为贯彻党中央、国务院关于数据安全的决策部署,落实《中华人民共和国数据安全法》,进一步夯实数据安全的法治基础,指导督促金融从业机构依法依规开展涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域数据(以下简称“业务数据”)处理活动,2025年5月9日,中国人民银行发布《中国人民银行业务领域数据安全管理办法》(中国人民银行令〔2025〕第3号,以下简称《办法》)。《办法》已经2025年4月2日中国人民银行第5次行务会议审议通过,自2025年6月30日起施行,旨在规范中国人民银行业务领域数据的安全管理并促进开发利用。
《办法》共七章五十六条:第一章明确《办法》制定依据、适用范围、管理原则、工作机制等;第二章对数据资源目录、分类分级、制度建设、操作规程等方面作出规定;第三章对数据收集、存储、使用、加工、传输、公开、删除等环节明确安全管理规定;第四章从数据存储保护、数据备份、数据传输安全、算法风险防控等方面明确安全技术规定;第五章对数据处理活动的风险监测、通报预警、评估与审计、事件分级、响应处置等方面作出规定;第六章对中国人民银行及其分支机构的监督管理责任落实和数据处理者违反规定行为的处置作出规定;第七章对术语定义、解释权、施行日期作出规定。下一步,中国人民银行将组织实施好《办法》,指导金融从业机构依法依规保障业务数据安全,促进业务数据开发利用,保护个人、组织的合法权益,筑牢金融安全防线。《办法》要求,原则上高敏感性数据项须加密存储,确需不加密存储的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的,按照其规定执行。
正式稿与征求意见稿修订对照(炼石整理)
(修改与删除用不同颜色标记:下划线-修改、删除线-删除)
中国人民银行业务领域数据安全管理办法
(征求意见稿)
第一章总 则
第一条( 目的和依据)为规范中国人民银行业务领域数 据的安全管理 并促进开发利用,根据《中华人民共和国网络安全法》《中华 人民共和国数据安全法》《中华人民共和国中国人民银行法》 等有关个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律、 行政法规 , 制定本办法。
第二条(适用范围)数据处理者 在中华人民共和国境内 开展的与中国人民银行业务领域数据相关的处理活动 及其安全监督管理,适用本 办法 。 法律、 行政法规或者中国人民银行另有规定的 ,从其 。其他有关主管部门有规定的,还应当依法遵守其规定。
本办法所称中国人民银行业务领域数据 ,指根依据法律、 行政法规,党中央、 国务院决定和中国人民银行规章 ,开展,由中国人民 银行承担监督和管理职责的各类业务活动时 ,所业务领域。
本办法所称中国人民银行业务领域数据,指中国人民银行业务领域内产生和收集的 不涉及国家秘密的网络数据 , (以下简称业务数据)。
第三条(管理原则与目标)本办法所称数据处理者,指金融机构以及经中国人民银行批准设立或者认定的其他机构。
第三条业务数据安全工作遵循 “谁管业务,谁管业务数据,谁管数据安全”基本原则。开展数据处理活动。中国人民银行对业务数据安全负指导监管责任。数据处理者应当履行数据安全保护义务,采取有效措施防范业务数据被篡改、破坏、泄露、不当获取与利用等风险,确保不损害或者非法获取、非法利用等风险,保障国家安全、公共利益、金融秩序、个人及组织合法权益,遵守,尊重社会公德伦理、 ,遵守商业道德和职业道德,保障业务数据依法有序自由流动。
第四条(协同监督管理) 在国家数据安全工作协调机制 统筹协调下 , 中国人民银行及其分支机构 ,依据按照本办法开展 业务数据安全监督管理工作 ,积极支持其他有关主管部门依据职 责开展数据安全监督管理工作 ,必要时可以,加强与其他有关主管 部门签署合作协议 , 进一步约定间的数据安全监督管理协作模式配合、信息沟通。
中国银行间市场交易商协会、 中国支付清算协会、 中国互联网金融协会等金融行业协会应当加强自律管理 ,建立便 捷的投诉、 举报渠道 ,反映会员合理的数据安全意见建议相关金融行业协会应当加强自律管理,依法制定业务数据安全行为规范和团体标准,指导会员加强业务数据安全保护。
第五条鼓励数据处理者积极开展业务数据安全创新应用,在保障安全合规前提下促进业务数据的高效流通和开发利用,鼓励在行业内推广优秀创新成果。
第二章业务数据分类分级与总体要求
第五条(数据分类分级保护总体规划)第六条 中国人民银行负 责组织制定业务数据分类分级保护相关行业规范标准 ,指导数据处理者开 展数据分类分级各项工作 ,统筹确定业务数据分类分级保护工作,组织编制中国人民银行业务领域重要数据具体目录并实 施动态管理。
第六条(数据分类分级制度规程)数据第七条数据处理者应当建立 健全本单位业务数据分类分级实施制度 ,规范分类分级工作和操作 规程 。业务数据分类分级过程实施和结果审批 ,应当严格遵循操 作规程制度规程,分类分级结果应当履行内部审批程序。
第七条(数据分类要求)数据处理者应当参考行业标准 ,根据业务开展情况建立业务分类 ,梳理细化第八条数据处理者应当建立业务数据资源目 录 ,标识各数据项是否为个人信息、 数据来源(生产经营加 工产生、 并从业务关联性、敏感性和可用性方面分别做好业务数据分类:
(一)标识各数据项是否为个人信息、是否为外部收集产生等)、 存储该数据项的信息系统清单 和应用和关联的业务类别。
第八条(数据分级要求)数据按照精度、 规模和对国家 安全的影响程度,分为一般、重要、核心三级。在中国人民银行组织下,数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据,并填写报送重要数据目录内容,由中国人民银行汇总后确定重要数据具体目录。数据处理活动中,数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据。
第九条(数据敏感性分层级)在数据分级基础上 ,数据处理者应当参考行业标准,根据(二)根据业务数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;开展敏感性分类。业务数据的结构化数据项应当逐一标识敏感性,业务数据的非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。
第十条(数据可用性分层级)数据可用性分层级工作纳 入信息系统业务连续性分级保障体系统一考虑 。数据处理者 应当评估信息系统存储标识的最高敏感性,标识其敏感性。中国人民银行业务领域内的敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等,应当标识为高敏感性数据项。
(三)根据业务数据遭到篡改 、破坏后可能对业务连 续性正常运行造成的影响程度 , 明确恢复点目标要求 。 恢复点目标越严格 ,数据的可用性层级越高 。 在此基础上 ,鼓励信息系统差异化的数据恢复点目标,视为对业务数据的可用性分类。
第九条按照国家有关规定,将业务数据分为一般数据、重要数据、核心数据三级。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度,一旦被非法使用或者共享,可能直接影响政治安全的重要数据。
中国人民银行按照国家有关规定组织确定重要数据具体目录,数据处理 者识别用于支撑最基本业务运转、 无法承受彻底灭失风险、 需要进一步进行容灾备份的应当准确识别、申报本机构存储的全量业务数据是否属于重要数据、核心数据,并填报重要数据具体目录内容。
中国人民银行汇总形成重要数据具体目录,经国家数据安全工作协调机制审定后,确定重要数据的处理者并告知其对应的重要数据。
第十一条(动态更新要求)数据处理者应当根据数据和 信息系统变化情况 ,每年组织更新数据资源目录 ,避免除单独说明的情形外,本办法所列重要数据的保护义务,均适用于核心数据。
第十条数据处理者应当每年至少更新一次业务数据资源目录,完整准确记录信息 系统所涉及数据项未在数据资源目录中记录 、数据项标识信 息不完整等情形发生存储数据项和对应标识内容。
第三章 数据安全保护总体要求
第十二条(责任落实总体要求)数据处理者应当明确其第十一条数据处理者应当切实履行业务数据安全保护责任,明确业务数据安全管理保护相关内设部门职责分工 ,配备足够数量与业务范围和服务规模相适应的数据 安全管理专业人员 ,并细化各类违规数据处理活动的定责问责规 程 ,压实数据安全保护责任 。 业务数据安全保护奖惩规程。
面向社会提供产品、服务的数据处理者应当建立便捷的投诉、举报渠道,及时受理并处理业务数据安全有关投诉、举报。
重要数据的处理者还应当书面 明确业务数据的安全负责人和数据安全牵头管理内设部门管理机构。管理机构应当切实履行法律、行政法规已明确的各项责任。业务数据的安全负责人应当符合法律、行政法规已明确需具备的条件,并确保其能够有效履行数据安全保护义务,有权直接向中国人民银行报告业务数据安全情况。
第十三条(全流程安全管理制度要求)二条数据处理者应当 建立健全全流程业务数据安全管理制度 , 结合业务数据分类分级结果 , 明确差异化的安全保护管理和技术措施要求 措施,并制定业务数 据处理活动操作规程 ,规范各类和业务数据安全相关内部审批和授权流程 。 第五 层级数据项应当在第四层级数据项对应的安全保护管理和规程,明确操作实施和审批授权记录的留存要求。
技术措施基础上进一步从严管理 。不同敏感性层级数据项在 同一个业务数据处理活动中被处理 ,且难以采取差异化安全保护管理和技术措施的 ,应当统一采取最高敏感性层级数据项对 应的安全保护管理和技术措施 。 与母公司、 子公司、 关联公 司或者附属公司等具有关联关系的数据处理者合作开展数据处理活动时 , 不得降低安全保护管理和技术措施要求。
