5月9日，據(jù)央行網(wǎng)站消息，《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》（以下簡稱《辦法》）已經(jīng)2025年4月2日中國人民銀行第5次行務(wù)會議審議通過，現(xiàn)予發(fā)布，自2025年6月30日起施行。

《辦法》共七章五十六條：第一章明確《辦法》制定依據(jù)、適用范圍、管理原則、工作機(jī)制等；第二章對數(shù)據(jù)資源目錄、分類分級、制度建設(shè)、操作規(guī)程等方面作出規(guī)定；第三章對數(shù)據(jù)收集、存儲、使用、加工、傳輸、公開、刪除等環(huán)節(jié)明確安全管理規(guī)定；第四章從數(shù)據(jù)存儲保護(hù)、數(shù)據(jù)備份、數(shù)據(jù)傳輸安全、算法風(fēng)險防控等方面明確安全技術(shù)規(guī)定；第五章對數(shù)據(jù)處理活動的風(fēng)險監(jiān)測、通報預(yù)警、評估與審計、事件分級、響應(yīng)處置等方面作出規(guī)定；第六章對中國人民銀行及其分支機(jī)構(gòu)的監(jiān)督管理責(zé)任落實(shí)和數(shù)據(jù)處理者違反規(guī)定行為的處置作出規(guī)定；第七章對術(shù)語定義、解釋權(quán)、施行日期作出規(guī)定。

下一步，中國人民銀行將組織實(shí)施好《辦法》，指導(dǎo)金融從業(yè)機(jī)構(gòu)依法依規(guī)保障業(yè)務(wù)數(shù)據(jù)安全，促進(jìn)業(yè)務(wù)數(shù)據(jù)開發(fā)利用，保護(hù)個人、組織的合法權(quán)益，筑牢金融安全防線。

中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法

第一章 總 則

第一條 為規(guī)范中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理并促進(jìn)開發(fā)利用，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國中國人民銀行法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī)，制定本辦法。

第二條 在中華人民共和國境內(nèi)開展與中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動及其安全監(jiān)督管理，適用本辦法。其他有關(guān)主管部門有規(guī)定的，還應(yīng)當(dāng)依法遵守其規(guī)定。

本辦法所稱中國人民銀行業(yè)務(wù)領(lǐng)域，指依據(jù)法律、行政法規(guī)，黨中央、國務(wù)院決定，由中國人民銀行承擔(dān)監(jiān)督和管理職責(zé)的業(yè)務(wù)領(lǐng)域。

本辦法所稱中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)，指中國人民銀行業(yè)務(wù)領(lǐng)域內(nèi)產(chǎn)生和收集的不涉及國家秘密的網(wǎng)絡(luò)數(shù)據(jù)（以下簡稱業(yè)務(wù)數(shù)據(jù)）。

本辦法所稱數(shù)據(jù)處理者，指金融機(jī)構(gòu)以及經(jīng)中國人民銀行批準(zhǔn)設(shè)立或者認(rèn)定的其他機(jī)構(gòu)。

第三條 業(yè)務(wù)數(shù)據(jù)安全工作遵循“誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全”原則。中國人民銀行對業(yè)務(wù)數(shù)據(jù)安全負(fù)指導(dǎo)監(jiān)管責(zé)任。數(shù)據(jù)處理者應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)，防范業(yè)務(wù)數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用等風(fēng)險，保障國家安全、公共利益、個人及組織合法權(quán)益，尊重社會公德倫理，遵守商業(yè)道德和職業(yè)道德，保障業(yè)務(wù)數(shù)據(jù)依法有序自由流動。

第四條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，中國人民銀行及其分支機(jī)構(gòu)按照本辦法開展業(yè)務(wù)數(shù)據(jù)安全監(jiān)督管理工作，加強(qiáng)與其他有關(guān)主管部門間的數(shù)據(jù)安全監(jiān)督管理協(xié)作配合、信息溝通。

相關(guān)金融行業(yè)協(xié)會應(yīng)當(dāng)加強(qiáng)自律管理，依法制定業(yè)務(wù)數(shù)據(jù)安全行為規(guī)范和團(tuán)體標(biāo)準(zhǔn)，指導(dǎo)會員加強(qiáng)業(yè)務(wù)數(shù)據(jù)安全保護(hù)。

第五條 鼓勵數(shù)據(jù)處理者積極開展業(yè)務(wù)數(shù)據(jù)安全創(chuàng)新應(yīng)用，在保障安全合規(guī)前提下促進(jìn)業(yè)務(wù)數(shù)據(jù)的高效流通和開發(fā)利用，鼓勵在行業(yè)內(nèi)推廣優(yōu)秀創(chuàng)新成果。

第二章 業(yè)務(wù)數(shù)據(jù)分類分級與總體要求

第六條 中國人民銀行負(fù)責(zé)制定業(yè)務(wù)數(shù)據(jù)分類分級保護(hù)相關(guān)規(guī)范標(biāo)準(zhǔn)，指導(dǎo)業(yè)務(wù)數(shù)據(jù)分類分級保護(hù)工作，組織編制中國人民銀行業(yè)務(wù)領(lǐng)域重要數(shù)據(jù)目錄并實(shí)施動態(tài)管理。

第七條 數(shù)據(jù)處理者應(yīng)當(dāng)建立健全業(yè)務(wù)數(shù)據(jù)分類分級制度和操作規(guī)程。業(yè)務(wù)數(shù)據(jù)分類分級實(shí)施應(yīng)當(dāng)遵循制度規(guī)程，分類分級結(jié)果應(yīng)當(dāng)履行內(nèi)部審批程序。

第八條 數(shù)據(jù)處理者應(yīng)當(dāng)建立業(yè)務(wù)數(shù)據(jù)資源目錄，并從業(yè)務(wù)關(guān)聯(lián)性、敏感性和可用性方面分別做好業(yè)務(wù)數(shù)據(jù)分類：

（一）標(biāo)識各數(shù)據(jù)項是否為個人信息、是否為外部收集產(chǎn)生、存儲該數(shù)據(jù)項的信息系統(tǒng)清單和關(guān)聯(lián)的業(yè)務(wù)類別。

