中国人民银行业务领域数据安全管理办法(2025年)

发布机关 中国人民银行
效力 现行有效
(2025年4月2日经中国人民银行第5次行务会议审议通过 2025年5月1日中国人民银行令〔2025〕第3号公布 自2025年6月30日起施行)

第一章 总则

第一条 为规范中国人民银行业务领域数据的安全管理并促进开发利用,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华… 第二条 在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理,适用本办法。其他有关主管部门有规定的,还应当依法遵守其规定。 第三条 业务数据安全工作遵循“谁管业务,谁管业务数据,谁管数据安全”原则。中国人民银行对业务数据安全负指导监管责任。数据处理者应当履行数据安全保护义务,防范业务数据被篡… 第四条 在国家数据安全工作协调机制统筹协调下,中国人民银行及其分支机构按照本办法开展业务数据安全监督管理工作,加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟… 第五条 鼓励数据处理者积极开展业务数据安全创新应用,在保障安全合规前提下促进业务数据的高效流通和开发利用,鼓励在行业内推广优秀创新成果。

第二章 业务数据分类分级与总体要求

第六条 中国人民银行负责制定业务数据分类分级保护相关规范标准,指导业务数据分类分级保护工作,组织编制中国人民银行业务领域重要数据目录并实施动态管理。 第七条 数据处理者应当建立健全业务数据分类分级制度和操作规程。业务数据分类分级实施应当遵循制度规程,分类分级结果应当履行内部审批程序。 第八条 数据处理者应当建立业务数据资源目录,并从业务关联性、敏感性和可用性方面分别做好业务数据分类: 第九条 按照国家有关规定,将业务数据分为一般数据、重要数据、核心数据三级。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非… 第十条 数据处理者应当每年至少更新一次业务数据资源目录,完整准确记录信息系统所存储数据项和对应标识内容。 第十一条 数据处理者应当切实履行业务数据安全保护责任,明确业务数据安全保护相关内设部门职责,配备与业务范围和服务规模相适应的数据安全专业人员,细化业务数据安全保护奖惩规程… 第十二条 数据处理者应当建立健全全流程业务数据安全管理制度,结合业务数据分类分级明确差异化的安全保护措施,制定业务数据处理活动操作规程和业务数据安全相关内部审批授权规程,… 第十三条 数据处理者应当根据岗位分工,制定业务数据安全年度培训计划,每年组织业务数据处理活动参与人员开展相关教育培训。培训内容应当包括与业务数据安全相关的制度标准、风险防…

第三章 全流程业务数据安全管理要求

第十四条 数据处理者应当严格管理处理业务数据相关信息系统数据库管理员账号等特权账号和各类业务处理账号的权限,人员变动时应当立即调整权限。数据处理者应当与可使用高敏感性数据… 第十五条 数据处理者收集业务数据应当采取下列安全保护管理措施: 第十六条 数据处理者应当根据业务需要,明确业务数据保存期限。除履行法定职责或者法定义务外,高敏感性数据项原则上不在终端设备和移动介质中存储,确需存储的,数据处理者应当统一… 第十七条 业务数据使用活动中,数据处理者使用高敏感性数据项,原则上不采取导出方式,使用用于身份鉴别的数据项原则上仅采取核验方式。确需采取导出方式使用高敏感性数据项或者采取… 第十八条 数据处理者应当审查业务数据加工目的与业务数据收集约定是否一致;需要训练业务数据的,应当审查训练业务数据的真实性、准确性、客观性、多样性;需要标注业务数据的,应当… 第十九条 对于业务数据加工活动产生新数据项,经评估其敏感性明显低于加工所使用数据项的,数据处理者可遵循规程降低其敏感性标识,促进依法合规开发利用。 第二十条 除根据个人请求向其传输与其相关业务数据外,数据处理者原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项。确有需要的,数据处理… 第二十一条 从事业务所需的业务数据提供活动,数据处理者应当核验数据接收方身份,并采取下列安全保护管理措施: 第二十二条 数据处理者向其他数据处理者提供、委托处理、共同处理重要数据前,应当依照法律、行政法规和中国人民银行相关规定进行风险评估,并重点评估数据接收方数据处理目的和方式的… 第二十三条 数据处理者采用隐私计算等技术促进业务数据融合创新应用的,应当落实本办法第二十一条第一项至第三项要求,并确认除本机构外其他数据处理者无法使用未加密原始数据、与其他… 第二十四条 数据处理者因业务等需要向中华人民共和国境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定;法律、行政法规和中国人民银行相关规定有境内存储要求的,业… 第二十五条 中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国金融执法机构关于提供业务数据的请求。 第二十六条 数据处理者应当审核业务数据公开活动的目的、数据项列表、渠道、时限和脱敏处理情况,分析研判可能产生的不利影响,审查业务数据的合法性、真实性,并通过本机构明确的官方… 第二十七条 数据处理者应当依照法律、行政法规和中国人民银行相关规定,主动删除处理目的已实现、处理目的无法实现、为实现处理目的不再必要或者约定保存期限已届满等情形的业务数据。 第二十八条 数据处理者委托处理业务数据,除落实本办法第二十一条第二项要求外,还应当在合同或者协议中明确受托人需报告的重要事项、委托处理事项完成后传输和删除业务数据的实施方式…

