中国人民银行业务领域数据安全管理办法 （征求意见稿） 第一章 总则 第一条（目的和依据）为规范中国人民银行业务领域数 据的安全管理，根据《中华人民共和国网络安全法》《中华 人民共和国数据安全法》 《中华人民共和国中国人民银行法》 等有关法律、行政法规，制定本办法。 第二条（适用范围）数据处理者在中华人民共和国境内 开展的中国人民银行业务领域数据相关的处理活动，适用本 办法。法律、行政法规或者中国人民银行另有规定的，从其 规定。 本办法所称中国人民银行业务领域数据，指根据法律、 行政法规、国务院决定和中国人民银行规章，开展中国人民 银行承担监督管理职责的各类业务活动时，所产生和收集的 不涉及国家秘密的网络数据，以下简称数据。 第三条（管理原则与目标）数据安全工作遵循“谁管业 务，谁管业务数据，谁管数据安全”基本原则。开展数据处 理活动应当履行数据安全保护义务，采取有效措施防范数据 被篡改、破坏、泄露、不当获取与利用等风险，确保不损害 国家安全、公共利益、金融秩序、个人及组织合法权益，遵 1 守社会公德伦理、商业道德和职业道德。 第四条（协同监督管理）在国家数据安全工作协调机制 统筹协调下，中国人民银行及其分支机构，依据本办法开展 数据安全监督管理工作，积极支持其他有关主管部门依据职 责开展数据安全监督管理工作,必要时可以与其他有关主管 部门签署合作协议，进一步约定数据安全监督管理协作模 式。 中国银行间市场交易商协会、中国支付清算协会、中国 互联网金融协会等金融行业协会应当加强自律管理，建立便 捷的投诉、举报渠道，反映会员合理的数据安全意见建议。 第二章 数据分类分级 第五条（数据分类分级保护总体规划）中国人民银行负 责组织制定数据分类分级相关行业标准，指导数据处理者开 展数据分类分级各项工作，统筹确定重要数据具体目录并实 施动态管理。 第六条（数据分类分级制度规程）数据处理者应当建立 健全本单位数据分类分级实施制度，规范分类分级工作操作 规程。数据分类分级过程实施和结果审批，应当严格遵循操 作规程。 第七条（数据分类要求）数据处理者应当参考行业标 2 准，根据业务开展情况建立业务分类，梳理细化数据资源目 录，标识各数据项是否为个人信息、数据来源（生产经营加 工产生、外部收集产生等）、存储该数据项的信息系统清单 和应用的业务类别。 第八条（数据分级要求）数据按照精度、规模和对国家 安全的影响程度，分为一般、重要、核心三级。在中国人民 银行组织下，数据处理者应当准确识别判定本单位信息系统 存储的全量数据是否属于重要数据、核心数据，并填写报送 重要数据目录内容，由中国人民银行汇总后确定重要数据具 体目录。数据处理活动中，数据处理者还应当及时准确识别 判定所涉及数据是否属于重要数据、核心数据。 第九条（数据敏感性分层级）在数据分级基础上，数据 处理者应当参考行业标准，根据数据遭到泄露或者被非法获 取、非法利用时，可能对个人、组织合法权益或者公共利益 等造成的危害程度，将数据项敏感性从低至高进一步分为一 至五共五个层级。结构化数据项应当逐一标识层级；非结构 化数据项应当优先按照可拆分的各结构化数据项所对应最 高层级，标识其层级。 第十条（数据可用性分层级）数据可用性分层级工作纳 入信息系统业务连续性分级保障体系统一考虑。数据处理者 应当评估信息系统存储数据遭到篡改、破坏后可能对业务连 续性造成的影响程度，明确恢复点目标要求。恢复点目标越 3 严格，数据的可用性层级越高。在此基础上，鼓励数据处理 者识别用于支撑最基本业务运转、无法承受彻底灭失风险、 需要进一步进行容灾备份的数据。 第十一条（动态更新要求）数据处理者应当根据数据和 信息系统变化情况，每年组织更新数据资源目录，避免信息 系统所涉及数据项未在数据资源目录中记录、数据项标识信 息不完整等情形发生。 第三章 数据安全保护总体要求 第十二条（责任落实总体要求）数据处理者应当明确其 数据安全管理相关内设部门职责分工，配备足够数量的数据 安全管理人员，并细化各类违规数据处理活动的定责问责规 程，压实数据安全保护责任。重要数据的处理者还应当书面 明确数据安全负责人和数据安全牵头管理内设部门。 第十三条（全流程安全管理制度要求）数据处理者应当 建立健全全流程数据安全管理制度，结合数据分类分级结 果，明确差异化的安全保护管理和技术措施要求，并制定数 据处理活动操作规程，规范各类内部审批和授权流程。第五 层级数据项应当在第四层级数据项对应的安全保护管理和 技术措施基础上进一步从严管理。不同敏感性层级数据项在 同一个数据处理活动中被处理，且难以采取差异化安全保护 4 管理和技术措施的，应当统一采取最高敏感性层级数据项对 应的安全保护管理和技术措施。与母公司、子公司、关联公 司或者附属公司等具有关联关系的数据处理者合作开展数 据处理活动时，不得降低安全保护管理和技术措施要求。 第十四条（安全培训总体要求）数据处理者应当根据岗 位分工，制定数据安全年度培训计划，组织开展相关教育培 训，并对培训结果进行评价。培训内容应当包括： （一） 数据安全相关法律、行政法规、部门规章、国家 和金融行业标准、内部规定、行为准则和职业操守； （二） 不同岗位的数据安全责任，失职失责或者违法违 规数据处理活动应当承担的后果； （三） 针对性的数据安全保护管理和技术措施要求，以 及对应的操作规程； （四） 数据安全事件应急处置规程。 