（二）根據(jù)業(yè)務(wù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時，對個人、組織合法權(quán)益或者公共利益等造成的危害程度開展敏感性分類。業(yè)務(wù)數(shù)據(jù)的結(jié)構(gòu)化數(shù)據(jù)項應(yīng)當(dāng)逐一標(biāo)識敏感性，業(yè)務(wù)數(shù)據(jù)的非結(jié)構(gòu)化數(shù)據(jù)項應(yīng)當(dāng)優(yōu)先按照可拆分的各結(jié)構(gòu)化數(shù)據(jù)項所標(biāo)識的最高敏感性，標(biāo)識其敏感性。中國人民銀行業(yè)務(wù)領(lǐng)域內(nèi)的敏感個人信息、可能涉及商業(yè)秘密的客戶經(jīng)營信息、應(yīng)當(dāng)嚴(yán)格控制知悉范圍的業(yè)務(wù)信息等，應(yīng)當(dāng)標(biāo)識為高敏感性數(shù)據(jù)項。

（三）根據(jù)業(yè)務(wù)數(shù)據(jù)遭到篡改、破壞后對業(yè)務(wù)正常運(yùn)行造成的影響程度，明確信息系統(tǒng)差異化的數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)，視為對業(yè)務(wù)數(shù)據(jù)的可用性分類。

第九條 按照國家有關(guān)規(guī)定，將業(yè)務(wù)數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)三級。重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或者達(dá)到一定精度和規(guī)模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。核心數(shù)據(jù)是指對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或者達(dá)到較高精度、較大規(guī)模、一定深度，一旦被非法使用或者共享，可能直接影響政治安全的重要數(shù)據(jù)。

中國人民銀行按照國家有關(guān)規(guī)定組織確定重要數(shù)據(jù)具體目錄，數(shù)據(jù)處理者應(yīng)當(dāng)準(zhǔn)確識別、申報本機(jī)構(gòu)存儲的全量業(yè)務(wù)數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)，并填報重要數(shù)據(jù)具體目錄內(nèi)容。

中國人民銀行匯總形成重要數(shù)據(jù)具體目錄，經(jīng)國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制審定后，確定重要數(shù)據(jù)的處理者并告知其對應(yīng)的重要數(shù)據(jù)。

除單獨(dú)說明的情形外，本辦法所列重要數(shù)據(jù)的保護(hù)義務(wù)，均適用于核心數(shù)據(jù)。

第十條 數(shù)據(jù)處理者應(yīng)當(dāng)每年至少更新一次業(yè)務(wù)數(shù)據(jù)資源目錄，完整準(zhǔn)確記錄信息系統(tǒng)所存儲數(shù)據(jù)項和對應(yīng)標(biāo)識內(nèi)容。

第十一條 數(shù)據(jù)處理者應(yīng)當(dāng)切實(shí)履行業(yè)務(wù)數(shù)據(jù)安全保護(hù)責(zé)任，明確業(yè)務(wù)數(shù)據(jù)安全保護(hù)相關(guān)內(nèi)設(shè)部門職責(zé)，配備與業(yè)務(wù)范圍和服務(wù)規(guī)模相適應(yīng)的數(shù)據(jù)安全專業(yè)人員，細(xì)化業(yè)務(wù)數(shù)據(jù)安全保護(hù)獎懲規(guī)程。

面向社會提供產(chǎn)品、服務(wù)的數(shù)據(jù)處理者應(yīng)當(dāng)建立便捷的投訴、舉報渠道，及時受理并處理業(yè)務(wù)數(shù)據(jù)安全有關(guān)投訴、舉報。

重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確業(yè)務(wù)數(shù)據(jù)的安全負(fù)責(zé)人和管理機(jī)構(gòu)。管理機(jī)構(gòu)應(yīng)當(dāng)切實(shí)履行法律、行政法規(guī)已明確的各項責(zé)任。業(yè)務(wù)數(shù)據(jù)的安全負(fù)責(zé)人應(yīng)當(dāng)符合法律、行政法規(guī)已明確需具備的條件，并確保其能夠有效履行數(shù)據(jù)安全保護(hù)義務(wù)，有權(quán)直接向中國人民銀行報告業(yè)務(wù)數(shù)據(jù)安全情況。

第十二條 數(shù)據(jù)處理者應(yīng)當(dāng)建立健全全流程業(yè)務(wù)數(shù)據(jù)安全管理制度，結(jié)合業(yè)務(wù)數(shù)據(jù)分類分級明確差異化的安全保護(hù)措施，制定業(yè)務(wù)數(shù)據(jù)處理活動操作規(guī)程和業(yè)務(wù)數(shù)據(jù)安全相關(guān)內(nèi)部審批授權(quán)規(guī)程，明確操作實(shí)施和審批授權(quán)記錄的留存要求。

不同敏感性數(shù)據(jù)項在同一個業(yè)務(wù)數(shù)據(jù)處理活動中被處理，且難以采取差異化安全保護(hù)措施的，應(yīng)當(dāng)采取高敏感性數(shù)據(jù)項對應(yīng)的安全保護(hù)措施。

第十三條 數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)崗位分工，制定業(yè)務(wù)數(shù)據(jù)安全年度培訓(xùn)計劃，每年組織業(yè)務(wù)數(shù)據(jù)處理活動參與人員開展相關(guān)教育培訓(xùn)。培訓(xùn)內(nèi)容應(yīng)當(dāng)包括與業(yè)務(wù)數(shù)據(jù)安全相關(guān)的制度標(biāo)準(zhǔn)、風(fēng)險防范常識、崗位責(zé)任、保護(hù)措施和事件應(yīng)急處置要求。

第三章 全流程業(yè)務(wù)數(shù)據(jù)安全管理要求

第十四條 數(shù)據(jù)處理者應(yīng)當(dāng)嚴(yán)格管理處理業(yè)務(wù)數(shù)據(jù)相關(guān)信息系統(tǒng)數(shù)據(jù)庫管理員賬號等特權(quán)賬號和各類業(yè)務(wù)處理賬號的權(quán)限，人員變動時應(yīng)當(dāng)立即調(diào)整權(quán)限。數(shù)據(jù)處理者應(yīng)當(dāng)與可使用高敏感性數(shù)據(jù)項賬號的人員簽訂保密協(xié)議。

