中國(guó)人民銀行

中國(guó)人民銀行令〔2025〕第3號(hào)（中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法）


　　 《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》已經(jīng)2025年4月2日中國(guó)人民銀行第5次行務(wù)會(huì)議審議通過(guò)，現(xiàn)予發(fā)布，自2025年6月30日起施行。
　　
　　行　長(zhǎng) 潘功勝
　　2025年5月1日
　　
　　
　　中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法
　　
　　第一章 總 則
　　第一條 為規(guī)范中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理并促進(jìn)開(kāi)發(fā)利用，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)中國(guó)人民銀行法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)，制定本辦法。
　　第二條 在中華人民共和國(guó)境內(nèi)開(kāi)展與中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動(dòng)及其安全監(jiān)督管理，適用本辦法。其他有關(guān)主管部門(mén)有規(guī)定的，還應(yīng)當(dāng)依法遵守其規(guī)定。
　　本辦法所稱(chēng)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域，指依據(jù)法律、行政法規(guī)，黨中央、國(guó)務(wù)院決定，由中國(guó)人民銀行承擔(dān)監(jiān)督和管理職責(zé)的業(yè)務(wù)領(lǐng)域。
　　本辦法所稱(chēng)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)，指中國(guó)人民銀行業(yè)務(wù)領(lǐng)域內(nèi)產(chǎn)生和收集的不涉及國(guó)家秘密的網(wǎng)絡(luò)數(shù)據(jù)（以下簡(jiǎn)稱(chēng)業(yè)務(wù)數(shù)據(jù)）。
　　本辦法所稱(chēng)數(shù)據(jù)處理者，指金融機(jī)構(gòu)以及經(jīng)中國(guó)人民銀行批準(zhǔn)設(shè)立或者認(rèn)定的其他機(jī)構(gòu)。
　　第三條 業(yè)務(wù)數(shù)據(jù)安全工作遵循“誰(shuí)管業(yè)務(wù)，誰(shuí)管業(yè)務(wù)數(shù)據(jù)，誰(shuí)管數(shù)據(jù)安全”原則。中國(guó)人民銀行對(duì)業(yè)務(wù)數(shù)據(jù)安全負(fù)指導(dǎo)監(jiān)管責(zé)任。數(shù)據(jù)處理者應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)，防范業(yè)務(wù)數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用等風(fēng)險(xiǎn)，保障國(guó)家安全、公共利益、個(gè)人及組織合法權(quán)益，尊重社會(huì)公德倫理，遵守商業(yè)道德和職業(yè)道德，保障業(yè)務(wù)數(shù)據(jù)依法有序自由流動(dòng)。
　　第四條 在國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，中國(guó)人民銀行及其分支機(jī)構(gòu)按照本辦法開(kāi)展業(yè)務(wù)數(shù)據(jù)安全監(jiān)督管理工作，加強(qiáng)與其他有關(guān)主管部門(mén)間的數(shù)據(jù)安全監(jiān)督管理協(xié)作配合、信息溝通。
　　相關(guān)金融行業(yè)協(xié)會(huì)應(yīng)當(dāng)加強(qiáng)自律管理，依法制定業(yè)務(wù)數(shù)據(jù)安全行為規(guī)范和團(tuán)體標(biāo)準(zhǔn)，指導(dǎo)會(huì)員加強(qiáng)業(yè)務(wù)數(shù)據(jù)安全保護(hù)。
　　第五條 鼓勵(lì)數(shù)據(jù)處理者積極開(kāi)展業(yè)務(wù)數(shù)據(jù)安全創(chuàng)新應(yīng)用，在保障安全合規(guī)前提下促進(jìn)業(yè)務(wù)數(shù)據(jù)的高效流通和開(kāi)發(fā)利用，鼓勵(lì)在行業(yè)內(nèi)推廣優(yōu)秀創(chuàng)新成果。
　　第二章 業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)與總體要求
　　第六條 中國(guó)人民銀行負(fù)責(zé)制定業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)相關(guān)規(guī)范標(biāo)準(zhǔn)，指導(dǎo)業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)工作，組織編制中國(guó)人民銀行業(yè)務(wù)領(lǐng)域重要數(shù)據(jù)目錄并實(shí)施動(dòng)態(tài)管理。
　　第七條 數(shù)據(jù)處理者應(yīng)當(dāng)建立健全業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)制度和操作規(guī)程。業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)實(shí)施應(yīng)當(dāng)遵循制度規(guī)程，分類(lèi)分級(jí)結(jié)果應(yīng)當(dāng)履行內(nèi)部審批程序。
　　第八條 數(shù)據(jù)處理者應(yīng)當(dāng)建立業(yè)務(wù)數(shù)據(jù)資源目錄，并從業(yè)務(wù)關(guān)聯(lián)性、敏感性和可用性方面分別做好業(yè)務(wù)數(shù)據(jù)分類(lèi)：
　　（一）標(biāo)識(shí)各數(shù)據(jù)項(xiàng)是否為個(gè)人信息、是否為外部收集產(chǎn)生、存儲(chǔ)該數(shù)據(jù)項(xiàng)的信息系統(tǒng)清單和關(guān)聯(lián)的業(yè)務(wù)類(lèi)別。
　�。ǘ�）根據(jù)業(yè)務(wù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時(shí)，對(duì)個(gè)人、組織合法權(quán)益或者公共利益等造成的危害程度開(kāi)展敏感性分類(lèi)。業(yè)務(wù)數(shù)據(jù)的結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)逐一標(biāo)識(shí)敏感性，業(yè)務(wù)數(shù)據(jù)的非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先按照可拆分的各結(jié)構(gòu)化數(shù)據(jù)項(xiàng)所標(biāo)識(shí)的最高敏感性，標(biāo)識(shí)其敏感性。中國(guó)人民銀行業(yè)務(wù)領(lǐng)域內(nèi)的敏感個(gè)人信息、可能涉及商業(yè)秘密的客戶(hù)經(jīng)營(yíng)信息、應(yīng)當(dāng)嚴(yán)格控制知悉范圍的業(yè)務(wù)信息等，應(yīng)當(dāng)標(biāo)識(shí)為高敏感性數(shù)據(jù)項(xiàng)。