第十四条(安全培训总体要求)第十三条数据处理者应当根据岗 位分工 ,制定业务数据安全年度培训计划 ,每年组织业务数据处理活动参与人员开展相关教育培 训 , 并对培训结果进行评价 。 培训内容应当包括:
(一)数据安全相关法律 、行政法规 、部门规章、 国家 和金融行业标准、 内部规定、 行为准则和职业操守;
( 二 ) 不同岗位的数据安全责任,失职失责或者违法违 规数据处理活动应当承担的后果;
(三)针对性的数据安全保护管理和技术措施要求,以 及对应的操作规程;
( 四)数据安全与业务数据安全相关的制度标准、风险防范常识、岗位责任、保护措施和事件应急处置规程要求。
第十五条(鼓励创新)鼓励数据处理者积极开展数据安 全技术创新应用 ,在保障安全合规前提下 ,积极促进数据的 高效流通和创新应用 , 鼓励优秀创新成果申报行业表彰奖励。
第四章 第三章全流程业务数据安全保护管理措施要求
第十六条(人员管理要求)数据处理者应当按照最小必要和职责分离原则 , 严格管理信息系统各类业务处理账号、 第十四条数据处理者应当严格管理处理业务数据相关信息系统数据库管理员账号等特权账号的设立和和各类业务处理账号的权限 ,人员变动时应当及 时调整权限或者收回账号立即调整权限。
数据处理者应当加强账号身份认证管理 ,可使用第二层 级以上与可使用高敏感性数据项的账号应当支持身份验证 。 可使用第三层级以 上数据项的账号应当支持多因素认证或者实现二次授权 ,相 关账号使用人员应当签署保密协议的人员签订保密协议。
数据处理者存储核心数据的,应当对业务数据的安全负责人和可使用核心数据的关键岗位人员进行安全背景审查。
第十七条(数据收集保护管理措施要求)数据五条数据处理者收 集业务数据应当遵循合法、 正当原则 ,并采取下列安全保护管理 措施:
(一) 除法律、 行政法规明确无需说明的情形外 ,应当 在隐私政策协议或者合同协议中以显著方式、 清晰易懂的语 言说明数据收集的目的、 范围、 方式、 存储期限 , 以及数据 来源不合法、 数据不真实情形对应的违约责任;
( 二 )接受其他数据处理者委托协助除收集自行公开或者其他已经合法公开的业务数据的情形外,收集业务数据时 ,应当 通过合同协议与其约定 ,是否需要代其向相关个人、 组织说 明委托关系;依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权,并落实相应告知义务。
(三)(二)非直接面向个人、 组织收集数据时 ,应当要求数 据提供方依照法律、 行政法规取得个人、 组织的同意 ,对于 非书面同意情形 ,其尚未公开的业务数据的,应当在合同或者协议中明确数据提供方保障业务数据来源合法性、真实性的义务。数据提供方未取得个人书面同意或者组织书面授权的,还应当要求其出具业务数据来源说明材料 ,并依 据材料评估其合法性、 真实性;
( 四)应当针对数据合法性、 真实性存疑等情形 , 明确业务暂停使用相关数据时的应急处置方案;依法合规和数据真实性的必要佐证材料。
(五)应当优先采用数据提供方直接录入或者信息系 统间交互的方式收集数据;
(六) 因履行无障碍义务或者客观条件限制 ,采用纸质 文件、 影像或者代为手工录入等方式收集数据时 ,应当采取 自动识别、 人工核验等
(三)采用人工录入方式收集业务数据的,应当采取必要校验措施 ,保障业务数据录入的及时性和准确 性 , 并按照档案相关管理要求保存原始留存业务数据收集原始凭证;。
(七)停止提供其产品服务 ,合同协议履约终止或者响 应个人、组织合法权益要求时,应当主动停止数据收集活动;
(四)原则上不收集图像等原始个人生物识别信息。确需收集的,应当统一规范管理相关需求场景。
(八)保存数据收集行为对应的
(五)按照与数据提供方合同或者协议、 内部审批记 录、 数据提供方出具的数据来源说明材料和对应评估结论等 信息至少三年中约定的处理目的、方式、范围以及安全保护义务等开展收集和后续的业务数据处理活动。
第十八条(数据存储保护管理措施要求)数据六条数据处理者应当根据业务需要,明确业务数据保存储期限。除履行法定职责或者法定义务所必需外,第三层级以上外,高敏感性数据项原则上不得在终端设备和移动介质中存储。,确需存储的,数据处理者在履行内部审批程序基础上,应当统一明确需在终端设备和移动介质中存储的特定场景、支持此类场景的必要性、应当采取的风险防范措施,并据此开展。风险防范措施至少应当包括仅在授权的终端设备和移动介质中存储,存储期限不得超过审批允许的期限。
数据处理者应当保存终端设备、 移动介质中存储第三层级以上数据项行为的目的说明、 内部审批记录、 授权设备或 者介质识别编号、 允许存储期限等信息至少三年。
第十九条(数据使用保护管理措施要求)第三层级应当统一规范管理相关需求场景。
第十七条业务数据使用活动中,数据处理者使用高敏感性数据 项,原则上不提供采取导出使用方式,第四层级以上数据项原则上仅提供,使用用于身份鉴别的数据项原则上仅采取核验使用方式,确需提供其他使用方式时,应当说明相关必要性,经内部审批并明确对应的风险防范措施后,据此开展。涉及第三层级以上数据项导出使用的风险防范措施,原则上应当优先采取加密、数字水印或者脱敏处理等安全保护措施,确需未经安全保护即导出的。确需采取导出方式使用高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的,数据处理者应当统一明确规范管理相关导出需求场景,并据此开展。
除面向个人、 组织除根据个人请求向其展示与其相关业务数据 ,以及履行法定职责或者法定 义务必需展示数据的两类情形外 ,信息系统界面展示第三层 级以上数据项时 , 原则上应当优先所需外,数据处理者原则上须实施脱敏处理后再展示高敏感性数据项。 确需明文不脱敏展示的 ,数据处理者应当统一明确规范管理相关展示需求场 景、 支持此类场景的必要性和应当采取的风险防范措施 ,并 据此开展。
第二十八条(数据加工保护管理措施要求)数据加工前, 数据处理者应当审查业务数据加工目的与业务数据收集约定是否一致 ,确保数 据加工不以垄断经营和不正当竞争为目的 ,不发生误导、 欺 诈 、胁迫或者干扰等限制个人或者组织正当选择与决策的行 为 ,遵循社会公德伦理 。 第四层级以上;需要训练业务数据的,应当审查训练业务数据的真实性、准确性、客观性、多样性;需要标注业务数据的,应当抽样审查标注的合理性与准确性;需要建立模型评价激励规则的,应当审查评价激励规则是否尊重社会公德伦理、遵守商业道德和职业道德。业务数据项加工 ,应当经 内部审批并明确对应的风险防范措施后 ,据此开展。
活动中,数据处理者加工高敏感性数据项的,应当进一步明确应当采取的安全保护措施,并履行内部审批程序;基于加工生成的数据项面向个人提供自动化决策服务 时 的,应当以适当方式说明加工目的、 加工依赖数据基本情况 和加工基本逻辑 , 提升决策的透明度向个人解释说明处理目的、用于加工的个人信息种类和加工规则。
数据处理者应当保存数据加工行为目的说明、 内部审查 审批记录、 审查对应的加工应用程序源代码、 新产生数据项 列表等信息至少三年。
第二十一条(促进数据开发利用)使用第三层级以上数 据项加工后产生的第十九条对于业务数据加工活动产生新数据项,经评估其敏感性明显低于加工所使用数据项的,数据处理者可遵循规程降低其敏感性标识,促进依法合规开发利用。
对于业务数据加工活动产生新数据项 ,经评估确认无法识别至特定个人、 组织 ,或者反映信息敏感程度明显低于原数据项时 其敏感性明显高于加工所使用数据项的,数 据处理者履行内部审批手续后 ,可视情降低敏感性层级 ,促 进数据依法合规开发利用应当提高其敏感性标识,并加强业务数据安全保护。
第二十二条(数据传输保护管理措施要求)除履行法定 职责或者法定义务所必需外 条除根据个人请求向其传输与其相关业务数据外,数据处理者原则上不得采用互 联网使用邮件、 即时通讯、 在线文件传输、 交互性信息服务存储等互 联网信息服务或者通过移动介质交换传输第三层级以上数据项 ,高敏感性数据项。确有需要的 ,数据处理者应当统一明确规范管理相关传输需求 场景、 支持此类场景的必要性和应当采取的风险防范措施, 并据此开展。
第二十三条(一般性数据提供保护管理措施要求)一条从事业务所需的业务数据提供活动,数据 处理者应当针对自身业务开展所需的数据提供行为核验数据接收方身份,并采取下列安全保护管理措施:
(一)对于涉及个人信息的业务数据提供行为 活动,应当评估确认遵守有关是否遵守法律、 行政法规的规定 。 要求。对于其他业务数据提供行为 ,应当评 估确认不违反与相关组织间事前约定的有关保守商业秘密 要求;活动,应当评估是否符合保守商业秘密的约定。
( 二 )通过(二)向其他数据处理者提供业务数据涉及个人信息和重要数据的,应当在合同或者协议方式与数据接收方约定中明确各自的数据安全保护义务,需要采取的安全保护措施,数据提供 的目的、 方式、 范围、 规模、 允许存储时限、 将数据再转移提供至第三方的限定条件 ,要求接收方及时告知可能发生的 数据泄露事件 , 明确各方数据安全保护责任和至少应当采取 的安全保护措施;,数据允许存储时限,数据提供至第三方的限制和数据安全事件告知义务,并对数据接收方履行约定义务的情况进行监督。
(三) 向个人、 组织提供其数据时 ,可视情简化合同协 议签订和对应内部审批要求 ,但应当先行核实其身份的真实 性;
( 四)对于委托处理情形 ,在合同协议中进一步明确委 托处理受托人重要事项报告、 及时返还和删除数据的实施方 式、 接受并配合数据处理者监督其委托处理活动等义务;按照约定做好业务数据清洗转换,对提供数据的真实性作必要审查,不得误导数据接收方。
(五)有效监督委托处理受托人履约情况 ,定期评估确 认其数据处理活动符合事前约定 ,并已采取承诺的全部安全 保护措施;