數(shù)據(jù)處理者存儲核心數(shù)據(jù)的，應(yīng)當(dāng)對業(yè)務(wù)數(shù)據(jù)的安全負(fù)責(zé)人和可使用核心數(shù)據(jù)的關(guān)鍵崗位人員進(jìn)行安全背景審查。

第十五條 數(shù)據(jù)處理者收集業(yè)務(wù)數(shù)據(jù)應(yīng)當(dāng)采取下列安全保護(hù)管理措施：

（一）除收集自行公開或者其他已經(jīng)合法公開的業(yè)務(wù)數(shù)據(jù)的情形外，收集業(yè)務(wù)數(shù)據(jù)時應(yīng)當(dāng)依照法律、行政法規(guī)和中國人民銀行相關(guān)規(guī)定取得個人同意或者組織授權(quán)，并落實(shí)相應(yīng)告知義務(wù)。

（二）非直接面向個人、組織收集其尚未公開的業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)在合同或者協(xié)議中明確數(shù)據(jù)提供方保障業(yè)務(wù)數(shù)據(jù)來源合法性、真實(shí)性的義務(wù)。數(shù)據(jù)提供方未取得個人書面同意或者組織書面授權(quán)的，還應(yīng)當(dāng)要求其出具業(yè)務(wù)數(shù)據(jù)來源依法合規(guī)和數(shù)據(jù)真實(shí)性的必要佐證材料。

（三）采用人工錄入方式收集業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)采取必要校驗(yàn)措施保障業(yè)務(wù)數(shù)據(jù)錄入的準(zhǔn)確性，按照相關(guān)管理要求留存業(yè)務(wù)數(shù)據(jù)收集原始憑證。

（四）原則上不收集圖像等原始個人生物識別信息。確需收集的，應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

（五）按照與數(shù)據(jù)提供方合同或者協(xié)議中約定的處理目的、方式、范圍以及安全保護(hù)義務(wù)等開展收集和后續(xù)的業(yè)務(wù)數(shù)據(jù)處理活動。

第十六條 數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)業(yè)務(wù)需要，明確業(yè)務(wù)數(shù)據(jù)保存期限。除履行法定職責(zé)或者法定義務(wù)外，高敏感性數(shù)據(jù)項原則上不在終端設(shè)備和移動介質(zhì)中存儲，確需存儲的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

第十七條 業(yè)務(wù)數(shù)據(jù)使用活動中，數(shù)據(jù)處理者使用高敏感性數(shù)據(jù)項，原則上不采取導(dǎo)出方式，使用用于身份鑒別的數(shù)據(jù)項原則上僅采取核驗(yàn)方式。確需采取導(dǎo)出方式使用高敏感性數(shù)據(jù)項或者采取其他方式使用用于身份鑒別的數(shù)據(jù)項的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

除根據(jù)個人請求向其展示與其相關(guān)業(yè)務(wù)數(shù)據(jù)，以及履行法定職責(zé)或者法定義務(wù)所需外，數(shù)據(jù)處理者原則上須實(shí)施脫敏處理后再展示高敏感性數(shù)據(jù)項。確需不脫敏展示的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

第十八條 數(shù)據(jù)處理者應(yīng)當(dāng)審查業(yè)務(wù)數(shù)據(jù)加工目的與業(yè)務(wù)數(shù)據(jù)收集約定是否一致；需要訓(xùn)練業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)審查訓(xùn)練業(yè)務(wù)數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、客觀性、多樣性；需要標(biāo)注業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)抽樣審查標(biāo)注的合理性與準(zhǔn)確性；需要建立模型評價激勵規(guī)則的，應(yīng)當(dāng)審查評價激勵規(guī)則是否尊重社會公德倫理、遵守商業(yè)道德和職業(yè)道德。

業(yè)務(wù)數(shù)據(jù)加工活動中，數(shù)據(jù)處理者加工高敏感性數(shù)據(jù)項的，應(yīng)當(dāng)進(jìn)一步明確應(yīng)當(dāng)采取的安全保護(hù)措施，并履行內(nèi)部審批程序；基于加工生成的數(shù)據(jù)項面向個人提供自動化決策服務(wù)的，應(yīng)當(dāng)以適當(dāng)方式向個人解釋說明處理目的、用于加工的個人信息種類和加工規(guī)則。

第十九條 對于業(yè)務(wù)數(shù)據(jù)加工活動產(chǎn)生新數(shù)據(jù)項，經(jīng)評估其敏感性明顯低于加工所使用數(shù)據(jù)項的，數(shù)據(jù)處理者可遵循規(guī)程降低其敏感性標(biāo)識，促進(jìn)依法合規(guī)開發(fā)利用。

對于業(yè)務(wù)數(shù)據(jù)加工活動產(chǎn)生新數(shù)據(jù)項，經(jīng)評估其敏感性明顯高于加工所使用數(shù)據(jù)項的，數(shù)據(jù)處理者應(yīng)當(dāng)提高其敏感性標(biāo)識，并加強(qiáng)業(yè)務(wù)數(shù)據(jù)安全保護(hù)。

第二十條 除根據(jù)個人請求向其傳輸與其相關(guān)業(yè)務(wù)數(shù)據(jù)外，數(shù)據(jù)處理者原則上不使用郵件、即時通訊、在線文件存儲等互聯(lián)網(wǎng)信息服務(wù)或者移動介質(zhì)傳輸高敏感性數(shù)據(jù)項。確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

第二十一條 從事業(yè)務(wù)所需的業(yè)務(wù)數(shù)據(jù)提供活動，數(shù)據(jù)處理者應(yīng)當(dāng)核驗(yàn)數(shù)據(jù)接收方身份，并采取下列安全保護(hù)管理措施：

（一）對于涉及個人信息的業(yè)務(wù)數(shù)據(jù)提供活動，應(yīng)當(dāng)評估是否遵守法律、行政法規(guī)要求。對于其他業(yè)務(wù)數(shù)據(jù)提供活動，應(yīng)當(dāng)評估是否符合保守商業(yè)秘密的約定。