第四章 全流程业务数据安全技术要求

第二十九条 数据处理者应当加强访问控制,采取有效技术措施管控业务数据处理账号的数据使用权限,明确特权账号的使用场景并加强使用时的内部审批授权。使用特权账号实施业务数据新增、… 第三十条 数据处理者应当规范日志记录,明确业务数据处理活动日志记录信息,满足数据安全风险溯源和事件处置需要。 第三十一条 数据处理者应当优先采用直接录入或者信息系统间交互的方式收集业务数据。采用直接录入方式收集业务数据的,应当验证录入人身份;采用信息系统间交互方式收集高敏感性数据项… 第三十二条 数据处理者应当针对业务数据存储活动采取下列安全保护措施: 第三十三条 数据处理者应当明确高敏感性数据项的脱敏处理策略,切实降低脱敏业务数据仍可识别至特定个人、组织的风险。 第三十四条 数据处理者应当建立业务数据加工算法风险评估和控制策略,明确可解释性、脆弱性等风险对应的防范或者缓释措施和停止使用加工算法开展自动化决策时的替代方案。 第三十五条 数据处理者应当针对业务数据传输活动采取下列安全保护措施: 第三十六条 数据处理者应当动态维护本机构提供业务数据的前置网关和应用程序接口清单,并在前置网关和应用程序接口变更投产前开展安全测试,发现风险隐患立即采取补救措施。 第三十七条 数据处理者应当制定本机构公开的业务数据是否允许自动化工具收集的控制规则,并采取必要技术措施保障公开的业务数据不被篡改。 第三十八条 数据处理者应当明确业务数据存储介质销毁策略,规范销毁实施方式和过程监督程序。

第五章 业务数据安全风险与事件管理

第三十九条 数据处理者应当加强业务数据处理活动风险监测,有效识别下列风险并立即采取补救措施: 第四十条 数据处理者应当加强对业务数据泄露、业务数据被非法兜售、仿冒本机构身份处理业务数据,以及其他与本机构有关的业务数据安全负面舆情的风险监测,发现相关风险时应当立即核… 第四十一条 中国人民银行及其分支机构通报与业务数据相关的数据安全缺陷、漏洞等风险时,数据处理者应当立即核实处置,并根据通报要求按时准确反馈情况。 第四十二条 重要数据的处理者应当自行或者委托第三方评估机构,每年对业务数据开展一次风险评估,并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度… 第四十三条 数据处理者应当按照国家网络安全事件应急预案有关事件分级要求,综合考虑影响范围和程度,明确业务数据安全事件对应的分级标准: 第四十四条 数据处理者应当做好业务数据安全事件分级,发生业务数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并按照中国人民银行要求及时、准确、完整报告事件情况。 第四十五条 数据处理者应当对照法律、行政法规和本办法所列安全保护措施要求,以及本机构业务数据安全相关管理制度和操作规程的执行情况,每三年至少开展一次业务数据安全合规审计,重… 第四十六条 数据处理者应当加强风险评估人员和审计人员使用业务数据权限的管理,采取必要措施确保实施过程的业务数据安全。

第六章 法律责任

第四十七条 中国人民银行及其分支机构发现数据处理者的业务数据处理活动存在较大安全风险时,可以对其进行约谈和要求其采取措施进行整改;发现影响或者可能影响国家安全的业务数据处理… 第四十八条 中国人民银行及其分支机构发现数据处理者在业务数据处理活动中未履行数据出境安全评估或者保护认证等义务的,应当将相关案件信息移送同级网信部门,并配合其予以处理。 第四十九条 数据处理者未履行本办法规定的数据安全保护义务,有下列情形之一的,中国人民银行及其分支机构依照《中华人民共和国数据安全法》第四十五条予以处罚: 第五十条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照相关法律、行政法规予以处理,属于其他有关主管部门管理… 第五十一条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动,涉嫌构成违反治安管理行为或者构成犯罪的,将相关案件信息移送同级公安机关、国家安全机关等有关主管部门,… 第五十二条 数据处理者发生业务数据安全事件造成危害后果,如能证明本机构已按照规定采取数据安全保护措施,并立即采取补救措施的,应当对其从轻或者减轻行政处罚。 第五十三条 中国人民银行及其分支机构工作人员在业务数据处理活动的安全监督管理过程中存在玩忽职守、滥用职权、徇私舞弊情形的,依法给予处分。

第七章 附则

第五十四条 术语定义: 第五十五条 本办法由中国人民银行负责解释。 第五十六条 本办法自2025年6月30日起施行。