　�。ㄈ�）根據(jù)業(yè)務(wù)數(shù)據(jù)遭到篡改、破壞后對(duì)業(yè)務(wù)正常運(yùn)行造成的影響程度，明確信息系統(tǒng)差異化的數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)，視為對(duì)業(yè)務(wù)數(shù)據(jù)的可用性分類(lèi)。
　　第九條 按照國(guó)家有關(guān)規(guī)定，將業(yè)務(wù)數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)三級(jí)。重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或者達(dá)到一定精度和規(guī)模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)。核心數(shù)據(jù)是指對(duì)領(lǐng)域、群體、區(qū)域具有較高覆蓋度或者達(dá)到較高精度、較大規(guī)模、一定深度，一旦被非法使用或者共享，可能直接影響政治安全的重要數(shù)據(jù)。
　　中國(guó)人民銀行按照國(guó)家有關(guān)規(guī)定組織確定重要數(shù)據(jù)具體目錄，數(shù)據(jù)處理者應(yīng)當(dāng)準(zhǔn)確識(shí)別、申報(bào)本機(jī)構(gòu)存儲(chǔ)的全量業(yè)務(wù)數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)，并填報(bào)重要數(shù)據(jù)具體目錄內(nèi)容。
　　中國(guó)人民銀行匯總形成重要數(shù)據(jù)具體目錄，經(jīng)國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制審定后，確定重要數(shù)據(jù)的處理者并告知其對(duì)應(yīng)的重要數(shù)據(jù)。
　　除單獨(dú)說(shuō)明的情形外，本辦法所列重要數(shù)據(jù)的保護(hù)義務(wù)，均適用于核心數(shù)據(jù)。
　　第十條 數(shù)據(jù)處理者應(yīng)當(dāng)每年至少更新一次業(yè)務(wù)數(shù)據(jù)資源目錄，完整準(zhǔn)確記錄信息系統(tǒng)所存儲(chǔ)數(shù)據(jù)項(xiàng)和對(duì)應(yīng)標(biāo)識(shí)內(nèi)容。
　　第十一條 數(shù)據(jù)處理者應(yīng)當(dāng)切實(shí)履行業(yè)務(wù)數(shù)據(jù)安全保護(hù)責(zé)任，明確業(yè)務(wù)數(shù)據(jù)安全保護(hù)相關(guān)內(nèi)設(shè)部門(mén)職責(zé)，配備與業(yè)務(wù)范圍和服務(wù)規(guī)模相適應(yīng)的數(shù)據(jù)安全專(zhuān)業(yè)人員，細(xì)化業(yè)務(wù)數(shù)據(jù)安全保護(hù)獎(jiǎng)懲規(guī)程。
　　面向社會(huì)提供產(chǎn)品、服務(wù)的數(shù)據(jù)處理者應(yīng)當(dāng)建立便捷的投訴、舉報(bào)渠道，及時(shí)受理并處理業(yè)務(wù)數(shù)據(jù)安全有關(guān)投訴、舉報(bào)。
　　重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確業(yè)務(wù)數(shù)據(jù)的安全負(fù)責(zé)人和管理機(jī)構(gòu)。管理機(jī)構(gòu)應(yīng)當(dāng)切實(shí)履行法律、行政法規(guī)已明確的各項(xiàng)責(zé)任。業(yè)務(wù)數(shù)據(jù)的安全負(fù)責(zé)人應(yīng)當(dāng)符合法律、行政法規(guī)已明確需具備的條件，并確保其能夠有效履行數(shù)據(jù)安全保護(hù)義務(wù)，有權(quán)直接向中國(guó)人民銀行報(bào)告業(yè)務(wù)數(shù)據(jù)安全情況。
　　第十二條 數(shù)據(jù)處理者應(yīng)當(dāng)建立健全全流程業(yè)務(wù)數(shù)據(jù)安全管理制度，結(jié)合業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)明確差異化的安全保護(hù)措施，制定業(yè)務(wù)數(shù)據(jù)處理活動(dòng)操作規(guī)程和業(yè)務(wù)數(shù)據(jù)安全相關(guān)內(nèi)部審批授權(quán)規(guī)程，明確操作實(shí)施和審批授權(quán)記錄的留存要求。
　　不同敏感性數(shù)據(jù)項(xiàng)在同一個(gè)業(yè)務(wù)數(shù)據(jù)處理活動(dòng)中被處理，且難以采取差異化安全保護(hù)措施的，應(yīng)當(dāng)采取高敏感性數(shù)據(jù)項(xiàng)對(duì)應(yīng)的安全保護(hù)措施。
　　第十三條 數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)崗位分工，制定業(yè)務(wù)數(shù)據(jù)安全年度培訓(xùn)計(jì)劃，每年組織業(yè)務(wù)數(shù)據(jù)處理活動(dòng)參與人員開(kāi)展相關(guān)教育培訓(xùn)。培訓(xùn)內(nèi)容應(yīng)當(dāng)包括與業(yè)務(wù)數(shù)據(jù)安全相關(guān)的制度標(biāo)準(zhǔn)、風(fēng)險(xiǎn)防范常識(shí)、崗位責(zé)任、保護(hù)措施和事件應(yīng)急處置要求。
　　第三章 全流程業(yè)務(wù)數(shù)據(jù)安全管理要求
　　第十四條 數(shù)據(jù)處理者應(yīng)當(dāng)嚴(yán)格管理處理業(yè)務(wù)數(shù)據(jù)相關(guān)信息系統(tǒng)數(shù)據(jù)庫(kù)管理員賬號(hào)等特權(quán)賬號(hào)和各類(lèi)業(yè)務(wù)處理賬號(hào)的權(quán)限，人員變動(dòng)時(shí)應(yīng)當(dāng)立即調(diào)整權(quán)限。數(shù)據(jù)處理者應(yīng)當(dāng)與可使用高敏感性數(shù)據(jù)項(xiàng)賬號(hào)的人員簽訂保密協(xié)議。
　　數(shù)據(jù)處理者存儲(chǔ)核心數(shù)據(jù)的，應(yīng)當(dāng)對(duì)業(yè)務(wù)數(shù)據(jù)的安全負(fù)責(zé)人和可使用核心數(shù)據(jù)的關(guān)鍵崗位人員進(jìn)行安全背景審查。
　　第十五條 數(shù)據(jù)處理者收集業(yè)務(wù)數(shù)據(jù)應(yīng)當(dāng)采取下列安全保護(hù)管理措施：
　　（一）除收集自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的業(yè)務(wù)數(shù)據(jù)的情形外，收集業(yè)務(wù)數(shù)據(jù)時(shí)應(yīng)當(dāng)依照法律、行政法規(guī)和中國(guó)人民銀行相關(guān)規(guī)定取得個(gè)人同意或者組織授權(quán)，并落實(shí)相應(yīng)告知義務(wù)。