(六)对于委托处理以外情形 ,第三层级数据项应当优 先通过查询、 固定报表和核验方式向其他数据处理者提供, 第四层级以上数据项应当优先通过核验方式向其他数据处 理者提供 ,确需以其他方式提供的 ,在履行内部审批程序基 础上 ,(四)除委托处理情形外,原则上不采取导出方式向其他数据处理者提供高敏感性数据项,用于身份鉴别的数据项原则上须采取核验方式提供。确需采取导出方式提供高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的,数据处理者应当统一明确规范管理相关提供需求场景、 支持此类场景的必要性和应当采取的风险防范措施 , 并据此开展;
(七)切实保障提供数据的质量 ,对提供数据真实性作 必要核验 ,按照约定格式做好数据清洗转换 , 不得提供虚假 数据误导数据接收方、 合作方;
(八)保存数据提供行为评估记录、 内部审批记录、 对 应的合同协议内容、 监督过程中识别的风险及整改处置情况 等信息至少三年。
第二十四条(特殊性数据提供保护管理措施要求)二条数据处理者向其他数据处理者提供、委托处理、共同处理重要数据前,应当依照法律、行政法规要求,说明重要数据的具体信息,从数据和中国人民银行相关规定进行风险评估,并重点评估数据接收方数据处理目的和方式和范围的合法正当必要性、潜在安全隐患、性、数据项列表的需求合理性、数据活动的潜在安全风险、数据接收方诚信守法和背景情况、合约协议合同或者协议内容的完备性和、拟采取的安全保护管理和技术措施等方面做好风险评估并保存报告至少三年。在此基础上,数据处理者还应当通过法律、行政法规明确规定的安全评估。
数据处理者向其他数据处理者提供核心数据前 ,还应当 提请国家数据安全工作协调机制办公室批准 。 除履行法定职 责或者法定义务所明确情形外 ,措施等。
除履行法定职责或者法定义务外,数据处理者向其他数据处理者提供核心数据达到国家规定情形的,在提供业务数据之前应当经中国人民银行报国家数据安全工作协调机制开展风险评估。数据处理者不得通过拆分等 方式、转换等手段规避上述义务。
重要数据的处理者因合并、 分立、 解散、 被宣告破产等原因需 要转移破产等可能影响重要数据安全的 ,应当通过公告等方式将数据接收方信息告知 相关个人、 组织 ,并评估确认不违反与相关组织间事前约定的有关保守商业秘密要求 。 重要数据的处理者发生合并、 分 立、解散或者申请重整、和解以及破产清算等情况时,依照法律、 行政法规有明确要求的 ,应当事前向中国人民银行要求,事前向中国人民银行或者住所地中国人民银行省级分支机构报告重要 数据处置方案和数据接收方基本情况,在方案中说明重要数据目录内容更新情况、数据接收方的名称或者姓名和联系方式等。
第二十五条(数据融合创新应用管理措施要求)三条数据处 理者采用隐私计算等技术促进业务数据融合创新应用时 的,应当落实本办法第二十一条第一项至第三项要求,并确 认原始数据未离开自身控制范围 ,且多个数据提供行为关联 后 , 暴除本机构外其他数据处理者无法使用未加密原始数据、与其他数据融合创新应用活动作关联分析无法泄露约定范围外的信息的风险可控。
第二十六条(数据出境限制管理措施要求)数据处理者 在中华人民共和国境内收集和产生的数据 ,法律、 行政法规 有境内存储要求的 ,应当在境内存储。
数据处理者因自身需要向境四条数据处理者因业务等需要向中华人民共和国境外提供数据 ,存在国家网信 部门规定情形的 ,应当严格遵守其有关规定事前开展数据出 境风险自评估并申报数据出境安全评估 。数据处理者不得有 意拆分、 缩减出境数据规模以规避申报数据出境安全评估。
对于因自身需要的数据出境提供行为 ,数据处理者应当 于每年1 月底前测算或者估算其上两年内累计出境数据规模 与范围 ,并保存测算估算结果和对应的境外接收方联系方式 至少三年 。 涉及数据出境安全评估;法律、行政法规和中国人民银行相关规定有境内存储要求的,业务数据还应当同时在中华人民共和国境内存储。
符合国家网信部门规定应当申报数据出境安全评估或者开展保护认证等情形的 ,数据处理者还应当保 存有效期内的数据出境风险自评估报告、 数据出境安全评估 申报书和评估结果不得对业务数据采取拆分、转换等手段规避相关义务。
第二十七条(国际组织和外国金融管理部门数据调取)五条中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、 协定 ,或者按照平等互惠原则 ,处理国际组 织和外国金融管理部门外国金融执法机构关于提供业务数据的请求 。 非经中国人民 银行和其他有关主管部门批准 ,数据处理者不得向其提供境 内存储的数据。
第二十八条(数据公开保护管理措施要求)数据六条数据处理者应当履行内部审批手续,审核审核业务数据公开行为活动的目的、数据内容范围、项列表、渠道、时限和脱敏处理情况,分析研判可能产生的负面影响,并核验不利影响,审查业务数据的合法性、真实性与有效性。数据公开渠道原则上应当为本单位统一,并通过本机构明确的官方渠道公开业务数据。确有需要通过其他渠道公开的,应当经内部审批并明确对应的风险防范措施后,据此开展明确采用的安全保护措施并履行内部审批程序。
第二层级以上数据项公开时 ,数据处理者应当保存数据 公开行为目的说明、日期、 公开渠道、 数据范围和内部审批 记录等信息至少三年。
第三层级以上数据项原则上应当实施脱敏处理后再公 开 ,数据处理者应当统一明确第三层级以上数据项确需未经 脱敏处理即允许公开的特定需求场景、 支持此类场景的必要 性和应当采取的风险防范措施 , 并据此开展业务数据处理活动中,数据处理者不得公开用于身份鉴别的数据项,公开其他高敏感性数据项原则上须作脱敏处理。确需不作脱敏处理的,数据处理者应当统一规范管理相关需求场景。
第二十九条(数据删除保护管理措施要求)涉及个人信 息的数据 ,满足七条数据处理者应当依照法律、 行政法规规定应当删除情形时 ,数据 处理者应当主动删除数据 。其他数据已超过与组织约定的存储时限 ,或者组织提出符合法律、 行政法规规定的正当请求 时 ,数据处理者应当主动删除数据 。 和中国人民银行相关规定,主动删除处理目的已实现、处理目的无法实现、为实现处理目的不再必要或者约定保存期限已届满等情形的业务数据。
删除业务数据从技术上难以 实现的 ,数据处理者应当停止除存储和采取必要的安全保护 措施之外的处理 。数据处理者应当每年至少对信息系统业务 处理账号、 特权账号实施一次核验 ,确认已停止除存储和必 要安全保护措施之外处理的数据 , 业务数据处理活动,并每年至少实施一次审查,确认相关业务数据不可被访问使用。
数据处理者发生解散、 被宣告破产等情况时 ,合法合规 完成自身需要的
第二十八条数据处理者委托处理业务数据,除落实本办法第二十一条第二项要求外,还应当在合同或者协议中明确受托人需报告的重要事项、委托处理事项完成后传输和删除业务数据的实施方式与时限要求、配合本机构监督其委托处理活动等义务,并采取定期评估等方式监督受托人履约情况。涉及核心数据的委托处理活动,数据转移处理后 ,应当及时销毁全部数据存 储介质 。 中国人民银行或其住所地分支机构依据法律、 行政 法规另有数据转移要求的 ,还应当按照要求将数据转移至指 定接收方后再销毁数据存储介质者应当事前对受托人开展尽职调查,进一步加强对其的监督。
数据处理者应当将业务数据委托处理活动纳入业务或者信息科技外包管理体系,加强风险管理。
中国人民银行已明确要求不得以外包形式开展业务的,相关业务数据不得委托处理。
第五章第四章全流程业务数据安全保护技术措施要求
第三十条(账号权限保护技术措施要求)第二十九条数据处理者应 当加强访问控制,采取有效技术措施 ,从严管控业务数据处理账号的数据使用权 限 ,鼓励建设技术平台 ,采取统一认证、 统一授权策略进一 步加强管控。
数据处理者应当统一明确特权账号的使用场景 ,并通过 内部审批授权 ,严格限定其使用 。 可使用第三层级以上数据 项的特权账号 ,涉及人工操作的数据库表明确特权账号的使用场景并加强使用时的内部审批授权。使用特权账号实施业务数据新增、删除、 修改等人工操作 时应当逐一进行事前审查和事后审计。开展事前审批和事后审查。使用特权账号开展自动化操作前应当对操作正确性和安全性进行必要检查。
第三十一条(数据处理活动日志保护技术措施要求)数 据处理者应当建立统一的日志规范 ,数据处理者应当加强安全认证,保障业务数据处理账号和特权账号认证口令的强度,限制验证失败重试次数,可使用高敏感性数据项的账号应当支持多因素认证或者二次授权确认,并建立超时退出、访问通信地址变化等情形的重新验证机制。
第三十条数据处理者应当规范日志记录,明确业务数据处理活动日志 应当完整记录的溯源所需信息 。 第三层级数据项如需在记录信息,满足数据安全风险溯源和事件处置需要。
业务数据 处理活动日志中记录原则上应当实施脱敏处理 ,第四层级以 上数据项原则上不记录 。 确有需要的 ,数据处理者应当统一 明确相关日志记录需求场景、 支持此类场景的必要性和应当 采取的风险防范措施 , 并据此开展高敏感性数据项原则上须经脱敏处理。确需不脱敏处理的,数据处理者应当统一规范管理相关需求场景。
数据处理者应当将业务数据处理活动 日志纳入业务数据分类分 级管理 ,并落实对应的管理和技术措施要求 。 数据处理者应 当妥善保存数据处理活动日志至少六个月 。 安全保护要求。
数据处理者应当留存业务数据处理活动日志至少六个月;对于与存储重要数据信息系统相关的业务数据处理活动日志,应当留存至少一年;对于与存储核心数据信息系统相关的业务数据处理活动日志,应当留存至少三年。
数据处理者向其他数据处理 者提供涉及个人信息的数据或者重要数据的行为 ,相关日志 应当保、委托处理个人信息、重要数据的业务数据处理活动日志等记录,应当留存至少三年。