（二）向其他數(shù)據(jù)處理者提供業(yè)務(wù)數(shù)據(jù)涉及個人信息和重要數(shù)據(jù)的，應(yīng)當(dāng)在合同或者協(xié)議中明確各自的數(shù)據(jù)安全保護(hù)義務(wù)，需要采取的安全保護(hù)措施，數(shù)據(jù)提供的目的、方式、范圍，數(shù)據(jù)允許存儲時限，數(shù)據(jù)提供至第三方的限制和數(shù)據(jù)安全事件告知義務(wù)，并對數(shù)據(jù)接收方履行約定義務(wù)的情況進(jìn)行監(jiān)督。

（三）按照約定做好業(yè)務(wù)數(shù)據(jù)清洗轉(zhuǎn)換，對提供數(shù)據(jù)的真實(shí)性作必要審查，不得誤導(dǎo)數(shù)據(jù)接收方。

（四）除委托處理情形外，原則上不采取導(dǎo)出方式向其他數(shù)據(jù)處理者提供高敏感性數(shù)據(jù)項，用于身份鑒別的數(shù)據(jù)項原則上須采取核驗(yàn)方式提供。確需采取導(dǎo)出方式提供高敏感性數(shù)據(jù)項或者采取其他方式使用用于身份鑒別的數(shù)據(jù)項的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

第二十二條 數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供、委托處理、共同處理重要數(shù)據(jù)前，應(yīng)當(dāng)依照法律、行政法規(guī)和中國人民銀行相關(guān)規(guī)定進(jìn)行風(fēng)險評估，并重點(diǎn)評估數(shù)據(jù)接收方數(shù)據(jù)處理目的和方式的合法正當(dāng)性、數(shù)據(jù)項列表的需求合理性、數(shù)據(jù)活動的潛在安全風(fēng)險、數(shù)據(jù)接收方誠信守法情況、合同或者協(xié)議內(nèi)容的完備性、擬采取的安全保護(hù)措施等。

除履行法定職責(zé)或者法定義務(wù)外，數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)達(dá)到國家規(guī)定情形的，在提供業(yè)務(wù)數(shù)據(jù)之前應(yīng)當(dāng)經(jīng)中國人民銀行報國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制開展風(fēng)險評估。數(shù)據(jù)處理者不得通過拆分、轉(zhuǎn)換等手段規(guī)避上述義務(wù)。

重要數(shù)據(jù)的處理者因合并、分立、解散、破產(chǎn)等可能影響重要數(shù)據(jù)安全的，應(yīng)當(dāng)依照法律、行政法規(guī)要求，事前向中國人民銀行或者住所地中國人民銀行省級分支機(jī)構(gòu)報告重要數(shù)據(jù)處置方案，在方案中說明重要數(shù)據(jù)目錄內(nèi)容更新情況、數(shù)據(jù)接收方的名稱或者姓名和聯(lián)系方式等。

第二十三條 數(shù)據(jù)處理者采用隱私計算等技術(shù)促進(jìn)業(yè)務(wù)數(shù)據(jù)融合創(chuàng)新應(yīng)用的，應(yīng)當(dāng)落實(shí)本辦法第二十一條第一項至第三項要求，并確認(rèn)除本機(jī)構(gòu)外其他數(shù)據(jù)處理者無法使用未加密原始數(shù)據(jù)、與其他數(shù)據(jù)融合創(chuàng)新應(yīng)用活動作關(guān)聯(lián)分析無法泄露約定范圍外的信息。

第二十四條 數(shù)據(jù)處理者因業(yè)務(wù)等需要向中華人民共和國境外提供數(shù)據(jù)，存在國家網(wǎng)信部門規(guī)定情形的，應(yīng)當(dāng)嚴(yán)格遵守其有關(guān)規(guī)定；法律、行政法規(guī)和中國人民銀行相關(guān)規(guī)定有境內(nèi)存儲要求的，業(yè)務(wù)數(shù)據(jù)還應(yīng)當(dāng)同時在中華人民共和國境內(nèi)存儲。

符合國家網(wǎng)信部門規(guī)定應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估或者開展保護(hù)認(rèn)證等情形的，數(shù)據(jù)處理者不得對業(yè)務(wù)數(shù)據(jù)采取拆分、轉(zhuǎn)換等手段規(guī)避相關(guān)義務(wù)。

第二十五條 中國人民銀行根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國金融執(zhí)法機(jī)構(gòu)關(guān)于提供業(yè)務(wù)數(shù)據(jù)的請求。

第二十六條 數(shù)據(jù)處理者應(yīng)當(dāng)審核業(yè)務(wù)數(shù)據(jù)公開活動的目的、數(shù)據(jù)項列表、渠道、時限和脫敏處理情況，分析研判可能產(chǎn)生的不利影響，審查業(yè)務(wù)數(shù)據(jù)的合法性、真實(shí)性，并通過本機(jī)構(gòu)明確的官方渠道公開業(yè)務(wù)數(shù)據(jù)。確需通過其他渠道公開的，應(yīng)當(dāng)明確采用的安全保護(hù)措施并履行內(nèi)部審批程序。

業(yè)務(wù)數(shù)據(jù)處理活動中，數(shù)據(jù)處理者不得公開用于身份鑒別的數(shù)據(jù)項，公開其他高敏感性數(shù)據(jù)項原則上須作脫敏處理。確需不作脫敏處理的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

第二十七條 數(shù)據(jù)處理者應(yīng)當(dāng)依照法律、行政法規(guī)和中國人民銀行相關(guān)規(guī)定，主動刪除處理目的已實(shí)現(xiàn)、處理目的無法實(shí)現(xiàn)、為實(shí)現(xiàn)處理目的不再必要或者約定保存期限已屆滿等情形的業(yè)務(wù)數(shù)據(jù)。

刪除業(yè)務(wù)數(shù)據(jù)從技術(shù)上難以實(shí)現(xiàn)的，數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的業(yè)務(wù)數(shù)據(jù)處理活動，并每年至少實(shí)施一次審查，確認(rèn)相關(guān)業(yè)務(wù)數(shù)據(jù)不可被使用。

