中國人民銀行業(yè)務領域數據安全管理辦法
(2025年5月1日中國人民銀行令〔2025〕第3號公布 自2025年6月30日起施行)
《中國人民銀行業(yè)務領域數據安全管理辦法》已經2025年4月2日中國人民銀行第5次行務會議審議通過,現予發(fā)布,自2025年6月30日起施行。
行 長 潘功勝
2025年5月1日
中國人民銀行業(yè)務領域數據安全管理辦法
第一章 總 則
第一條 為規(guī)范中國人民銀行業(yè)務領域數據的安全管理并促進開發(fā)利用,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國中國人民銀行法》《網絡數據安全管理條例》等法律、行政法規(guī),制定本辦法。
第二條 在中華人民共和國境內開展與中國人民銀行業(yè)務領域數據相關的處理活動及其安全監(jiān)督管理,適用本辦法。其他有關主管部門有規(guī)定的,還應當依法遵守其規(guī)定。
本辦法所稱中國人民銀行業(yè)務領域,指依據法律、行政法規(guī),黨中央、國務院決定,由中國人民銀行承擔監(jiān)督和管理職責的業(yè)務領域。
本辦法所稱中國人民銀行業(yè)務領域數據,指中國人民銀行業(yè)務領域內產生和收集的不涉及國家秘密的網絡數據(以下簡稱業(yè)務數據)。
本辦法所稱數據處理者,指金融機構以及經中國人民銀行批準設立或者認定的其他機構。
第三條 業(yè)務數據安全工作遵循“誰管業(yè)務,誰管業(yè)務數據,誰管數據安全”原則。中國人民銀行對業(yè)務數據安全負指導監(jiān)管責任。數據處理者應當履行數據安全保護義務,防范業(yè)務數據被篡改、破壞、泄露或者非法獲取、非法利用等風險,保障國家安全、公共利益、個人及組織合法權益,尊重社會公德倫理,遵守商業(yè)道德和職業(yè)道德,保障業(yè)務數據依法有序自由流動。
第四條 在國家數據安全工作協調機制統(tǒng)籌協調下,中國人民銀行及其分支機構按照本辦法開展業(yè)務數據安全監(jiān)督管理工作,加強與其他有關主管部門間的數據安全監(jiān)督管理協作配合、信息溝通。
相關金融行業(yè)協會應當加強自律管理,依法制定業(yè)務數據安全行為規(guī)范和團體標準,指導會員加強業(yè)務數據安全保護。
第五條 鼓勵數據處理者積極開展業(yè)務數據安全創(chuàng)新應用,在保障安全合規(guī)前提下促進業(yè)務數據的高效流通和開發(fā)利用,鼓勵在行業(yè)內推廣優(yōu)秀創(chuàng)新成果。
第二章 業(yè)務數據分類分級與總體要求
第六條 中國人民銀行負責制定業(yè)務數據分類分級保護相關規(guī)范標準,指導業(yè)務數據分類分級保護工作,組織編制中國人民銀行業(yè)務領域重要數據目錄并實施動態(tài)管理。
第七條 數據處理者應當建立健全業(yè)務數據分類分級制度和操作規(guī)程。業(yè)務數據分類分級實施應當遵循制度規(guī)程,分類分級結果應當履行內部審批程序。
第八條 數據處理者應當建立業(yè)務數據資源目錄,并從業(yè)務關聯性、敏感性和可用性方面分別做好業(yè)務數據分類:
(一)標識各數據項是否為個人信息、是否為外部收集產生、存儲該數據項的信息系統(tǒng)清單和關聯的業(yè)務類別。
(二)根據業(yè)務數據遭到泄露或者被非法獲取、非法利用時,對個人、組織合法權益或者公共利益等造成的危害程度開展敏感性分類。業(yè)務數據的結構化數據項應當逐一標識敏感性,業(yè)務數據的非結構化數據項應當優(yōu)先按照可拆分的各結構化數據項所標識的最高敏感性,標識其敏感性。中國人民銀行業(yè)務領域內的敏感個人信息、可能涉及商業(yè)秘密的客戶經營信息、應當嚴格控制知悉范圍的業(yè)務信息等,應當標識為高敏感性數據項。