　�。ǘ�）非直接面向個(gè)人、組織收集其尚未公開(kāi)的業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)在合同或者協(xié)議中明確數(shù)據(jù)提供方保障業(yè)務(wù)數(shù)據(jù)來(lái)源合法性、真實(shí)性的義務(wù)。數(shù)據(jù)提供方未取得個(gè)人書(shū)面同意或者組織書(shū)面授權(quán)的，還應(yīng)當(dāng)要求其出具業(yè)務(wù)數(shù)據(jù)來(lái)源依法合規(guī)和數(shù)據(jù)真實(shí)性的必要佐證材料。
　�。ㄈ�）采用人工錄入方式收集業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)采取必要校驗(yàn)措施保障業(yè)務(wù)數(shù)據(jù)錄入的準(zhǔn)確性，按照相關(guān)管理要求留存業(yè)務(wù)數(shù)據(jù)收集原始憑證。
　�。ㄋ模┰瓌t上不收集圖像等原始個(gè)人生物識(shí)別信息。確需收集的，應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　�。ㄎ澹┌凑张c數(shù)據(jù)提供方合同或者協(xié)議中約定的處理目的、方式、范圍以及安全保護(hù)義務(wù)等開(kāi)展收集和后續(xù)的業(yè)務(wù)數(shù)據(jù)處理活動(dòng)。
　　第十六條 數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)業(yè)務(wù)需要，明確業(yè)務(wù)數(shù)據(jù)保存期限。除履行法定職責(zé)或者法定義務(wù)外，高敏感性數(shù)據(jù)項(xiàng)原則上不在終端設(shè)備和移動(dòng)介質(zhì)中存儲(chǔ)，確需存儲(chǔ)的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　　第十七條 業(yè)務(wù)數(shù)據(jù)使用活動(dòng)中，數(shù)據(jù)處理者使用高敏感性數(shù)據(jù)項(xiàng)，原則上不采取導(dǎo)出方式，使用用于身份鑒別的數(shù)據(jù)項(xiàng)原則上僅采取核驗(yàn)方式。確需采取導(dǎo)出方式使用高敏感性數(shù)據(jù)項(xiàng)或者采取其他方式使用用于身份鑒別的數(shù)據(jù)項(xiàng)的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　　除根據(jù)個(gè)人請(qǐng)求向其展示與其相關(guān)業(yè)務(wù)數(shù)據(jù)，以及履行法定職責(zé)或者法定義務(wù)所需外，數(shù)據(jù)處理者原則上須實(shí)施脫敏處理后再展示高敏感性數(shù)據(jù)項(xiàng)。確需不脫敏展示的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　　第十八條 數(shù)據(jù)處理者應(yīng)當(dāng)審查業(yè)務(wù)數(shù)據(jù)加工目的與業(yè)務(wù)數(shù)據(jù)收集約定是否一致；需要訓(xùn)練業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)審查訓(xùn)練業(yè)務(wù)數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、客觀(guān)性、多樣性；需要標(biāo)注業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)抽樣審查標(biāo)注的合理性與準(zhǔn)確性；需要建立模型評(píng)價(jià)激勵(lì)規(guī)則的，應(yīng)當(dāng)審查評(píng)價(jià)激勵(lì)規(guī)則是否尊重社會(huì)公德倫理、遵守商業(yè)道德和職業(yè)道德。
　　業(yè)務(wù)數(shù)據(jù)加工活動(dòng)中，數(shù)據(jù)處理者加工高敏感性數(shù)據(jù)項(xiàng)的，應(yīng)當(dāng)進(jìn)一步明確應(yīng)當(dāng)采取的安全保護(hù)措施，并履行內(nèi)部審批程序；基于加工生成的數(shù)據(jù)項(xiàng)面向個(gè)人提供自動(dòng)化決策服務(wù)的，應(yīng)當(dāng)以適當(dāng)方式向個(gè)人解釋說(shuō)明處理目的、用于加工的個(gè)人信息種類(lèi)和加工規(guī)則。
　　第十九條 對(duì)于業(yè)務(wù)數(shù)據(jù)加工活動(dòng)產(chǎn)生新數(shù)據(jù)項(xiàng)，經(jīng)評(píng)估其敏感性明顯低于加工所使用數(shù)據(jù)項(xiàng)的，數(shù)據(jù)處理者可遵循規(guī)程降低其敏感性標(biāo)識(shí)，促進(jìn)依法合規(guī)開(kāi)發(fā)利用。
　　對(duì)于業(yè)務(wù)數(shù)據(jù)加工活動(dòng)產(chǎn)生新數(shù)據(jù)項(xiàng)，經(jīng)評(píng)估其敏感性明顯高于加工所使用數(shù)據(jù)項(xiàng)的，數(shù)據(jù)處理者應(yīng)當(dāng)提高其敏感性標(biāo)識(shí)，并加強(qiáng)業(yè)務(wù)數(shù)據(jù)安全保護(hù)。
　　第二十條 除根據(jù)個(gè)人請(qǐng)求向其傳輸與其相關(guān)業(yè)務(wù)數(shù)據(jù)外，數(shù)據(jù)處理者原則上不使用郵件、即時(shí)通訊、在線(xiàn)文件存儲(chǔ)等互聯(lián)網(wǎng)信息服務(wù)或者移動(dòng)介質(zhì)傳輸高敏感性數(shù)據(jù)項(xiàng)。確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　　第二十一條 從事業(yè)務(wù)所需的業(yè)務(wù)數(shù)據(jù)提供活動(dòng)，數(shù)據(jù)處理者應(yīng)當(dāng)核驗(yàn)數(shù)據(jù)接收方身份，并采取下列安全保護(hù)管理措施：
　�。ㄒ唬�對(duì)于涉及個(gè)人信息的業(yè)務(wù)數(shù)據(jù)提供活動(dòng)，應(yīng)當(dāng)評(píng)估是否遵守法律、行政法規(guī)要求。對(duì)于其他業(yè)務(wù)數(shù)據(jù)提供活動(dòng)，應(yīng)當(dāng)評(píng)估是否符合保守商業(yè)秘密的約定。
　�。ǘ�）向其他數(shù)據(jù)處理者提供業(yè)務(wù)數(shù)據(jù)涉及個(gè)人信息和重要數(shù)據(jù)的，應(yīng)當(dāng)在合同或者協(xié)議中明確各自的數(shù)據(jù)安全保護(hù)義務(wù)，需要采取的安全保護(hù)措施，數(shù)據(jù)提供的目的、方式、范圍，數(shù)據(jù)允許存儲(chǔ)時(shí)限，數(shù)據(jù)提供至第三方的限制和數(shù)據(jù)安全事件告知義務(wù)，并對(duì)數(shù)據(jù)接收方履行約定義務(wù)的情況進(jìn)行監(jiān)督。
