1中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)第一章總則第一條(目的和依據(jù))為規(guī)范中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)中國(guó)人民銀行法》等有關(guān)法律、行政法規(guī)，制定本辦法。第二條(適用范圍)數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)開展的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動(dòng)，適用本辦法。法律、行政法規(guī)或者中國(guó)人民銀行另有規(guī)定的，從其。本辦法所稱中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)，指根據(jù)法律、行政法規(guī)、國(guó)務(wù)院決定和中國(guó)人民銀行規(guī)章，開展中國(guó)人民銀行承擔(dān)監(jiān)督管理職責(zé)的各類業(yè)務(wù)活動(dòng)時(shí)，所產(chǎn)生和收集的不涉及國(guó)家秘密的網(wǎng)絡(luò)數(shù)據(jù)，以下簡(jiǎn)稱數(shù)據(jù)。第三條(管理原則與目標(biāo))數(shù)據(jù)安全工作遵循“誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全”基本原則。開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)，采取有效措施防范數(shù)據(jù)被篡改、破壞、泄露、不當(dāng)獲取與利用等風(fēng)險(xiǎn)，確保不損害國(guó)家安全、公共利益、金融秩序、個(gè)人及組織合法權(quán)益，遵2守社會(huì)公德倫理、商業(yè)道德和職業(yè)道德。第四條(協(xié)同監(jiān)督管理)在國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，中國(guó)人民銀行及其分支機(jī)構(gòu)，依據(jù)本辦法開展數(shù)據(jù)安全監(jiān)督管理工作，積極支持其他有關(guān)主管部門依據(jù)職責(zé)開展數(shù)據(jù)安全監(jiān)督管理工作,必要時(shí)可以與其他有關(guān)主管部門簽署合作協(xié)議，進(jìn)一步約定數(shù)據(jù)安全監(jiān)督管理協(xié)作模中國(guó)銀行間市場(chǎng)交易商協(xié)會(huì)、中國(guó)支付清算協(xié)會(huì)、中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)等金融行業(yè)協(xié)會(huì)應(yīng)當(dāng)加強(qiáng)自律管理，建立便捷的投訴、舉報(bào)渠道，反映會(huì)員合理的數(shù)據(jù)安全意見建議。第二章數(shù)據(jù)分類分級(jí)第五條(數(shù)據(jù)分類分級(jí)保護(hù)總體規(guī)劃)中國(guó)人民銀行負(fù)責(zé)組織制定數(shù)據(jù)分類分級(jí)相關(guān)行業(yè)標(biāo)準(zhǔn)，指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級(jí)各項(xiàng)工作，統(tǒng)籌確定重要數(shù)據(jù)具體目錄并實(shí)施動(dòng)態(tài)管理。第六條(數(shù)據(jù)分類分級(jí)制度規(guī)程)數(shù)據(jù)處理者應(yīng)當(dāng)建立健全本單位數(shù)據(jù)分類分級(jí)實(shí)施制度，規(guī)范分類分級(jí)工作操作規(guī)程。數(shù)據(jù)分類分級(jí)過程實(shí)施和結(jié)果審批，應(yīng)當(dāng)嚴(yán)格遵循操作規(guī)程。第七條(數(shù)據(jù)分類要求)數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)3準(zhǔn)，根據(jù)業(yè)務(wù)開展情況建立業(yè)務(wù)分類，梳理細(xì)化數(shù)據(jù)資源目錄，標(biāo)識(shí)各數(shù)據(jù)項(xiàng)是否為個(gè)人信息、數(shù)據(jù)來源(生產(chǎn)經(jīng)營(yíng)加工產(chǎn)生、外部收集產(chǎn)生等)、存儲(chǔ)該數(shù)據(jù)項(xiàng)的信息系統(tǒng)清單和應(yīng)用的業(yè)務(wù)類別。