(三)根據業(yè)務數據遭到篡改、破壞后對業(yè)務正常運行造成的影響程度,明確信息系統(tǒng)差異化的數據恢復點目標,視為對業(yè)務數據的可用性分類。
第九條 按照國家有關規(guī)定,將業(yè)務數據分為一般數據、重要數據、核心數據三級。重要數據是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩(wěn)定、公共健康和安全的數據。核心數據是指對領域、群體、區(qū)域具有較高覆蓋度或者達到較高精度、較大規(guī)模、一定深度,一旦被非法使用或者共享,可能直接影響政治安全的重要數據。
中國人民銀行按照國家有關規(guī)定組織確定重要數據具體目錄,數據處理者應當準確識別、申報本機構存儲的全量業(yè)務數據是否屬于重要數據、核心數據,并填報重要數據具體目錄內容。
中國人民銀行匯總形成重要數據具體目錄,經國家數據安全工作協調機制審定后,確定重要數據的處理者并告知其對應的重要數據。
除單獨說明的情形外,本辦法所列重要數據的保護義務,均適用于核心數據。
第十條 數據處理者應當每年至少更新一次業(yè)務數據資源目錄,完整準確記錄信息系統(tǒng)所存儲數據項和對應標識內容。
第十一條 數據處理者應當切實履行業(yè)務數據安全保護責任,明確業(yè)務數據安全保護相關內設部門職責,配備與業(yè)務范圍和服務規(guī)模相適應的數據安全專業(yè)人員,細化業(yè)務數據安全保護獎懲規(guī)程。
面向社會提供產品、服務的數據處理者應當建立便捷的投訴、舉報渠道,及時受理并處理業(yè)務數據安全有關投訴、舉報。
重要數據的處理者應當明確業(yè)務數據的安全負責人和管理機構。管理機構應當切實履行法律、行政法規(guī)已明確的各項責任。業(yè)務數據的安全負責人應當符合法律、行政法規(guī)已明確需具備的條件,并確保其能夠有效履行數據安全保護義務,有權直接向中國人民銀行報告業(yè)務數據安全情況。
第十二條 數據處理者應當建立健全全流程業(yè)務數據安全管理制度,結合業(yè)務數據分類分級明確差異化的安全保護措施,制定業(yè)務數據處理活動操作規(guī)程和業(yè)務數據安全相關內部審批授權規(guī)程,明確操作實施和審批授權記錄的留存要求。
不同敏感性數據項在同一個業(yè)務數據處理活動中被處理,且難以采取差異化安全保護措施的,應當采取高敏感性數據項對應的安全保護措施。
第十三條 數據處理者應當根據崗位分工,制定業(yè)務數據安全年度培訓計劃,每年組織業(yè)務數據處理活動參與人員開展相關教育培訓。培訓內容應當包括與業(yè)務數據安全相關的制度標準、風險防范常識、崗位責任、保護措施和事件應急處置要求。
第三章 全流程業(yè)務數據安全管理要求
第十四條 數據處理者應當嚴格管理處理業(yè)務數據相關信息系統(tǒng)數據庫管理員賬號等特權賬號和各類業(yè)務處理賬號的權限,人員變動時應當立即調整權限。數據處理者應當與可使用高敏感性數據項賬號的人員簽訂保密協議。
數據處理者存儲核心數據的,應當對業(yè)務數據的安全負責人和可使用核心數據的關鍵崗位人員進行安全背景審查。
第十五條 數據處理者收集業(yè)務數據應當采取下列安全保護管理措施:
(一)除收集自行公開或者其他已經合法公開的業(yè)務數據的情形外,收集業(yè)務數據時應當依照法律、行政法規(guī)和中國人民銀行相關規(guī)定取得個人同意或者組織授權,并落實相應告知義務。
