央行就《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見

智通財經(jīng)APP獲悉，7月24日，中國人民銀行發(fā)布關(guān)于《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見的通知。主要內(nèi)容包括規(guī)范數(shù)據(jù)分類分級要求。強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)分類分級制度規(guī)程，梳理數(shù)據(jù)資源目錄標(biāo)識分類信息，在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，根據(jù)中國人民銀行制定的重要數(shù)據(jù)識別標(biāo)準(zhǔn)，統(tǒng)一對數(shù)據(jù)實(shí)施分級，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全等級保護(hù)和風(fēng)險評估等義務(wù)，并在此基礎(chǔ)上推動各數(shù)據(jù)處理者進(jìn)一步做好數(shù)據(jù)敏感性、可用性層級劃分，以便在全流程數(shù)據(jù)安全管理中更好采取精細(xì)化、差異化的安全保護(hù)管理和技術(shù)措施。

此外，《辦法》提出數(shù)據(jù)安全保護(hù)總體要求。強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)壓實(shí)數(shù)據(jù)安全責(zé)任，建立數(shù)據(jù)安全問責(zé)處罰制度和數(shù)據(jù)處理活動全流程安全管理制度，制定數(shù)據(jù)安全培訓(xùn)計(jì)劃。壓實(shí)數(shù)據(jù)處理活動全流程安全合規(guī)底線。針對收集、存儲、使用、加工、傳輸、提供、公開和刪除各環(huán)節(jié)，向數(shù)據(jù)處理者明確采取哪些安全保護(hù)管理和技術(shù)措施后，可視為總體滿足盡職盡責(zé)的合規(guī)底線要求。細(xì)化風(fēng)險監(jiān)測、評估審計(jì)、事件處置等合規(guī)要求。強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)處理活動安全風(fēng)險監(jiān)測和告警機(jī)制，加強(qiáng)數(shù)據(jù)安全風(fēng)險情報監(jiān)測、核查、處置與行業(yè)共享，制定數(shù)據(jù)安全事件定級判定標(biāo)準(zhǔn)和應(yīng)急預(yù)案，規(guī)范應(yīng)急演練、事件處置、風(fēng)險評估和審計(jì)等工作。

原文如下：

中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）

第一章 總則

第一條（目的和依據(jù)）為規(guī)范中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國中國人民銀行法》等有關(guān)法律、行政法規(guī)，制定本辦法。

第二條（適用范圍）數(shù)據(jù)處理者在中華人民共和國境內(nèi)開展的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動，適用本辦法。法律、行政法規(guī)或者中國人民銀行另有規(guī)定的，從其規(guī)定。本辦法所稱中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)，指根據(jù)法律、行政法規(guī)、國務(wù)院決定和中國人民銀行規(guī)章，開展中國人民銀行承擔(dān)監(jiān)督管理職責(zé)的各類業(yè)務(wù)活動時，所產(chǎn)生和收集的不涉及國家秘密的網(wǎng)絡(luò)數(shù)據(jù)，以下簡稱數(shù)據(jù)。

第三條（管理原則與目標(biāo)）數(shù)據(jù)安全工作遵循“誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全”基本原則。開展數(shù)據(jù)處理活動應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)，采取有效措施防范數(shù)據(jù)被篡改、破壞、泄露、不當(dāng)獲取與利用等風(fēng)險，確保不損害國家安全、公共利益、金融秩序、個人及組織合法權(quán)益，遵守社會公德倫理、商業(yè)道德和職業(yè)道德。

第四條（協(xié)同監(jiān)督管理）在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，中國人民銀行及其分支機(jī)構(gòu)，依據(jù)本辦法開展數(shù)據(jù)安全監(jiān)督管理工作，積極支持其他有關(guān)主管部門依據(jù)職責(zé)開展數(shù)據(jù)安全監(jiān)督管理工作,必要時可以與其他有關(guān)主管部門簽署合作協(xié)議，進(jìn)一步約定數(shù)據(jù)安全監(jiān)督管理協(xié)作模式。中國銀行間市場交易商協(xié)會、中國支付清算協(xié)會、中國互聯(lián)網(wǎng)金融協(xié)會等金融行業(yè)協(xié)會應(yīng)當(dāng)加強(qiáng)自律管理，建立便捷的投訴、舉報渠道，反映會員合理的數(shù)據(jù)安全意見建議。

第二章 數(shù)據(jù)分類分級

第五條（數(shù)據(jù)分類分級保護(hù)總體規(guī)劃）中國人民銀行負(fù)責(zé)組織制定數(shù)據(jù)分類分級相關(guān)行業(yè)標(biāo)準(zhǔn)，指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級各項(xiàng)工作，統(tǒng)籌確定重要數(shù)據(jù)具體目錄并實(shí)施動態(tài)管理。

第六條（數(shù)據(jù)分類分級制度規(guī)程）數(shù)據(jù)處理者應(yīng)當(dāng)建立健全本單位數(shù)據(jù)分類分級實(shí)施制度，規(guī)范分類分級工作操作規(guī)程。數(shù)據(jù)分類分級過程實(shí)施和結(jié)果審批，應(yīng)當(dāng)嚴(yán)格遵循操作規(guī)程。

第七條（數(shù)據(jù)分類要求）數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)準(zhǔn)，根據(jù)業(yè)務(wù)開展情況建立業(yè)務(wù)分類，梳理細(xì)化數(shù)據(jù)資源目錄，標(biāo)識各數(shù)據(jù)項(xiàng)是否為個人信息、數(shù)據(jù)來源（生產(chǎn)經(jīng)營加工產(chǎn)生、外部收集產(chǎn)生等）、存儲該數(shù)據(jù)項(xiàng)的信息系統(tǒng)清單和應(yīng)用的業(yè)務(wù)類別。

第八條（數(shù)據(jù)分級要求）數(shù)據(jù)按照精度、規(guī)模和對國家安全的影響程度，分為一般、重要、核心三級。在中國人民銀行組織下，數(shù)據(jù)處理者應(yīng)當(dāng)準(zhǔn)確識別判定本單位信息系統(tǒng)存儲的全量數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)，并填寫報送重要數(shù)據(jù)目錄內(nèi)容，由中國人民銀行匯總后確定重要數(shù)據(jù)具體目錄。數(shù)據(jù)處理活動中，數(shù)據(jù)處理者還應(yīng)當(dāng)及時準(zhǔn)確識別判定所涉及數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)。

第九條（數(shù)據(jù)敏感性分層級）在數(shù)據(jù)分級基礎(chǔ)上，數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)準(zhǔn)，根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時，可能對個人、組織合法權(quán)益或者公共利益等造成的危害程度，將數(shù)據(jù)項(xiàng)敏感性從低至高進(jìn)一步分為一至五共五個層級。結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)逐一標(biāo)識層級；非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先按照可拆分的各結(jié)構(gòu)化數(shù)據(jù)項(xiàng)所對應(yīng)最高層級，標(biāo)識其層級。