第三十二条(数据收集保护技术措施要求)一条数据处理者应当优先采用直接录入或者信息系统间交互的方式收集业务数据。采用直接录 入方式收集第二层级以上数据项 业务数据的,应当核验证录入人身份 。 采 ;采用信息系统间交互方式收集第三层级以上数据项 ,应当对数 据提供方身份进行认证 , 并保障收集数据的完整性高敏感性数据项的,应当验证数据提供方身份。
数据处理者应当采取关联信息交叉核验等技术措施 ,识 别并规避数据项同一内容不合理映射至多个个人或者组织、 不同数据项信息相互矛盾等问题 ,尽可能保障收集业务数据的准 确性 ,避免损害个人、 组织的合法权益。
数据处理者面向个人直接录入方式收集数据时 ,应当建 立健全技术措施 ,识别法律、 行政法规禁止发布或者传输的信息。
数据处理者采用自动化搜集工具方式从其他数据处理者收 集业务数据时 的,应当遵守其数据访问控制协议 收集的控制规则,不得干扰其网络 服务正常运行 , 不得侵害其原有他机构网络服务合法运营权益。
第三十三条(数据存储保护技术措施要求)二条数据处理者 应当针对业务数据存储行为活动采取下列安全保护技术措施:
(一)有效隔离信息系统开发测试环境与生产环境数据存储设 施设备;。
( 二 )存储重要数据或者一百万人以上个人信息的信 息系统应当落实满足三级以上网络安全等级保护要求 ,存储核心 数据的信息系统应当落实满足四级网络安全等级保护要求或者 关键信息基础设施保护要求;
(三) 除因业务影响、 产业制约 ,并可提供详细分析报 告情形外 ,应当优先采用商用密码技术对信息系统中第三层 级以上数据项实施加密存储 ,结构化数据项在对数据库文件 整体实施加密基础上鼓励进一步采用更细粒度的加密方式, 非结构化数据项可仅对拆分的第三层级以上结构化数据项 单独实施加密;,并优先采购安全可信的网络产品和服务。
(三)原则上高敏感性数据项须加密存储,确需不加密存储的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的,按照其规定执行。
( 四)按照业务连续性保障等级 ,加强信息系统数据冗 余备份管理 , 对于恢复点目标要求小于十分钟的信息系统, 每天至少验证一次最新冗余备份数据可被正常加载使用; 对 于其他信息系统应当逐一明确验证频率要求 ,据此及时评估并调整业务数据存储承载容量。对照信息系统数据恢复点目标,做好生产环境业务数据冗余备份,按照中国人民银行要求定期验证最新冗余备份业务数据可被正常加载使用。
鼓励数据处理者针对需要进一步容灾备份的数据 ,采取 独立于信息系统灾难备份体系以外的备份技术的可用性。评估备份技术措施是否具备防范生产环境业务数据和冗余备份业务数据同时遭到篡改、破坏等风险的能力,并针对性加强安全保护措施。
第三十四条(数据使用保护技术措施要求)三条数据处理者 应当统一明确第三层级以上高敏感性数据项的脱敏处理策略 , ,切实降低脱 敏业务数据仍可识别至特定个人、 组织的风险。
数据处理者应当采取数字水印等措施 ,标识信息系统当 前数据使用账号、 时间等信息 ,并在展示后及时清除缓存信 息,提升数据展示、打印等使用过程的安全防护和溯源能力。
数据处理者应当建立终端设备安全管控策略 ,鼓励针对 使用第三层级以上数据项的终端 ,采取安全沙箱、 终端行为 管控等安全保护措施。
生产环境第二层级以上数据项原则上应当经授权并实 施脱敏处理后才能用于开发测试 ,确需不经脱敏处理即用于 开发测试的 ,数据处理者应当履行内部审批手续 ,并采取与 生产环境一致的安全保护管理和技术措施 ,确保开发测试数 据安全建立终端设备安全管控策略,明确安全防护措施要求。业务数据展示、打印时应当采取技术措施标识当前使用业务数据的业务处理账号和使用时间。
除开发测试环境与生产环境业务数据安全保护措施完全一致的情形外,生产环境数据项用于开发测试环境的,应当履行内部审批程序并实施脱敏处理。
第三十五条(数据加工保护技术措施要求)四条数据处理者 应当建立统一的业务数据加工算法风险评估和控制策略 ,明确可解释 性 、脆弱性等风险对应的防范或者缓释措施以及退出和停止使用加工算法开展自动化决策 时的替代方案。
第三十六条(数据传输保护技术措施要求)数据五条数据处理者
应当针对业务数据传输行为活动采取下列安全保护技术措施:
(一) 通过运营商网络传输第二层级以上数据项时 ,采 取专用线路、虚拟专用网络、安全通信协议等优先采取专用线路、虚拟专用网等技术加强业务数据传输安全保护措施;。
( 二 )动态更新记录不同网络安全区域间正常数据传 输对应的网络地址、 网络协议通信映射关系 ,加强安全隔离 与(二)健全访问控制和安全隔离策略,加强相关终端设备准入控制;。
(三) 第三层级以上原则上高敏感性数据项须加密传输至其他数据处理者、传输至不同数据中心或者传输至运营商网络时,应当优先使用商用密码技术保障机密性,并根据业务需要使用商用密码技术加强完整性和抗抵赖性保障,未使用商用密码技术进行传输保护的其他数据中心或者互联网。确需不加密传输的,数据处理者应当统一明确规范管理相关传输需求场景、支持此类场景的必要性和应当采取的风险防范措施,并据此开展;
( 四)在传输失败或者传输完成后 ,及时删除不必要的 缓存数据;。中国人民银行对业务数据传输有使用商用密码保护特别规定的,按照其规定执行。
(五(四)及时评估并调整网络通信线路的传输承载容量 ,加强网 络通信线路和相关软硬件设备的冗余备份。
第三十七条(数据提供保护技术措施要求)六条数据处理者 应当针对数据提供行为采取下列安全保护技术措施:
(一)针对持续性数据提供行为建设较为集中的技术 平台 ,并采用动态维护本机构提供业务数据的前置网关和应用程序接口清单,并在前置网关或者和应用程序接口方式向其他数据处 理者提供数据;变更投产前开展安全测试,发现风险隐患立即采取补救措施。
( 二 )提供从其他数据处理者收集获得的数据项 , 中国人民银行有明确需公开数据来源要求的 ,应当以显著方式标 识来源;
(三)提供第三层级以上数据项时应当对数据接收方 身份进行认证;
( 四)数据处理者采用隐私计算等技术提供业务数据时 的,应当建立统一的 技术风险评估和控制策略 , 明确安全不可验证性、 性能不可接受 性等风险对应的缓释措施;
(五)对于委托处理情形的数据提供行为 ,应当纳入信 息科技外包管理体系统一管理的应对措施。
第三十八条(数据公开保护技术措施要求)七条数据处理者 应当明确自身已公开数据是否可被自动化搜集的数据访问控制协议 , 并采取有效制定本机构公开的业务数据是否允许自动化工具收集的控制规则,并采取必要技术措施 ,保障公开的业务数据不被篡改。
第三十九条(数据删除保护技术措施要求)删除数据涉 及数据存储介质销毁工作时 ,数据处理者应当建立统一的数 据存储介质销毁策略 , 明确销毁技术方式和过程监督措施。 存储第三层级以上数据项的存储介质不再使用并且离开数据处理者控制范围时 ,应当及时销毁。
数据处理者应当保存数据存储介质销毁日期、 销毁介质 识别编号、 采取的销毁技术方式、 操作执行及复核人等信息 至少三年八条数据处理者应当明确业务数据存储介质销毁策略,规范销毁实施方式和过程监督程序。
第六章 风险监测、 评估审计与事件处置措施
第五章业务数据安全风险与事件管理
第四十条(数据处理活动风险监测)数据处理者应当采 取有效措施 ,强化 第三十九条数据处理者应当加强业务数据处理活动安全风险监测和告警 ,推进 违规数据处理活动阻断技术措施建设 ,及时做好风险隐患的 溯源排查处置 ,并核验技术措施的有效性和可靠性 。 监测告 警规则应当重点关注下列事项,有效识别下列风险并立即采取补救措施:
(一) 收集、 提供的数据存在恶意程序或者存在法律、 行政 法规禁止发布传输的信息;。
( 二 )危害 (二)存在计算机病毒、木马、勒索等恶意程序,数据安全的漏洞;
(三)终端设备和移动介质未经授权存储第三层级以 上数据项;
( 四)识别到不明用途的数据存储网络地址;
(五)未授权的数据使用行为 , 发生时间、 网络地址、频率、 总量存在明显异常的数据使用行为;
(六)用户身份、认证口令强度较弱;偏低等缺陷。
(七)开发测试环境中使用未授权或者未经脱敏处理 的生产环境数据;
(八)对第四层级以上数据项实施加工、 提供等行为;(三)高敏感性数据项安全保护措施失效。
(九)异常的网络通信行为和非授权终端设备接入内 部网络的行为;
(十)未经商用密码技术加密传输第三层级以上数据
项;
(四)异常的业务数据处理活动。
(十一)终端设备使用互联网邮件、 公共即时通讯、 互 联网文件传输工具传输第三层级以上数据项或者打印第三 层级以上数据项;
(十二 )网络线路数据传输承载能力不足;
(十三)使用前置网关或者应用程序接口方式提供超 出合同协议约定范围数据的异常行为;
(十四)违反数据访问控制协议的公开数据异常访问 行为(五)业务数据传输或者存储承载能力不足。
第四十一条(数据安全风险情报监测)条数据处理者应当 加强数据安全风险情报的监测 ,及时核实并做好必要的数据 安全防范处置工作 。 监测规则应当重点关注下列事项:
(一)本单位非公开数据泄漏至互联网的情况;
( 二 )兜售本单位数据的情况;
(三)假冒本单位身份非法收集、 公开数据 ,或者对本 单位管理的数据进行造谣传谣的情况;
( 四) 与本单位或者具有关联关系的数据处理者相关 的数据安全负面舆情信息;
(五) 与本单位合作的数据接收方、 委托处理受托人相 关的数据安全负面舆情信息对业务数据泄露、业务数据被非法兜售、仿冒本机构身份处理业务数据,以及其他与本机构有关的业务数据安全负面舆情的风险监测,发现相关风险时应当立即核实处置。
第四十二条(数据安全通报预警监测)数据处理者应当 及时接收 、核查和处置一条中国人民银行或及其分支机构通报与业务数据相关的数据安全风险情报 , 缺陷、漏洞等风险时,数据处理者应当立即核实处置,并根据通报要求按时准确反馈核查处置结果情况。
鼓励数据处理者积极向中 国人民银行或及其分支机构提 供可共享的数据安全风险情报 , 提升联防联控效能供具有行业共享价值的业务数据安全风险情报。
