记者5日从相关渠道获悉，金融监管总局近日向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》（下称《通知》），要求银行保险机构全面开展一次自查，摸清数字生态场景合作中的网络和数据安全风险底数，开展排査整改。

《通知》明确，银行保险机构在合同协议中要强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内 容。

此外，《通知》还要求加强科技风险统筹管理，要将数字生态合作纳入到银行保险机构的外包风险管理范围，加强统筹管理，科技和数据管理部门应加强外包合作的网络和数据安全管理，加强风险评估和事件处置。

招联首席研究员、复旦大学金融研究院兼职研究员董希淼对记者表示，近段时间来，以ChatGPT为代表的生成式对话产品兴起。如果满足合规和风控要求，生成式对话产品将在金融机构数字化转型、提升客户服务水平等方面发挥积极作用。但是，生成式对话产品需要接入很多数据库进行大量训练，会涉及大量的信息和数据。金融机构在与第三方合作中，如何加强网络和信息数据的安全防护，相关机构如何依法合规获取数据进行训练，都需要进一步研究。

业内人士介绍，金融行业属于数据密集型，对网络和数据依赖性极强。如何更好地保障网络和数据安全，保护个人信息、引导数据向善，是金融业必须面对的重要课题。

“随着数字经济发展，有效监管和法规约束是十分必要的。”董希淼表示，只有相应的法律法规和监管制度实施以后，各市场主体才能够更好地享受大数据带来的便利。对金融机构而言，下一步应从三个方面加以努力：

一是在思想上，要高度重视网络和数据安全管理。这既是维护金融消费者合法权益的重要内容，也是金融机构取信于社会和客户的基本义务和基础工作。特别是在第三方合作中，金融机构要绷紧网络和数据安全管理的弦。当前，金融机构要加强排查，摸清数字生态场景合作的风险底数；应将保护个人信息的理念内化于金融机构血液中，以最严格的标准和最严密的措施确保个人信息安全。

二是在管理上，金融机构应建立个人信息数据库分级授权管理制度。金融机构应根据个人信息的重要程度、业务需要、敏感程度等，实行分级管理。例如，对未满十八周岁未成年人的个人信息，作为敏感个人信息予以更严格保护；对需要向境外提供的个人信息，应当通过国家相关部门的安全评估。在个人信息处理过程中，金融机构应在技术上对客户信息复制、查询有硬约束，比如建立分级审批、双人控制等要求。

三是在机制上，加强网络和数据安全保护的宣传教育。一方面金融机构应开展员工内部培训，在工作中强化对用户个人信息的保护意识；另一方面金融机构应当未雨绸缪，将加强信息保护等融入消费者教育内容，提高消费者金融素养和自我保护能力。

编辑/樊宏伟