第十條（數(shù)據(jù)可用性分層級）數(shù)據(jù)可用性分層級工作納入信息系統(tǒng)業(yè)務(wù)連續(xù)性分級保障體系統(tǒng)一考慮。數(shù)據(jù)處理者應(yīng)當(dāng)評估信息系統(tǒng)存儲數(shù)據(jù)遭到篡改、破壞后可能對業(yè)務(wù)連續(xù)性造成的影響程度，明確恢復(fù)點(diǎn)目標(biāo)要求?；謴?fù)點(diǎn)目標(biāo)越嚴(yán)格，數(shù)據(jù)的可用性層級越高。在此基礎(chǔ)上，鼓勵數(shù)據(jù)處理者識別用于支撐最基本業(yè)務(wù)運(yùn)轉(zhuǎn)、無法承受徹底滅失風(fēng)險、需要進(jìn)一步進(jìn)行容災(zāi)備份的數(shù)據(jù)。

第十一條（動態(tài)更新要求）數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)和信息系統(tǒng)變化情況，每年組織更新數(shù)據(jù)資源目錄，避免信息系統(tǒng)所涉及數(shù)據(jù)項(xiàng)未在數(shù)據(jù)資源目錄中記錄、數(shù)據(jù)項(xiàng)標(biāo)識信息不完整等情形發(fā)生。

第三章 數(shù)據(jù)安全保護(hù)總體要求

第十二條（責(zé)任落實(shí)總體要求）數(shù)據(jù)處理者應(yīng)當(dāng)明確其數(shù)據(jù)安全管理相關(guān)內(nèi)設(shè)部門職責(zé)分工，配備足夠數(shù)量的數(shù)據(jù)安全管理人員，并細(xì)化各類違規(guī)數(shù)據(jù)處理活動的定責(zé)問責(zé)規(guī)程，壓實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。重要數(shù)據(jù)的處理者還應(yīng)當(dāng)書面明確數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全牽頭管理內(nèi)設(shè)部門。

第十三條（全流程安全管理制度要求）數(shù)據(jù)處理者應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理制度，結(jié)合數(shù)據(jù)分類分級結(jié)果，明確差異化的安全保護(hù)管理和技術(shù)措施要求，并制定數(shù)據(jù)處理活動操作規(guī)程，規(guī)范各類內(nèi)部審批和授權(quán)流程。第五層級數(shù)據(jù)項(xiàng)應(yīng)當(dāng)在第四層級數(shù)據(jù)項(xiàng)對應(yīng)的安全保護(hù)管理和技術(shù)措施基礎(chǔ)上進(jìn)一步從嚴(yán)管理。不同敏感性層級數(shù)據(jù)項(xiàng)在同一個數(shù)據(jù)處理活動中被處理，且難以采取差異化安全保護(hù)管理和技術(shù)措施的，應(yīng)當(dāng)統(tǒng)一采取最高敏感性層級數(shù)據(jù)項(xiàng)對應(yīng)的安全保護(hù)管理和技術(shù)措施。與母公司、子公司、關(guān)聯(lián)公司或者附屬公司等具有關(guān)聯(lián)關(guān)系的數(shù)據(jù)處理者合作開展數(shù)據(jù)處理活動時，不得降低安全保護(hù)管理和技術(shù)措施要求。

第十四條（安全培訓(xùn)總體要求）數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)崗位分工，制定數(shù)據(jù)安全年度培訓(xùn)計(jì)劃，組織開展相關(guān)教育培訓(xùn)，并對培訓(xùn)結(jié)果進(jìn)行評價。培訓(xùn)內(nèi)容應(yīng)當(dāng)包括：（一） 數(shù)據(jù)安全相關(guān)法律、行政法規(guī)、部門規(guī)章、國家和金融行業(yè)標(biāo)準(zhǔn)、內(nèi)部規(guī)定、行為準(zhǔn)則和職業(yè)操守；（二） 不同崗位的數(shù)據(jù)安全責(zé)任，失職失責(zé)或者違法違規(guī)數(shù)據(jù)處理活動應(yīng)當(dāng)承擔(dān)的后果；（三） 針對性的數(shù)據(jù)安全保護(hù)管理和技術(shù)措施要求，以及對應(yīng)的操作規(guī)程；（四） 數(shù)據(jù)安全事件應(yīng)急處置規(guī)程。

第十五條（鼓勵創(chuàng)新）鼓勵數(shù)據(jù)處理者積極開展數(shù)據(jù)安全技術(shù)創(chuàng)新應(yīng)用，在保障安全合規(guī)前提下，積極促進(jìn)數(shù)據(jù)的高效流通和創(chuàng)新應(yīng)用，鼓勵優(yōu)秀創(chuàng)新成果申報行業(yè)表彰獎勵。

第四章 數(shù)據(jù)安全保護(hù)管理措施

第十六條（人員管理要求）數(shù)據(jù)處理者應(yīng)當(dāng)按照最小必要和職責(zé)分離原則，嚴(yán)格管理信息系統(tǒng)各類業(yè)務(wù)處理賬號、數(shù)據(jù)庫管理員等特權(quán)賬號的設(shè)立和權(quán)限，人員變動時應(yīng)當(dāng)及時調(diào)整權(quán)限或者收回賬號。數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)賬號身份認(rèn)證管理，可使用第二層級以上數(shù)據(jù)項(xiàng)的賬號應(yīng)當(dāng)支持身份驗(yàn)證?？墒褂玫谌龑蛹壱陨蠑?shù)據(jù)項(xiàng)的賬號應(yīng)當(dāng)支持多因素認(rèn)證或者實(shí)現(xiàn)二次授權(quán)，相關(guān)賬號使用人員應(yīng)當(dāng)簽署保密協(xié)議。

第十七條（數(shù)據(jù)收集保護(hù)管理措施要求）數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)原則，并采取下列安全保護(hù)管理措施：（一）除法律、行政法規(guī)明確無需說明的情形外，應(yīng)當(dāng)在隱私政策協(xié)議或者合同協(xié)議中以顯著方式、清晰易懂的語言說明數(shù)據(jù)收集的目的、范圍、方式、存儲期限，以及數(shù)據(jù)來源不合法、數(shù)據(jù)不真實(shí)情形對應(yīng)的違約責(zé)任；（二）接受其他數(shù)據(jù)處理者委托協(xié)助收集數(shù)據(jù)時，應(yīng)當(dāng)通過合同協(xié)議與其約定，是否需要代其向相關(guān)個人、組織說明委托關(guān)系；（三）非直接面向個人、組織收集數(shù)據(jù)時，應(yīng)當(dāng)要求數(shù)據(jù)提供方依照法律、行政法規(guī)取得個人、組織的同意，對于非書面同意情形，應(yīng)當(dāng)要求其出具數(shù)據(jù)來源說明材料，并依據(jù)材料評估其合法性、真實(shí)性；（四）應(yīng)當(dāng)針對數(shù)據(jù)合法性、真實(shí)性存疑等情形，明確業(yè)務(wù)暫停使用相關(guān)數(shù)據(jù)時的應(yīng)急處置方案；（五）應(yīng)當(dāng)優(yōu)先采用數(shù)據(jù)提供方直接錄入或者信息系統(tǒng)間交互的方式收集數(shù)據(jù)；（六）因履行無障礙義務(wù)或者客觀條件限制，采用紙質(zhì)文件、影像或者代為手工錄入等方式收集數(shù)據(jù)時，應(yīng)當(dāng)采取自動識別、人工核驗(yàn)等措施，保障數(shù)據(jù)錄入的及時性和準(zhǔn)確性，并按照檔案管理要求保存原始數(shù)據(jù)收集憑證；（七）停止提供其產(chǎn)品服務(wù)，合同協(xié)議履約終止或者響應(yīng)個人、組織合法權(quán)益要求時，應(yīng)當(dāng)主動停止數(shù)據(jù)收集活動；（八）保存數(shù)據(jù)收集行為對應(yīng)的合同協(xié)議、內(nèi)部審批記錄、數(shù)據(jù)提供方出具的數(shù)據(jù)來源說明材料和對應(yīng)評估結(jié)論等信息至少三年。

