FOREXBNB獲悉,5月9日,《中國人民銀行業務領域數據安全管理辦法》已經2025年4月2日中國人民銀行第5次行務會議審議通過,現予發佈,自2025年6月30日起施行。業務數據安全工作遵循“誰管業務,誰管業務数据,誰管數據安全”原則。中國人民銀行對業務數據安全負指導監管責任。數據處理者應當履行數據安全保護義務,防範業務數據被篡改、破壞、泄露或者非法獲取、非法利用等風險,保障國家安全、公共利益、個人及組織合法權益,尊重社會公德倫理,遵守商業道德和職業道德,保障業務數據依法有序自由流動。按照國家有關規定,將業務數據分爲一般數據、重要數據、核心數據三級。
原文如下:
中國人民銀行業務領域數據安全管理辦法
第一章 總 則
第一條 爲規範中國人民銀行業務領域數據的安全管理並促進開發利用,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國中國人民銀行法》《網絡數據安全管理條例》等法律、行政法規,制定本辦法。
第二條 在中華人民共和國境內開展與中國人民銀行業務領域數據相關的處理活動及其安全監督管理,適用本辦法。其他有關主管部門有規定的,還應當依法遵守其規定。
本辦法所稱中國人民銀行業務領域,指依據法律、行政法規,黨中央、國務院決定,由中國人民銀行承擔監督和管理職責的業務領域。
本辦法所稱中國人民銀行業務領域數據,指中國人民銀行業務領域內產生和收集的不涉及國家祕密的網絡數據(以下簡稱業務數據)。
本辦法所稱數據處理者,指金融機構以及經中國人民銀行批准設立或者認定的其他機構。
第三條 業務數據安全工作遵循“誰管業務,誰管業務数据,誰管數據安全”原則。中國人民銀行對業務數據安全負指導監管責任。數據處理者應當履行數據安全保護義務,防範業務數據被篡改、破壞、泄露或者非法獲取、非法利用等風險,保障國家安全、公共利益、個人及組織合法權益,尊重社會公德倫理,遵守商業道德和職業道德,保障業務數據依法有序自由流動。
第四條 在國家數據安全工作協調機制統籌協調下,中國人民銀行及其分支機構按照本辦法開展業務數據安全監督管理工作,加強與其他有關主管部門間的數據安全監督管理協作配合、信息溝通。
相關金融行業協會應當加強自律管理,依法制定業務數據安全行爲規範和團體標準,指導會員加強業務數據安全保護。
第五條 鼓勵數據處理者積極開展業務數據安全創新應用,在保障安全合規前提下促進業務數據的高效流通和開發利用,鼓勵在行業內推廣優秀創新成果。
第二章 業務數據分類分級與總體要求
第六條 中國人民銀行負責制定業務數據分類分級保護相關規範標準,指導業務數據分類分級保護工作,組織編制中國人民銀行業務領域重要數據目錄並實施動態管理。
第七條 數據處理者應當建立健全業務數據分類分級制度和操作規程。業務數據分類分級實施應當遵循制度規程,分類分級結果應當履行內部審批程序。
第八條 數據處理者應當建立業務數據資源目錄,並從業務關聯性、敏感性和可用性方面分別做好業務數據分類:
(一)標識各數據項是否爲個人信息、是否爲外部收集產生、存儲該數據項的信息系統清單和關聯的業務類別。
(二)根據業務數據遭到泄露或者被非法獲取、非法利用時,對個人、組織合法權益或者公共利益等造成的危害程度開展敏感性分類。業務數據的結構化數據項應當逐一標識敏感性,業務數據的非結構化數據項應當優先按照可拆分的各結構化數據項所標識的最高敏感性,標識其敏感性。中國人民銀行業務領域內的敏感個人信息、可能涉及商業祕密的客戶經營信息、應當嚴格控制知悉範圍的業務信息等,應當標識爲高敏感性數據項。
(三)根據業務數據遭到篡改、破壞後對業務正常運行造成的影響程度,明確信息系統差異化的數據恢復點目標,視爲對業務數據的可用性分類。