第八條(數(shù)據(jù)分級(jí)要求)數(shù)據(jù)按照精度、規(guī)模和對(duì)國(guó)家安全的影響程度，分為一般、重要、核心三級(jí)。在中國(guó)人民銀行組織下，數(shù)據(jù)處理者應(yīng)當(dāng)準(zhǔn)確識(shí)別判定本單位信息系統(tǒng)存儲(chǔ)的全量數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)，并填寫報(bào)送重要數(shù)據(jù)目錄內(nèi)容，由中國(guó)人民銀行匯總后確定重要數(shù)據(jù)具體目錄。數(shù)據(jù)處理活動(dòng)中，數(shù)據(jù)處理者還應(yīng)當(dāng)及時(shí)準(zhǔn)確識(shí)別判定所涉及數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)。第九條(數(shù)據(jù)敏感性分層級(jí))在數(shù)據(jù)分級(jí)基礎(chǔ)上，數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)準(zhǔn)，根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時(shí)，可能對(duì)個(gè)人、組織合法權(quán)益或者公共利益等造成的危害程度，將數(shù)據(jù)項(xiàng)敏感性從低至高進(jìn)一步分為一至五共五個(gè)層級(jí)。結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)逐一標(biāo)識(shí)層級(jí)；非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先按照可拆分的各結(jié)構(gòu)化數(shù)據(jù)項(xiàng)所對(duì)應(yīng)最高層級(jí)，標(biāo)識(shí)其層級(jí)。第十條(數(shù)據(jù)可用性分層級(jí))數(shù)據(jù)可用性分層級(jí)工作納入信息系統(tǒng)業(yè)務(wù)連續(xù)性分級(jí)保障體系統(tǒng)一考慮。數(shù)據(jù)處理者應(yīng)當(dāng)評(píng)估信息系統(tǒng)存儲(chǔ)數(shù)據(jù)遭到篡改、破壞后可能對(duì)業(yè)務(wù)連續(xù)性造成的影響程度，明確恢復(fù)點(diǎn)目標(biāo)要求。恢復(fù)點(diǎn)目標(biāo)越4嚴(yán)格，數(shù)據(jù)的可用性層級(jí)越高。在此基礎(chǔ)上，鼓勵(lì)數(shù)據(jù)處理者識(shí)別用于支撐最基本業(yè)務(wù)運(yùn)轉(zhuǎn)、無法承受徹底滅失風(fēng)險(xiǎn)、需要進(jìn)一步進(jìn)行容災(zāi)備份的數(shù)據(jù)。第十一條(動(dòng)態(tài)更新要求)數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)和信息系統(tǒng)變化情況，每年組織更新數(shù)據(jù)資源目錄，避免信息系統(tǒng)所涉及數(shù)據(jù)項(xiàng)未在數(shù)據(jù)資源目錄中記錄、數(shù)據(jù)項(xiàng)標(biāo)識(shí)信息不完整等情形發(fā)生。第三章數(shù)據(jù)安全保護(hù)總體要求第十二條(責(zé)任落實(shí)總體要求)數(shù)據(jù)處理者應(yīng)當(dāng)明確其數(shù)據(jù)安全管理相關(guān)內(nèi)設(shè)部門職責(zé)分工，配備足夠數(shù)量的數(shù)據(jù)安全管理人員，并細(xì)化各類違規(guī)數(shù)據(jù)處理活動(dòng)的定責(zé)問責(zé)規(guī)程，壓實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。重要數(shù)據(jù)的處理者還應(yīng)當(dāng)書面明確數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全牽頭管理內(nèi)設(shè)部門。第十三條(全流程安全管理制度要求)數(shù)據(jù)處理者應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理制度，結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果，明確差異化的安全保護(hù)管理和技術(shù)措施要求，并制定數(shù)據(jù)處理活動(dòng)操作規(guī)程，規(guī)范各類內(nèi)部審批和授權(quán)流程。