第十八條（數(shù)據(jù)存儲保護(hù)管理措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)業(yè)務(wù)需要，明確數(shù)據(jù)存儲期限。除履行法定職責(zé)或者法定義務(wù)所必需外，第三層級以上數(shù)據(jù)項(xiàng)原則上不得在終端設(shè)備和移動介質(zhì)中存儲。確需存儲的，數(shù)據(jù)處理者在履行內(nèi)部審批程序基礎(chǔ)上，應(yīng)當(dāng)統(tǒng)一明確需在終端設(shè)備和移動介質(zhì)中存儲的特定場景、支持此類場景的必要性、應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。風(fēng)險防范措施至少應(yīng)當(dāng)包括僅在授權(quán)的終端設(shè)備和移動介質(zhì)中存儲，存儲期限不得超過審批允許的期限。數(shù)據(jù)處理者應(yīng)當(dāng)保存終端設(shè)備、移動介質(zhì)中存儲第三層級以上數(shù)據(jù)項(xiàng)行為的目的說明、內(nèi)部審批記錄、授權(quán)設(shè)備或者介質(zhì)識別編號、允許存儲期限等信息至少三年。

第十九條（數(shù)據(jù)使用保護(hù)管理措施要求）第三層級數(shù)據(jù)項(xiàng)原則上不提供導(dǎo)出使用方式，第四層級以上數(shù)據(jù)項(xiàng)原則上僅提供核驗(yàn)使用方式，確需提供其他使用方式時，應(yīng)當(dāng)說明相關(guān)必要性，經(jīng)內(nèi)部審批并明確對應(yīng)的風(fēng)險防范措施后，據(jù)此開展。涉及第三層級以上數(shù)據(jù)項(xiàng)導(dǎo)出使用的風(fēng)險防范措施，原則上應(yīng)當(dāng)優(yōu)先采取加密、數(shù)字水印或者脫敏處理等安全保護(hù)措施，確需未經(jīng)安全保護(hù)即導(dǎo)出的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)導(dǎo)出需求場景，并據(jù)此開展。除面向個人、組織展示其數(shù)據(jù)，履行法定職責(zé)或者法定義務(wù)必需展示數(shù)據(jù)的兩類情形外，信息系統(tǒng)界面展示第三層級以上數(shù)據(jù)項(xiàng)時，原則上應(yīng)當(dāng)優(yōu)先實(shí)施脫敏處理后再展示。確需明文展示的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)展示需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。

第二十條（數(shù)據(jù)加工保護(hù)管理措施要求）數(shù)據(jù)加工前，數(shù)據(jù)處理者應(yīng)當(dāng)審查加工目的與收集約定是否一致，確保數(shù)據(jù)加工不以壟斷經(jīng)營和不正當(dāng)競爭為目的，不發(fā)生誤導(dǎo)、欺詐、脅迫或者干擾等限制個人或者組織正當(dāng)選擇與決策的行為，遵循社會公德倫理。第四層級以上數(shù)據(jù)項(xiàng)加工，應(yīng)當(dāng)經(jīng)內(nèi)部審批并明確對應(yīng)的風(fēng)險防范措施后，據(jù)此開展。基于加工生成的數(shù)據(jù)項(xiàng)面向個人提供自動化決策服務(wù)時，應(yīng)當(dāng)以適當(dāng)方式說明加工目的、加工依賴數(shù)據(jù)基本情況和加工基本邏輯，提升決策的透明度。數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)加工行為目的說明、內(nèi)部審查審批記錄、審查對應(yīng)的加工應(yīng)用程序源代碼、新產(chǎn)生數(shù)據(jù)項(xiàng)列表等信息至少三年。

第二十一條（促進(jìn)數(shù)據(jù)開發(fā)利用）使用第三層級以上數(shù)據(jù)項(xiàng)加工后產(chǎn)生的數(shù)據(jù)項(xiàng)，經(jīng)評估確認(rèn)無法識別至特定個人、組織，或者反映信息敏感程度明顯低于原數(shù)據(jù)項(xiàng)時，數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后，可視情降低敏感性層級，促進(jìn)數(shù)據(jù)依法合規(guī)開發(fā)利用。

第二十二條（數(shù)據(jù)傳輸保護(hù)管理措施要求）除履行法定職責(zé)或者法定義務(wù)所必需外，數(shù)據(jù)處理者原則上不得采用互聯(lián)網(wǎng)郵件、即時通訊、在線文件傳輸、交互性信息服務(wù)等互聯(lián)網(wǎng)信息服務(wù)或者通過移動介質(zhì)交換傳輸?shù)谌龑蛹壱陨蠑?shù)據(jù)項(xiàng)，確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)傳輸需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。

第二十三條（一般性數(shù)據(jù)提供保護(hù)管理措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)針對自身業(yè)務(wù)開展所需的數(shù)據(jù)提供行為采取下列安全保護(hù)管理措施：（一）涉及個人信息的數(shù)據(jù)提供行為，應(yīng)當(dāng)評估確認(rèn)遵守有關(guān)法律、行政法規(guī)的規(guī)定。其他數(shù)據(jù)提供行為，應(yīng)當(dāng)評估確認(rèn)不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密要求；（二）通過合同協(xié)議方式與數(shù)據(jù)接收方約定數(shù)據(jù)提供的目的、方式、范圍、規(guī)模、允許存儲時限、將數(shù)據(jù)再轉(zhuǎn)移提供至第三方的限定條件，要求接收方及時告知可能發(fā)生的數(shù)據(jù)泄露事件，明確各方數(shù)據(jù)安全保護(hù)責(zé)任和至少應(yīng)當(dāng)采取的安全保護(hù)措施；（三）向個人、組織提供其數(shù)據(jù)時，可視情簡化合同協(xié)議簽訂和對應(yīng)內(nèi)部審批要求，但應(yīng)當(dāng)先行核實(shí)其身份的真實(shí)性；（四）對于委托處理情形，在合同協(xié)議中進(jìn)一步明確委托處理受托人重要事項(xiàng)報告、及時返還和刪除數(shù)據(jù)的實(shí)施方式、接受并配合數(shù)據(jù)處理者監(jiān)督其委托處理活動等義務(wù)；（五）有效監(jiān)督委托處理受托人履約情況，定期評估確認(rèn)其數(shù)據(jù)處理活動符合事前約定，并已采取承諾的全部安全保護(hù)措施；（六）對于委托處理以外情形，第三層級數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先通過查詢、固定報表和核驗(yàn)方式向其他數(shù)據(jù)處理者提供，第四層級以上數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先通過核驗(yàn)方式向其他數(shù)據(jù)處理者提供，確需以其他方式提供的，在履行內(nèi)部審批程序基礎(chǔ)上，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)提供需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展；（七）切實(shí)保障提供數(shù)據(jù)的質(zhì)量，對提供數(shù)據(jù)真實(shí)性作必要核驗(yàn)，按照約定格式做好數(shù)據(jù)清洗轉(zhuǎn)換，不得提供虛假數(shù)據(jù)誤導(dǎo)數(shù)據(jù)接收方、合作方；（八）保存數(shù)據(jù)提供行為評估記錄、內(nèi)部審批記錄、對應(yīng)的合同協(xié)議內(nèi)容、監(jiān)督過程中識別的風(fēng)險及整改處置情況等信息至少三年。