第九條 按照國家有關規定,將業務數據分爲一般數據、重要數據、核心數據三級。重要數據是指特定领域、特定羣體、特定區域或者達到一定精度和規模,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。核心數據是指對領域、羣體、區域具有較高覆蓋度或者達到較高精度、較大規模、一定深度,一旦被非法使用或者共享,可能直接影响政治安全的重要數據。
中國人民銀行按照國家有關規定組織確定重要數據具體目錄,數據處理者應當準確識別、申報本機構存儲的全量業務數據是否屬於重要數據、核心數據,並填報重要數據具體目錄內容。
中國人民銀行彙總形成重要數據具體目錄,經國家數據安全工作協調機制審定後,確定重要數據的處理者並告知其對應的重要數據。
除單獨說明的情形外,本辦法所列重要數據的保護義務,均適用於核心數據。
第十條 數據處理者應當每年至少更新一次業務數據資源目錄,完整準確記錄信息系統所存儲數據項和對應標識內容。
第十一條 數據處理者應當切實履行業務數據安全保護責任,明確業務數據安全保護相關內設部門職責,配備與業務範圍和服務規模相適應的數據安全專業人員,細化業務數據安全保護獎懲規程。
面向社會提供產品、服務的數據處理者應當建立便捷的投訴、舉報渠道,及時受理並處理業務數據安全有關投訴、舉報。
重要數據的處理者應當明確業務數據的安全負責人和管理機構。管理機構應當切實履行法律、行政法規已明確的各項責任。業務數據的安全負責人應當符合法律、行政法規已明確需具備的條件,並確保其能夠有效履行數據安全保護義務,有權直接向中國人民銀行報告業務數據安全情況。
第十二條 數據處理者應當建立健全全流程業務數據安全管理制度,結合業務數據分類分級明確差異化的安全保護措施,制定業務數據處理活動操作規程和業務數據安全相關內部審批授權規程,明確操作實施和審批授權記錄的留存要求。
不同敏感性數據項在同一個業務數據處理活動中被處理,且難以採取差異化安全保護措施的,應當採取高敏感性數據項對應的安全保護措施。
第十三條 數據處理者應當根據崗位分工,制定業務數據安全年度培訓計劃,每年組織業務數據處理活動參與人員開展相關教育培訓。培訓內容應當包括與業務數據安全相關的制度標準、風險防範常識、崗位責任、保護措施和事件應急處置要求。
第三章 全流程業務數據安全管理要求
第十四條 數據處理者應當嚴格管理處理業務數據相關信息系統數據庫管理員賬號等特權賬號和各類業務處理賬號的權限,人員變動時應當立即調整權限。數據處理者應當與可使用高敏感性數據項賬號的人員簽訂保密協議。
數據處理者存儲核心數據的,應當對業務數據的安全負責人和可使用核心數據的關鍵崗位人員進行安全背景審查。
第十五條 數據處理者收集業務數據應當採取下列安全保護管理措施:
(一)除收集自行公開或者其他已經合法公開的業務數據的情形外,收集業務數據時應當依照法律、行政法規和中國人民銀行相關規定取得個人同意或者組織授權,並落實相應告知義務。
(二)非直接面向個人、組織收集其尚未公開的業務數據的,應當在合同或者協議中明確數據提供方保障業務數據來源合法性、真實性的義務。數據提供方未取得個人書面同意或者組織書面授權的,還應當要求其出具業務數據來源依法合規和數據真實性的必要佐證材料。
(三)採用人工錄入方式收集業務數據的,應當採取必要校驗措施保障業務數據錄入的準確性,按照相關管理要求留存業務數據收集原始憑證。
(四)原則上不收集圖像等原始個人生物識別信息。確需收集的,應當統一規範管理相關需求場景。
(五)按照與數據提供方合同或者協議中約定的處理目的、方式、範圍以及安全保護義務等開展收集和後續的業務數據處理活動。
