中国人民银行业务领域数据安全管理办法（2025年） 第三十条

第三十条 数据处理者应当规范日志记录，明确业务数据处理活动日志记录信息，满足数据安全风险溯源和事件处置需要。

业务数据处理活动日志记录高敏感性数据项原则上须经脱敏处理。确需不脱敏处理的，数据处理者应当统一规范管理相关需求场景。

数据处理者应当将业务数据处理活动日志纳入业务数据分类分级管理，落实安全保护要求。

数据处理者应当留存业务数据处理活动日志至少六个月；对于与存储重要数据信息系统相关的业务数据处理活动日志，应当留存至少一年；对于与存储核心数据信息系统相关的业务数据处理活动日志，应当留存至少三年。

数据处理者向其他数据处理者提供、委托处理个人信息、重要数据的业务数据处理活动日志等记录，应当留存至少三年。