第二十八條 數(shù)據(jù)處理者委托處理業(yè)務(wù)數(shù)據(jù)，除落實(shí)本辦法第二十一條第二項要求外，還應(yīng)當(dāng)在合同或者協(xié)議中明確受托人需報告的重要事項、委托處理事項完成后傳輸和刪除業(yè)務(wù)數(shù)據(jù)的實(shí)施方式與時限要求、配合本機(jī)構(gòu)監(jiān)督其委托處理活動等義務(wù)，并采取定期評估等方式監(jiān)督受托人履約情況。涉及核心數(shù)據(jù)的委托處理活動，數(shù)據(jù)處理者應(yīng)當(dāng)事前對受托人開展盡職調(diào)查，進(jìn)一步加強(qiáng)對其的監(jiān)督。

數(shù)據(jù)處理者應(yīng)當(dāng)將業(yè)務(wù)數(shù)據(jù)委托處理活動納入業(yè)務(wù)或者信息科技外包管理體系，加強(qiáng)風(fēng)險管理。

中國人民銀行已明確要求不得以外包形式開展業(yè)務(wù)的，相關(guān)業(yè)務(wù)數(shù)據(jù)不得委托處理。

第四章 全流程業(yè)務(wù)數(shù)據(jù)安全技術(shù)要求

第二十九條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)訪問控制，采取有效技術(shù)措施管控業(yè)務(wù)數(shù)據(jù)處理賬號的數(shù)據(jù)使用權(quán)限，明確特權(quán)賬號的使用場景并加強(qiáng)使用時的內(nèi)部審批授權(quán)。使用特權(quán)賬號實(shí)施業(yè)務(wù)數(shù)據(jù)新增、刪除、修改等人工操作時應(yīng)當(dāng)逐一開展事前審批和事后審查。使用特權(quán)賬號開展自動化操作前應(yīng)當(dāng)對操作正確性和安全性進(jìn)行必要檢查。

數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)安全認(rèn)證，保障業(yè)務(wù)數(shù)據(jù)處理賬號和特權(quán)賬號認(rèn)證口令的強(qiáng)度，限制驗(yàn)證失敗重試次數(shù)，可使用高敏感性數(shù)據(jù)項的賬號應(yīng)當(dāng)支持多因素認(rèn)證或者二次授權(quán)確認(rèn)，并建立超時退出、訪問通信地址變化等情形的重新驗(yàn)證機(jī)制。

第三十條 數(shù)據(jù)處理者應(yīng)當(dāng)規(guī)范日志記錄，明確業(yè)務(wù)數(shù)據(jù)處理活動日志記錄信息，滿足數(shù)據(jù)安全風(fēng)險溯源和事件處置需要。

業(yè)務(wù)數(shù)據(jù)處理活動日志記錄高敏感性數(shù)據(jù)項原則上須經(jīng)脫敏處理。確需不脫敏處理的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。

數(shù)據(jù)處理者應(yīng)當(dāng)將業(yè)務(wù)數(shù)據(jù)處理活動日志納入業(yè)務(wù)數(shù)據(jù)分類分級管理，落實(shí)安全保護(hù)要求。

數(shù)據(jù)處理者應(yīng)當(dāng)留存業(yè)務(wù)數(shù)據(jù)處理活動日志至少六個月；對于與存儲重要數(shù)據(jù)信息系統(tǒng)相關(guān)的業(yè)務(wù)數(shù)據(jù)處理活動日志，應(yīng)當(dāng)留存至少一年；對于與存儲核心數(shù)據(jù)信息系統(tǒng)相關(guān)的業(yè)務(wù)數(shù)據(jù)處理活動日志，應(yīng)當(dāng)留存至少三年。

數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供、委托處理個人信息、重要數(shù)據(jù)的業(yè)務(wù)數(shù)據(jù)處理活動日志等記錄，應(yīng)當(dāng)留存至少三年。

第三十一條 數(shù)據(jù)處理者應(yīng)當(dāng)優(yōu)先采用直接錄入或者信息系統(tǒng)間交互的方式收集業(yè)務(wù)數(shù)據(jù)。采用直接錄入方式收集業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)驗(yàn)證錄入人身份；采用信息系統(tǒng)間交互方式收集高敏感性數(shù)據(jù)項的，應(yīng)當(dāng)驗(yàn)證數(shù)據(jù)提供方身份。

數(shù)據(jù)處理者應(yīng)當(dāng)采取關(guān)聯(lián)信息交叉核驗(yàn)等技術(shù)措施，盡可能保障收集業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確性。

數(shù)據(jù)處理者采用自動化工具方式從其他數(shù)據(jù)處理者收集業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)遵守其數(shù)據(jù)收集的控制規(guī)則，不得干擾網(wǎng)絡(luò)服務(wù)正常運(yùn)行，不得侵害其他機(jī)構(gòu)網(wǎng)絡(luò)服務(wù)合法運(yùn)營權(quán)益。

第三十二條 數(shù)據(jù)處理者應(yīng)當(dāng)針對業(yè)務(wù)數(shù)據(jù)存儲活動采取下列安全保護(hù)措施：

（一）有效隔離信息系統(tǒng)開發(fā)測試環(huán)境與生產(chǎn)環(huán)境。

（二）存儲重要數(shù)據(jù)的信息系統(tǒng)應(yīng)當(dāng)滿足三級網(wǎng)絡(luò)安全等級保護(hù)要求，存儲核心數(shù)據(jù)的信息系統(tǒng)應(yīng)當(dāng)滿足四級網(wǎng)絡(luò)安全等級保護(hù)要求或者關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求，并優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

（三）原則上高敏感性數(shù)據(jù)項須加密存儲，確需不加密存儲的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。中國人民銀行對業(yè)務(wù)數(shù)據(jù)存儲有使用商用密碼保護(hù)特別規(guī)定的，按照其規(guī)定執(zhí)行。