(二)非直接面向個人、組織收集其尚未公開的業(yè)務數據的,應當在合同或者協議中明確數據提供方保障業(yè)務數據來源合法性、真實性的義務。數據提供方未取得個人書面同意或者組織書面授權的,還應當要求其出具業(yè)務數據來源依法合規(guī)和數據真實性的必要佐證材料。
(三)采用人工錄入方式收集業(yè)務數據的,應當采取必要校驗措施保障業(yè)務數據錄入的準確性,按照相關管理要求留存業(yè)務數據收集原始憑證。
(四)原則上不收集圖像等原始個人生物識別信息。確需收集的,應當統(tǒng)一規(guī)范管理相關需求場景。
(五)按照與數據提供方合同或者協議中約定的處理目的、方式、范圍以及安全保護義務等開展收集和后續(xù)的業(yè)務數據處理活動。
第十六條 數據處理者應當根據業(yè)務需要,明確業(yè)務數據保存期限。除履行法定職責或者法定義務外,高敏感性數據項原則上不在終端設備和移動介質中存儲,確需存儲的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。
第十七條 業(yè)務數據使用活動中,數據處理者使用高敏感性數據項,原則上不采取導出方式,使用用于身份鑒別的數據項原則上僅采取核驗方式。確需采取導出方式使用高敏感性數據項或者采取其他方式使用用于身份鑒別的數據項的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。
除根據個人請求向其展示與其相關業(yè)務數據,以及履行法定職責或者法定義務所需外,數據處理者原則上須實施脫敏處理后再展示高敏感性數據項。確需不脫敏展示的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。
第十八條 數據處理者應當審查業(yè)務數據加工目的與業(yè)務數據收集約定是否一致;需要訓練業(yè)務數據的,應當審查訓練業(yè)務數據的真實性、準確性、客觀性、多樣性;需要標注業(yè)務數據的,應當抽樣審查標注的合理性與準確性;需要建立模型評價激勵規(guī)則的,應當審查評價激勵規(guī)則是否尊重社會公德倫理、遵守商業(yè)道德和職業(yè)道德。
業(yè)務數據加工活動中,數據處理者加工高敏感性數據項的,應當進一步明確應當采取的安全保護措施,并履行內部審批程序;基于加工生成的數據項面向個人提供自動化決策服務的,應當以適當方式向個人解釋說明處理目的、用于加工的個人信息種類和加工規(guī)則。
第十九條 對于業(yè)務數據加工活動產生新數據項,經評估其敏感性明顯低于加工所使用數據項的,數據處理者可遵循規(guī)程降低其敏感性標識,促進依法合規(guī)開發(fā)利用。
對于業(yè)務數據加工活動產生新數據項,經評估其敏感性明顯高于加工所使用數據項的,數據處理者應當提高其敏感性標識,并加強業(yè)務數據安全保護。
第二十條 除根據個人請求向其傳輸與其相關業(yè)務數據外,數據處理者原則上不使用郵件、即時通訊、在線文件存儲等互聯網信息服務或者移動介質傳輸高敏感性數據項。確有需要的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。
第二十一條 從事業(yè)務所需的業(yè)務數據提供活動,數據處理者應當核驗數據接收方身份,并采取下列安全保護管理措施:
(一)對于涉及個人信息的業(yè)務數據提供活動,應當評估是否遵守法律、行政法規(guī)要求。對于其他業(yè)務數據提供活動,應當評估是否符合保守商業(yè)秘密的約定。
(二)向其他數據處理者提供業(yè)務數據涉及個人信息和重要數據的,應當在合同或者協議中明確各自的數據安全保護義務,需要采取的安全保護措施,數據提供的目的、方式、范圍,數據允許存儲時限,數據提供至第三方的限制和數據安全事件告知義務,并對數據接收方履行約定義務的情況進行監(jiān)督。
