中国人民银行业务领域数据安全管理办法（2025年） 第二十一条

第二十一条 从事业务所需的业务数据提供活动，数据处理者应当核验数据接收方身份，并采取下列安全保护管理措施：

对于涉及个人信息的业务数据提供活动，应当评估是否遵守法律、行政法规要求。对于其他业务数据提供活动，应当评估是否符合保守商业秘密的约定。

向其他数据处理者提供业务数据涉及个人信息和重要数据的，应当在合同或者协议中明确各自的数据安全保护义务，需要采取的安全保护措施，数据提供的目的、方式、范围，数据允许存储时限，数据提供至第三方的限制和数据安全事件告知义务，并对数据接收方履行约定义务的情况进行监督。

按照约定做好业务数据清洗转换，对提供数据的真实性作必要审查，不得误导数据接收方。

除委托处理情形外，原则上不采取导出方式向其他数据处理者提供高敏感性数据项，用于身份鉴别的数据项原则上须采取核验方式提供。确需采取导出方式提供高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的，数据处理者应当统一规范管理相关需求场景。