　　（三）按照約定做好業(yè)務(wù)數(shù)據(jù)清洗轉(zhuǎn)換，對(duì)提供數(shù)據(jù)的真實(shí)性作必要審查，不得誤導(dǎo)數(shù)據(jù)接收方。
　�。ㄋ模┏�委托處理情形外，原則上不采取導(dǎo)出方式向其他數(shù)據(jù)處理者提供高敏感性數(shù)據(jù)項(xiàng)，用于身份鑒別的數(shù)據(jù)項(xiàng)原則上須采取核驗(yàn)方式提供。確需采取導(dǎo)出方式提供高敏感性數(shù)據(jù)項(xiàng)或者采取其他方式使用用于身份鑒別的數(shù)據(jù)項(xiàng)的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　　第二十二條 數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供、委托處理、共同處理重要數(shù)據(jù)前，應(yīng)當(dāng)依照法律、行政法規(guī)和中國(guó)人民銀行相關(guān)規(guī)定進(jìn)行風(fēng)險(xiǎn)評(píng)估，并重點(diǎn)評(píng)估數(shù)據(jù)接收方數(shù)據(jù)處理目的和方式的合法正當(dāng)性、數(shù)據(jù)項(xiàng)列表的需求合理性、數(shù)據(jù)活動(dòng)的潛在安全風(fēng)險(xiǎn)、數(shù)據(jù)接收方誠(chéng)信守法情況、合同或者協(xié)議內(nèi)容的完備性、擬采取的安全保護(hù)措施等。
　　除履行法定職責(zé)或者法定義務(wù)外，數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)達(dá)到國(guó)家規(guī)定情形的，在提供業(yè)務(wù)數(shù)據(jù)之前應(yīng)當(dāng)經(jīng)中國(guó)人民銀行報(bào)國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制開(kāi)展風(fēng)險(xiǎn)評(píng)估。數(shù)據(jù)處理者不得通過(guò)拆分、轉(zhuǎn)換等手段規(guī)避上述義務(wù)。
　　重要數(shù)據(jù)的處理者因合并、分立、解散、破產(chǎn)等可能影響重要數(shù)據(jù)安全的，應(yīng)當(dāng)依照法律、行政法規(guī)要求，事前向中國(guó)人民銀行或者住所地中國(guó)人民銀行省級(jí)分支機(jī)構(gòu)報(bào)告重要數(shù)據(jù)處置方案，在方案中說(shuō)明重要數(shù)據(jù)目錄內(nèi)容更新情況、數(shù)據(jù)接收方的名稱(chēng)或者姓名和聯(lián)系方式等。
　　第二十三條 數(shù)據(jù)處理者采用隱私計(jì)算等技術(shù)促進(jìn)業(yè)務(wù)數(shù)據(jù)融合創(chuàng)新應(yīng)用的，應(yīng)當(dāng)落實(shí)本辦法第二十一條第一項(xiàng)至第三項(xiàng)要求，并確認(rèn)除本機(jī)構(gòu)外其他數(shù)據(jù)處理者無(wú)法使用未加密原始數(shù)據(jù)、與其他數(shù)據(jù)融合創(chuàng)新應(yīng)用活動(dòng)作關(guān)聯(lián)分析無(wú)法泄露約定范圍外的信息。
　　第二十四條 數(shù)據(jù)處理者因業(yè)務(wù)等需要向中華人民共和國(guó)境外提供數(shù)據(jù)，存在國(guó)家網(wǎng)信部門(mén)規(guī)定情形的，應(yīng)當(dāng)嚴(yán)格遵守其有關(guān)規(guī)定；法律、行政法規(guī)和中國(guó)人民銀行相關(guān)規(guī)定有境內(nèi)存儲(chǔ)要求的，業(yè)務(wù)數(shù)據(jù)還應(yīng)當(dāng)同時(shí)在中華人民共和國(guó)境內(nèi)存儲(chǔ)。
　　符合國(guó)家網(wǎng)信部門(mén)規(guī)定應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估或者開(kāi)展保護(hù)認(rèn)證等情形的，數(shù)據(jù)處理者不得對(duì)業(yè)務(wù)數(shù)據(jù)采取拆分、轉(zhuǎn)換等手段規(guī)避相關(guān)義務(wù)。
　　第二十五條 中國(guó)人民銀行根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則，處理外國(guó)金融執(zhí)法機(jī)構(gòu)關(guān)于提供業(yè)務(wù)數(shù)據(jù)的請(qǐng)求。
　　第二十六條 數(shù)據(jù)處理者應(yīng)當(dāng)審核業(yè)務(wù)數(shù)據(jù)公開(kāi)活動(dòng)的目的、數(shù)據(jù)項(xiàng)列表、渠道、時(shí)限和脫敏處理情況，分析研判可能產(chǎn)生的不利影響，審查業(yè)務(wù)數(shù)據(jù)的合法性、真實(shí)性，并通過(guò)本機(jī)構(gòu)明確的官方渠道公開(kāi)業(yè)務(wù)數(shù)據(jù)。確需通過(guò)其他渠道公開(kāi)的，應(yīng)當(dāng)明確采用的安全保護(hù)措施并履行內(nèi)部審批程序。
　　業(yè)務(wù)數(shù)據(jù)處理活動(dòng)中，數(shù)據(jù)處理者不得公開(kāi)用于身份鑒別的數(shù)據(jù)項(xiàng)，公開(kāi)其他高敏感性數(shù)據(jù)項(xiàng)原則上須作脫敏處理。確需不作脫敏處理的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　　第二十七條 數(shù)據(jù)處理者應(yīng)當(dāng)依照法律、行政法規(guī)和中國(guó)人民銀行相關(guān)規(guī)定，主動(dòng)刪除處理目的已實(shí)現(xiàn)、處理目的無(wú)法實(shí)現(xiàn)、為實(shí)現(xiàn)處理目的不再必要或者約定保存期限已屆滿(mǎn)等情形的業(yè)務(wù)數(shù)據(jù)。
　　刪除業(yè)務(wù)數(shù)據(jù)從技術(shù)上難以實(shí)現(xiàn)的，數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的業(yè)務(wù)數(shù)據(jù)處理活動(dòng)，并每年至少實(shí)施一次審查，確認(rèn)相關(guān)業(yè)務(wù)數(shù)據(jù)不可被使用。
　　第二十八條 數(shù)據(jù)處理者委托處理業(yè)務(wù)數(shù)據(jù)，除落實(shí)本辦法第二十一條第二項(xiàng)要求外，還應(yīng)當(dāng)在合同或者協(xié)議中明確受托人需報(bào)告的重要事項(xiàng)、委托處理事項(xiàng)完成后傳輸和刪除業(yè)務(wù)數(shù)據(jù)的實(shí)施方式與時(shí)限要求、配合本機(jī)構(gòu)監(jiān)督其委托處理活動(dòng)等義務(wù)，并采取定期評(píng)估等方式監(jiān)督受托人履約情況。涉及核心數(shù)據(jù)的委托處理活動(dòng)，數(shù)據(jù)處理者應(yīng)當(dāng)事前對(duì)受托人開(kāi)展盡職調(diào)查，進(jìn)一步加強(qiáng)對(duì)其的監(jiān)督。