(三)按照約定做好業(yè)務數據清洗轉換,對提供數據的真實性作必要審查,不得誤導數據接收方。
(四)除委托處理情形外,原則上不采取導出方式向其他數據處理者提供高敏感性數據項,用于身份鑒別的數據項原則上須采取核驗方式提供。確需采取導出方式提供高敏感性數據項或者采取其他方式使用用于身份鑒別的數據項的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。
第二十二條 數據處理者向其他數據處理者提供、委托處理、共同處理重要數據前,應當依照法律、行政法規(guī)和中國人民銀行相關規(guī)定進行風險評估,并重點評估數據接收方數據處理目的和方式的合法正當性、數據項列表的需求合理性、數據活動的潛在安全風險、數據接收方誠信守法情況、合同或者協議內容的完備性、擬采取的安全保護措施等。
除履行法定職責或者法定義務外,數據處理者向其他數據處理者提供核心數據達到國家規(guī)定情形的,在提供業(yè)務數據之前應當經中國人民銀行報國家數據安全工作協調機制開展風險評估。數據處理者不得通過拆分、轉換等手段規(guī)避上述義務。
重要數據的處理者因合并、分立、解散、破產等可能影響重要數據安全的,應當依照法律、行政法規(guī)要求,事前向中國人民銀行或者住所地中國人民銀行省級分支機構報告重要數據處置方案,在方案中說明重要數據目錄內容更新情況、數據接收方的名稱或者姓名和聯系方式等。
第二十三條 數據處理者采用隱私計算等技術促進業(yè)務數據融合創(chuàng)新應用的,應當落實本辦法第二十一條第一項至第三項要求,并確認除本機構外其他數據處理者無法使用未加密原始數據、與其他數據融合創(chuàng)新應用活動作關聯分析無法泄露約定范圍外的信息。
第二十四條 數據處理者因業(yè)務等需要向中華人民共和國境外提供數據,存在國家網信部門規(guī)定情形的,應當嚴格遵守其有關規(guī)定;法律、行政法規(guī)和中國人民銀行相關規(guī)定有境內存儲要求的,業(yè)務數據還應當同時在中華人民共和國境內存儲。
符合國家網信部門規(guī)定應當申報數據出境安全評估或者開展保護認證等情形的,數據處理者不得對業(yè)務數據采取拆分、轉換等手段規(guī)避相關義務。
第二十五條 中國人民銀行根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國金融執(zhí)法機構關于提供業(yè)務數據的請求。
第二十六條 數據處理者應當審核業(yè)務數據公開活動的目的、數據項列表、渠道、時限和脫敏處理情況,分析研判可能產生的不利影響,審查業(yè)務數據的合法性、真實性,并通過本機構明確的官方渠道公開業(yè)務數據。確需通過其他渠道公開的,應當明確采用的安全保護措施并履行內部審批程序。
業(yè)務數據處理活動中,數據處理者不得公開用于身份鑒別的數據項,公開其他高敏感性數據項原則上須作脫敏處理。確需不作脫敏處理的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。
第二十七條 數據處理者應當依照法律、行政法規(guī)和中國人民銀行相關規(guī)定,主動刪除處理目的已實現、處理目的無法實現、為實現處理目的不再必要或者約定保存期限已屆滿等情形的業(yè)務數據。
刪除業(yè)務數據從技術上難以實現的,數據處理者應當停止除存儲和采取必要的安全保護措施之外的業(yè)務數據處理活動,并每年至少實施一次審查,確認相關業(yè)務數據不可被使用。