第二十四條（特殊性數(shù)據(jù)提供保護(hù)管理措施要求）數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供重要數(shù)據(jù)前，應(yīng)當(dāng)依照法律、行政法規(guī)要求，說明重要數(shù)據(jù)的具體信息，從數(shù)據(jù)接收方數(shù)據(jù)處理目的方式和范圍的合法正當(dāng)必要性、潛在安全隱患、數(shù)據(jù)接收方誠信守法和背景情況、合約協(xié)議完備性和擬采取的安全保護(hù)管理和技術(shù)措施等方面做好風(fēng)險評估并保存報告至少三年。在此基礎(chǔ)上，數(shù)據(jù)處理者還應(yīng)當(dāng)通過法律、行政法規(guī)明確規(guī)定的安全評估。數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)前，還應(yīng)當(dāng)提請國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制辦公室批準(zhǔn)。除履行法定職責(zé)或者法定義務(wù)所明確情形外，數(shù)據(jù)處理者不得通過拆分等方式規(guī)避上述義務(wù)。數(shù)據(jù)處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)通過公告等方式將數(shù)據(jù)接收方信息告知相關(guān)個人、組織，并評估確認(rèn)不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密要求。重要數(shù)據(jù)的處理者發(fā)生合并、分立、解散或者申請重整、和解以及破產(chǎn)清算等情況時，法律、行政法規(guī)有明確要求的，應(yīng)當(dāng)事前向中國人民銀行報告重要數(shù)據(jù)處置方案和數(shù)據(jù)接收方基本情況。

第二十五條（數(shù)據(jù)融合創(chuàng)新應(yīng)用管理措施要求）數(shù)據(jù)處理者采用隱私計(jì)算等技術(shù)促進(jìn)數(shù)據(jù)融合創(chuàng)新應(yīng)用時，應(yīng)當(dāng)確認(rèn)原始數(shù)據(jù)未離開自身控制范圍，且多個數(shù)據(jù)提供行為關(guān)聯(lián)后，暴露約定范圍外信息的風(fēng)險可控。

第二十六條（數(shù)據(jù)出境限制管理措施要求）數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲要求的，應(yīng)當(dāng)在境內(nèi)存儲。數(shù)據(jù)處理者因自身需要向境外提供數(shù)據(jù)，存在國家網(wǎng)信部門規(guī)定情形的，應(yīng)當(dāng)嚴(yán)格遵守其有關(guān)規(guī)定事前開展數(shù)據(jù)出境風(fēng)險自評估并申報數(shù)據(jù)出境安全評估。數(shù)據(jù)處理者不得有意拆分、縮減出境數(shù)據(jù)規(guī)模以規(guī)避申報數(shù)據(jù)出境安全評估。對于因自身需要的數(shù)據(jù)出境提供行為，數(shù)據(jù)處理者應(yīng)當(dāng)于每年 1 月底前測算或者估算其上兩年內(nèi)累計(jì)出境數(shù)據(jù)規(guī)模與范圍，并保存測算估算結(jié)果和對應(yīng)的境外接收方聯(lián)系方式至少三年。涉及數(shù)據(jù)出境安全評估的，數(shù)據(jù)處理者還應(yīng)當(dāng)保存有效期內(nèi)的數(shù)據(jù)出境風(fēng)險自評估報告、數(shù)據(jù)出境安全評估申報書和評估結(jié)果。

第二十七條（國際組織和外國金融管理部門數(shù)據(jù)調(diào)取）中國人民銀行根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理國際組織和外國金融管理部門關(guān)于提供數(shù)據(jù)的請求。非經(jīng)中國人民銀行和其他有關(guān)主管部門批準(zhǔn)，數(shù)據(jù)處理者不得向其提供境內(nèi)存儲的數(shù)據(jù)。

第二十八條（數(shù)據(jù)公開保護(hù)管理措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)履行內(nèi)部審批手續(xù)，審核數(shù)據(jù)公開行為的目的、數(shù)據(jù)內(nèi)容范圍、渠道、時限和脫敏處理情況，分析研判可能產(chǎn)生的負(fù)面影響，并核驗(yàn)數(shù)據(jù)的合法性、真實(shí)性與有效性。數(shù)據(jù)公開渠道原則上應(yīng)當(dāng)為本單位統(tǒng)一明確的官方渠道。確有需要通過其他渠道公開的，應(yīng)當(dāng)經(jīng)內(nèi)部審批并明確對應(yīng)的風(fēng)險防范措施后，據(jù)此開展。第二層級以上數(shù)據(jù)項(xiàng)公開時，數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)公開行為目的說明、日期、公開渠道、數(shù)據(jù)范圍和內(nèi)部審批記錄等信息至少三年。第三層級以上數(shù)據(jù)項(xiàng)原則上應(yīng)當(dāng)實(shí)施脫敏處理后再公開，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確第三層級以上數(shù)據(jù)項(xiàng)確需未經(jīng)脫敏處理即允許公開的特定需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。

第二十九條（數(shù)據(jù)刪除保護(hù)管理措施要求）涉及個人信息的數(shù)據(jù)，滿足法律、行政法規(guī)規(guī)定應(yīng)當(dāng)刪除情形時，數(shù)據(jù)處理者應(yīng)當(dāng)主動刪除數(shù)據(jù)。其他數(shù)據(jù)已超過與組織約定的存儲時限，或者組織提出符合法律、行政法規(guī)規(guī)定的正當(dāng)請求時，數(shù)據(jù)處理者應(yīng)當(dāng)主動刪除數(shù)據(jù)。刪除數(shù)據(jù)從技術(shù)上難以實(shí)現(xiàn)的，數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。數(shù)據(jù)處理者應(yīng)當(dāng)每年至少對信息系統(tǒng)業(yè)務(wù)處理賬號、特權(quán)賬號實(shí)施一次核驗(yàn)，確認(rèn)已停止除存儲和必要安全保護(hù)措施之外處理的數(shù)據(jù)，不可被訪問使用。數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況時，合法合規(guī)完成自身需要的數(shù)據(jù)轉(zhuǎn)移處理后，應(yīng)當(dāng)及時銷毀全部數(shù)據(jù)存儲介質(zhì)。中國人民銀行或其住所地分支機(jī)構(gòu)依據(jù)法律、行政法規(guī)另有數(shù)據(jù)轉(zhuǎn)移要求的，還應(yīng)當(dāng)按照要求將數(shù)據(jù)轉(zhuǎn)移至指定接收方后再銷毀數(shù)據(jù)存儲介質(zhì)。