第五層級(jí)數(shù)據(jù)項(xiàng)應(yīng)當(dāng)在第四層級(jí)數(shù)據(jù)項(xiàng)對(duì)應(yīng)的安全保護(hù)管理和技術(shù)措施基礎(chǔ)上進(jìn)一步從嚴(yán)管理。不同敏感性層級(jí)數(shù)據(jù)項(xiàng)在同一個(gè)數(shù)據(jù)處理活動(dòng)中被處理，且難以采取差異化安全保護(hù)5管理和技術(shù)措施的，應(yīng)當(dāng)統(tǒng)一采取最高敏感性層級(jí)數(shù)據(jù)項(xiàng)對(duì)應(yīng)的安全保護(hù)管理和技術(shù)措施。與母公司、子公司、關(guān)聯(lián)公司或者附屬公司等具有關(guān)聯(lián)關(guān)系的數(shù)據(jù)處理者合作開展數(shù)據(jù)處理活動(dòng)時(shí)，不得降低安全保護(hù)管理和技術(shù)措施要求。第十四條(安全培訓(xùn)總體要求)數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)崗位分工，制定數(shù)據(jù)安全年度培訓(xùn)計(jì)劃，組織開展相關(guān)教育培訓(xùn)，并對(duì)培訓(xùn)結(jié)果進(jìn)行評(píng)價(jià)。培訓(xùn)內(nèi)容應(yīng)當(dāng)包括：(一)數(shù)據(jù)安全相關(guān)法律、行政法規(guī)、部門規(guī)章、國(guó)家和金融行業(yè)標(biāo)準(zhǔn)、內(nèi)部規(guī)定、行為準(zhǔn)則和職業(yè)操守；(二)不同崗位的數(shù)據(jù)安全責(zé)任，失職失責(zé)或者違法違規(guī)數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)承擔(dān)的后果；(三)針對(duì)性的數(shù)據(jù)安全保護(hù)管理和技術(shù)措施要求，以及對(duì)應(yīng)的操作規(guī)程；(四)數(shù)據(jù)安全事件應(yīng)急處置規(guī)程。第十五條(鼓勵(lì)創(chuàng)新)鼓勵(lì)數(shù)據(jù)處理者積極開展數(shù)據(jù)安全技術(shù)創(chuàng)新應(yīng)用，在保障安全合規(guī)前提下，積極促進(jìn)數(shù)據(jù)的高效流通和創(chuàng)新應(yīng)用，鼓勵(lì)優(yōu)秀創(chuàng)新成果申報(bào)行業(yè)表彰獎(jiǎng)第四章數(shù)據(jù)安全保護(hù)管理措施第十六條(人員管理要求)數(shù)據(jù)處理者應(yīng)當(dāng)按照最小必6要和職責(zé)分離原則，嚴(yán)格管理信息系統(tǒng)各類業(yè)務(wù)處理賬號(hào)、數(shù)據(jù)庫管理員等特權(quán)賬號(hào)的設(shè)立和權(quán)限，人員變動(dòng)時(shí)應(yīng)當(dāng)及時(shí)調(diào)整權(quán)限或者收回賬號(hào)。數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)賬號(hào)身份認(rèn)證管理，可使用第二層級(jí)以上數(shù)據(jù)項(xiàng)的賬號(hào)應(yīng)當(dāng)支持身份驗(yàn)證?？墒褂玫谌龑蛹?jí)以上數(shù)據(jù)項(xiàng)的賬號(hào)應(yīng)當(dāng)支持多因素認(rèn)證或者實(shí)現(xiàn)二次授權(quán)，相關(guān)賬號(hào)使用人員應(yīng)當(dāng)簽署保密協(xié)議。第十七條(數(shù)據(jù)收集保護(hù)管理措施要求)數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)原則，并采取下列安全保護(hù)管理(一)除法律、行政法規(guī)明確無需說明的情形外，應(yīng)當(dāng)在隱私政策協(xié)議或者合同協(xié)議中以顯著方式、清晰易懂的語言說明數(shù)據(jù)收集的目的、范圍、方式、存儲(chǔ)期限，以及數(shù)據(jù)來源不合法、數(shù)據(jù)不真實(shí)情形對(duì)應(yīng)的違約責(zé)任；(二)接受其他數(shù)據(jù)處理者委托協(xié)助收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)通過合同協(xié)議與其約定，是否需要代其向相關(guān)個(gè)人、組織說明委托關