　　數(shù)據(jù)處理者應(yīng)當(dāng)將業(yè)務(wù)數(shù)據(jù)委托處理活動(dòng)納入業(yè)務(wù)或者信息科技外包管理體系，加強(qiáng)風(fēng)險(xiǎn)管理。
　　中國(guó)人民銀行已明確要求不得以外包形式開(kāi)展業(yè)務(wù)的，相關(guān)業(yè)務(wù)數(shù)據(jù)不得委托處理。
　　第四章 全流程業(yè)務(wù)數(shù)據(jù)安全技術(shù)要求
　　第二十九條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)訪(fǎng)問(wèn)控制，采取有效技術(shù)措施管控業(yè)務(wù)數(shù)據(jù)處理賬號(hào)的數(shù)據(jù)使用權(quán)限，明確特權(quán)賬號(hào)的使用場(chǎng)景并加強(qiáng)使用時(shí)的內(nèi)部審批授權(quán)。使用特權(quán)賬號(hào)實(shí)施業(yè)務(wù)數(shù)據(jù)新增、刪除、修改等人工操作時(shí)應(yīng)當(dāng)逐一開(kāi)展事前審批和事后審查。使用特權(quán)賬號(hào)開(kāi)展自動(dòng)化操作前應(yīng)當(dāng)對(duì)操作正確性和安全性進(jìn)行必要檢查。
　　數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)安全認(rèn)證，保障業(yè)務(wù)數(shù)據(jù)處理賬號(hào)和特權(quán)賬號(hào)認(rèn)證口令的強(qiáng)度，限制驗(yàn)證失敗重試次數(shù)，可使用高敏感性數(shù)據(jù)項(xiàng)的賬號(hào)應(yīng)當(dāng)支持多因素認(rèn)證或者二次授權(quán)確認(rèn)，并建立超時(shí)退出、訪(fǎng)問(wèn)通信地址變化等情形的重新驗(yàn)證機(jī)制。
　　第三十條 數(shù)據(jù)處理者應(yīng)當(dāng)規(guī)范日志記錄，明確業(yè)務(wù)數(shù)據(jù)處理活動(dòng)日志記錄信息，滿(mǎn)足數(shù)據(jù)安全風(fēng)險(xiǎn)溯源和事件處置需要。
　　業(yè)務(wù)數(shù)據(jù)處理活動(dòng)日志記錄高敏感性數(shù)據(jù)項(xiàng)原則上須經(jīng)脫敏處理。確需不脫敏處理的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。
　　數(shù)據(jù)處理者應(yīng)當(dāng)將業(yè)務(wù)數(shù)據(jù)處理活動(dòng)日志納入業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)管理，落實(shí)安全保護(hù)要求。
　　數(shù)據(jù)處理者應(yīng)當(dāng)留存業(yè)務(wù)數(shù)據(jù)處理活動(dòng)日志至少六個(gè)月；對(duì)于與存儲(chǔ)重要數(shù)據(jù)信息系統(tǒng)相關(guān)的業(yè)務(wù)數(shù)據(jù)處理活動(dòng)日志，應(yīng)當(dāng)留存至少一年；對(duì)于與存儲(chǔ)核心數(shù)據(jù)信息系統(tǒng)相關(guān)的業(yè)務(wù)數(shù)據(jù)處理活動(dòng)日志，應(yīng)當(dāng)留存至少三年。
　　數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供、委托處理個(gè)人信息、重要數(shù)據(jù)的業(yè)務(wù)數(shù)據(jù)處理活動(dòng)日志等記錄，應(yīng)當(dāng)留存至少三年。
　　第三十一條 數(shù)據(jù)處理者應(yīng)當(dāng)優(yōu)先采用直接錄入或者信息系統(tǒng)間交互的方式收集業(yè)務(wù)數(shù)據(jù)。采用直接錄入方式收集業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)驗(yàn)證錄入人身份；采用信息系統(tǒng)間交互方式收集高敏感性數(shù)據(jù)項(xiàng)的，應(yīng)當(dāng)驗(yàn)證數(shù)據(jù)提供方身份。
　　數(shù)據(jù)處理者應(yīng)當(dāng)采取關(guān)聯(lián)信息交叉核驗(yàn)等技術(shù)措施，盡可能保障收集業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確性。
　　數(shù)據(jù)處理者采用自動(dòng)化工具方式從其他數(shù)據(jù)處理者收集業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)遵守其數(shù)據(jù)收集的控制規(guī)則，不得干擾網(wǎng)絡(luò)服務(wù)正常運(yùn)行，不得侵害其他機(jī)構(gòu)網(wǎng)絡(luò)服務(wù)合法運(yùn)營(yíng)權(quán)益。
　　第三十二條 數(shù)據(jù)處理者應(yīng)當(dāng)針對(duì)業(yè)務(wù)數(shù)據(jù)存儲(chǔ)活動(dòng)采取下列安全保護(hù)措施：
　�。ㄒ唬┯行Ц綦x信息系統(tǒng)開(kāi)發(fā)測(cè)試環(huán)境與生產(chǎn)環(huán)境。
　　（二）存儲(chǔ)重要數(shù)據(jù)的信息系統(tǒng)應(yīng)當(dāng)滿(mǎn)足三級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，存儲(chǔ)核心數(shù)據(jù)的信息系統(tǒng)應(yīng)當(dāng)滿(mǎn)足四級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求或者關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求，并優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
　�。ㄈ�）原則上高敏感性數(shù)據(jù)項(xiàng)須加密存儲(chǔ)，確需不加密存儲(chǔ)的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。中國(guó)人民銀行對(duì)業(yè)務(wù)數(shù)據(jù)存儲(chǔ)有使用商用密碼保護(hù)特別規(guī)定的，按照其規(guī)定執(zhí)行。
　�。ㄋ模┘皶r(shí)評(píng)估并調(diào)整業(yè)務(wù)數(shù)據(jù)存儲(chǔ)承載容量。對(duì)照信息系統(tǒng)數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)，做好生產(chǎn)環(huán)境業(yè)務(wù)數(shù)據(jù)冗余備份，按照中國(guó)人民銀行要求定期驗(yàn)證冗余備份業(yè)務(wù)數(shù)據(jù)的可用性。評(píng)估備份技術(shù)措施是否具備防范生產(chǎn)環(huán)境業(yè)務(wù)數(shù)據(jù)和冗余備份業(yè)務(wù)數(shù)據(jù)同時(shí)遭到篡改、破壞等風(fēng)險(xiǎn)的能力，并針對(duì)性加強(qiáng)安全保護(hù)措施。