第五章 數(shù)據(jù)安全保護(hù)技術(shù)措施

第三十條（賬號權(quán)限保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)采取有效技術(shù)措施，從嚴(yán)管控業(yè)務(wù)處理賬號的數(shù)據(jù)使用權(quán)限，鼓勵建設(shè)技術(shù)平臺，采取統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)策略進(jìn)一步加強(qiáng)管控。數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確特權(quán)賬號的使用場景，并通過內(nèi)部審批授權(quán)，嚴(yán)格限定其使用?？墒褂玫谌龑蛹壱陨蠑?shù)據(jù)項(xiàng)的特權(quán)賬號，涉及人工操作的數(shù)據(jù)庫表刪除、修改等操作應(yīng)當(dāng)逐一進(jìn)行事前審查和事后審計(jì)。

第三十一條（數(shù)據(jù)處理活動日志保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的日志規(guī)范，明確數(shù)據(jù)處理活動日志應(yīng)當(dāng)完整記錄的溯源所需信息。第三層級數(shù)據(jù)項(xiàng)如需在數(shù)據(jù)處理活動日志中記錄原則上應(yīng)當(dāng)實(shí)施脫敏處理，第四層級以上數(shù)據(jù)項(xiàng)原則上不記錄。確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)日志記錄需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。數(shù)據(jù)處理者應(yīng)當(dāng)將數(shù)據(jù)處理活動日志納入數(shù)據(jù)分類分級管理，并落實(shí)對應(yīng)的管理和技術(shù)措施要求。數(shù)據(jù)處理者應(yīng)當(dāng)妥善保存數(shù)據(jù)處理活動日志至少六個月。向其他數(shù)據(jù)處理者提供涉及個人信息的數(shù)據(jù)或者重要數(shù)據(jù)的行為，相關(guān)日志應(yīng)當(dāng)保存至少三年。

第三十二條（數(shù)據(jù)收集保護(hù)技術(shù)措施要求）采用直接錄入方式收集第二層級以上數(shù)據(jù)項(xiàng)，應(yīng)當(dāng)核驗(yàn)錄入人身份。采用信息系統(tǒng)間交互方式收集第三層級以上數(shù)據(jù)項(xiàng)，應(yīng)當(dāng)對數(shù)據(jù)提供方身份進(jìn)行認(rèn)證，并保障收集數(shù)據(jù)的完整性。數(shù)據(jù)處理者應(yīng)當(dāng)采取關(guān)聯(lián)信息交叉核驗(yàn)等技術(shù)措施，識別并規(guī)避數(shù)據(jù)項(xiàng)同一內(nèi)容不合理映射至多個個人或者組織、不同數(shù)據(jù)項(xiàng)信息相互矛盾等問題，盡可能保障收集數(shù)據(jù)的準(zhǔn)確性，避免損害個人、組織的合法權(quán)益。數(shù)據(jù)處理者面向個人直接錄入方式收集數(shù)據(jù)時，應(yīng)當(dāng)建立健全技術(shù)措施，識別法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?。?shù)據(jù)處理者采用自動化搜集方式從其他數(shù)據(jù)處理者收集數(shù)據(jù)時，應(yīng)當(dāng)遵守其數(shù)據(jù)訪問控制協(xié)議，不得干擾其網(wǎng)絡(luò)服務(wù)正常運(yùn)行，不得侵害其原有網(wǎng)絡(luò)服務(wù)合法運(yùn)營權(quán)益。

第三十三條（數(shù)據(jù)存儲保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)針對數(shù)據(jù)存儲行為采取下列安全保護(hù)技術(shù)措施：（一）有效隔離開發(fā)測試環(huán)境與生產(chǎn)環(huán)境數(shù)據(jù)存儲設(shè)施設(shè)備；（二）存儲重要數(shù)據(jù)或者一百萬人以上個人信息的信息系統(tǒng)應(yīng)當(dāng)落實(shí)三級以上網(wǎng)絡(luò)安全等級保護(hù)要求，存儲核心數(shù)據(jù)的信息系統(tǒng)應(yīng)當(dāng)落實(shí)四級網(wǎng)絡(luò)安全等級保護(hù)要求或者關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求；（三）除因業(yè)務(wù)影響、產(chǎn)業(yè)制約，并可提供詳細(xì)分析報告情形外，應(yīng)當(dāng)優(yōu)先采用商用密碼技術(shù)對信息系統(tǒng)中第三層級以上數(shù)據(jù)項(xiàng)實(shí)施加密存儲，結(jié)構(gòu)化數(shù)據(jù)項(xiàng)在對數(shù)據(jù)庫文件整體實(shí)施加密基礎(chǔ)上鼓勵進(jìn)一步采用更細(xì)粒度的加密方式，非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)可僅對拆分的第三層級以上結(jié)構(gòu)化數(shù)據(jù)項(xiàng)單獨(dú)實(shí)施加密；（四）按照業(yè)務(wù)連續(xù)性保障等級，加強(qiáng)信息系統(tǒng)數(shù)據(jù)冗余備份管理，對于恢復(fù)點(diǎn)目標(biāo)要求小于十分鐘的信息系統(tǒng)，每天至少驗(yàn)證一次最新冗余備份數(shù)據(jù)可被正常加載使用；對于其他信息系統(tǒng)應(yīng)當(dāng)逐一明確驗(yàn)證頻率要求，據(jù)此定期驗(yàn)證最新冗余備份數(shù)據(jù)可被正常加載使用。鼓勵數(shù)據(jù)處理者針對需要進(jìn)一步容災(zāi)備份的數(shù)據(jù)，采取獨(dú)立于信息系統(tǒng)災(zāi)難備份體系以外的備份技術(shù)措施。

第三十四條（數(shù)據(jù)使用保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確第三層級以上數(shù)據(jù)項(xiàng)的脫敏處理策略，降低脫敏數(shù)據(jù)仍可識別至個人、組織的風(fēng)險。數(shù)據(jù)處理者應(yīng)當(dāng)采取數(shù)字水印等措施，標(biāo)識信息系統(tǒng)當(dāng)前數(shù)據(jù)使用賬號、時間等信息，并在展示后及時清除緩存信息，提升數(shù)據(jù)展示、打印等使用過程的安全防護(hù)和溯源能力。數(shù)據(jù)處理者應(yīng)當(dāng)建立終端設(shè)備安全管控策略，鼓勵針對使用第三層級以上數(shù)據(jù)項(xiàng)的終端，采取安全沙箱、終端行為管控等安全保護(hù)措施。生產(chǎn)環(huán)境第二層級以上數(shù)據(jù)項(xiàng)原則上應(yīng)當(dāng)經(jīng)授權(quán)并實(shí)施脫敏處理后才能用于開發(fā)測試，確需不經(jīng)脫敏處理即用于開發(fā)測試的，數(shù)據(jù)處理者應(yīng)當(dāng)履行內(nèi)部審批手續(xù)，并采取與生產(chǎn)環(huán)境一致的安全保護(hù)管理和技術(shù)措施，確保開發(fā)測試數(shù)據(jù)安全。

第三十五條（數(shù)據(jù)加工保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的加工算法風(fēng)險評估和控制策略，明確可解釋性、脆弱性等風(fēng)險對應(yīng)的緩釋措施以及退出算法自動化決策的替代方案。