(guān)系；(三)非直接面向個(gè)人、組織收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)要求數(shù)據(jù)提供方依照法律、行政法規(guī)取得個(gè)人、組織的同意，對(duì)于非書面同意情形，應(yīng)當(dāng)要求其出具數(shù)據(jù)來源說明材料，并依據(jù)材料評(píng)估其合法性、真實(shí)性；(四)應(yīng)當(dāng)針對(duì)數(shù)據(jù)合法性、真實(shí)性存疑等情形，明確7業(yè)務(wù)暫停使用相關(guān)數(shù)據(jù)時(shí)的應(yīng)急處置方案；(五)應(yīng)當(dāng)優(yōu)先采用數(shù)據(jù)提供方直接錄入或者信息系統(tǒng)間交互的方式收集數(shù)據(jù)；(六)因履行無障礙義務(wù)或者客觀條件限制，采用紙質(zhì)文件、影像或者代為手工錄入等方式收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)采取自動(dòng)識(shí)別、人工核驗(yàn)等措施，保障數(shù)據(jù)錄入的及時(shí)性和準(zhǔn)確性，并按照檔案管理要求保存原始數(shù)據(jù)收集憑證；(七)停止提供其產(chǎn)品服務(wù)，合同協(xié)議履約終止或者響個(gè)人、組織合法權(quán)益要求時(shí)，應(yīng)當(dāng)主動(dòng)停止數(shù)據(jù)收集活動(dòng)；(八)保存數(shù)據(jù)收集行為對(duì)應(yīng)的合同協(xié)議、內(nèi)部審批記錄、數(shù)據(jù)提供方出具的數(shù)據(jù)來源說明材料和對(duì)應(yīng)評(píng)估結(jié)論等信息至少三年。第十八條(數(shù)據(jù)存儲(chǔ)保護(hù)管理措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)業(yè)務(wù)需要，明確數(shù)據(jù)存儲(chǔ)期限。除履行法定職責(zé)或者法定義務(wù)所必需外，第三層級(jí)以上數(shù)據(jù)項(xiàng)原則上不得在終端設(shè)備和移動(dòng)介質(zhì)中存儲(chǔ)。確需存儲(chǔ)的，數(shù)據(jù)處理者在履行內(nèi)部審批程序基礎(chǔ)上，應(yīng)當(dāng)統(tǒng)一明確需在終端設(shè)備和移動(dòng)介質(zhì)中存儲(chǔ)的特定場(chǎng)景、支持此類場(chǎng)景的必要性、應(yīng)當(dāng)采取的風(fēng)險(xiǎn)防范措施，并據(jù)此開展。風(fēng)險(xiǎn)防范措施至少應(yīng)當(dāng)包括僅在授權(quán)的終端設(shè)備和移動(dòng)介質(zhì)中存儲(chǔ)，存儲(chǔ)期限不得超過審批允許的期限。數(shù)據(jù)處理者應(yīng)當(dāng)保存終端設(shè)備、移動(dòng)介質(zhì)中存儲(chǔ)第三層8級(jí)以上數(shù)據(jù)項(xiàng)行為的目的說明、內(nèi)部審批記錄、授權(quán)設(shè)備或者介質(zhì)識(shí)別編號(hào)、允許存儲(chǔ)期限等信息至少三年。第十九條(數(shù)據(jù)使用保護(hù)管理措施要求)第三層級(jí)數(shù)據(jù)項(xiàng)原則上不提供導(dǎo)出使用方式，第四層級(jí)以上數(shù)據(jù)項(xiàng)原則上僅提供核驗(yàn)使用方式，確需提供其他使用方式時(shí)，應(yīng)當(dāng)說明相關(guān)必要性，經(jīng)內(nèi)部審批并明確對(duì)應(yīng)的風(fēng)險(xiǎn)防范措施后，據(jù)此開展。涉及第三層級(jí)以上數(shù)據(jù)項(xiàng)導(dǎo)出使用的風(fēng)險(xiǎn)防范措施，原則上應(yīng)當(dāng)優(yōu)先采取加密、數(shù)字水印或者脫敏處理等安全保護(hù)措施，確需未經(jīng)安全保護(hù)即導(dǎo)出的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)導(dǎo)出需求場(chǎng)景，并據(jù)此開展。除面向個(gè)人、組織展示其數(shù)據(jù)，履行法定職責(zé)或者法定義務(wù)必需展示數(shù)據(jù)的兩類情形外，信息系統(tǒng)界面展示第三層級(jí)以上數(shù)據(jù)項(xiàng)時(shí)，原則上應(yīng)當(dāng)優(yōu)先實(shí)施脫敏處理后再展示。