第四十三条(数据安全风险评估)二条重要数据的数据处理者应当自行或者委托检测第三方评估机构,每年组织开展一次全面的数据安全风险评估工作,于下年度一季度末前向中国人民银行或其住所地对业务数据开展一次风险评估,并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告,并按照行政法规要求向对应的网信部门报送。除法律、行政法规已明确应当评估的内容外,风险评估报告还应当重点评估下列风险,并提出改进应对措施:
(一)数据分类分级实施制度、 违规数据处理活动定责 规程和问责处罚措施 、数据处理活动全流程数据安全管理制 度和相关操作规程的建设情况;
( 二 )数据安全决策、 管理、 执行、 监督各层面职责划 分和对应岗位设置是否明确、 合理 , 实际职责落实情况;
(三) 包含与存储重要数据信息系统相关的人员培训和与日常管理情况;
( 四) 重要数据识别判定情况 , 处理重要数据的目的、 范围、 规模、 方式、 类型、 存储期限和存储地点等情况;
(五) 重要数据相关的数据处理活动记录信息的真实 性与完整性;
(六) 重要数据相关的数据处理活动全流程管理和技 术措施执行情况及其有效性;
(七) 存储重要数据信息系统的,与业务数据相关的岗位职责落实情况、网络安全等级保护测 评和问题整改落实情况;
(八) 重要数据相关的数据处理活动风险监测预警和 溯源排查情况;
(九)数据安全事件定级判定标准建设情况 , 应急预 案、 应急处置流程设计与演练实施情况 , 以及本年度发生的 数据安全、保护措施执行情况、本年度风险监测和事件及处置情况;
(十) 向其他数据处理者提供重要数据的风险评估报告。
第四十四条(数据安全审计)数据处理者应当围绕全流 程数据安全管理制度和相关操作规程执行情况 、数据安全相 关投诉处理情况 ,每年至少开展一次与数据安全相关的合规 审计 。 发生重大以上数据安全事件后 ,应当及时开展专项审 计 , 督促数据处理活动过程留痕 , 安全保障责任落实到人。
第四十五条(数据安全风险评估与审计的安全保障)数 据处理者应当细化管控数据安全风险评估人员和审计人员使用数据的权限 ,并采取有效措施确保实施过程安全 。 鼓励 数据处理者建立技术平台 ,统一建立数据安全风险评估与审 计的安全管控策略。
数据安全风险评估报告和审计报告不得记录第四层级 以上数据项 。报告保存期限不得短于实施过程中使用数据的 存储期限 , 且最短不得低于三年。
委托检测机构、 审计机构开展数据安全风险评估或者审 计工作时 ,数据处理者应当在合同协议中明确其数据安全保 护责任 , 并指定本单位人员全程参与,以及中国人民银行要求的其他评估内容。
第四十六条(数据安全事件定级判定)三条数据处理者应当 按照国家网络安全事件应急预案有关事件分级要求 ,综合考 虑影响范围和程度 ,细化明确各等级业务数据安全事件对应的定 级判定分级标准:
(一)对于业务数据被篡改、 破坏的事件 ,定级分级的标准应当考 虑不同业务连续性保障等级信息系统信息系统数据恢复点目标、无法正常提供服务的时长、 受影响的业务笔数与金额、 和金额、受影响的个人或者组织数量、 损失的 各不同敏感性层级数据项情况和对应数据规模、 带来的舆情影响 等;等因素。
( 二 )对于数据泄露事件 ,定级标准应当考虑涉及的个 (二)业务数据泄露事件分级的标准应当考虑受影响个人或者组织数量、 泄露的各不同敏感性层级数据项情况和对应数 据规模、 带来的舆情影响等;规模等因素。
(三)涉及核心数据、 重要数据泄露或者被篡改、破坏的安全事件 ,应当分别 定分级为特别重大事件、 重大事件。
第四十七条(数据安全事件响应处置)四条数据处理者应当 将做好业务数据安全事件纳入网络安全事件应急响应机制统一管理, 制定相关应急预案 ,做好事件定级、 处置、 总结、 报告、 整改工作 ,按照规程向中国人民银行或其住所地分支机构、 其 他分级,发生业务数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并按照中国人民银行要求及时、准确、完整报告事件情况。
数据接收方、委托处理受托人发生与数据处理者所提供业务数据相关的数据安全事件的,数据处理者应当开展调查评估,督促相关机构立即采取补救措施并向有关主管部门报告事件信息。
重要数据的处理者应当每年至少开展一次针对业务数据安全事件 的应急演练 ,确保应急处置措施的效率和效果。
合作的数据接收方、 委托处理受托人发生与本单位所提 供数据相关的数据安全事件时,其他数据处理者应当每三年至少开展一次针对业务数据安全事件的应急演练。
第四十五条数据处理者应当对照法律、行政法规和本办法所列安全保护措施要求,以及本机构业务数据安全相关管理制度和操作规程的执行情况,每三年至少开展一次业务数据安全合规审计,重要数据的处理者应当每年至少开展一次与重要数据安全相关的合规审计。发生重大或者特别重大事件后,应当开展专项审计。审计应当重点关注业务数据资源目录是否及时更新、相关信息系统账号权限管理是否严密、业务数据处理活动相关合同或者协议是否完备、高敏感性数据项安全保护措施是否有效、数据委托处理受托人管理职责是否落实、前置网关和应用程序接口是否持续安全维护、数据安全风险监测是否有效、数据安全风险与事件处置是否及时、数据出境是否合规、数据安全投诉处理是否及时等情况。
第四十六条 ,数据处理者应当立即开展调 查评估 , 督促其及时采取补救措施加强风险评估人员和审计人员使用业务数据权限的管理,采取必要措施确保实施过程的业务数据安全。
与业务数据相关的风险评估报告和审计报告记录高敏感性数据项时应当进行脱敏处理。
第七数据处理者委托第三方评估机构、审计机构开展与业务数据相关的风险评估或者审计工作的,应当在合同或者协议中明确其数据安全保护义务和对应责任,指定本机构人员全程参与。涉及会计审计服务的,还应当按照国家网信部门和财政部门要求,进一步加强相关业务数据安全保护。
第六章法律责任
第四十八条(监督管理责任履行)第四十七条 中国人民银行及其分 支机构 ,按照管辖权对数据处理者数据发现数据处理者的业务数据处理活动存在较大安全风险时,可以对其进行约谈和要求其采取措施进行整改;发现影响或者可能影响国家安全的业务数据处理活动线索时,可以要求数据处理者按照国家有关规定进行国家安全审查。
中国人民银行及其分支机构按照职责可以对数据处理者与业务数据相关的数据安全保护义务落实情 况开展执法检查 。 ,必要时可以与其他有关主管部门联合组织 对数据处理者的实施执法检查 。
第四十八条 中国人民银行及其分支机构在执 法检查过程中发现数据处理者的在业务数据处理活动存在较大安全风险时 ,依照《中华人民共和国中未履行数据出境安全法》 第四十四条 予以处理; 发现影响或者可能影响国家安全的数据处理活动 线索时 ,应当及时报国家数据安全工作协调机制办公室 ,研 判是否启动国家数据安全审查评估或者保护认证等义务的,应当将相关案件信息移送同级网信部门,并配合其予以处理。
第四十九条(违反数据安全保护义务行为的处理)在本 办法适用范围内 , 数据处理者未履行本办法规定的数据安全保护义务 ,有 下列情形之一的 , 中国人民银行及其分支机构依照《中华人 民共和国数据安全法》 第四十五条规定予以处理罚:
(一)未按照本办法第十二条规定 , 明确或者压实数据安全保护责任;
( 二 )未按照本办法第十三条规定 依照法律、行政法规对应规定,建立健全全流程业务数 据安全管理制度;的。
(三)未按照本办法第十四条规定 ,制定数据安全年度 培训计划 , 未组织开展相关
二)未依照法律、行政法规对应规定,组织开展业务数据安全教育培训;的。
( 四) 除本办法第五十条、 第五十一条规定情形外 ,未 对应采取本办法第四章和第五章所规定的数据安全保护管 理措施或者技术措施;(三)未依照法律、行政法规对应规定,采取相应的技术措施和其他必要措施,保障业务数据安全的。
(四)重要数据的处理者未明确业务数据安全负责人和管理机构的。
(五)未按照本办法第四十条、 第四十一条规定 ,做好 数据处理活动风险监测或者数据安全风险情报监测;有效监测业务数据安全风险的。
(六)未按照本办法第四十二条规定 ,接收、 核查、 处 置和反馈中国人民银行或其分支机构通报的数据安全风险 情报;发现业务数据安全风险未立即采取补救措施的。
(七) 重要数据的处理者未按照本办法第四十三条规 定 ,每年组织开展一次全面的数据安全风险评估并按时发生业务数据安全事件未立即采取处置措施,未及时告知用户,或者未按照要求报告事件情况的。
(八)重要数据的处理者未每年对业务数据开展一次风险评估,或者未按照要求报送 风险评估报告;
(八) 发生数据安全事件时 ,未按照本办法第四十七条 规定 ,做好响应处置各项工作。
数据处理者未履行本办法提出的数据安全保护义务 ,其 他有关法律、 行政法规作出规定的 , 中国人民银行及其分支 机构依照相关规定予以处理的。
第五十条(违反规定数据出境行为的处理) 中国人民银行及其分支机构执法检查发现数据处理者未履行本办法第二十六条规定的数据境内存储义务 ,按照《中华人民共和国 网络安全法》第六十六条规定和有开展业务数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照相关法律、 行政法规的规定 予以处理; 发现数据处理者未履行本办法第二十六条规定的 数据出境安全评估申报义务 ,将相关案件信息移送同级网信 部门 , ,属于其他有关主管部门管理职责的,移送相关案件信息并配合其依法依规予以处理。
第五十一条(违反规定向国际组织或者外国金融管理部门提供数据行为的处理)数据处理者未履行本办法第二十 七条规定 ,未经中国人民银行和其他有关主管部门批准 , 向 国际组织或者外国金融管理部门提供境内存储的数据时 , 中 国人民银行及其分支机构依照《中华人民共和国数据安全法》第四十八条第二款规定予以处理; 所提供数据涉及个人 信息的 ,依照《中华人民共和国个人信息保护法》 第六十六 条规定予以处理。