第三十六條（數(shù)據(jù)傳輸保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)針對數(shù)據(jù)傳輸行為采取下列安全保護(hù)技術(shù)措施：（一）通過運(yùn)營商網(wǎng)絡(luò)傳輸?shù)诙蛹壱陨蠑?shù)據(jù)項(xiàng)時，采取專用線路、虛擬專用網(wǎng)絡(luò)、安全通信協(xié)議等安全保護(hù)措施；（二）動態(tài)更新記錄不同網(wǎng)絡(luò)安全區(qū)域間正常數(shù)據(jù)傳輸對應(yīng)的網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議通信映射關(guān)系，加強(qiáng)安全隔離與終端設(shè)備準(zhǔn)入控制；（三）第三層級以上數(shù)據(jù)項(xiàng)傳輸至其他數(shù)據(jù)處理者、傳輸至不同數(shù)據(jù)中心或者傳輸至運(yùn)營商網(wǎng)絡(luò)時，應(yīng)當(dāng)優(yōu)先使用商用密碼技術(shù)保障機(jī)密性，并根據(jù)業(yè)務(wù)需要使用商用密碼技術(shù)加強(qiáng)完整性和抗抵賴性保障，未使用商用密碼技術(shù)進(jìn)行傳輸保護(hù)的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)傳輸需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展；（四）在傳輸失敗或者傳輸完成后，及時刪除不必要的緩存數(shù)據(jù)；（五）及時評估調(diào)整網(wǎng)絡(luò)線路的傳輸承載容量，加強(qiáng)網(wǎng)絡(luò)線路和相關(guān)軟硬件設(shè)備的冗余備份。

第三十七條（數(shù)據(jù)提供保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)針對數(shù)據(jù)提供行為采取下列安全保護(hù)技術(shù)措施：（一）針對持續(xù)性數(shù)據(jù)提供行為建設(shè)較為集中的技術(shù)平臺，并采用前置網(wǎng)關(guān)或者應(yīng)用程序接口方式向其他數(shù)據(jù)處理者提供數(shù)據(jù)；（二）提供從其他數(shù)據(jù)處理者收集獲得的數(shù)據(jù)項(xiàng)，中國人民銀行有明確需公開數(shù)據(jù)來源要求的，應(yīng)當(dāng)以顯著方式標(biāo)識來源；（三）提供第三層級以上數(shù)據(jù)項(xiàng)時應(yīng)當(dāng)對數(shù)據(jù)接收方身份進(jìn)行認(rèn)證；（四）采用隱私計(jì)算技術(shù)提供數(shù)據(jù)時，應(yīng)當(dāng)建立統(tǒng)一的技術(shù)風(fēng)險評估和控制策略，明確安全可驗(yàn)證性、性能可接受性等風(fēng)險對應(yīng)的緩釋措施；（五）對于委托處理情形的數(shù)據(jù)提供行為，應(yīng)當(dāng)納入信息科技外包管理體系統(tǒng)一管理。

第三十八條（數(shù)據(jù)公開保護(hù)技術(shù)措施要求）數(shù)據(jù)處理者應(yīng)當(dāng)明確自身已公開數(shù)據(jù)是否可被自動化搜集的數(shù)據(jù)訪問控制協(xié)議，并采取有效技術(shù)措施，保障公開數(shù)據(jù)不被篡改。

第三十九條（數(shù)據(jù)刪除保護(hù)技術(shù)措施要求）刪除數(shù)據(jù)涉及數(shù)據(jù)存儲介質(zhì)銷毀工作時，數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的數(shù)據(jù)存儲介質(zhì)銷毀策略，明確銷毀技術(shù)方式和過程監(jiān)督措施。存儲第三層級以上數(shù)據(jù)項(xiàng)的存儲介質(zhì)不再使用并且離開數(shù)據(jù)處理者控制范圍時，應(yīng)當(dāng)及時銷毀。數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)存儲介質(zhì)銷毀日期、銷毀介質(zhì)識別編號、采取的銷毀技術(shù)方式、操作執(zhí)行及復(fù)核人等信息至少三年。

第六章 風(fēng)險監(jiān)測、評估審計(jì)與事件處置措施

第四十條（數(shù)據(jù)處理活動風(fēng)險監(jiān)測）數(shù)據(jù)處理者應(yīng)當(dāng)采取有效措施，強(qiáng)化數(shù)據(jù)處理活動安全風(fēng)險監(jiān)測和告警，推進(jìn)違規(guī)數(shù)據(jù)處理活動阻斷技術(shù)措施建設(shè)，及時做好風(fēng)險隱患的溯源排查處置，并核驗(yàn)技術(shù)措施的有效性和可靠性。監(jiān)測告警規(guī)則應(yīng)當(dāng)重點(diǎn)關(guān)注下列事項(xiàng)：（一）收集、提供的數(shù)據(jù)存在惡意程序或者法律、行政法規(guī)禁止傳輸?shù)男畔?；（二）危害?shù)據(jù)安全的漏洞；（三）終端設(shè)備和移動介質(zhì)未經(jīng)授權(quán)存儲第三層級以上數(shù)據(jù)項(xiàng)；（四）識別到不明用途的數(shù)據(jù)存儲網(wǎng)絡(luò)地址；（五）未授權(quán)的數(shù)據(jù)使用行為，發(fā)生時間、網(wǎng)絡(luò)地址、頻率、總量存在明顯異常的數(shù)據(jù)使用行為；（六）用戶身份認(rèn)證強(qiáng)度較弱；（七）開發(fā)測試環(huán)境中使用未授權(quán)或者未經(jīng)脫敏處理的生產(chǎn)環(huán)境數(shù)據(jù)；（八）對第四層級以上數(shù)據(jù)項(xiàng)實(shí)施加工、提供等行為；（九）異常的網(wǎng)絡(luò)通信行為和非授權(quán)終端設(shè)備接入內(nèi)部網(wǎng)絡(luò)的行為；（十）未經(jīng)商用密碼技術(shù)加密傳輸?shù)谌龑蛹壱陨蠑?shù)據(jù)項(xiàng)；（十一）終端設(shè)備使用互聯(lián)網(wǎng)郵件、公共即時通訊、互聯(lián)網(wǎng)文件傳輸工具傳輸?shù)谌龑蛹壱陨蠑?shù)據(jù)項(xiàng)或者打印第三層級以上數(shù)據(jù)項(xiàng)；（十二）網(wǎng)絡(luò)線路數(shù)據(jù)傳輸承載能力不足；（十三）使用前置網(wǎng)關(guān)或者應(yīng)用程序接口方式提供超出合同協(xié)議約定范圍數(shù)據(jù)的異常行為；（十四）違反數(shù)據(jù)訪問控制協(xié)議的公開數(shù)據(jù)異常訪問行為。

第四十一條（數(shù)據(jù)安全風(fēng)險情報監(jiān)測）數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全風(fēng)險情報的監(jiān)測，及時核實(shí)并做好必要的數(shù)據(jù)安全防范處置工作。監(jiān)測規(guī)則應(yīng)當(dāng)重點(diǎn)關(guān)注下列事項(xiàng)：（一）本單位非公開數(shù)據(jù)泄漏至互聯(lián)網(wǎng)的情況；（二）兜售本單位數(shù)據(jù)的情況；（三）假冒本單位身份非法收集、公開數(shù)據(jù)，或者對本單位管理的數(shù)據(jù)進(jìn)行造謠傳謠的情況；（四）與本單位或者具有關(guān)聯(lián)關(guān)系的數(shù)據(jù)處理者相關(guān)的數(shù)據(jù)安全負(fù)面輿情信息；（五）與本單位合作的數(shù)據(jù)接收方、委托處理受托人相關(guān)的數(shù)據(jù)安全負(fù)面輿情信息。