（四）及時評估并調(diào)整業(yè)務(wù)數(shù)據(jù)存儲承載容量。對照信息系統(tǒng)數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)，做好生產(chǎn)環(huán)境業(yè)務(wù)數(shù)據(jù)冗余備份，按照中國人民銀行要求定期驗(yàn)證冗余備份業(yè)務(wù)數(shù)據(jù)的可用性。評估備份技術(shù)措施是否具備防范生產(chǎn)環(huán)境業(yè)務(wù)數(shù)據(jù)和冗余備份業(yè)務(wù)數(shù)據(jù)同時遭到篡改、破壞等風(fēng)險的能力，并針對性加強(qiáng)安全保護(hù)措施。

第三十三條 數(shù)據(jù)處理者應(yīng)當(dāng)明確高敏感性數(shù)據(jù)項的脫敏處理策略，切實(shí)降低脫敏業(yè)務(wù)數(shù)據(jù)仍可識別至特定個人、組織的風(fēng)險。

數(shù)據(jù)處理者應(yīng)當(dāng)建立終端設(shè)備安全管控策略，明確安全防護(hù)措施要求。業(yè)務(wù)數(shù)據(jù)展示、打印時應(yīng)當(dāng)采取技術(shù)措施標(biāo)識當(dāng)前使用業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)處理賬號和使用時間。

除開發(fā)測試環(huán)境與生產(chǎn)環(huán)境業(yè)務(wù)數(shù)據(jù)安全保護(hù)措施完全一致的情形外，生產(chǎn)環(huán)境數(shù)據(jù)項用于開發(fā)測試環(huán)境的，應(yīng)當(dāng)履行內(nèi)部審批程序并實(shí)施脫敏處理。

第三十四條 數(shù)據(jù)處理者應(yīng)當(dāng)建立業(yè)務(wù)數(shù)據(jù)加工算法風(fēng)險評估和控制策略，明確可解釋性、脆弱性等風(fēng)險對應(yīng)的防范或者緩釋措施和停止使用加工算法開展自動化決策時的替代方案。

第三十五條 數(shù)據(jù)處理者應(yīng)當(dāng)針對業(yè)務(wù)數(shù)據(jù)傳輸活動采取下列安全保護(hù)措施：

（一）優(yōu)先采取專用線路、虛擬專用網(wǎng)等技術(shù)加強(qiáng)業(yè)務(wù)數(shù)據(jù)傳輸安全保護(hù)。

（二）健全訪問控制和安全隔離策略，加強(qiáng)相關(guān)終端設(shè)備準(zhǔn)入控制。

（三）原則上高敏感性數(shù)據(jù)項須加密傳輸至其他數(shù)據(jù)處理者、其他數(shù)據(jù)中心或者互聯(lián)網(wǎng)。確需不加密傳輸?shù)模瑪?shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場景。中國人民銀行對業(yè)務(wù)數(shù)據(jù)傳輸有使用商用密碼保護(hù)特別規(guī)定的，按照其規(guī)定執(zhí)行。

（四）及時評估并調(diào)整通信線路的傳輸承載容量，加強(qiáng)通信線路和相關(guān)軟硬件設(shè)備的冗余備份。

第三十六條 數(shù)據(jù)處理者應(yīng)當(dāng)動態(tài)維護(hù)本機(jī)構(gòu)提供業(yè)務(wù)數(shù)據(jù)的前置網(wǎng)關(guān)和應(yīng)用程序接口清單，并在前置網(wǎng)關(guān)和應(yīng)用程序接口變更投產(chǎn)前開展安全測試，發(fā)現(xiàn)風(fēng)險隱患立即采取補(bǔ)救措施。

數(shù)據(jù)處理者采用隱私計算等技術(shù)提供業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)建立技術(shù)風(fēng)險評估和控制策略，明確安全不可驗(yàn)證、性能不可接受等風(fēng)險的應(yīng)對措施。

第三十七條 數(shù)據(jù)處理者應(yīng)當(dāng)制定本機(jī)構(gòu)公開的業(yè)務(wù)數(shù)據(jù)是否允許自動化工具收集的控制規(guī)則，并采取必要技術(shù)措施保障公開的業(yè)務(wù)數(shù)據(jù)不被篡改。

第三十八條 數(shù)據(jù)處理者應(yīng)當(dāng)明確業(yè)務(wù)數(shù)據(jù)存儲介質(zhì)銷毀策略，規(guī)范銷毀實(shí)施方式和過程監(jiān)督程序。

第五章 業(yè)務(wù)數(shù)據(jù)安全風(fēng)險與事件管理

第三十九條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)業(yè)務(wù)數(shù)據(jù)處理活動風(fēng)險監(jiān)測，有效識別下列風(fēng)險并立即采取補(bǔ)救措施：

（一）存在法律、行政法規(guī)禁止發(fā)布傳輸?shù)男畔ⅰ?/p>

（二）存在計算機(jī)病毒、木馬、勒索等惡意程序，數(shù)據(jù)安全漏洞、認(rèn)證口令強(qiáng)度偏低等缺陷。

（三）高敏感性數(shù)據(jù)項安全保護(hù)措施失效。

（四）異常的業(yè)務(wù)數(shù)據(jù)處理活動。

（五）業(yè)務(wù)數(shù)據(jù)傳輸或者存儲承載能力不足。

第四十條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)對業(yè)務(wù)數(shù)據(jù)泄露、業(yè)務(wù)數(shù)據(jù)被非法兜售、仿冒本機(jī)構(gòu)身份處理業(yè)務(wù)數(shù)據(jù)，以及其他與本機(jī)構(gòu)有關(guān)的業(yè)務(wù)數(shù)據(jù)安全負(fù)面輿情的風(fēng)險監(jiān)測，發(fā)現(xiàn)相關(guān)風(fēng)險時應(yīng)當(dāng)立即核實(shí)處置。

第四十一條 中國人民銀行及其分支機(jī)構(gòu)通報與業(yè)務(wù)數(shù)據(jù)相關(guān)的數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，數(shù)據(jù)處理者應(yīng)當(dāng)立即核實(shí)處置，并根據(jù)通報要求按時準(zhǔn)確反饋情況。

鼓勵數(shù)據(jù)處理者向中國人民銀行及其分支機(jī)構(gòu)提供具有行業(yè)共享價值的業(yè)務(wù)數(shù)據(jù)安全風(fēng)險情報。