確需明文展示的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)展示需求場(chǎng)景、支持此類場(chǎng)景的必要性和應(yīng)當(dāng)采取的風(fēng)險(xiǎn)防范措施，并據(jù)此開展。第二十條(數(shù)據(jù)加工保護(hù)管理措施要求)數(shù)據(jù)加工前，數(shù)據(jù)處理者應(yīng)當(dāng)審查加工目的與收集約定是否一致，確保數(shù)據(jù)加工不以壟斷經(jīng)營(yíng)和不正當(dāng)競(jìng)爭(zhēng)為目的，不發(fā)生誤導(dǎo)、欺詐、脅迫或者干擾等限制個(gè)人或者組織正當(dāng)選擇與決策的行為，遵循社會(huì)公德倫理。第四層級(jí)以上數(shù)據(jù)項(xiàng)加工，應(yīng)當(dāng)經(jīng)內(nèi)部審批并明確對(duì)應(yīng)的風(fēng)險(xiǎn)防范措施后，據(jù)此開展。9基于加工生成的數(shù)據(jù)項(xiàng)面向個(gè)人提供自動(dòng)化決策服務(wù)時(shí)，應(yīng)當(dāng)以適當(dāng)方式說明加工目的、加工依賴數(shù)據(jù)基本情況和加工基本邏輯，提升決策的透明度。數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)加工行為目的說明、內(nèi)部審查審批記錄、審查對(duì)應(yīng)的加工應(yīng)用程序源代碼、新產(chǎn)生數(shù)據(jù)項(xiàng)列表等信息至少三年。第二十一條(促進(jìn)數(shù)據(jù)開發(fā)利用)使用第三層級(jí)以上數(shù)據(jù)項(xiàng)加工后產(chǎn)生的數(shù)據(jù)項(xiàng)，經(jīng)評(píng)估確認(rèn)無法識(shí)別至特定個(gè)人、組織，或者反映信息敏感程度明顯低于原數(shù)據(jù)項(xiàng)時(shí)，數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后，可視情降低敏感性層級(jí)，促進(jìn)數(shù)據(jù)依法合規(guī)開發(fā)利用。第二十二條(數(shù)據(jù)傳輸保護(hù)管理措施要求)除履行法定職責(zé)或者法定義務(wù)所必需外，數(shù)據(jù)處理者原則上不得采用互聯(lián)網(wǎng)郵件、即時(shí)通訊、在線文件傳輸、交互性信息服務(wù)等互聯(lián)網(wǎng)信息服務(wù)或者通過移動(dòng)介質(zhì)交換傳輸?shù)谌龑蛹?jí)以上數(shù)據(jù)項(xiàng)，確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)傳輸需求場(chǎng)景、支持此類場(chǎng)景的必要性和應(yīng)當(dāng)采取的風(fēng)險(xiǎn)防范措施，并據(jù)此開展。第二十三條(一般性數(shù)據(jù)提供保護(hù)管理措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對(duì)自身業(yè)務(wù)開展所需的數(shù)據(jù)提供行為采取下列安全保護(hù)管理措施：(一)涉及個(gè)人信息的數(shù)據(jù)提供行為，應(yīng)當(dāng)評(píng)估確認(rèn)遵守有關(guān)法律、行政法規(guī)的規(guī)定。其他數(shù)據(jù)提供行為，應(yīng)當(dāng)評(píng)估確認(rèn)不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密(二)通過合同協(xié)議方式與數(shù)據(jù)接收方約定數(shù)據(jù)提供的目的、方式、范圍、規(guī)模、允許存儲(chǔ)時(shí)限、將數(shù)據(jù)再轉(zhuǎn)移提供至第三方的限定條件，要求接收方及時(shí)告知可能發(fā)生的數(shù)據(jù)泄露事件，明確各方數(shù)據(jù)安全保護(hù)責(zé)任和至少應(yīng)當(dāng)采取的安全保護(hù)措施；(三)向個(gè)人、組織提供其數(shù)據(jù)時(shí)，可視情簡(jiǎn)化合同協(xié)議簽訂和對(duì)應(yīng)內(nèi)部審批要求，但應(yīng)當(dāng)先行核實(shí)其身份的真實(shí)(四)對(duì)于委托處理情形，在合同協(xié)議中進(jìn)一步明確委托處理受托人重要事項(xiàng)報(bào)告、及時(shí)返還和刪除數(shù)據(jù)的實(shí)施方式、接受并配合數(shù)據(jù)處理者監(jiān)督其