第十六條 數據處理者應當根據業務需要,明確業務數據保存期限。除履行法定職責或者法定義務外,高敏感性數據項原則上不在終端設備和移動介質中存儲,確需存儲的,數據處理者應當統一規範管理相關需求場景。
第十七條 業務數據使用活動中,數據處理者使用高敏感性數據項,原則上不採取導出方式,使用用於身份鑑別的數據項原則上僅採取覈驗方式。確需採取導出方式使用高敏感性數據項或者採取其他方式使用用於身份鑑別的數據項的,數據處理者應當統一規範管理相關需求場景。
除根據個人請求向其展示與其相關業務數據,以及履行法定職責或者法定義務所需外,數據處理者原則上須實施脫敏處理後再展示高敏感性數據項。確需不脫敏展示的,數據處理者應當統一規範管理相關需求場景。
第十八條 數據處理者應當審查業務數據加工目的與業務數據收集約定是否一致;需要訓練業務數據的,應當審查訓練業務數據的真實性、準確性、客觀性、多樣性;需要標註業務數據的,应当抽样审查标注的合理性与準確性;需要建立模型評價激勵規則的,應當審查評價激勵規則是否尊重社會公德倫理、遵守商業道德和職業道德。
業務數據加工活動中,數據處理者加工高敏感性數據項的,應當進一步明確應當採取的安全保護措施,並履行內部審批程序;基於加工生成的數據項面向個人提供自動化決策服務的,應當以適當方式向個人解釋說明處理目的、用於加工的個人信息種類和加工規則。
第十九條 對於業務數據加工活動產生新數據項,經評估其敏感性明顯低於加工所使用數據項的,數據處理者可遵循規程降低其敏感性標識,促進依法合規開發利用。
對於業務數據加工活動產生新數據項,經評估其敏感性明顯高於加工所使用數據項的,數據處理者應當提高其敏感性標識,並加強業務數據安全保護。
第二十條 除根據個人請求向其傳輸與其相關業務數據外,數據處理者原則上不使用郵件、即時通訊、在線文件存儲等互聯網信息服務或者移動介質傳輸高敏感性數據項。確有需要的,數據處理者應當統一規範管理相關需求場景。
第二十一條 從事業務所需的業務數據提供活動,數據處理者應當覈驗數據接收方身份,並採取下列安全保護管理措施:
(一)對於涉及個人信息的業務數據提供活動,應當評估是否遵守法律、行政法規要求。對於其他業務數據提供活動,應當評估是否符合保守商業祕密的約定。
(二)向其他數據處理者提供業務數據涉及個人信息和重要數據的,應當在合同或者協議中明確各自的數據安全保護義務,需要採取的安全保護措施,數據提供的目的、方式、範圍,數據允許存儲時限,數據提供至第三方的限制和數據安全事件告知義務,並對數據接收方履行約定義務的情況進行監督。
(三)按照約定做好業務數據清洗轉換,對提供數據的真實性作必要審查,不得誤導數據接收方。
(四)除委託處理情形外,原則上不採取導出方式向其他數據處理者提供高敏感性數據項,用於身份鑑別的數據項原則上須採取覈驗方式提供。確需採取導出方式提供高敏感性數據項或者採取其他方式使用用於身份鑑別的數據項的,數據處理者應當統一規範管理相關需求場景。
第二十二條 數據處理者向其他數據處理者提供、委託處理、共同處理重要數據前,應當依照法律、行政法規和中國人民銀行相關規定進行風險評估,並重點評估數據接收方數據處理目的和方式的合法正當性、數據項列表的需求合理性、數據活動的潛在安全風險、數據接收方誠信守法情況、合同或者協議內容的完備性、擬採取的安全保護措施等。
除履行法定職責或者法定義務外,數據處理者向其他數據處理者提供核心數據達到國家規定情形的,在提供業務數據之前應當經中國人民銀行報國家數據安全工作協調機制開展風險評估。數據處理者不得通過拆分、轉換等手段規避上述義務。
重要數據的處理者因合併、分立、解散、破產等可能影響重要數據安全的,應當依照法律、行政法規要求,事前向中國人民銀行或者住所地中國人民銀行省級分支機構報告重要數據處置方案,在方案中說明重要數據目錄內容更新情況、數據接收方的名稱或者姓名和聯繫方式等。