第五十二条(非法获取数据行为的处理) 中国人民银行 及其分支机构执法检查发现数据处理者存在窃取或者以其他非法方式获取数据的行为时 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动,涉嫌构成违反治安管理行为或者构成犯罪的,将相关案件信息移送同级公 安机关、 国家安全机关 , 等有关主管部门,并配合其依法依规予以处理。
第五十三条(处理数据损害合法权益行为的处理) 中国 人民银行及其分支机构执法检查发现数据处理者开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的 , 依照《中华人民共和国反不正当竞争法》《中华人民共和国反垄断法》 《中华人民共和国消费者权益保护法》 等法律, 将相关案件信息移送承担执法职责的有关主管部门 ,并配合 其依法依规予以处理二条数据处理者发生业务数据安全事件造成危害后果,如能证明本机构已按照规定采取数据安全保护措施,并立即采取补救措施的,应当对其从轻或者减轻行政处罚。
数据处理者积极提供数据安全风险情报,协助及时发现重大业务数据安全风险的,应当对其未履行数据安全保护义务但尚未造成危害后果的行为,从轻或者减轻行政处罚。
第五十四条(监督管理人员违反规定行为的处理)三条 中国 人民银行及其分支机构工作人员在业务数据处理活动的安全监督管理过程中存在玩忽职守、 滥用职权、 徇私舞弊情形的 ,按照法律、 行政法规规定 给予处分; 涉嫌犯罪的 ,依法移送监察机关或者司法机关处 理,依法给予处分。
第八第七章附 则
第五十五条(名词定义) 第五十四条术语定义:
(一) 网络数据 ,是指通过网络收集、 存储、 传输、 处 理和产生的各种电子数据 ,表现形式为由一条或者多条信息 记录组成的集合;
( 二 )数据数据项 ,是指描述网络数据结构最基本的、 不可 分割的单位;。
(三) (二)结构化数据项 ,是指具有预定义的抽象描述数据 类型 , 通常为使用数据库二 维逻辑表中单一字段指代的数据 项;项。
( 四)(三)非结构化数据项 ,是指没有预定义的抽象描述数 据类型 ,并且不适宜用数据库二维逻辑表展现的数据项 ,如图像、 视频、 音频、 文档文件等;。
(五)数据处理活动 ,是指数据收集、 存储、 使用、 加 工、 传输、 提供、 公开、 删除等活动;
(四)终端设备,是指数据处理者在业务数据处理活动中所用的计算机终端、移动智能终端、音视频和多媒体设备、其他专用终端设备。
(五)导出方式,是指数据使用或者提供活动中,将原本具有严格访问权限控制和访问日志记录的业务数据,转换成未实施严格访问控制或者无访问日志记录的文档文件的操作方式。
(六)数据处理者 核验方式,是指业务数据使用或者提供活动中,经核实验证后,仅反馈与存储业务数据是否匹配的操作方式。
(七)统一规范管理,是指开展数据处理活动的金融机构 和其他机构;
(七)本办法所称 “ 以上 ”均含本级者在本机构制度或者操作规程中对不执行本办法所提原则性合规要求的情形予以集中列举,并说明保留此类情形的必要性、对应需采取的安全保护措施和需履行的必要内部审批程序。
第五十六条(解释权)五条本办法由中国人民银行负责解释 。 国家外汇领域数据安全管理由国家外汇管理局负责 ,具 体制度可另行制定。
第五十七条(生效期)六条本办法自 2024 年 × ×月× × 日 5年6月30日起施行。
《办法》原文
中国人民银行令〔2025〕第3号(中国人民银行业务领域数据安全管理办法)
《中国人民银行业务领域数据安全管理办法》已经2025年4月2日中国人民银行第5次行务会议审议通过,现予发布,自2025年6月30日起施行。
行 长 潘功胜
2025年5月1日
《中国人民银行业务领域数据安全管理办法》
第一章 总 则
第一条 为规范中国人民银行业务领域数据的安全管理并促进开发利用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理,适用本办法。其他有关主管部门有规定的,还应当依法遵守其规定。
本办法所称中国人民银行业务领域,指依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督和管理职责的业务领域。
本办法所称中国人民银行业务领域数据,指中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据(以下简称业务数据)。
本办法所称数据处理者,指金融机构以及经中国人民银行批准设立或者认定的其他机构。
第三条 业务数据安全工作遵循“谁管业务,谁管业务数据,谁管数据安全”原则。中国人民银行对业务数据安全负指导监管责任。数据处理者应当履行数据安全保护义务,防范业务数据被篡改、破坏、泄露或者非法获取、非法利用等风险,保障国家安全、公共利益、个人及组织合法权益,尊重社会公德伦理,遵守商业道德和职业道德,保障业务数据依法有序自由流动。
第四条 在国家数据安全工作协调机制统筹协调下,中国人民银行及其分支机构按照本办法开展业务数据安全监督管理工作,加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通。
相关金融行业协会应当加强自律管理,依法制定业务数据安全行为规范和团体标准,指导会员加强业务数据安全保护。
第五条 鼓励数据处理者积极开展业务数据安全创新应用,在保障安全合规前提下促进业务数据的高效流通和开发利用,鼓励在行业内推广优秀创新成果。
第二章 业务数据分类分级与总体要求
第六条 中国人民银行负责制定业务数据分类分级保护相关规范标准,指导业务数据分类分级保护工作,组织编制中国人民银行业务领域重要数据目录并实施动态管理。
第七条 数据处理者应当建立健全业务数据分类分级制度和操作规程。业务数据分类分级实施应当遵循制度规程,分类分级结果应当履行内部审批程序。
第八条 数据处理者应当建立业务数据资源目录,并从业务关联性、敏感性和可用性方面分别做好业务数据分类:
(一)标识各数据项是否为个人信息、是否为外部收集产生、存储该数据项的信息系统清单和关联的业务类别。
(二)根据业务数据遭到泄露或者被非法获取、非法利用时,对个人、组织合法权益或者公共利益等造成的危害程度开展敏感性分类。业务数据的结构化数据项应当逐一标识敏感性,业务数据的非结构化数据项应当优先按照可拆分的各结构化数据项所标识的最高敏感性,标识其敏感性。中国人民银行业务领域内的敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等,应当标识为高敏感性数据项。
(三)根据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度,明确信息系统差异化的数据恢复点目标,视为对业务数据的可用性分类。
第九条 按照国家有关规定,将业务数据分为一般数据、重要数据、核心数据三级。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度,一旦被非法使用或者共享,可能直接影响政治安全的重要数据。
中国人民银行按照国家有关规定组织确定重要数据具体目录,数据处理者应当准确识别、申报本机构存储的全量业务数据是否属于重要数据、核心数据,并填报重要数据具体目录内容。
中国人民银行汇总形成重要数据具体目录,经国家数据安全工作协调机制审定后,确定重要数据的处理者并告知其对应的重要数据。
除单独说明的情形外,本办法所列重要数据的保护义务,均适用于核心数据。
第十条 数据处理者应当每年至少更新一次业务数据资源目录,完整准确记录信息系统所存储数据项和对应标识内容。
第十一条 数据处理者应当切实履行业务数据安全保护责任,明确业务数据安全保护相关内设部门职责,配备与业务范围和服务规模相适应的数据安全专业人员,细化业务数据安全保护奖惩规程。
面向社会提供产品、服务的数据处理者应当建立便捷的投诉、举报渠道,及时受理并处理业务数据安全有关投诉、举报。
重要数据的处理者应当明确业务数据的安全负责人和管理机构。管理机构应当切实履行法律、行政法规已明确的各项责任。业务数据的安全负责人应当符合法律、行政法规已明确需具备的条件,并确保其能够有效履行数据安全保护义务,有权直接向中国人民银行报告业务数据安全情况。
第十二条 数据处理者应当建立健全全流程业务数据安全管理制度,结合业务数据分类分级明确差异化的安全保护措施,制定业务数据处理活动操作规程和业务数据安全相关内部审批授权规程,明确操作实施和审批授权记录的留存要求。
不同敏感性数据项在同一个业务数据处理活动中被处理,且难以采取差异化安全保护措施的,应当采取高敏感性数据项对应的安全保护措施。
第十三条 数据处理者应当根据岗位分工,制定业务数据安全年度培训计划,每年组织业务数据处理活动参与人员开展相关教育培训。培训内容应当包括与业务数据安全相关的制度标准、风险防范常识、岗位责任、保护措施和事件应急处置要求。
第三章 全流程业务数据安全管理要求
第十四条 数据处理者应当严格管理处理业务数据相关信息系统数据库管理员账号等特权账号和各类业务处理账号的权限,人员变动时应当立即调整权限。数据处理者应当与可使用高敏感性数据项账号的人员签订保密协议。
数据处理者存储核心数据的,应当对业务数据的安全负责人和可使用核心数据的关键岗位人员进行安全背景审查。
第十五条 数据处理者收集业务数据应当采取下列安全保护管理措施:
(一)除收集自行公开或者其他已经合法公开的业务数据的情形外,收集业务数据时应当依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权,并落实相应告知义务。