委托處理活動(dòng)等義務(wù)；(五)有效監(jiān)督委托處理受托人履約情況，定期評(píng)估確認(rèn)其數(shù)據(jù)處理活動(dòng)符合事前約定，并已采取承諾的全部安全保護(hù)措施；(六)對(duì)于委托處理以外情形，第三層級(jí)數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先通過查詢、固定報(bào)表和核驗(yàn)方式向其他數(shù)據(jù)處理者提供，第四層級(jí)以上數(shù)據(jù)項(xiàng)應(yīng)當(dāng)優(yōu)先通過核驗(yàn)方式向其他數(shù)據(jù)處理者提供，確需以其他方式提供的，在履行內(nèi)部審批程序基礎(chǔ)上，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)提供需求場(chǎng)景、支持此類場(chǎng)景的必要性和應(yīng)當(dāng)采取的風(fēng)險(xiǎn)防范措施，并據(jù)此開展；(七)切實(shí)保障提供數(shù)據(jù)的質(zhì)量，對(duì)提供數(shù)據(jù)真實(shí)性作必要核驗(yàn)，按照約定格式做好數(shù)據(jù)清洗轉(zhuǎn)換，不得提供虛假數(shù)據(jù)誤導(dǎo)數(shù)據(jù)接收方、合作方；(八)保存數(shù)據(jù)提供行為評(píng)估記錄、內(nèi)部審批記錄、對(duì)應(yīng)的合同協(xié)議內(nèi)容、監(jiān)督過程中識(shí)別的風(fēng)險(xiǎn)及整改處置情況等信息至少三年。第二十四條(特殊性數(shù)據(jù)提供保護(hù)管理措施要求)數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供重要數(shù)據(jù)前，應(yīng)當(dāng)依照法律、行政法規(guī)要求，說明重要數(shù)據(jù)的具體信息，從數(shù)據(jù)接收方數(shù)據(jù)處理目的方式和范圍的合法正當(dāng)必要性、潛在安全隱患、數(shù)據(jù)接收方誠(chéng)信守法和背景情況、合約協(xié)議完備性和擬采取的安全保護(hù)管理和技術(shù)措施等方面做好風(fēng)險(xiǎn)評(píng)估并保存報(bào)告至少三年。在此基礎(chǔ)上，數(shù)據(jù)處理者還應(yīng)當(dāng)通過法律、行政法規(guī)明確規(guī)定的安全評(píng)估。數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)前，還應(yīng)當(dāng)提請(qǐng)國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制辦公室批準(zhǔn)。除履行法定職責(zé)或者法定義務(wù)所明確情形外，數(shù)據(jù)處理者不得通過拆分等方式規(guī)避上述義務(wù)。數(shù)據(jù)處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)通過公告等方式將數(shù)據(jù)接收方信息告知相關(guān)個(gè)人、組織，并評(píng)估確認(rèn)不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密要求。重要數(shù)據(jù)的處理者發(fā)生合并、分立、解散或者申請(qǐng)重整、和解以及破產(chǎn)清算等情況時(shí)，法律、行政法規(guī)有明確要求的，應(yīng)當(dāng)事前向中國(guó)人民銀行報(bào)告重要數(shù)據(jù)處置方案和數(shù)據(jù)接收方基本情況。第二十五條(數(shù)據(jù)融合創(chuàng)新應(yīng)用管理措施要求)數(shù)據(jù)處理者采用隱私計(jì)算等技術(shù)促進(jìn)數(shù)據(jù)融合創(chuàng)新應(yīng)用時(shí)，應(yīng)當(dāng)確認(rèn)原始數(shù)據(jù)未離開自身控制范圍，且多個(gè)數(shù)據(jù)提供行為關(guān)聯(lián)后，暴露約定范圍外信息的風(fēng)險(xiǎn)可控。第二十六條(數(shù)據(jù)出境限制管理措施要求)數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。數(shù)據(jù)處理者因自身需要向境外提供數(shù)據(jù)，存在國(guó)家網(wǎng)信部門規(guī)定情形的，應(yīng)當(dāng)嚴(yán)格遵守其有關(guān)規(guī)定事前開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估并申報(bào)數(shù)據(jù)出境安全評(píng)估。