第二十八條 數據處理者委托處理業(yè)務數據,除落實本辦法第二十一條第二項要求外,還應當在合同或者協議中明確受托人需報告的重要事項、委托處理事項完成后傳輸和刪除業(yè)務數據的實施方式與時限要求、配合本機構監(jiān)督其委托處理活動等義務,并采取定期評估等方式監(jiān)督受托人履約情況。涉及核心數據的委托處理活動,數據處理者應當事前對受托人開展盡職調查,進一步加強對其的監(jiān)督。
數據處理者應當將業(yè)務數據委托處理活動納入業(yè)務或者信息科技外包管理體系,加強風險管理。
中國人民銀行已明確要求不得以外包形式開展業(yè)務的,相關業(yè)務數據不得委托處理。
第四章 全流程業(yè)務數據安全技術要求
第二十九條 數據處理者應當加強訪問控制,采取有效技術措施管控業(yè)務數據處理賬號的數據使用權限,明確特權賬號的使用場景并加強使用時的內部審批授權。使用特權賬號實施業(yè)務數據新增、刪除、修改等人工操作時應當逐一開展事前審批和事后審查。使用特權賬號開展自動化操作前應當對操作正確性和安全性進行必要檢查。
數據處理者應當加強安全認證,保障業(yè)務數據處理賬號和特權賬號認證口令的強度,限制驗證失敗重試次數,可使用高敏感性數據項的賬號應當支持多因素認證或者二次授權確認,并建立超時退出、訪問通信地址變化等情形的重新驗證機制。
第三十條 數據處理者應當規(guī)范日志記錄,明確業(yè)務數據處理活動日志記錄信息,滿足數據安全風險溯源和事件處置需要。
業(yè)務數據處理活動日志記錄高敏感性數據項原則上須經脫敏處理。確需不脫敏處理的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。
數據處理者應當將業(yè)務數據處理活動日志納入業(yè)務數據分類分級管理,落實安全保護要求。
數據處理者應當留存業(yè)務數據處理活動日志至少六個月;對于與存儲重要數據信息系統(tǒng)相關的業(yè)務數據處理活動日志,應當留存至少一年;對于與存儲核心數據信息系統(tǒng)相關的業(yè)務數據處理活動日志,應當留存至少三年。
數據處理者向其他數據處理者提供、委托處理個人信息、重要數據的業(yè)務數據處理活動日志等記錄,應當留存至少三年。
第三十一條 數據處理者應當優(yōu)先采用直接錄入或者信息系統(tǒng)間交互的方式收集業(yè)務數據。采用直接錄入方式收集業(yè)務數據的,應當驗證錄入人身份;采用信息系統(tǒng)間交互方式收集高敏感性數據項的,應當驗證數據提供方身份。
數據處理者應當采取關聯信息交叉核驗等技術措施,盡可能保障收集業(yè)務數據的準確性。
數據處理者采用自動化工具方式從其他數據處理者收集業(yè)務數據的,應當遵守其數據收集的控制規(guī)則,不得干擾網絡服務正常運行,不得侵害其他機構網絡服務合法運營權益。
第三十二條 數據處理者應當針對業(yè)務數據存儲活動采取下列安全保護措施:
(一)有效隔離信息系統(tǒng)開發(fā)測試環(huán)境與生產環(huán)境。
(二)存儲重要數據的信息系統(tǒng)應當滿足三級網絡安全等級保護要求,存儲核心數據的信息系統(tǒng)應當滿足四級網絡安全等級保護要求或者關鍵信息基礎設施保護要求,并優(yōu)先采購安全可信的網絡產品和服務。
(三)原則上高敏感性數據項須加密存儲,確需不加密存儲的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。中國人民銀行對業(yè)務數據存儲有使用商用密碼保護特別規(guī)定的,按照其規(guī)定執(zhí)行。
