一、数据保护政策

　　光大银行遵循法律法规要求，结合数据安全管理实践，搭建政策、办法、细则规范三层数据安全保护制度体系。2024年，根据最新数据安全监管要求，对数据安全保护相关制度进行全面修订。

　　政策层面，《数据政策》是指导全行数据体系建设的纲领，明确了数据安全管理的目的和主要工作内容。《信息安全管理政策》是指导全行信息安全体系建设的纲领，明确了数据安全与个人信息保护的组织、制度与流程总体要求。

　　管理办法层面，《数据安全管理办法》明确了全行数据安全管理架构和职责，以数据分类分级为基础，规定了数据处理全生命周期安全、个人信息保护、数据安全影响评估、数据安全运维保障等的要求。《数据共享安全管理办法》加强外部数据共享、内部数据共享、数据跨境共享等环节的保护与管理，规范数据共享环节的数据处理行为。《数据安全应急管理办法》对数据安全应急组织架构及职责、事件分级、应急响应流程明确要求，规范了数据安全事件应急处置行为。

　　管理细则和实施规范层面，《数据分类分级管理实施细则》《办公环境数据安全实施细则》《多方安全计算业务应用管理实施细则》《个人信息保护技术规范》等明确了数据使用细化场景下的实施方法和安全规范，推动政策和管理办法要求纵向落地。

　　二、数据应急保障制度

　　光大银行已制定发布《数据安全应急管理办法》，并每年进行重检修订，明确事件处置的组织架构及职责、事件分级、事件报告、事件响应，以及数据泄露、篡改、丢失或非法买卖，数据滥用，合作第三方典型场景的应急处置措施等，并每年开展数据泄露场景的应急演练。最近一次演练于2023年12月25日开展，总行数据资产管理部联合金融科技部组织开展总行级、分行级两场数据泄露事件应急演练，总行15个部门、分行11个部门参加，检验并提升了总分行相关部门在数据泄露场景下的应急处置能力和总分联动能力，保障发生数据泄露事件后能够有效降低对数据主体的影响，保护数据主体合法权益。

　　三、客户数据处理权力

　　光大银行在《数据安全管理办法》第五节“个人信息保护”中明确如下要求：1.按照“明确告知、授权同意”的原则处理个人信息，国家及行业主管部门另有规定的除外，并在信息系统中实现相关功能控制。2.处理个人信息具有明确、合理的目的，并与处理目的直接相关，收集个人信息限于实现金融业务处理目的的最小范围，不得过度收集个人信息。3.真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、保存期限，个人行使其信息权利的申请受理和处理程序，以及法律法规规定应当告知的其他事项。4.制定个人信息处理规则，个人信息处理规则应当公开展示、易于访问、内容明确、清晰易懂。告知事项发生变化的，应当及时调整个人信息处理规则并将变更部分告知个人。5.涉及个人信息共享的，应向个人告知共享对象的名称、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。6.涉及向境外提供个人信息的，还需告知其向境外接收方行使信息权利的方式和程序事项。7.通过自动化决策方式做出对个人权益有重大影响的决定，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式对其开展业务。8.通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

　　四、最大限度减少客户数据留存

　　光大银行在《数据安全管理办法》“第十三条【数据安全原则】”规定了数据处理活动需遵循的安全原则，其中包括：1.目的明确：任何的数据处理操作，均应具有明确、清晰、具体的数据处理目的。2.合法正当及明示授权：应确保数据生命周期各环节数据处理活动的合法性和正当性，并向数据主体明示数据收集和处理的目的、方式、范围、规则等，且征得其授权同意，国家及行业主管部门另有规定的除外。3.最小够用：应仅处理数据主体授权同意的数据，且处理的数据为业务所必需的最小数据类型和数量，并根据业务必要进行最小授权和最小扩散。