第四十二條（數(shù)據(jù)安全通報預(yù)警監(jiān)測）數(shù)據(jù)處理者應(yīng)當(dāng)及時接收、核查和處置中國人民銀行或其分支機(jī)構(gòu)通報的數(shù)據(jù)安全風(fēng)險情報，并根據(jù)要求按時反饋核查處置結(jié)果。鼓勵數(shù)據(jù)處理者積極向中國人民銀行或其分支機(jī)構(gòu)提供可共享的數(shù)據(jù)安全風(fēng)險情報，提升聯(lián)防聯(lián)控效能。

第四十三條（數(shù)據(jù)安全風(fēng)險評估）重要數(shù)據(jù)的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托檢測機(jī)構(gòu)，每年組織開展一次全面的數(shù)據(jù)安全風(fēng)險評估工作，于下年度一季度末前向中國人民銀行或其住所地分支機(jī)構(gòu)報送風(fēng)險評估報告，并按照行政法規(guī)要求向?qū)?yīng)的網(wǎng)信部門報送。除法律、行政法規(guī)已明確的內(nèi)容外，風(fēng)險評估報告還應(yīng)當(dāng)重點(diǎn)評估下列風(fēng)險，并提出改進(jìn)應(yīng)對措施：（一）數(shù)據(jù)分類分級實(shí)施制度、違規(guī)數(shù)據(jù)處理活動定責(zé)規(guī)程和問責(zé)處罰措施、數(shù)據(jù)處理活動全流程數(shù)據(jù)安全管理制度和相關(guān)操作規(guī)程的建設(shè)情況；（二）數(shù)據(jù)安全決策、管理、執(zhí)行、監(jiān)督各層面職責(zé)劃分和對應(yīng)崗位設(shè)置是否明確、合理，實(shí)際職責(zé)落實(shí)情況；（三）人員培訓(xùn)和日常管理情況；（四）重要數(shù)據(jù)識別判定情況，處理重要數(shù)據(jù)的目的、范圍、規(guī)模、方式、類型、存儲期限和存儲地點(diǎn)等情況；（五）重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動記錄信息的真實(shí)性與完整性；（六）重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動全流程管理和技術(shù)措施執(zhí)行情況及其有效性；（七）存儲重要數(shù)據(jù)信息系統(tǒng)的網(wǎng)絡(luò)安全等級保護(hù)測評和問題整改落實(shí)情況；（八）重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動風(fēng)險監(jiān)測預(yù)警和溯源排查情況；（九）數(shù)據(jù)安全事件定級判定標(biāo)準(zhǔn)建設(shè)情況，應(yīng)急預(yù)案、應(yīng)急處置流程設(shè)計(jì)與演練實(shí)施情況，以及本年度發(fā)生的數(shù)據(jù)安全事件及處置情況；（十）向其他數(shù)據(jù)處理者提供重要數(shù)據(jù)的風(fēng)險評估報告。

第四十四條（數(shù)據(jù)安全審計(jì)）數(shù)據(jù)處理者應(yīng)當(dāng)圍繞全流程數(shù)據(jù)安全管理制度和相關(guān)操作規(guī)程執(zhí)行情況、數(shù)據(jù)安全相關(guān)投訴處理情況，每年至少開展一次與數(shù)據(jù)安全相關(guān)的合規(guī)審計(jì)。發(fā)生重大以上數(shù)據(jù)安全事件后，應(yīng)當(dāng)及時開展專項(xiàng)審計(jì)，督促數(shù)據(jù)處理活動過程留痕，安全保障責(zé)任落實(shí)到人。

第四十五條（數(shù)據(jù)安全風(fēng)險評估與審計(jì)的安全保障）數(shù)據(jù)處理者應(yīng)當(dāng)細(xì)化管控數(shù)據(jù)安全風(fēng)險評估人員和審計(jì)人員使用數(shù)據(jù)的權(quán)限，并采取有效措施確保實(shí)施過程安全。鼓勵數(shù)據(jù)處理者建立技術(shù)平臺，統(tǒng)一建立數(shù)據(jù)安全風(fēng)險評估與審計(jì)的安全管控策略。數(shù)據(jù)安全風(fēng)險評估報告和審計(jì)報告不得記錄第四層級以上數(shù)據(jù)項(xiàng)。報告保存期限不得短于實(shí)施過程中使用數(shù)據(jù)的存儲期限，且最短不得低于三年。委托檢測機(jī)構(gòu)、審計(jì)機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險評估或者審計(jì)工作時，數(shù)據(jù)處理者應(yīng)當(dāng)在合同協(xié)議中明確其數(shù)據(jù)安全保護(hù)責(zé)任，并指定本單位人員全程參與評估。

第四十六條（數(shù)據(jù)安全事件定級判定）數(shù)據(jù)處理者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案有關(guān)事件分級要求，綜合考慮影響范圍和程度，細(xì)化明確各等級數(shù)據(jù)安全事件對應(yīng)的定級判定標(biāo)準(zhǔn)：（一）對于數(shù)據(jù)被篡改、破壞的事件，定級標(biāo)準(zhǔn)應(yīng)當(dāng)考慮不同業(yè)務(wù)連續(xù)性保障等級信息系統(tǒng)無法正常服務(wù)的時長、影響的業(yè)務(wù)筆數(shù)與金額、影響的個人或者組織數(shù)量、損失的各敏感性層級數(shù)據(jù)項(xiàng)情況和對應(yīng)數(shù)據(jù)規(guī)模、帶來的輿情影響等；（二）對于數(shù)據(jù)泄露事件，定級標(biāo)準(zhǔn)應(yīng)當(dāng)考慮涉及的個人或者組織數(shù)量、泄露的各敏感性層級數(shù)據(jù)項(xiàng)情況和對應(yīng)數(shù)據(jù)規(guī)模、帶來的輿情影響等；（三）涉及核心數(shù)據(jù)、重要數(shù)據(jù)的安全事件，應(yīng)當(dāng)分別定級為特別重大事件、重大事件。

第四十七條（數(shù)據(jù)安全事件響應(yīng)處置）數(shù)據(jù)處理者應(yīng)當(dāng)將數(shù)據(jù)安全事件納入網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制統(tǒng)一管理，制定相關(guān)應(yīng)急預(yù)案，做好事件定級、處置、總結(jié)、報告、整改工作，按照規(guī)程向中國人民銀行或其住所地分支機(jī)構(gòu)、其他有關(guān)主管部門報告事件信息。數(shù)據(jù)處理者應(yīng)當(dāng)每年至少開展一次針對數(shù)據(jù)安全事件的應(yīng)急演練，確保應(yīng)急處置措施的效率和效果。合作的數(shù)據(jù)接收方、委托處理受托人發(fā)生與本單位所提供數(shù)據(jù)相關(guān)的數(shù)據(jù)安全事件時，數(shù)據(jù)處理者應(yīng)當(dāng)立即開展調(diào)查評估，督促其及時采取補(bǔ)救措施。