(四)及時評估并調整業(yè)務數據存儲承載容量。對照信息系統(tǒng)數據恢復點目標,做好生產環(huán)境業(yè)務數據冗余備份,按照中國人民銀行要求定期驗證冗余備份業(yè)務數據的可用性。評估備份技術措施是否具備防范生產環(huán)境業(yè)務數據和冗余備份業(yè)務數據同時遭到篡改、破壞等風險的能力,并針對性加強安全保護措施。
第三十三條 數據處理者應當明確高敏感性數據項的脫敏處理策略,切實降低脫敏業(yè)務數據仍可識別至特定個人、組織的風險。
數據處理者應當建立終端設備安全管控策略,明確安全防護措施要求。業(yè)務數據展示、打印時應當采取技術措施標識當前使用業(yè)務數據的業(yè)務處理賬號和使用時間。
除開發(fā)測試環(huán)境與生產環(huán)境業(yè)務數據安全保護措施完全一致的情形外,生產環(huán)境數據項用于開發(fā)測試環(huán)境的,應當履行內部審批程序并實施脫敏處理。
第三十四條 數據處理者應當建立業(yè)務數據加工算法風險評估和控制策略,明確可解釋性、脆弱性等風險對應的防范或者緩釋措施和停止使用加工算法開展自動化決策時的替代方案。
第三十五條 數據處理者應當針對業(yè)務數據傳輸活動采取下列安全保護措施:
(一)優(yōu)先采取專用線路、虛擬專用網等技術加強業(yè)務數據傳輸安全保護。
(二)健全訪問控制和安全隔離策略,加強相關終端設備準入控制。
(三)原則上高敏感性數據項須加密傳輸至其他數據處理者、其他數據中心或者互聯網。確需不加密傳輸的,數據處理者應當統(tǒng)一規(guī)范管理相關需求場景。中國人民銀行對業(yè)務數據傳輸有使用商用密碼保護特別規(guī)定的,按照其規(guī)定執(zhí)行。
(四)及時評估并調整通信線路的傳輸承載容量,加強通信線路和相關軟硬件設備的冗余備份。
第三十六條 數據處理者應當動態(tài)維護本機構提供業(yè)務數據的前置網關和應用程序接口清單,并在前置網關和應用程序接口變更投產前開展安全測試,發(fā)現風險隱患立即采取補救措施。
數據處理者采用隱私計算等技術提供業(yè)務數據的,應當建立技術風險評估和控制策略,明確安全不可驗證、性能不可接受等風險的應對措施。
第三十七條 數據處理者應當制定本機構公開的業(yè)務數據是否允許自動化工具收集的控制規(guī)則,并采取必要技術措施保障公開的業(yè)務數據不被篡改。
第三十八條 數據處理者應當明確業(yè)務數據存儲介質銷毀策略,規(guī)范銷毀實施方式和過程監(jiān)督程序。
第五章 業(yè)務數據安全風險與事件管理
第三十九條 數據處理者應當加強業(yè)務數據處理活動風險監(jiān)測,有效識別下列風險并立即采取補救措施:
(一)存在法律、行政法規(guī)禁止發(fā)布傳輸的信息。
(二)存在計算機病毒、木馬、勒索等惡意程序,數據安全漏洞、認證口令強度偏低等缺陷。
(三)高敏感性數據項安全保護措施失效。
(四)異常的業(yè)務數據處理活動。
(五)業(yè)務數據傳輸或者存儲承載能力不足。
第四十條 數據處理者應當加強對業(yè)務數據泄露、業(yè)務數據被非法兜售、仿冒本機構身份處理業(yè)務數據,以及其他與本機構有關的業(yè)務數據安全負面輿情的風險監(jiān)測,發(fā)現相關風險時應當立即核實處置。
第四十一條 中國人民銀行及其分支機構通報與業(yè)務數據相關的數據安全缺陷、漏洞等風險時,數據處理者應當立即核實處置,并根據通報要求按時準確反饋情況。
鼓勵數據處理者向中國人民銀行及其分支機構提供具有行業(yè)共享價值的業(yè)務數據安全風險情報。