數(shù)據(jù)處理者不得有意拆分、縮減出境數(shù)據(jù)規(guī)模以規(guī)避申報(bào)數(shù)據(jù)出境安全評(píng)估。對(duì)于因自身需要的數(shù)據(jù)出境提供行為，數(shù)據(jù)處理者應(yīng)當(dāng)于每年1月底前測(cè)算或者估算其上兩年內(nèi)累計(jì)出境數(shù)據(jù)規(guī)模與范圍，并保存測(cè)算估算結(jié)果和對(duì)應(yīng)的境外接收方聯(lián)系方式至少三年。涉及數(shù)據(jù)出境安全評(píng)估的，數(shù)據(jù)處理者還應(yīng)當(dāng)保存有效期內(nèi)的數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告、數(shù)據(jù)出境安全評(píng)估申報(bào)書和評(píng)估結(jié)果。第二十七條(國(guó)際組織和外國(guó)金融管理部門數(shù)據(jù)調(diào)取)中國(guó)人民銀行根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則，處理國(guó)際組織和外國(guó)金融管理部門關(guān)于提供數(shù)據(jù)的請(qǐng)求。非經(jīng)中國(guó)人民銀行和其他有關(guān)主管部門批準(zhǔn)，數(shù)據(jù)處理者不得向其提供境內(nèi)存儲(chǔ)的數(shù)據(jù)。第二十八條(數(shù)據(jù)公開保護(hù)管理措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)履行內(nèi)部審批手續(xù)，審核數(shù)據(jù)公開行為的目的、數(shù)據(jù)內(nèi)容范圍、渠道、時(shí)限和脫敏處理情況，分析研判可能產(chǎn)生的負(fù)面影響，并核驗(yàn)數(shù)據(jù)的合法性、真實(shí)性與有效性。數(shù)據(jù)公開渠道原則上應(yīng)當(dāng)為本單位統(tǒng)一明確的官方渠道。確有需要通過其他渠道公開的，應(yīng)當(dāng)經(jīng)內(nèi)部審批并明確對(duì)應(yīng)的風(fēng)險(xiǎn)防范措施后，據(jù)此開展。第二層級(jí)以上數(shù)據(jù)項(xiàng)公開時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)公開行為目的說明、日期、公開渠道、數(shù)據(jù)范圍和內(nèi)部審批記錄等信息至少三年。第三層級(jí)以上數(shù)據(jù)項(xiàng)原則上應(yīng)當(dāng)實(shí)施脫敏處理后再公開，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確第三層級(jí)以上數(shù)據(jù)項(xiàng)確需未經(jīng)脫敏處理即允許公開的特定需求場(chǎng)景、支持此類場(chǎng)景的必要性和應(yīng)當(dāng)采取的風(fēng)險(xiǎn)防范措施，并據(jù)此開展。第二十九條(數(shù)據(jù)刪除保護(hù)管理措施要求)涉及個(gè)人信息的數(shù)據(jù)，滿足法律、行政法規(guī)規(guī)定應(yīng)當(dāng)刪除情形時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)主動(dòng)刪除數(shù)據(jù)。其他數(shù)據(jù)已超過與組織約定的存儲(chǔ)時(shí)限，或者組織提出符合法律、行政法規(guī)規(guī)定的正當(dāng)請(qǐng)求時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)主動(dòng)刪除數(shù)據(jù)。刪除數(shù)據(jù)從技術(shù)上難以實(shí)現(xiàn)的，數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。數(shù)據(jù)處理者應(yīng)當(dāng)每年至少對(duì)信息系統(tǒng)業(yè)務(wù)處理賬號(hào)、特權(quán)賬號(hào)實(shí)施一次核驗(yàn)，確認(rèn)已停止除存儲(chǔ)和必要安全保護(hù)措施之外處理的數(shù)據(jù)，不可被訪問使用。