(二)非直接面向个人、组织收集其尚未公开的业务数据的,应当在合同或者协议中明确数据提供方保障业务数据来源合法性、真实性的义务。数据提供方未取得个人书面同意或者组织书面授权的,还应当要求其出具业务数据来源依法合规和数据真实性的必要佐证材料。
(三)采用人工录入方式收集业务数据的,应当采取必要校验措施保障业务数据录入的准确性,按照相关管理要求留存业务数据收集原始凭证。
(四)原则上不收集图像等原始个人生物识别信息。确需收集的,应当统一规范管理相关需求场景。
(五)按照与数据提供方合同或者协议中约定的处理目的、方式、范围以及安全保护义务等开展收集和后续的业务数据处理活动。
第十六条 数据处理者应当根据业务需要,明确业务数据保存期限。除履行法定职责或者法定义务外,高敏感性数据项原则上不在终端设备和移动介质中存储,确需存储的,数据处理者应当统一规范管理相关需求场景。
第十七条 业务数据使用活动中,数据处理者使用高敏感性数据项,原则上不采取导出方式,使用用于身份鉴别的数据项原则上仅采取核验方式。确需采取导出方式使用高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的,数据处理者应当统一规范管理相关需求场景。
除根据个人请求向其展示与其相关业务数据,以及履行法定职责或者法定义务所需外,数据处理者原则上须实施脱敏处理后再展示高敏感性数据项。确需不脱敏展示的,数据处理者应当统一规范管理相关需求场景。
第十八条 数据处理者应当审查业务数据加工目的与业务数据收集约定是否一致;需要训练业务数据的,应当审查训练业务数据的真实性、准确性、客观性、多样性;需要标注业务数据的,应当抽样审查标注的合理性与准确性;需要建立模型评价激励规则的,应当审查评价激励规则是否尊重社会公德伦理、遵守商业道德和职业道德。
业务数据加工活动中,数据处理者加工高敏感性数据项的,应当进一步明确应当采取的安全保护措施,并履行内部审批程序;基于加工生成的数据项面向个人提供自动化决策服务的,应当以适当方式向个人解释说明处理目的、用于加工的个人信息种类和加工规则。
第十九条 对于业务数据加工活动产生新数据项,经评估其敏感性明显低于加工所使用数据项的,数据处理者可遵循规程降低其敏感性标识,促进依法合规开发利用。
对于业务数据加工活动产生新数据项,经评估其敏感性明显高于加工所使用数据项的,数据处理者应当提高其敏感性标识,并加强业务数据安全保护。
第二十条 除根据个人请求向其传输与其相关业务数据外,数据处理者原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项。确有需要的,数据处理者应当统一规范管理相关需求场景。
第二十一条 从事业务所需的业务数据提供活动,数据处理者应当核验数据接收方身份,并采取下列安全保护管理措施:
(一)对于涉及个人信息的业务数据提供活动,应当评估是否遵守法律、行政法规要求。对于其他业务数据提供活动,应当评估是否符合保守商业秘密的约定。
(二)向其他数据处理者提供业务数据涉及个人信息和重要数据的,应当在合同或者协议中明确各自的数据安全保护义务,需要采取的安全保护措施,数据提供的目的、方式、范围,数据允许存储时限,数据提供至第三方的限制和数据安全事件告知义务,并对数据接收方履行约定义务的情况进行监督。
(三)按照约定做好业务数据清洗转换,对提供数据的真实性作必要审查,不得误导数据接收方。
(四)除委托处理情形外,原则上不采取导出方式向其他数据处理者提供高敏感性数据项,用于身份鉴别的数据项原则上须采取核验方式提供。确需采取导出方式提供高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的,数据处理者应当统一规范管理相关需求场景。
第二十二条 数据处理者向其他数据处理者提供、委托处理、共同处理重要数据前,应当依照法律、行政法规和中国人民银行相关规定进行风险评估,并重点评估数据接收方数据处理目的和方式的合法正当性、数据项列表的需求合理性、数据活动的潜在安全风险、数据接收方诚信守法情况、合同或者协议内容的完备性、拟采取的安全保护措施等。
除履行法定职责或者法定义务外,数据处理者向其他数据处理者提供核心数据达到国家规定情形的,在提供业务数据之前应当经中国人民银行报国家数据安全工作协调机制开展风险评估。数据处理者不得通过拆分、转换等手段规避上述义务。
重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当依照法律、行政法规要求,事前向中国人民银行或者住所地中国人民银行省级分支机构报告重要数据处置方案,在方案中说明重要数据目录内容更新情况、数据接收方的名称或者姓名和联系方式等。
第二十三条 数据处理者采用隐私计算等技术促进业务数据融合创新应用的,应当落实本办法第二十一条第一项至第三项要求,并确认除本机构外其他数据处理者无法使用未加密原始数据、与其他数据融合创新应用活动作关联分析无法泄露约定范围外的信息。
第二十四条 数据处理者因业务等需要向中华人民共和国境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定;法律、行政法规和中国人民银行相关规定有境内存储要求的,业务数据还应当同时在中华人民共和国境内存储。
符合国家网信部门规定应当申报数据出境安全评估或者开展保护认证等情形的,数据处理者不得对业务数据采取拆分、转换等手段规避相关义务。
第二十五条 中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国金融执法机构关于提供业务数据的请求。
第二十六条 数据处理者应当审核业务数据公开活动的目的、数据项列表、渠道、时限和脱敏处理情况,分析研判可能产生的不利影响,审查业务数据的合法性、真实性,并通过本机构明确的官方渠道公开业务数据。确需通过其他渠道公开的,应当明确采用的安全保护措施并履行内部审批程序。
业务数据处理活动中,数据处理者不得公开用于身份鉴别的数据项,公开其他高敏感性数据项原则上须作脱敏处理。确需不作脱敏处理的,数据处理者应当统一规范管理相关需求场景。
第二十七条 数据处理者应当依照法律、行政法规和中国人民银行相关规定,主动删除处理目的已实现、处理目的无法实现、为实现处理目的不再必要或者约定保存期限已届满等情形的业务数据。
删除业务数据从技术上难以实现的,数据处理者应当停止除存储和采取必要的安全保护措施之外的业务数据处理活动,并每年至少实施一次审查,确认相关业务数据不可被使用。
第二十八条 数据处理者委托处理业务数据,除落实本办法第二十一条第二项要求外,还应当在合同或者协议中明确受托人需报告的重要事项、委托处理事项完成后传输和删除业务数据的实施方式与时限要求、配合本机构监督其委托处理活动等义务,并采取定期评估等方式监督受托人履约情况。涉及核心数据的委托处理活动,数据处理者应当事前对受托人开展尽职调查,进一步加强对其的监督。
数据处理者应当将业务数据委托处理活动纳入业务或者信息科技外包管理体系,加强风险管理。
中国人民银行已明确要求不得以外包形式开展业务的,相关业务数据不得委托处理。
第四章 全流程业务数据安全技术要求
第二十九条 数据处理者应当加强访问控制,采取有效技术措施管控业务数据处理账号的数据使用权限,明确特权账号的使用场景并加强使用时的内部审批授权。使用特权账号实施业务数据新增、删除、修改等人工操作时应当逐一开展事前审批和事后审查。使用特权账号开展自动化操作前应当对操作正确性和安全性进行必要检查。
数据处理者应当加强安全认证,保障业务数据处理账号和特权账号认证口令的强度,限制验证失败重试次数,可使用高敏感性数据项的账号应当支持多因素认证或者二次授权确认,并建立超时退出、访问通信地址变化等情形的重新验证机制。
第三十条 数据处理者应当规范日志记录,明确业务数据处理活动日志记录信息,满足数据安全风险溯源和事件处置需要。
业务数据处理活动日志记录高敏感性数据项原则上须经脱敏处理。确需不脱敏处理的,数据处理者应当统一规范管理相关需求场景。
数据处理者应当将业务数据处理活动日志纳入业务数据分类分级管理,落实安全保护要求。
数据处理者应当留存业务数据处理活动日志至少六个月;对于与存储重要数据信息系统相关的业务数据处理活动日志,应当留存至少一年;对于与存储核心数据信息系统相关的业务数据处理活动日志,应当留存至少三年。
数据处理者向其他数据处理者提供、委托处理个人信息、重要数据的业务数据处理活动日志等记录,应当留存至少三年。
第三十一条 数据处理者应当优先采用直接录入或者信息系统间交互的方式收集业务数据。采用直接录入方式收集业务数据的,应当验证录入人身份;采用信息系统间交互方式收集高敏感性数据项的,应当验证数据提供方身份。
数据处理者应当采取关联信息交叉核验等技术措施,尽可能保障收集业务数据的准确性。
数据处理者采用自动化工具方式从其他数据处理者收集业务数据的,应当遵守其数据收集的控制规则,不得干扰网络服务正常运行,不得侵害其他机构网络服务合法运营权益。
第三十二条 数据处理者应当针对业务数据存储活动采取下列安全保护措施:
(一)有效隔离信息系统开发测试环境与生产环境。
(二)存储重要数据的信息系统应当满足三级网络安全等级保护要求,存储核心数据的信息系统应当满足四级网络安全等级保护要求或者关键信息基础设施保护要求,并优先采购安全可信的网络产品和服务。
(三)原则上高敏感性数据项须加密存储,确需不加密存储的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的,按照其规定执行。
(四)及时评估并调整业务数据存储承载容量。对照信息系统数据恢复点目标,做好生产环境业务数据冗余备份,按照中国人民银行要求定期验证冗余备份业务数据的可用性。评估备份技术措施是否具备防范生产环境业务数据和冗余备份业务数据同时遭到篡改、破坏等风险的能力,并针对性加强安全保护措施。