第四十二條 重要數據的處理者應當自行或者委托第三方評估機構,每年對業(yè)務數據開展一次風險評估,并于每年1月15日前向中國人民銀行或者住所地中國人民銀行省級分支機構報送上一年度風險評估報告。除法律、行政法規(guī)已明確應當評估的內容外,風險評估報告還應當包含與存儲重要數據信息系統(tǒng)相關的人員培訓與日常管理情況,與業(yè)務數據相關的崗位職責落實情況、網絡安全等級保護測評和整改情況、保護措施執(zhí)行情況、本年度風險監(jiān)測和事件處置情況,以及中國人民銀行要求的其他評估內容。
第四十三條 數據處理者應當按照國家網絡安全事件應急預案有關事件分級要求,綜合考慮影響范圍和程度,明確業(yè)務數據安全事件對應的分級標準:
(一)業(yè)務數據被篡改、破壞事件分級的標準應當考慮信息系統(tǒng)數據恢復點目標、無法正常提供服務時長、受影響業(yè)務筆數和金額、受影響個人或者組織數量、損失的不同敏感性數據項和對應規(guī)模等因素。
(二)業(yè)務數據泄露事件分級的標準應當考慮受影響個人或者組織數量、泄露的不同敏感性數據項和對應規(guī)模等因素。
(三)涉及核心數據、重要數據泄露或者被篡改、破壞的安全事件,應當分別分級為特別重大事件、重大事件。
第四十四條 數據處理者應當做好業(yè)務數據安全事件分級,發(fā)生業(yè)務數據安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并按照中國人民銀行要求及時、準確、完整報告事件情況。
數據接收方、委托處理受托人發(fā)生與數據處理者所提供業(yè)務數據相關的數據安全事件的,數據處理者應當開展調查評估,督促相關機構立即采取補救措施并向有關主管部門報告。
重要數據的處理者應當每年至少開展一次針對業(yè)務數據安全事件的應急演練,其他數據處理者應當每三年至少開展一次針對業(yè)務數據安全事件的應急演練。
第四十五條 數據處理者應當對照法律、行政法規(guī)和本辦法所列安全保護措施要求,以及本機構業(yè)務數據安全相關管理制度和操作規(guī)程的執(zhí)行情況,每三年至少開展一次業(yè)務數據安全合規(guī)審計,重要數據的處理者應當每年至少開展一次與重要數據安全相關的合規(guī)審計。發(fā)生重大或者特別重大事件后,應當開展專項審計。審計應當重點關注業(yè)務數據資源目錄是否及時更新、相關信息系統(tǒng)賬號權限管理是否嚴密、業(yè)務數據處理活動相關合同或者協議是否完備、高敏感性數據項安全保護措施是否有效、數據委托處理受托人管理職責是否落實、前置網關和應用程序接口是否持續(xù)安全維護、數據安全風險監(jiān)測是否有效、數據安全風險與事件處置是否及時、數據出境是否合規(guī)、數據安全投訴處理是否及時等情況。
第四十六條 數據處理者應當加強風險評估人員和審計人員使用業(yè)務數據權限的管理,采取必要措施確保實施過程的業(yè)務數據安全。
與業(yè)務數據相關的風險評估報告和審計報告記錄高敏感性數據項時應當進行脫敏處理。
數據處理者委托第三方評估機構、審計機構開展與業(yè)務數據相關的風險評估或者審計工作的,應當在合同或者協議中明確其數據安全保護義務和對應責任,指定本機構人員全程參與。涉及會計審計服務的,還應當按照國家網信部門和財政部門要求,進一步加強相關業(yè)務數據安全保護。
第六章 法律責任
第四十七條 中國人民銀行及其分支機構發(fā)現數據處理者的業(yè)務數據處理活動存在較大安全風險時,可以對其進行約談和要求其采取措施進行整改;發(fā)現影響或者可能影響國家安全的業(yè)務數據處理活動線索時,可以要求數據處理者按照國家有關規(guī)定進行國家安全審查。
中國人民銀行及其分支機構按照職責可以對數據處理者與業(yè)務數據相關的數據安全保護義務落實情況開展執(zhí)法檢查,必要時可以與其他有關主管部門聯合實施執(zhí)法檢查。
