中国人民银行业务领域数据安全管理办法（2025年） 第十五条

第十五条 数据处理者收集业务数据应当采取下列安全保护管理措施：

除收集自行公开或者其他已经合法公开的业务数据的情形外，收集业务数据时应当依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权，并落实相应告知义务。

非直接面向个人、组织收集其尚未公开的业务数据的，应当在合同或者协议中明确数据提供方保障业务数据来源合法性、真实性的义务。数据提供方未取得个人书面同意或者组织书面授权的，还应当要求其出具业务数据来源依法合规和数据真实性的必要佐证材料。

采用人工录入方式收集业务数据的，应当采取必要校验措施保障业务数据录入的准确性，按照相关管理要求留存业务数据收集原始凭证。

原则上不收集图像等原始个人生物识别信息。确需收集的，应当统一规范管理相关需求场景。

按照与数据提供方合同或者协议中约定的处理目的、方式、范围以及安全保护义务等开展收集和后续的业务数据处理活动。