第七章 法律責(zé)任

第四十八條（監(jiān)督管理責(zé)任履行）中國人民銀行及其分支機(jī)構(gòu)，按照管轄權(quán)對數(shù)據(jù)處理者數(shù)據(jù)安全保護(hù)義務(wù)落實(shí)情況開展執(zhí)法檢查。必要時可以與其他有關(guān)主管部門聯(lián)合組織對數(shù)據(jù)處理者的執(zhí)法檢查。中國人民銀行及其分支機(jī)構(gòu)在執(zhí)法檢查過程中發(fā)現(xiàn)數(shù)據(jù)處理者的數(shù)據(jù)處理活動存在較大安全風(fēng)險時，依照《中華人民共和國數(shù)據(jù)安全法》第四十四條予以處理；發(fā)現(xiàn)影響或者可能影響國家安全的數(shù)據(jù)處理活動線索時，應(yīng)當(dāng)及時報國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制辦公室，研判是否啟動國家數(shù)據(jù)安全審查。

第四十九條（違反數(shù)據(jù)安全保護(hù)義務(wù)行為的處理）在本辦法適用范圍內(nèi)，數(shù)據(jù)處理者未履行數(shù)據(jù)安全保護(hù)義務(wù)，有下列情形之一的，中國人民銀行及其分支機(jī)構(gòu)依照《中華人民共和國數(shù)據(jù)安全法》第四十五條規(guī)定予以處理：（一）未按照本辦法第十二條規(guī)定，明確或者壓實(shí)數(shù)據(jù)安全保護(hù)責(zé)任；（二）未按照本辦法第十三條規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度；（三）未按照本辦法第十四條規(guī)定，制定數(shù)據(jù)安全年度培訓(xùn)計(jì)劃，未組織開展相關(guān)教育培訓(xùn)；（四）除本辦法第五十條、第五十一條規(guī)定情形外，未對應(yīng)采取本辦法第四章和第五章所規(guī)定的數(shù)據(jù)安全保護(hù)管理措施或者技術(shù)措施；（五）未按照本辦法第四十條、第四十一條規(guī)定，做好數(shù)據(jù)處理活動風(fēng)險監(jiān)測或者數(shù)據(jù)安全風(fēng)險情報監(jiān)測；（六）未按照本辦法第四十二條規(guī)定，接收、核查、處置和反饋中國人民銀行或其分支機(jī)構(gòu)通報的數(shù)據(jù)安全風(fēng)險情報；（七）重要數(shù)據(jù)的處理者未按照本辦法第四十三條規(guī)定，每年組織開展一次全面的數(shù)據(jù)安全風(fēng)險評估并按時報送風(fēng)險評估報告；（八）發(fā)生數(shù)據(jù)安全事件時，未按照本辦法第四十七條規(guī)定，做好響應(yīng)處置各項(xiàng)工作。數(shù)據(jù)處理者未履行本辦法提出的數(shù)據(jù)安全保護(hù)義務(wù)，其他有關(guān)法律、行政法規(guī)作出規(guī)定的，中國人民銀行及其分支機(jī)構(gòu)依照相關(guān)規(guī)定予以處理。

第五十條（違反規(guī)定數(shù)據(jù)出境行為的處理）中國人民銀行及其分支機(jī)構(gòu)執(zhí)法檢查發(fā)現(xiàn)數(shù)據(jù)處理者未履行本辦法第二十六條規(guī)定的數(shù)據(jù)境內(nèi)存儲義務(wù)，按照《中華人民共和國網(wǎng)絡(luò)安全法》第六十六條規(guī)定和有關(guān)法律、行政法規(guī)的規(guī)定予以處理；發(fā)現(xiàn)數(shù)據(jù)處理者未履行本辦法第二十六條規(guī)定的數(shù)據(jù)出境安全評估申報義務(wù)，將相關(guān)案件信息移送同級網(wǎng)信部門，并配合其依法依規(guī)予以處理。

第五十一條（違反規(guī)定向國際組織或者外國金融管理部門提供數(shù)據(jù)行為的處理）數(shù)據(jù)處理者未履行本辦法第二十七條規(guī)定，未經(jīng)中國人民銀行和其他有關(guān)主管部門批準(zhǔn)，向國際組織或者外國金融管理部門提供境內(nèi)存儲的數(shù)據(jù)時，中國人民銀行及其分支機(jī)構(gòu)依照《中華人民共和國數(shù)據(jù)安全法》第四十八條第二款規(guī)定予以處理；所提供數(shù)據(jù)涉及個人信息的，依照《中華人民共和國個人信息保護(hù)法》第六十六條規(guī)定予以處理。

第五十二條（非法獲取數(shù)據(jù)行為的處理）中國人民銀行及其分支機(jī)構(gòu)執(zhí)法檢查發(fā)現(xiàn)數(shù)據(jù)處理者存在竊取或者以其他非法方式獲取數(shù)據(jù)的行為時，將相關(guān)案件信息移送同級公安機(jī)關(guān)、國家安全機(jī)關(guān)，并配合其依法依規(guī)予以處理。

第五十三條（處理數(shù)據(jù)損害合法權(quán)益行為的處理）中國人民銀行及其分支機(jī)構(gòu)執(zhí)法檢查發(fā)現(xiàn)數(shù)據(jù)處理者開展數(shù)據(jù)處理活動排除、限制競爭，或者損害個人、組織合法權(quán)益的, 依照《中華人民共和國反不正當(dāng)競爭法》《中華人民共和國反壟斷法》《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》等法律，將相關(guān)案件信息移送承擔(dān)執(zhí)法職責(zé)的有關(guān)主管部門，并配合其依法依規(guī)予以處理。

第五十四條（監(jiān)督管理人員違反規(guī)定行為的處理）中國人民銀行及其分支機(jī)構(gòu)人員在監(jiān)督管理過程中存在玩忽職守、濫用職權(quán)、徇私舞弊情形的，按照法律、行政法規(guī)規(guī)定給予處分；涉嫌犯罪的，依法移送監(jiān)察機(jī)關(guān)或者司法機(jī)關(guān)處理。

第八章 附則

第五十五條（名詞定義）術(shù)語定義：（一）網(wǎng)絡(luò)數(shù)據(jù)，是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)，表現(xiàn)形式為由一條或者多條信息記錄組成的集合；（二）數(shù)據(jù)項(xiàng)，是指描述網(wǎng)絡(luò)數(shù)據(jù)結(jié)構(gòu)最基本的、不可分割的單位；（三）結(jié)構(gòu)化數(shù)據(jù)項(xiàng)，是指具有預(yù)定義的抽象描述數(shù)據(jù)類型，通常使用數(shù)據(jù)庫二維邏輯表中單一字段指代的數(shù)據(jù)項(xiàng)；（四）非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)，是指沒有預(yù)定義的抽象描述數(shù)據(jù)類型，并且不適宜用數(shù)據(jù)庫二維邏輯表展現(xiàn)的數(shù)據(jù)項(xiàng)，如圖像、視頻、音頻、文檔文件等；（五）數(shù)據(jù)處理活動，是指數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動；（六）數(shù)據(jù)處理者，是指開展數(shù)據(jù)處理活動的金融機(jī)構(gòu)和其他機(jī)構(gòu)；（七）本辦法所稱“以上”均含本級。

第五十六條（解釋權(quán)）本辦法由中國人民銀行負(fù)責(zé)解釋。國家外匯領(lǐng)域數(shù)據(jù)安全管理由國家外匯管理局負(fù)責(zé)，具體制度可另行制定。

第五十七條（生效期）本辦法自 2024 年××月××日起施行

本文編選自“央行官網(wǎng)”，智通財經(jīng)編輯：陳筱亦。