中国人民银行业务领域数据安全管理办法（2025年） 第二十九条

第二十九条 数据处理者应当加强访问控制，采取有效技术措施管控业务数据处理账号的数据使用权限，明确特权账号的使用场景并加强使用时的内部审批授权。使用特权账号实施业务数据新增、删除、修改等人工操作时应当逐一开展事前审批和事后审查。使用特权账号开展自动化操作前应当对操作正确性和安全性进行必要检查。

数据处理者应当加强安全认证，保障业务数据处理账号和特权账号认证口令的强度，限制验证失败重试次数，可使用高敏感性数据项的账号应当支持多因素认证或者二次授权确认，并建立超时退出、访问通信地址变化等情形的重新验证机制。