第四十二條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)自行或者委托第三方評估機(jī)構(gòu)，每年對業(yè)務(wù)數(shù)據(jù)開展一次風(fēng)險評估，并于每年1月15日前向中國人民銀行或者住所地中國人民銀行省級分支機(jī)構(gòu)報送上一年度風(fēng)險評估報告。除法律、行政法規(guī)已明確應(yīng)當(dāng)評估的內(nèi)容外，風(fēng)險評估報告還應(yīng)當(dāng)包含與存儲重要數(shù)據(jù)信息系統(tǒng)相關(guān)的人員培訓(xùn)與日常管理情況，與業(yè)務(wù)數(shù)據(jù)相關(guān)的崗位職責(zé)落實(shí)情況、網(wǎng)絡(luò)安全等級保護(hù)測評和整改情況、保護(hù)措施執(zhí)行情況、本年度風(fēng)險監(jiān)測和事件處置情況，以及中國人民銀行要求的其他評估內(nèi)容。

第四十三條 數(shù)據(jù)處理者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案有關(guān)事件分級要求，綜合考慮影響范圍和程度，明確業(yè)務(wù)數(shù)據(jù)安全事件對應(yīng)的分級標(biāo)準(zhǔn)：

（一）業(yè)務(wù)數(shù)據(jù)被篡改、破壞事件分級的標(biāo)準(zhǔn)應(yīng)當(dāng)考慮信息系統(tǒng)數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)、無法正常提供服務(wù)時長、受影響業(yè)務(wù)筆數(shù)和金額、受影響個人或者組織數(shù)量、損失的不同敏感性數(shù)據(jù)項和對應(yīng)規(guī)模等因素。

（二）業(yè)務(wù)數(shù)據(jù)泄露事件分級的標(biāo)準(zhǔn)應(yīng)當(dāng)考慮受影響個人或者組織數(shù)量、泄露的不同敏感性數(shù)據(jù)項和對應(yīng)規(guī)模等因素。

（三）涉及核心數(shù)據(jù)、重要數(shù)據(jù)泄露或者被篡改、破壞的安全事件，應(yīng)當(dāng)分別分級為特別重大事件、重大事件。

第四十四條 數(shù)據(jù)處理者應(yīng)當(dāng)做好業(yè)務(wù)數(shù)據(jù)安全事件分級，發(fā)生業(yè)務(wù)數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并按照中國人民銀行要求及時、準(zhǔn)確、完整報告事件情況。

數(shù)據(jù)接收方、委托處理受托人發(fā)生與數(shù)據(jù)處理者所提供業(yè)務(wù)數(shù)據(jù)相關(guān)的數(shù)據(jù)安全事件的，數(shù)據(jù)處理者應(yīng)當(dāng)開展調(diào)查評估，督促相關(guān)機(jī)構(gòu)立即采取補(bǔ)救措施并向有關(guān)主管部門報告。

重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年至少開展一次針對業(yè)務(wù)數(shù)據(jù)安全事件的應(yīng)急演練，其他數(shù)據(jù)處理者應(yīng)當(dāng)每三年至少開展一次針對業(yè)務(wù)數(shù)據(jù)安全事件的應(yīng)急演練。

第四十五條 數(shù)據(jù)處理者應(yīng)當(dāng)對照法律、行政法規(guī)和本辦法所列安全保護(hù)措施要求，以及本機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)安全相關(guān)管理制度和操作規(guī)程的執(zhí)行情況，每三年至少開展一次業(yè)務(wù)數(shù)據(jù)安全合規(guī)審計，重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年至少開展一次與重要數(shù)據(jù)安全相關(guān)的合規(guī)審計。發(fā)生重大或者特別重大事件后，應(yīng)當(dāng)開展專項審計。審計應(yīng)當(dāng)重點(diǎn)關(guān)注業(yè)務(wù)數(shù)據(jù)資源目錄是否及時更新、相關(guān)信息系統(tǒng)賬號權(quán)限管理是否嚴(yán)密、業(yè)務(wù)數(shù)據(jù)處理活動相關(guān)合同或者協(xié)議是否完備、高敏感性數(shù)據(jù)項安全保護(hù)措施是否有效、數(shù)據(jù)委托處理受托人管理職責(zé)是否落實(shí)、前置網(wǎng)關(guān)和應(yīng)用程序接口是否持續(xù)安全維護(hù)、數(shù)據(jù)安全風(fēng)險監(jiān)測是否有效、數(shù)據(jù)安全風(fēng)險與事件處置是否及時、數(shù)據(jù)出境是否合規(guī)、數(shù)據(jù)安全投訴處理是否及時等情況。

第四十六條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)風(fēng)險評估人員和審計人員使用業(yè)務(wù)數(shù)據(jù)權(quán)限的管理，采取必要措施確保實(shí)施過程的業(yè)務(wù)數(shù)據(jù)安全。

與業(yè)務(wù)數(shù)據(jù)相關(guān)的風(fēng)險評估報告和審計報告記錄高敏感性數(shù)據(jù)項時應(yīng)當(dāng)進(jìn)行脫敏處理。

數(shù)據(jù)處理者委托第三方評估機(jī)構(gòu)、審計機(jī)構(gòu)開展與業(yè)務(wù)數(shù)據(jù)相關(guān)的風(fēng)險評估或者審計工作的，應(yīng)當(dāng)在合同或者協(xié)議中明確其數(shù)據(jù)安全保護(hù)義務(wù)和對應(yīng)責(zé)任，指定本機(jī)構(gòu)人員全程參與。涉及會計審計服務(wù)的，還應(yīng)當(dāng)按照國家網(wǎng)信部門和財政部門要求，進(jìn)一步加強(qiáng)相關(guān)業(yè)務(wù)數(shù)據(jù)安全保護(hù)。

第六章 法律責(zé)任

第四十七條 中國人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者的業(yè)務(wù)數(shù)據(jù)處理活動存在較大安全風(fēng)險時，可以對其進(jìn)行約談和要求其采取措施進(jìn)行整改；發(fā)現(xiàn)影響或者可能影響國家安全的業(yè)務(wù)數(shù)據(jù)處理活動線索時，可以要求數(shù)據(jù)處理者按照國家有關(guān)規(guī)定進(jìn)行國家安全審查。