第三十三条 数据处理者应当明确高敏感性数据项的脱敏处理策略,切实降低脱敏业务数据仍可识别至特定个人、组织的风险。
数据处理者应当建立终端设备安全管控策略,明确安全防护措施要求。业务数据展示、打印时应当采取技术措施标识当前使用业务数据的业务处理账号和使用时间。
除开发测试环境与生产环境业务数据安全保护措施完全一致的情形外,生产环境数据项用于开发测试环境的,应当履行内部审批程序并实施脱敏处理。
第三十四条 数据处理者应当建立业务数据加工算法风险评估和控制策略,明确可解释性、脆弱性等风险对应的防范或者缓释措施和停止使用加工算法开展自动化决策时的替代方案。
第三十五条 数据处理者应当针对业务数据传输活动采取下列安全保护措施:
(一)优先采取专用线路、虚拟专用网等技术加强业务数据传输安全保护。
(二)健全访问控制和安全隔离策略,加强相关终端设备准入控制。
(三)原则上高敏感性数据项须加密传输至其他数据处理者、其他数据中心或者互联网。确需不加密传输的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据传输有使用商用密码保护特别规定的,按照其规定执行。
(四)及时评估并调整通信线路的传输承载容量,加强通信线路和相关软硬件设备的冗余备份。
第三十六条 数据处理者应当动态维护本机构提供业务数据的前置网关和应用程序接口清单,并在前置网关和应用程序接口变更投产前开展安全测试,发现风险隐患立即采取补救措施。
数据处理者采用隐私计算等技术提供业务数据的,应当建立技术风险评估和控制策略,明确安全不可验证、性能不可接受等风险的应对措施。
第三十七条 数据处理者应当制定本机构公开的业务数据是否允许自动化工具收集的控制规则,并采取必要技术措施保障公开的业务数据不被篡改。
第三十八条 数据处理者应当明确业务数据存储介质销毁策略,规范销毁实施方式和过程监督程序。
第五章 业务数据安全风险与事件管理
第三十九条 数据处理者应当加强业务数据处理活动风险监测,有效识别下列风险并立即采取补救措施:
(一)存在法律、行政法规禁止发布传输的信息。
(二)存在计算机病毒、木马、勒索等恶意程序,数据安全漏洞、认证口令强度偏低等缺陷。
(三)高敏感性数据项安全保护措施失效。
(四)异常的业务数据处理活动。
(五)业务数据传输或者存储承载能力不足。
第四十条 数据处理者应当加强对业务数据泄露、业务数据被非法兜售、仿冒本机构身份处理业务数据,以及其他与本机构有关的业务数据安全负面舆情的风险监测,发现相关风险时应当立即核实处置。
第四十一条 中国人民银行及其分支机构通报与业务数据相关的数据安全缺陷、漏洞等风险时,数据处理者应当立即核实处置,并根据通报要求按时准确反馈情况。
鼓励数据处理者向中国人民银行及其分支机构提供具有行业共享价值的业务数据安全风险情报。
第四十二条 重要数据的处理者应当自行或者委托第三方评估机构,每年对业务数据开展一次风险评估,并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。除法律、行政法规已明确应当评估的内容外,风险评估报告还应当包含与存储重要数据信息系统相关的人员培训与日常管理情况,与业务数据相关的岗位职责落实情况、网络安全等级保护测评和整改情况、保护措施执行情况、本年度风险监测和事件处置情况,以及中国人民银行要求的其他评估内容。
第四十三条 数据处理者应当按照国家网络安全事件应急预案有关事件分级要求,综合考虑影响范围和程度,明确业务数据安全事件对应的分级标准:
(一)业务数据被篡改、破坏事件分级的标准应当考虑信息系统数据恢复点目标、无法正常提供服务时长、受影响业务笔数和金额、受影响个人或者组织数量、损失的不同敏感性数据项和对应规模等因素。
(二)业务数据泄露事件分级的标准应当考虑受影响个人或者组织数量、泄露的不同敏感性数据项和对应规模等因素。
(三)涉及核心数据、重要数据泄露或者被篡改、破坏的安全事件,应当分别分级为特别重大事件、重大事件。
第四十四条 数据处理者应当做好业务数据安全事件分级,发生业务数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并按照中国人民银行要求及时、准确、完整报告事件情况。
数据接收方、委托处理受托人发生与数据处理者所提供业务数据相关的数据安全事件的,数据处理者应当开展调查评估,督促相关机构立即采取补救措施并向有关主管部门报告。
重要数据的处理者应当每年至少开展一次针对业务数据安全事件的应急演练,其他数据处理者应当每三年至少开展一次针对业务数据安全事件的应急演练。
第四十五条 数据处理者应当对照法律、行政法规和本办法所列安全保护措施要求,以及本机构业务数据安全相关管理制度和操作规程的执行情况,每三年至少开展一次业务数据安全合规审计,重要数据的处理者应当每年至少开展一次与重要数据安全相关的合规审计。发生重大或者特别重大事件后,应当开展专项审计。审计应当重点关注业务数据资源目录是否及时更新、相关信息系统账号权限管理是否严密、业务数据处理活动相关合同或者协议是否完备、高敏感性数据项安全保护措施是否有效、数据委托处理受托人管理职责是否落实、前置网关和应用程序接口是否持续安全维护、数据安全风险监测是否有效、数据安全风险与事件处置是否及时、数据出境是否合规、数据安全投诉处理是否及时等情况。
第四十六条 数据处理者应当加强风险评估人员和审计人员使用业务数据权限的管理,采取必要措施确保实施过程的业务数据安全。
与业务数据相关的风险评估报告和审计报告记录高敏感性数据项时应当进行脱敏处理。
数据处理者委托第三方评估机构、审计机构开展与业务数据相关的风险评估或者审计工作的,应当在合同或者协议中明确其数据安全保护义务和对应责任,指定本机构人员全程参与。涉及会计审计服务的,还应当按照国家网信部门和财政部门要求,进一步加强相关业务数据安全保护。
第六章 法律责任
第四十七条 中国人民银行及其分支机构发现数据处理者的业务数据处理活动存在较大安全风险时,可以对其进行约谈和要求其采取措施进行整改;发现影响或者可能影响国家安全的业务数据处理活动线索时,可以要求数据处理者按照国家有关规定进行国家安全审查。
中国人民银行及其分支机构按照职责可以对数据处理者与业务数据相关的数据安全保护义务落实情况开展执法检查,必要时可以与其他有关主管部门联合实施执法检查。
第四十八条 中国人民银行及其分支机构发现数据处理者在业务数据处理活动中未履行数据出境安全评估或者保护认证等义务的,应当将相关案件信息移送同级网信部门,并配合其予以处理。
第四十九条 数据处理者未履行本办法规定的数据安全保护义务,有下列情形之一的,中国人民银行及其分支机构依照《中华人民共和国数据安全法》第四十五条予以处罚:
(一)未依照法律、行政法规对应规定,建立健全全流程业务数据安全管理制度的。
(二)未依照法律、行政法规对应规定,组织开展业务数据安全教育培训的。
(三)未依照法律、行政法规对应规定,采取相应的技术措施和其他必要措施,保障业务数据安全的。
(四)重要数据的处理者未明确业务数据安全负责人和管理机构的。
(五)未有效监测业务数据安全风险的。
(六)发现业务数据安全风险未立即采取补救措施的。
(七)发生业务数据安全事件未立即采取处置措施,未及时告知用户,或者未按照要求报告事件情况的。
(八)重要数据的处理者未每年对业务数据开展一次风险评估,或者未按照要求报送风险评估报告的。
第五十条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照相关法律、行政法规予以处理,属于其他有关主管部门管理职责的,移送相关案件信息并配合其予以处理。
第五十一条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动,涉嫌构成违反治安管理行为或者构成犯罪的,将相关案件信息移送同级公安机关、国家安全机关等有关主管部门,并配合其予以处理。
第五十二条 数据处理者发生业务数据安全事件造成危害后果,如能证明本机构已按照规定采取数据安全保护措施,并立即采取补救措施的,应当对其从轻或者减轻行政处罚。
数据处理者积极提供数据安全风险情报,协助及时发现重大业务数据安全风险的,应当对其未履行数据安全保护义务但尚未造成危害后果的行为,从轻或者减轻行政处罚。
第五十三条 中国人民银行及其分支机构工作人员在业务数据处理活动的安全监督管理过程中存在玩忽职守、滥用职权、徇私舞弊情形的,依法给予处分。
第七章 附 则
第五十四条 术语定义:
(一)数据项,是指描述网络数据结构最基本的、不可分割的单位。
(二)结构化数据项,是指具有预定义的抽象描述数据类型,通常为使用数据库二维逻辑表单一字段指代的数据项。
(三)非结构化数据项,是指不适宜用数据库二维逻辑表展现的数据项,如图像、视频、音频、文档文件等。
(四)终端设备,是指数据处理者在业务数据处理活动中所用的计算机终端、移动智能终端、音视频和多媒体设备、其他专用终端设备。
(五)导出方式,是指数据使用或者提供活动中,将原本具有严格访问权限控制和访问日志记录的业务数据,转换成未实施严格访问控制或者无访问日志记录的文档文件的操作方式。
(六)核验方式,是指业务数据使用或者提供活动中,经核实验证后,仅反馈与存储业务数据是否匹配的操作方式。
(七)统一规范管理,是指数据处理者在本机构制度或者操作规程中对不执行本办法所提原则性合规要求的情形予以集中列举,并说明保留此类情形的必要性、对应需采取的安全保护措施和需履行的必要内部审批程序。
第五十五条 本办法由中国人民银行负责解释。
第五十六条 本办法自2025年6月30日起施行。
来源:中国人民银行官网
http://www.pbc.gov.cn/tiaofasi/144941/144957/5702602/index.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