第二十三條 數據處理者採用隱私計算等技術促進業務數據融合創新應用的,應當落實本辦法第二十一條第一項至第三項要求,並確認除本機構外其他數據處理者無法使用未加密原始數據、與其他數據融合創新應用活動作關聯分析無法泄露約定範圍外的信息。
第二十四條 數據處理者因業務等需要向中華人民共和國境外提供數據,存在國家網信部門規定情形的,應當嚴格遵守其有關規定;法律、行政法規和中國人民銀行相關規定有境內存儲要求的,業務數據還應當同時在中華人民共和國境內存儲。
符合國家網信部門規定應當申報數據出境安全評估或者開展保護認證等情形的,數據處理者不得對業務數據採取拆分、轉換等手段規避相關義務。
第二十五條 中國人民銀行根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國金融執法機構關於提供業務數據的請求。
第二十六條 數據處理者應當審覈業務數據公開活動的目的、數據項列表、渠道、時限和脫敏處理情況,分析研判可能產生的不利影響,審查業務數據的合法性、真實性,並通過本機構明確的官方渠道公開業務數據。確需通過其他渠道公開的,應當明確採用的安全保護措施並履行內部審批程序。
業務數據處理活動中,數據處理者不得公開用於身份鑑別的數據項,公開其他高敏感性數據項原則上須作脫敏處理。確需不作脫敏處理的,數據處理者應當統一規範管理相關需求場景。
第二十七條 數據處理者應當依照法律、行政法規和中國人民銀行相關規定,主動刪除處理目的已實現、處理目的無法實現、爲實現處理目的不再必要或者約定保存期限已屆滿等情形的業務數據。
刪除業務數據從技術上難以實現的,數據處理者應當停止除存儲和採取必要的安全保護措施之外的業務數據處理活動,並每年至少實施一次審查,確認相關業務數據不可被使用。
第二十八條 數據處理者委託處理業務數據,除落實本辦法第二十一條第二項要求外,還應當在合同或者協議中明確受託人需報告的重要事項、委託處理事項完成後傳輸和刪除業務數據的實施方式與時限要求、配合本機構監督其委託處理活動等義務,並採取定期評估等方式監督受託人履約情況。涉及核心數據的委託處理活動,數據處理者應當事前對受託人開展盡職調查,進一步加強對其的監督。
數據處理者應當將業務數據委託處理活動納入業務或者信息科技外包管理體系,加強風險管理。
中國人民銀行已明確要求不得以外包形式開展業務的,相關業務數據不得委託處理。
第四章 全流程業務數據安全技術要求
第二十九條 數據處理者應當加強訪問控制,採取有效技術措施管控業務數據處理賬號的數據使用權限,明確特權賬號的使用場景並加強使用時的內部審批授權。使用特權賬號實施業務數據新增、刪除、修改等人工操作時應當逐一開展事前審批和事後審查。使用特權賬號開展自動化操作前應當對操作正確性和安全性進行必要檢查。
數據處理者應當加強安全認證,保障業務數據處理賬號和特權賬號認證口令的強度,限制驗證失敗重試次數,可使用高敏感性數據項的賬號應當支持多因素認證或者二次授權確認,並建立超時退出、訪問通信地址變化等情形的重新驗證機制。
第三十條 數據處理者應當規範日誌記錄,明確業務數據處理活動日誌記錄信息,滿足數據安全風險溯源和事件處置需要。
業務數據處理活動日誌記錄高敏感性數據項原則上須經脫敏處理。確需不脫敏處理的,數據處理者應當統一規範管理相關需求場景。
數據處理者應當將業務數據處理活動日誌納入業務數據分類分級管理,落實安全保護要求。
數據處理者應當留存業務數據處理活動日誌至少六個月;對於與存儲重要數據信息系統相關的業務數據處理活動日誌,應當留存至少一年;對於與存儲核心數據信息系統相關的業務數據處理活動日誌,應當留存至少三年。
