”。
2016年9月12日,中國人民銀行聯合工業和資訊化部、公安部、工商總局、銀監會、國家網際網路資訊辦公室等五部門印發了《關於開展聯合整治非法買賣銀行卡資訊專項行動的通知》(銀髮〔2016〕235號,以下簡稱《235號文》)。中國銀監會為落實《235號文》相關要求,進一步加強管理,保護銀行業客戶資訊保安,防止資訊洩露和盜用,從源頭上打擊防範電信網路新型違法犯罪,釋出了《中國銀監會辦公廳關於加強網路資訊保安與客戶資訊保護有關事項的通知》(銀監辦發[2017]2號,以下簡稱《2號文》)。
加強網路資訊保安和客戶資訊保護
《2號文》共四分為個部分,分別為:
-
一、強化工作機制,做好內部防控;
-
第一部分,主要強調了銀行業務管理工作和資訊科技二、三道防線在客戶資訊保安保護方面
需要做的工作。
-
第一部分,主要強調了銀行業務管理工作和資訊科技二、三道防線在客戶資訊保安保護方面
-
二、完善技術手段,提高安全水平;
- 第二部分,強調了銀行業務網路(主要是網際網路出口)、應用安全、交易認證、客戶端程式、釣魚網站和內部辦公網路的技術防護,指出了近期客戶資訊保安防護的重點技術工作。
-
三、最佳化服務流程,加大宣傳力度;
- 第三部分,強調了客戶資訊洩露事件發生後的服務流程最佳化和客戶教育。
-
四、近期有關工作安排。
- 第四部分,強調了銀行業金融機構完成自查工作和結果報送的時間要求。《2號文》要求的自查時間點為2月28日,時間較緊。自查總結報送當地銀監局時間為3月30日。
《2號文》是中國銀監會為落實《235號文》中相關要求釋出的行業監管檔案。檔案對銀行業金融機構如何保護客戶資訊,在業務流程管理、風險管控、資訊防護技術、客戶服務等方面提出了具體的監管意見,要求各機構按期完成自查、遞交專項自查報告等任務。這是銀監會首次系統針對客戶資訊保安防護提出系統性監管要求,是《網路安全法》釋出後的合規性監管行為的具體體現。