中国人民银行业务领域数据安全管理办法（2025年） 第二十八条

第二十八条 数据处理者委托处理业务数据，除落实本办法第二十一条第二项要求外，还应当在合同或者协议中明确受托人需报告的重要事项、委托处理事项完成后传输和删除业务数据的实施方式与时限要求、配合本机构监督其委托处理活动等义务，并采取定期评估等方式监督受托人履约情况。涉及核心数据的委托处理活动，数据处理者应当事前对受托人开展尽职调查，进一步加强对其的监督。

数据处理者应当将业务数据委托处理活动纳入业务或者信息科技外包管理体系，加强风险管理。

中国人民银行已明确要求不得以外包形式开展业务的，相关业务数据不得委托处理。