數據處理者向其他數據處理者提供、委託處理個人信息、重要數據的業務數據處理活動日誌等記錄,應當留存至少三年。
第三十一條 數據處理者應當優先採用直接錄入或者信息系統間交互的方式收集業務數據。採用直接錄入方式收集業務數據的,應當驗證錄入人身份;採用信息系統間交互方式收集高敏感性數據項的,應當驗證數據提供方身份。
數據處理者應當採取關聯信息交叉覈驗等技術措施,儘可能保障收集業務數據的準確性。
數據處理者採用自動化工具方式從其他數據處理者收集業務數據的,應當遵守其數據收集的控制規則,不得干擾網絡服務正常運行,不得侵害其他機構網絡服務合法運營權益。
第三十二條 數據處理者應當針對業務數據存儲活動採取下列安全保護措施:
(一)有效隔離信息系統開發測試環境與生產環境。
(二)存儲重要數據的信息系統應當滿足三級網絡安全等級保護要求,存儲核心數據的信息系統應當滿足四級網絡安全等級保護要求或者關鍵信息基礎設施保護要求,並優先採購安全可信的網絡產品和服務。
(三)原則上高敏感性數據項須加密存儲,確需不加密存儲的,數據處理者應當統一規範管理相關需求場景。中國人民銀行對業務數據存儲有使用商用密碼保護特別規定的,按照其規定執行。
(四)及時評估並調整業務數據存儲承載容量。對照信息系統數據恢復點目標,做好生產環境業務數據冗餘備份,按照中國人民銀行要求定期驗證冗餘備份業務數據的可用性。評估備份技術措施是否具備防範生產環境業務數據和冗餘備份業務數據同時遭到篡改、破壞等風險的能力,並針對性加強安全保護措施。
第三十三條 數據處理者應當明確高敏感性數據項的脫敏處理策略,切實降低脫敏業務數據仍可識別至特定個人、組織的風險。
數據處理者應當建立終端設備安全管控策略,明確安全防護措施要求。業務數據展示、打印時應當採取技術措施標識當前使用業務數據的業務處理賬號和使用時間。
除開發測試環境與生產環境業務數據安全保護措施完全一致的情形外,生產環境數據項用於開發測試環境的,應當履行內部審批程序並實施脫敏處理。
第三十四條 數據處理者應當建立業務數據加工算法風險評估和控制策略,明確可解釋性、脆弱性等風險對應的防範或者緩釋措施和停止使用加工算法開展自動化決策時的替代方案。
第三十五條 數據處理者應當針對業務數據傳輸活動採取下列安全保護措施:
(一)優先採取專用線路、虛擬專用網等技術加強業務數據傳輸安全保護。
(二)健全訪問控制和安全隔離策略,加強相關終端設備准入控制。
(三)原則上高敏感性數據項須加密傳輸至其他數據處理者、其他數據中心或者互聯網。確需不加密傳輸的,數據處理者應當統一規範管理相關需求場景。中國人民銀行對業務數據傳輸有使用商用密碼保護特別規定的,按照其規定執行。
(四)及時評估並調整通信線路的傳輸承載容量,加強通信線路和相關軟硬件設備的冗餘備份。
第三十六條 數據處理者應當動態維護本機構提供業務數據的前置網關和應用程序接口清單,並在前置網關和應用程序接口變更投產前開展安全測試,發現風險隱患立即採取補救措施。
數據處理者採用隱私計算等技術提供業務數據的,應當建立技術風險評估和控制策略,明確安全不可驗證、性能不可接受等風險的應對措施。
第三十七條 數據處理者應當制定本機構公開的業務數據是否允許自動化工具收集的控制規則,並採取必要技術措施保障公開的業務數據不被篡改。
第三十八條 數據處理者應當明確業務數據存儲介質銷燬策略,規範銷燬實施方式和過程監督程序。
第五章 業務數據安全風險與事件管理
第三十九條 數據處理者應當加強業務數據處理活動風險監測,有效識別下列風險並立即採取補救措施:
(一)存在法律、行政法規禁止發佈傳輸的信息。
(二)存在計算機病毒、木馬、勒索等惡意程序,數據安全漏洞、認證口令強度偏低等缺陷。
(三)高敏感性數據項安全保護措施失效。