　　第三十三條 數(shù)據(jù)處理者應(yīng)當(dāng)明確高敏感性數(shù)據(jù)項(xiàng)的脫敏處理策略，切實(shí)降低脫敏業(yè)務(wù)數(shù)據(jù)仍可識(shí)別至特定個(gè)人、組織的風(fēng)險(xiǎn)。
　　數(shù)據(jù)處理者應(yīng)當(dāng)建立終端設(shè)備安全管控策略，明確安全防護(hù)措施要求。業(yè)務(wù)數(shù)據(jù)展示、打印時(shí)應(yīng)當(dāng)采取技術(shù)措施標(biāo)識(shí)當(dāng)前使用業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)處理賬號(hào)和使用時(shí)間。
　　除開(kāi)發(fā)測(cè)試環(huán)境與生產(chǎn)環(huán)境業(yè)務(wù)數(shù)據(jù)安全保護(hù)措施完全一致的情形外，生產(chǎn)環(huán)境數(shù)據(jù)項(xiàng)用于開(kāi)發(fā)測(cè)試環(huán)境的，應(yīng)當(dāng)履行內(nèi)部審批程序并實(shí)施脫敏處理。
　　第三十四條 數(shù)據(jù)處理者應(yīng)當(dāng)建立業(yè)務(wù)數(shù)據(jù)加工算法風(fēng)險(xiǎn)評(píng)估和控制策略，明確可解釋性、脆弱性等風(fēng)險(xiǎn)對(duì)應(yīng)的防范或者緩釋措施和停止使用加工算法開(kāi)展自動(dòng)化決策時(shí)的替代方案。
　　第三十五條 數(shù)據(jù)處理者應(yīng)當(dāng)針對(duì)業(yè)務(wù)數(shù)據(jù)傳輸活動(dòng)采取下列安全保護(hù)措施：
　�。ㄒ唬﹥�(yōu)先采取專(zhuān)用線(xiàn)路、虛擬專(zhuān)用網(wǎng)等技術(shù)加強(qiáng)業(yè)務(wù)數(shù)據(jù)傳輸安全保護(hù)。
　　（二）健全訪(fǎng)問(wèn)控制和安全隔離策略，加強(qiáng)相關(guān)終端設(shè)備準(zhǔn)入控制。
　�。ㄈ�）原則上高敏感性數(shù)據(jù)項(xiàng)須加密傳輸至其他數(shù)據(jù)處理者、其他數(shù)據(jù)中心或者互聯(lián)網(wǎng)。確需不加密傳輸?shù)�，�?shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一規(guī)范管理相關(guān)需求場(chǎng)景。中國(guó)人民銀行對(duì)業(yè)務(wù)數(shù)據(jù)傳輸有使用商用密碼保護(hù)特別規(guī)定的，按照其規(guī)定執(zhí)行。
　　（四）及時(shí)評(píng)估并調(diào)整通信線(xiàn)路的傳輸承載容量，加強(qiáng)通信線(xiàn)路和相關(guān)軟硬件設(shè)備的冗余備份。
　　第三十六條 數(shù)據(jù)處理者應(yīng)當(dāng)動(dòng)態(tài)維護(hù)本機(jī)構(gòu)提供業(yè)務(wù)數(shù)據(jù)的前置網(wǎng)關(guān)和應(yīng)用程序接口清單，并在前置網(wǎng)關(guān)和應(yīng)用程序接口變更投產(chǎn)前開(kāi)展安全測(cè)試，發(fā)現(xiàn)風(fēng)險(xiǎn)隱患立即采取補(bǔ)救措施。
　　數(shù)據(jù)處理者采用隱私計(jì)算等技術(shù)提供業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)建立技術(shù)風(fēng)險(xiǎn)評(píng)估和控制策略，明確安全不可驗(yàn)證、性能不可接受等風(fēng)險(xiǎn)的應(yīng)對(duì)措施。
　　第三十七條 數(shù)據(jù)處理者應(yīng)當(dāng)制定本機(jī)構(gòu)公開(kāi)的業(yè)務(wù)數(shù)據(jù)是否允許自動(dòng)化工具收集的控制規(guī)則，并采取必要技術(shù)措施保障公開(kāi)的業(yè)務(wù)數(shù)據(jù)不被篡改。
　　第三十八條 數(shù)據(jù)處理者應(yīng)當(dāng)明確業(yè)務(wù)數(shù)據(jù)存儲(chǔ)介質(zhì)銷(xiāo)毀策略，規(guī)范銷(xiāo)毀實(shí)施方式和過(guò)程監(jiān)督程序。
　　第五章 業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)與事件管理
　　第三十九條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)業(yè)務(wù)數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)，有效識(shí)別下列風(fēng)險(xiǎn)并立即采取補(bǔ)救措施：
　　（一）存在法律、行政法規(guī)禁止發(fā)布傳輸?shù)男畔ⅰ?br> 　　（二）存在計(jì)算機(jī)病毒、木馬、勒索等惡意程序，數(shù)據(jù)安全漏洞、認(rèn)證口令強(qiáng)度偏低等缺陷。
　�。ㄈ�）高敏感性數(shù)據(jù)項(xiàng)安全保護(hù)措施失效。
　�。ㄋ模┊惓５臉I(yè)務(wù)數(shù)據(jù)處理活動(dòng)。
　�。ㄎ澹�業(yè)務(wù)數(shù)據(jù)傳輸或者存儲(chǔ)承載能力不足。
　　第四十條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)對(duì)業(yè)務(wù)數(shù)據(jù)泄露、業(yè)務(wù)數(shù)據(jù)被非法兜售、仿冒本機(jī)構(gòu)身份處理業(yè)務(wù)數(shù)據(jù)，以及其他與本機(jī)構(gòu)有關(guān)的業(yè)務(wù)數(shù)據(jù)安全負(fù)面輿情的風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)相關(guān)風(fēng)險(xiǎn)時(shí)應(yīng)當(dāng)立即核實(shí)處置。
　　第四十一條 中國(guó)人民銀行及其分支機(jī)構(gòu)通報(bào)與業(yè)務(wù)數(shù)據(jù)相關(guān)的數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)立即核實(shí)處置，并根據(jù)通報(bào)要求按時(shí)準(zhǔn)確反饋情況。
　　鼓勵(lì)數(shù)據(jù)處理者向中國(guó)人民銀行及其分支機(jī)構(gòu)提供具有行業(yè)共享價(jià)值的業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)情報(bào)。