第十五条（鼓励创新）鼓励数据处理者积极开展数据安 全技术创新应用，在保障安全合规前提下，积极促进数据的 高效流通和创新应用，鼓励优秀创新成果申报行业表彰奖 励。 第四章 数据安全保护管理措施 第十六条（人员管理要求）数据处理者应当按照最小必 5 要和职责分离原则，严格管理信息系统各类业务处理账号、 数据库管理员等特权账号的设立和权限，人员变动时应当及 时调整权限或者收回账号。 数据处理者应当加强账号身份认证管理，可使用第二层 级以上数据项的账号应当支持身份验证。可使用第三层级以 上数据项的账号应当支持多因素认证或者实现二次授权，相 关账号使用人员应当签署保密协议。 第十七条（数据收集保护管理措施要求）数据处理者收 集数据应当遵循合法、正当原则，并采取下列安全保护管理 措施： （一）除法律、行政法规明确无需说明的情形外，应当 在隐私政策协议或者合同协议中以显著方式、清晰易懂的语 言说明数据收集的目的、范围、方式、存储期限，以及数据 来源不合法、数据不真实情形对应的违约责任； （二）接受其他数据处理者委托协助收集数据时，应当 通过合同协议与其约定，是否需要代其向相关个人、组织说 明委托关系； （三）非直接面向个人、组织收集数据时，应当要求数 据提供方依照法律、行政法规取得个人、组织的同意，对于 非书面同意情形，应当要求其出具数据来源说明材料，并依 据材料评估其合法性、真实性； （四）应当针对数据合法性、真实性存疑等情形，明确 6 业务暂停使用相关数据时的应急处置方案； （五）应当优先采用数据提供方直接录入或者信息系 统间交互的方式收集数据； （六）因履行无障碍义务或者客观条件限制，采用纸质 文件、影像或者代为手工录入等方式收集数据时，应当采取 自动识别、人工核验等措施，保障数据录入的及时性和准确 性，并按照档案管理要求保存原始数据收集凭证； （七）停止提供其产品服务，合同协议履约终止或者响 应个人、组织合法权益要求时，应当主动停止数据收集活动； （八）保存数据收集行为对应的合同协议、内部审批记 录、数据提供方出具的数据来源说明材料和对应评估结论等 信息至少三年。 第十八条（数据存储保护管理措施要求）数据处理者应 当根据业务需要，明确数据存储期限。除履行法定职责或者 法定义务所必需外，第三层级以上数据项原则上不得在终端 设备和移动介质中存储。确需存储的，数据处理者在履行内 部审批程序基础上，应当统一明确需在终端设备和移动介质 中存储的特定场景、支持此类场景的必要性、应当采取的风 险防范措施，并据此开展。风险防范措施至少应当包括仅在 授权的终端设备和移动介质中存储，存储期限不得超过审批 允许的期限。 数据处理者应当保存终端设备、移动介质中存储第三层 7 级以上数据项行为的目的说明、内部审批记录、授权设备或 者介质识别编号、允许存储期限等信息至少三年。 第十九条（数据使用保护管理措施要求）第三层级数据 项原则上不提供导出使用方式，第四层级以上数据项原则上 仅提供核验使用方式，确需提供其他使用方式时，应当说明 相关必要性，经内部审批并明确对应的风险防范措施后，据 此开展。涉及第三层级以上数据项导出使用的风险防范措 施，原则上应当优先采取加密、数字水印或者脱敏处理等安 全保护措施，确需未经安全保护即导出的，数据处理者应当 统一明确相关导出需求场景，并据此开展。 除面向个人、组织展示其数据，履行法定职责或者法定 义务必需展示数据的两类情形外，信息系统界面展示第三层 级以上数据项时，原则上应当优先实施脱敏处理后再展示。 确需明文展示的，数据处理者应当统一明确相关展示需求场 景、支持此类场景的必要性和应当采取的风险防范措施，并 据此开展。 第二十条（数据加工保护管理措施要求）数据加工前， 数据处理者应当审查加工目的与收集约定是否一致，确保数 据加工不以垄断经营和不正当竞争为目的，不发生误导、欺 诈、胁迫或者干扰等限制个人或者组织正当选择与决策的行 为，遵循社会公德伦理。第四层级以上数据项加工，应当经 内部审批并明确对应的风险防范措施后，据此开展。 8 基于加工生成的数据项面向个人提供自动化决策服务 时，应当以适当方式说明加工目的、加工依赖数据基本情况 和加工基本逻辑，提升决策的透明度。 数据处理者应当保存数据加工行为目的说明、内部审查 审批记录、审查对应的加工应用程序源代码、新产生数据项 列表等信息至少三年。 第二十一条（促进数据开发利用）使用第三层级以上数 据项加工后产生的数据项，经评估确认无法识别至特定个 人、组织，或者反映信息敏感程度明显低于原数据项时，数 据处理者履行内部审批手续后，可视情降低敏感性层级，促 进数据依法合规开发利用。 第二十二条（数据传输保护管理措施要求）除履行法定 职责或者法定义务所必需外，数据处理者原则上不得采用互 联网邮件、即时通讯、在线文件传输、交互性信息服务等互 联网信息服务或者通过移动介质交换传输第三层级以上数 据项，确有需要的，数据处理者应当统一明确相关传输需求 场景、支持此类场景的必要性和应当采取的风险防范措施， 并据此开展。 第二十三条（一般性数据提供保护管理措施要求）数据 处理者应当针对自身业务开展所需的数据提供行为采取下 列安全保护管理措施： （一）涉及个人信息的数据提供行为，应当评估确认遵 9 守有关法律、行政法规的规