(四)異常的業務數據處理活動。
(五)業務數據傳輸或者存儲承載能力不足。
第四十條 數據處理者應當加強對業務數據泄露、業務數據被非法兜售、仿冒本機構身份處理業務數據,以及其他與本機構有關的業務數據安全負面輿情的風險監測,發現相關風險時應當立即覈實處置。
第四十一條 中國人民銀行及其分支機構通報與業務數據相關的數據安全缺陷、漏洞等風險時,數據處理者應當立即覈實處置,並根據通報要求按時準確反饋情況。
鼓勵數據處理者向中國人民銀行及其分支機構提供具有行業共享價值的業務數據安全風險情報。
第四十二條 重要數據的處理者應當自行或者委託第三方評估機構,每年對業務數據開展一次風險評估,並於每年1月15日前向中國人民銀行或者住所地中國人民銀行省級分支機構報送上一年度風險評估報告。除法律、行政法規已明確應當評估的內容外,風險評估報告還應當包含與存儲重要數據信息系統相關的人員培訓與日常管理情況,與業務數據相關的崗位職責落實情況、網絡安全等級保護測評和整改情況、保護措施執行情況、本年度風險監測和事件處置情況,以及中國人民銀行要求的其他評估內容。
第四十三條 數據處理者應當按照國家網絡安全事件應急預案有關事件分級要求,綜合考慮影響範圍和程度,明確業務數據安全事件對應的分級標準:
(一)業務數據被篡改、破壞事件分級的標準應當考慮信息系統數據恢復點目標、無法正常提供服務時長、受影響業務筆數和金額、受影響個人或者組織數量、損失的不同敏感性數據項和對應規模等因素。
(二)業務數據泄露事件分級的標準應當考慮受影響個人或者組織數量、泄露的不同敏感性數據項和對應規模等因素。
(三)涉及核心數據、重要數據泄露或者被篡改、破壞的安全事件,應當分別分級爲特別重大事件、重大事件。
第四十四條 數據處理者應當做好業務數據安全事件分級,發生業務數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並按照中國人民銀行要求及時、準確、完整報告事件情況。
數據接收方、委託處理受託人發生與數據處理者所提供業務數據相關的數據安全事件的,數據處理者應當開展調查評估,督促相關機構立即採取補救措施並向有關主管部門報告。
重要數據的處理者應當每年至少開展一次針對業務數據安全事件的應急演練,其他數據處理者應當每三年至少開展一次針對業務數據安全事件的應急演練。
第四十五條 數據處理者應當對照法律、行政法規和本辦法所列安全保護措施要求,以及本機構業務數據安全相關管理制度和操作規程的執行情況,每三年至少開展一次業務數據安全合規審計,重要數據的處理者應當每年至少開展一次與重要數據安全相關的合規審計。發生重大或者特別重大事件後,應當開展專項審計。審計應當重點關注業務數據資源目錄是否及時更新、相關信息系統賬號權限管理是否嚴密、業務數據處理活動相關合同或者協議是否完備、高敏感性數據項安全保護措施是否有效、數據委託處理受託人管理職責是否落實、前置網關和應用程序接口是否持續安全維護、數據安全風險監測是否有效、數據安全風險與事件處置是否及時、數據出境是否合規、數據安全投訴處理是否及時等情況。
第四十六條 數據處理者應當加強風險評估人員和審計人員使用業務數據權限的管理,採取必要措施確保實施過程的業務數據安全。
與業務數據相關的風險評估報告和審計報告記錄高敏感性數據項時應當進行脫敏處理。
數據處理者委託第三方評估機構、審計機構開展與業務數據相關的風險評估或者審計工作的,應當在合同或者協議中明確其數據安全保護義務和對應責任,指定本機構人員全程參與。涉及會計審計服務的,還應當按照國家網信部門和財政部門要求,進一步加強相關業務數據安全保護。
第六章 法律責任