　　第四十二條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)自行或者委托第三方評(píng)估機(jī)構(gòu)，每年對(duì)業(yè)務(wù)數(shù)據(jù)開(kāi)展一次風(fēng)險(xiǎn)評(píng)估，并于每年1月15日前向中國(guó)人民銀行或者住所地中國(guó)人民銀行省級(jí)分支機(jī)構(gòu)報(bào)送上一年度風(fēng)險(xiǎn)評(píng)估報(bào)告。除法律、行政法規(guī)已明確應(yīng)當(dāng)評(píng)估的內(nèi)容外，風(fēng)險(xiǎn)評(píng)估報(bào)告還應(yīng)當(dāng)包含與存儲(chǔ)重要數(shù)據(jù)信息系統(tǒng)相關(guān)的人員培訓(xùn)與日常管理情況，與業(yè)務(wù)數(shù)據(jù)相關(guān)的崗位職責(zé)落實(shí)情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)和整改情況、保護(hù)措施執(zhí)行情況、本年度風(fēng)險(xiǎn)監(jiān)測(cè)和事件處置情況，以及中國(guó)人民銀行要求的其他評(píng)估內(nèi)容。
　　第四十三條 數(shù)據(jù)處理者應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案有關(guān)事件分級(jí)要求，綜合考慮影響范圍和程度，明確業(yè)務(wù)數(shù)據(jù)安全事件對(duì)應(yīng)的分級(jí)標(biāo)準(zhǔn)：
　�。ㄒ唬�業(yè)務(wù)數(shù)據(jù)被篡改、破壞事件分級(jí)的標(biāo)準(zhǔn)應(yīng)當(dāng)考慮信息系統(tǒng)數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)、無(wú)法正常提供服務(wù)時(shí)長(zhǎng)、受影響業(yè)務(wù)筆數(shù)和金額、受影響個(gè)人或者組織數(shù)量、損失的不同敏感性數(shù)據(jù)項(xiàng)和對(duì)應(yīng)規(guī)模等因素。
　�。ǘ�）業(yè)務(wù)數(shù)據(jù)泄露事件分級(jí)的標(biāo)準(zhǔn)應(yīng)當(dāng)考慮受影響個(gè)人或者組織數(shù)量、泄露的不同敏感性數(shù)據(jù)項(xiàng)和對(duì)應(yīng)規(guī)模等因素。
　　（三）涉及核心數(shù)據(jù)、重要數(shù)據(jù)泄露或者被篡改、破壞的安全事件，應(yīng)當(dāng)分別分級(jí)為特別重大事件、重大事件。
　　第四十四條 數(shù)據(jù)處理者應(yīng)當(dāng)做好業(yè)務(wù)數(shù)據(jù)安全事件分級(jí)，發(fā)生業(yè)務(wù)數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶(hù)并按照中國(guó)人民銀行要求及時(shí)、準(zhǔn)確、完整報(bào)告事件情況。
　　數(shù)據(jù)接收方、委托處理受托人發(fā)生與數(shù)據(jù)處理者所提供業(yè)務(wù)數(shù)據(jù)相關(guān)的數(shù)據(jù)安全事件的，數(shù)據(jù)處理者應(yīng)當(dāng)開(kāi)展調(diào)查評(píng)估，督促相關(guān)機(jī)構(gòu)立即采取補(bǔ)救措施并向有關(guān)主管部門(mén)報(bào)告。
　　重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年至少開(kāi)展一次針對(duì)業(yè)務(wù)數(shù)據(jù)安全事件的應(yīng)急演練，其他數(shù)據(jù)處理者應(yīng)當(dāng)每三年至少開(kāi)展一次針對(duì)業(yè)務(wù)數(shù)據(jù)安全事件的應(yīng)急演練。
　　第四十五條 數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)照法律、行政法規(guī)和本辦法所列安全保護(hù)措施要求，以及本機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)安全相關(guān)管理制度和操作規(guī)程的執(zhí)行情況，每三年至少開(kāi)展一次業(yè)務(wù)數(shù)據(jù)安全合規(guī)審計(jì)，重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年至少開(kāi)展一次與重要數(shù)據(jù)安全相關(guān)的合規(guī)審計(jì)。發(fā)生重大或者特別重大事件后，應(yīng)當(dāng)開(kāi)展專(zhuān)項(xiàng)審計(jì)。審計(jì)應(yīng)當(dāng)重點(diǎn)關(guān)注業(yè)務(wù)數(shù)據(jù)資源目錄是否及時(shí)更新、相關(guān)信息系統(tǒng)賬號(hào)權(quán)限管理是否嚴(yán)密、業(yè)務(wù)數(shù)據(jù)處理活動(dòng)相關(guān)合同或者協(xié)議是否完備、高敏感性數(shù)據(jù)項(xiàng)安全保護(hù)措施是否有效、數(shù)據(jù)委托處理受托人管理職責(zé)是否落實(shí)、前置網(wǎng)關(guān)和應(yīng)用程序接口是否持續(xù)安全維護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)是否有效、數(shù)據(jù)安全風(fēng)險(xiǎn)與事件處置是否及時(shí)、數(shù)據(jù)出境是否合規(guī)、數(shù)據(jù)安全投訴處理是否及時(shí)等情況。
　　第四十六條 數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)評(píng)估人員和審計(jì)人員使用業(yè)務(wù)數(shù)據(jù)權(quán)限的管理，采取必要措施確保實(shí)施過(guò)程的業(yè)務(wù)數(shù)據(jù)安全。
　　與業(yè)務(wù)數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)評(píng)估報(bào)告和審計(jì)報(bào)告記錄高敏感性數(shù)據(jù)項(xiàng)時(shí)應(yīng)當(dāng)進(jìn)行脫敏處理。
　　數(shù)據(jù)處理者委托第三方評(píng)估機(jī)構(gòu)、審計(jì)機(jī)構(gòu)開(kāi)展與業(yè)務(wù)數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)評(píng)估或者審計(jì)工作的，應(yīng)當(dāng)在合同或者協(xié)議中明確其數(shù)據(jù)安全保護(hù)義務(wù)和對(duì)應(yīng)責(zé)任，指定本機(jī)構(gòu)人員全程參與。涉及會(huì)計(jì)審計(jì)服務(wù)的，還應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)和財(cái)政部門(mén)要求，進(jìn)一步加強(qiáng)相關(guān)業(yè)務(wù)數(shù)據(jù)安全保護(hù)。
　　第六章 法律責(zé)任
　　第四十七條 中國(guó)人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者的業(yè)務(wù)數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)時(shí)，可以對(duì)其進(jìn)行約談和要求其采取措施進(jìn)行整改；發(fā)現(xiàn)影響或者可能影響國(guó)家安全的業(yè)務(wù)數(shù)據(jù)處理活動(dòng)線(xiàn)索時(shí)，可以要求數(shù)據(jù)處理者按照國(guó)家有關(guān)規(guī)定進(jìn)行國(guó)家安全審查。