中國人民銀行及其分支機(jī)構(gòu)按照職責(zé)可以對數(shù)據(jù)處理者與業(yè)務(wù)數(shù)據(jù)相關(guān)的數(shù)據(jù)安全保護(hù)義務(wù)落實(shí)情況開展執(zhí)法檢查，必要時可以與其他有關(guān)主管部門聯(lián)合實(shí)施執(zhí)法檢查。

第四十八條 中國人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者在業(yè)務(wù)數(shù)據(jù)處理活動中未履行數(shù)據(jù)出境安全評估或者保護(hù)認(rèn)證等義務(wù)的，應(yīng)當(dāng)將相關(guān)案件信息移送同級網(wǎng)信部門，并配合其予以處理。

第四十九條 數(shù)據(jù)處理者未履行本辦法規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)，有下列情形之一的，中國人民銀行及其分支機(jī)構(gòu)依照《中華人民共和國數(shù)據(jù)安全法》第四十五條予以處罰：

（一）未依照法律、行政法規(guī)對應(yīng)規(guī)定，建立健全全流程業(yè)務(wù)數(shù)據(jù)安全管理制度的。

（二）未依照法律、行政法規(guī)對應(yīng)規(guī)定，組織開展業(yè)務(wù)數(shù)據(jù)安全教育培訓(xùn)的。

（三）未依照法律、行政法規(guī)對應(yīng)規(guī)定，采取相應(yīng)的技術(shù)措施和其他必要措施，保障業(yè)務(wù)數(shù)據(jù)安全的。

（四）重要數(shù)據(jù)的處理者未明確業(yè)務(wù)數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的。

（五）未有效監(jiān)測業(yè)務(wù)數(shù)據(jù)安全風(fēng)險的。

（六）發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)安全風(fēng)險未立即采取補(bǔ)救措施的。

（七）發(fā)生業(yè)務(wù)數(shù)據(jù)安全事件未立即采取處置措施，未及時告知用戶，或者未按照要求報告事件情況的。

（八）重要數(shù)據(jù)的處理者未每年對業(yè)務(wù)數(shù)據(jù)開展一次風(fēng)險評估，或者未按照要求報送風(fēng)險評估報告的。

第五十條 中國人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者開展業(yè)務(wù)數(shù)據(jù)處理活動排除、限制競爭，或者損害個人、組織合法權(quán)益的，依照相關(guān)法律、行政法規(guī)予以處理，屬于其他有關(guān)主管部門管理職責(zé)的，移送相關(guān)案件信息并配合其予以處理。

第五十一條 中國人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者開展業(yè)務(wù)數(shù)據(jù)處理活動，涉嫌構(gòu)成違反治安管理行為或者構(gòu)成犯罪的，將相關(guān)案件信息移送同級公安機(jī)關(guān)、國家安全機(jī)關(guān)等有關(guān)主管部門，并配合其予以處理。

第五十二條 數(shù)據(jù)處理者發(fā)生業(yè)務(wù)數(shù)據(jù)安全事件造成危害后果，如能證明本機(jī)構(gòu)已按照規(guī)定采取數(shù)據(jù)安全保護(hù)措施，并立即采取補(bǔ)救措施的，應(yīng)當(dāng)對其從輕或者減輕行政處罰。

數(shù)據(jù)處理者積極提供數(shù)據(jù)安全風(fēng)險情報，協(xié)助及時發(fā)現(xiàn)重大業(yè)務(wù)數(shù)據(jù)安全風(fēng)險的，應(yīng)當(dāng)對其未履行數(shù)據(jù)安全保護(hù)義務(wù)但尚未造成危害后果的行為，從輕或者減輕行政處罰。

第五十三條 中國人民銀行及其分支機(jī)構(gòu)工作人員在業(yè)務(wù)數(shù)據(jù)處理活動的安全監(jiān)督管理過程中存在玩忽職守、濫用職權(quán)、徇私舞弊情形的，依法給予處分。

第七章 附 則

第五十四條 術(shù)語定義：

（一）數(shù)據(jù)項，是指描述網(wǎng)絡(luò)數(shù)據(jù)結(jié)構(gòu)最基本的、不可分割的單位。

（二）結(jié)構(gòu)化數(shù)據(jù)項，是指具有預(yù)定義的抽象描述數(shù)據(jù)類型，通常為使用數(shù)據(jù)庫二維邏輯表單一字段指代的數(shù)據(jù)項。

（三）非結(jié)構(gòu)化數(shù)據(jù)項，是指不適宜用數(shù)據(jù)庫二維邏輯表展現(xiàn)的數(shù)據(jù)項，如圖像、視頻、音頻、文檔文件等。

（四）終端設(shè)備，是指數(shù)據(jù)處理者在業(yè)務(wù)數(shù)據(jù)處理活動中所用的計算機(jī)終端、移動智能終端、音視頻和多媒體設(shè)備、其他專用終端設(shè)備。

（五）導(dǎo)出方式，是指數(shù)據(jù)使用或者提供活動中，將原本具有嚴(yán)格訪問權(quán)限控制和訪問日志記錄的業(yè)務(wù)數(shù)據(jù)，轉(zhuǎn)換成未實(shí)施嚴(yán)格訪問控制或者無訪問日志記錄的文檔文件的操作方式。

（六）核驗(yàn)方式，是指業(yè)務(wù)數(shù)據(jù)使用或者提供活動中，經(jīng)核實(shí)驗(yàn)證后，僅反饋與存儲業(yè)務(wù)數(shù)據(jù)是否匹配的操作方式。

（七）統(tǒng)一規(guī)范管理，是指數(shù)據(jù)處理者在本機(jī)構(gòu)制度或者操作規(guī)程中對不執(zhí)行本辦法所提原則性合規(guī)要求的情形予以集中列舉，并說明保留此類情形的必要性、對應(yīng)需采取的安全保護(hù)措施和需履行的必要內(nèi)部審批程序。

第五十五條 本辦法由中國人民銀行負(fù)責(zé)解釋。

第五十六條 本辦法自2025年6月30日起施行。

AD：

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。