第四十七條 中國人民銀行及其分支機構發現數據處理者的業務數據處理活動存在較大安全風險時,可以對其進行約談和要求其採取措施進行整改;發現影響或者可能影響國家安全的業務數據處理活動線索時,可以要求數據處理者按照國家有關規定進行國家安全審查。
中國人民銀行及其分支機構按照職責可以對數據處理者與業務數據相關的數據安全保護義務落實情況開展執法檢查,必要時可以與其他有關主管部門聯合實施執法檢查。
第四十八條 中國人民銀行及其分支機構發現數據處理者在業務數據處理活動中未履行數據出境安全評估或者保護認證等義務的,應當將相關案件信息移送同級網信部門,並配合其予以處理。
第四十九條 數據處理者未履行本辦法規定的數據安全保護義務,有下列情形之一的,中國人民銀行及其分支機構依照《中華人民共和國數據安全法》第四十五條予以處罰:
(一)未依照法律、行政法規對應規定,建立健全全流程業務數據安全管理制度的。
(二)未依照法律、行政法規對應規定,組織開展業務數據安全教育培訓的。
(三)未依照法律、行政法規對應規定,採取相應的技術措施和其他必要措施,保障業務數據安全的。
(四)重要數據的處理者未明確業務數據安全負責人和管理機構的。
(五)未有效監測業務數據安全風險的。
(六)發現業務數據安全風險未立即採取補救措施的。
(七)發生業務數據安全事件未立即採取處置措施,未及時告知用戶,或者未按照要求報告事件情況的。
(八)重要數據的處理者未每年對業務數據開展一次風險評估,或者未按照要求報送風險評估報告的。
第五十條 中國人民銀行及其分支機構發現數據處理者開展業務數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照相關法律、行政法規予以處理,屬於其他有關主管部門管理職責的,移送相關案件信息並配合其予以處理。
第五十一條 中國人民銀行及其分支機構發現數據處理者開展業務數據處理活動,涉嫌構成違反治安管理行爲或者構成犯罪的,將相關案件信息移送同級公安機關、國家安全機關等有關主管部門,並配合其予以處理。
第五十二條 數據處理者發生業務數據安全事件造成危害後果,如能證明本機構已按照規定採取數據安全保護措施,並立即採取補救措施的,應當對其從輕或者減輕行政處罰。
數據處理者積極提供數據安全風險情報,協助及時發現重大業務數據安全風險的,應當對其未履行數據安全保護義務但尚未造成危害後果的行爲,從輕或者減輕行政處罰。
第五十三條 中國人民銀行及其分支機構工作人員在業務數據處理活動的安全監督管理過程中存在翫忽職守、濫用職權、徇私舞弊情形的,依法給予處分。
第七章 附 則
第五十四條 術語定義:
(一)數據項,是指描述網絡數據結構最基本的、不可分割的單位。
(二)結構化數據項,是指具有預定義的抽象描述數據類型,通常爲使用數據庫二維邏輯表單一字段指代的數據項。
(三)非結構化數據項,是指不適宜用數據庫二維邏輯表展現的數據項,如圖像、視頻、音頻、文檔文件等。
(四)終端設備,是指數據處理者在業務數據處理活動中所用的計算機終端、移動智能終端、音視頻和多媒體設備、其他专用終端設備。
(五)導出方式,是指數據使用或者提供活動中,將原本具有嚴格訪問權限控制和訪問日誌記錄的業務數據,轉換成未實施嚴格訪問控制或者無訪問日誌記錄的文檔文件的操作方式。
(六)覈驗方式,是指業務數據使用或者提供活動中,經覈實驗證後,僅反饋與存儲業務數據是否匹配的操作方式。
(七)統一規範管理,是指數據處理者在本機構制度或者操作規程中對不執行本辦法所提原則性合規要求的情形予以集中列舉,並說明保留此類情形的必要性、對應需採取的安全保護措施和需履行的必要內部審批程序。
第五十五條 本辦法由中國人民銀行負責解釋。
第五十六條 本辦法自2025年6月30日起施行。
本文編選自:央行官網;FOREXBNB編輯:陳筱亦。