　　中國(guó)人民銀行及其分支機(jī)構(gòu)按照職責(zé)可以對(duì)數(shù)據(jù)處理者與業(yè)務(wù)數(shù)據(jù)相關(guān)的數(shù)據(jù)安全保護(hù)義務(wù)落實(shí)情況開(kāi)展執(zhí)法檢查，必要時(shí)可以與其他有關(guān)主管部門(mén)聯(lián)合實(shí)施執(zhí)法檢查。
　　第四十八條 中國(guó)人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者在業(yè)務(wù)數(shù)據(jù)處理活動(dòng)中未履行數(shù)據(jù)出境安全評(píng)估或者保護(hù)認(rèn)證等義務(wù)的，應(yīng)當(dāng)將相關(guān)案件信息移送同級(jí)網(wǎng)信部門(mén)，并配合其予以處理。
　　第四十九條 數(shù)據(jù)處理者未履行本辦法規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)，有下列情形之一的，中國(guó)人民銀行及其分支機(jī)構(gòu)依照《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條予以處罰：
　�。ㄒ唬┪匆勒辗�律、行政法規(guī)對(duì)應(yīng)規(guī)定，建立健全全流程業(yè)務(wù)數(shù)據(jù)安全管理制度的。
　�。ǘ�）未依照法律、行政法規(guī)對(duì)應(yīng)規(guī)定，組織開(kāi)展業(yè)務(wù)數(shù)據(jù)安全教育培訓(xùn)的。
　�。ㄈ�）未依照法律、行政法規(guī)對(duì)應(yīng)規(guī)定，采取相應(yīng)的技術(shù)措施和其他必要措施，保障業(yè)務(wù)數(shù)據(jù)安全的。
　�。ㄋ模┲匾獢�(shù)據(jù)的處理者未明確業(yè)務(wù)數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的。
　�。ㄎ澹┪从行ПO(jiān)測(cè)業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)的。
　�。�六）發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)未立即采取補(bǔ)救措施的。
　　（七）發(fā)生業(yè)務(wù)數(shù)據(jù)安全事件未立即采取處置措施，未及時(shí)告知用戶(hù)，或者未按照要求報(bào)告事件情況的。
　　（八）重要數(shù)據(jù)的處理者未每年對(duì)業(yè)務(wù)數(shù)據(jù)開(kāi)展一次風(fēng)險(xiǎn)評(píng)估，或者未按照要求報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告的。
　　第五十條 中國(guó)人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者開(kāi)展業(yè)務(wù)數(shù)據(jù)處理活動(dòng)排除、限制競(jìng)爭(zhēng)，或者損害個(gè)人、組織合法權(quán)益的，依照相關(guān)法律、行政法規(guī)予以處理，屬于其他有關(guān)主管部門(mén)管理職責(zé)的，移送相關(guān)案件信息并配合其予以處理。
　　第五十一條 中國(guó)人民銀行及其分支機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)處理者開(kāi)展業(yè)務(wù)數(shù)據(jù)處理活動(dòng)，涉嫌構(gòu)成違反治安管理行為或者構(gòu)成犯罪的，將相關(guān)案件信息移送同級(jí)公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)等有關(guān)主管部門(mén)，并配合其予以處理。
　　第五十二條 數(shù)據(jù)處理者發(fā)生業(yè)務(wù)數(shù)據(jù)安全事件造成危害后果，如能證明本機(jī)構(gòu)已按照規(guī)定采取數(shù)據(jù)安全保護(hù)措施，并立即采取補(bǔ)救措施的，應(yīng)當(dāng)對(duì)其從輕或者減輕行政處罰。
　　數(shù)據(jù)處理者積極提供數(shù)據(jù)安全風(fēng)險(xiǎn)情報(bào)，協(xié)助及時(shí)發(fā)現(xiàn)重大業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)的，應(yīng)當(dāng)對(duì)其未履行數(shù)據(jù)安全保護(hù)義務(wù)但尚未造成危害后果的行為，從輕或者減輕行政處罰。
　　第五十三條 中國(guó)人民銀行及其分支機(jī)構(gòu)工作人員在業(yè)務(wù)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理過(guò)程中存在玩忽職守、濫用職權(quán)、徇私舞弊情形的，依法給予處分。
　　第七章 附 則
　　第五十四條 術(shù)語(yǔ)定義：
　�。ㄒ唬�數(shù)據(jù)項(xiàng)，是指描述網(wǎng)絡(luò)數(shù)據(jù)結(jié)構(gòu)最基本的、不可分割的單位。
　�。ǘ�）結(jié)構(gòu)化數(shù)據(jù)項(xiàng)，是指具有預(yù)定義的抽象描述數(shù)據(jù)類(lèi)型，通常為使用數(shù)據(jù)庫(kù)二維邏輯表單一字段指代的數(shù)據(jù)項(xiàng)。
　�。ㄈ�）非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)，是指不適宜用數(shù)據(jù)庫(kù)二維邏輯表展現(xiàn)的數(shù)據(jù)項(xiàng)，如圖像、視頻、音頻、文檔文件等。
　　（四）終端設(shè)備，是指數(shù)據(jù)處理者在業(yè)務(wù)數(shù)據(jù)處理活動(dòng)中所用的計(jì)算機(jī)終端、移動(dòng)智能終端、音視頻和多媒體設(shè)備、其他專(zhuān)用終端設(shè)備。
　�。ㄎ澹�導(dǎo)出方式，是指數(shù)據(jù)使用或者提供活動(dòng)中，將原本具有嚴(yán)格訪(fǎng)問(wèn)權(quán)限控制和訪(fǎng)問(wèn)日志記錄的業(yè)務(wù)數(shù)據(jù)，轉(zhuǎn)換成未實(shí)施嚴(yán)格訪(fǎng)問(wèn)控制或者無(wú)訪(fǎng)問(wèn)日志記錄的文檔文件的操作方式。
　�。�六）核驗(yàn)方式，是指業(yè)務(wù)數(shù)據(jù)使用或者提供活動(dòng)中，經(jīng)核實(shí)驗(yàn)證后，僅反饋與存儲(chǔ)業(yè)務(wù)數(shù)據(jù)是否匹配的操作方式。
　�。ㄆ撸┙y(tǒng)一規(guī)范管理，是指數(shù)據(jù)處理者在本機(jī)構(gòu)制度或者操作規(guī)程中對(duì)不執(zhí)行本辦法所提原則性合規(guī)要求的情形予以集中列舉，并說(shuō)明保留此類(lèi)情形的必要性、對(duì)應(yīng)需采取的安全保護(hù)措施和需履行的必要內(nèi)部審批程序。
　　第五十五條 本辦法由中國(guó)人民銀行負(fù)責(zé)解釋。
　　第五十六條 本辦法自2025年6月30日起施行。