第四十八條 中國人民銀行及其分支機構發(fā)現數據處理者在業(yè)務數據處理活動中未履行數據出境安全評估或者保護認證等義務的,應當將相關案件信息移送同級網信部門,并配合其予以處理。
第四十九條 數據處理者未履行本辦法規(guī)定的數據安全保護義務,有下列情形之一的,中國人民銀行及其分支機構依照《中華人民共和國數據安全法》第四十五條予以處罰:
(一)未依照法律、行政法規(guī)對應規(guī)定,建立健全全流程業(yè)務數據安全管理制度的。
(二)未依照法律、行政法規(guī)對應規(guī)定,組織開展業(yè)務數據安全教育培訓的。
(三)未依照法律、行政法規(guī)對應規(guī)定,采取相應的技術措施和其他必要措施,保障業(yè)務數據安全的。
(四)重要數據的處理者未明確業(yè)務數據安全負責人和管理機構的。
(五)未有效監(jiān)測業(yè)務數據安全風險的。
(六)發(fā)現業(yè)務數據安全風險未立即采取補救措施的。
(七)發(fā)生業(yè)務數據安全事件未立即采取處置措施,未及時告知用戶,或者未按照要求報告事件情況的。
(八)重要數據的處理者未每年對業(yè)務數據開展一次風險評估,或者未按照要求報送風險評估報告的。
第五十條 中國人民銀行及其分支機構發(fā)現數據處理者開展業(yè)務數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照相關法律、行政法規(guī)予以處理,屬于其他有關主管部門管理職責的,移送相關案件信息并配合其予以處理。
第五十一條 中國人民銀行及其分支機構發(fā)現數據處理者開展業(yè)務數據處理活動,涉嫌構成違反治安管理行為或者構成犯罪的,將相關案件信息移送同級公安機關、國家安全機關等有關主管部門,并配合其予以處理。
第五十二條 數據處理者發(fā)生業(yè)務數據安全事件造成危害后果,如能證明本機構已按照規(guī)定采取數據安全保護措施,并立即采取補救措施的,應當對其從輕或者減輕行政處罰。
數據處理者積極提供數據安全風險情報,協助及時發(fā)現重大業(yè)務數據安全風險的,應當對其未履行數據安全保護義務但尚未造成危害后果的行為,從輕或者減輕行政處罰。
第五十三條 中國人民銀行及其分支機構工作人員在業(yè)務數據處理活動的安全監(jiān)督管理過程中存在玩忽職守、濫用職權、徇私舞弊情形的,依法給予處分。
第七章 附 則
第五十四條 術語定義:
(一)數據項,是指描述網絡數據結構最基本的、不可分割的單位。
(二)結構化數據項,是指具有預定義的抽象描述數據類型,通常為使用數據庫二維邏輯表單一字段指代的數據項。
(三)非結構化數據項,是指不適宜用數據庫二維邏輯表展現的數據項,如圖像、視頻、音頻、文檔文件等。
(四)終端設備,是指數據處理者在業(yè)務數據處理活動中所用的計算機終端、移動智能終端、音視頻和多媒體設備、其他專用終端設備。
(五)導出方式,是指數據使用或者提供活動中,將原本具有嚴格訪問權限控制和訪問日志記錄的業(yè)務數據,轉換成未實施嚴格訪問控制或者無訪問日志記錄的文檔文件的操作方式。
(六)核驗方式,是指業(yè)務數據使用或者提供活動中,經核實驗證后,僅反饋與存儲業(yè)務數據是否匹配的操作方式。
(七)統(tǒng)一規(guī)范管理,是指數據處理者在本機構制度或者操作規(guī)程中對不執(zhí)行本辦法所提原則性合規(guī)要求的情形予以集中列舉,并說明保留此類情形的必要性、對應需采取的安全保護措施和需履行的必要內部審批程序。
第五十五條 本辦法由中國人民銀行負責解釋。
第五十六條 本辦法自2025年6月30日起施行。
中國人民銀行發(fā)布