數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況時(shí)，合法合規(guī)完成自身需要的數(shù)據(jù)轉(zhuǎn)移處理后，應(yīng)當(dāng)及時(shí)銷毀全部數(shù)據(jù)存儲(chǔ)介質(zhì)。中國(guó)人民銀行或其住所地分支機(jī)構(gòu)依據(jù)法律、行政法規(guī)另有數(shù)據(jù)轉(zhuǎn)移要求的，還應(yīng)當(dāng)按照要求將數(shù)據(jù)轉(zhuǎn)移至指定接收方后再銷毀數(shù)據(jù)存儲(chǔ)介質(zhì)。第五章數(shù)據(jù)安全保護(hù)技術(shù)措施第三十條(賬號(hào)權(quán)限保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)采取有效技術(shù)措施，從嚴(yán)管控業(yè)務(wù)處理賬號(hào)的數(shù)據(jù)使用權(quán)限，鼓勵(lì)建設(shè)技術(shù)平臺(tái)，采取統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)策略進(jìn)一步加強(qiáng)管控。數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確特權(quán)賬號(hào)的使用場(chǎng)景，并通過內(nèi)部審批授權(quán)，嚴(yán)格限定其使用。可使用第三層級(jí)以上數(shù)據(jù)項(xiàng)的特權(quán)賬號(hào)，涉及人工操作的數(shù)據(jù)庫表刪除、修改等操作應(yīng)當(dāng)逐一進(jìn)行事前審查和事后審計(jì)。第三十一條(數(shù)據(jù)處理活動(dòng)日志保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的日志規(guī)范，明確數(shù)據(jù)處理活動(dòng)日志應(yīng)當(dāng)完整記錄的溯源所需信息。第三層級(jí)數(shù)據(jù)項(xiàng)如需在數(shù)據(jù)處理活動(dòng)日志中記錄原則上應(yīng)當(dāng)實(shí)施脫敏處理，第四層級(jí)以上數(shù)據(jù)項(xiàng)原則上不記錄。確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)日志記錄需求場(chǎng)景、支持此類場(chǎng)景的必要性和應(yīng)當(dāng)采取的風(fēng)險(xiǎn)防范措施，并據(jù)此開展。數(shù)據(jù)處理者應(yīng)當(dāng)將數(shù)據(jù)處理活動(dòng)日志納入數(shù)據(jù)分類分級(jí)管理，并落實(shí)對(duì)應(yīng)的管理和技術(shù)措施要求。數(shù)據(jù)處理者應(yīng)當(dāng)妥善保存數(shù)據(jù)處理活動(dòng)日志至少六個(gè)月。向其他數(shù)據(jù)處理者提供涉及個(gè)人信息的數(shù)據(jù)或者重要數(shù)據(jù)的行為，相關(guān)日志應(yīng)當(dāng)保存至少三年。第三十二條(數(shù)據(jù)收集保護(hù)技術(shù)措施要求)采用直接錄入方式收集第二層級(jí)以上數(shù)據(jù)項(xiàng)，應(yīng)當(dāng)核驗(yàn)錄入人身份。采用信息系統(tǒng)間交互方式收集第三層級(jí)以上數(shù)據(jù)項(xiàng)，應(yīng)當(dāng)對(duì)數(shù)據(jù)提供方身份進(jìn)行認(rèn)證，并保障收集數(shù)據(jù)的完整性。數(shù)據(jù)處理者應(yīng)當(dāng)采取關(guān)聯(lián)信息交叉核驗(yàn)等技術(shù)措施，識(shí)別并規(guī)避數(shù)據(jù)項(xiàng)同一內(nèi)容不合理映射至多個(gè)個(gè)人或者組織、不同數(shù)據(jù)項(xiàng)信息相互矛盾等問題，盡可能保障收集數(shù)據(jù)的準(zhǔn)確性，避免損害個(gè)人、組織的合法權(quán)益。數(shù)據(jù)處理者面向個(gè)人直接錄入方式收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)建立健全技術(shù)措施，識(shí)別法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)臄?shù)據(jù)處理者采用自動(dòng)化搜集方式從其他數(shù)據(jù)處理者收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵守其數(shù)據(jù)訪問控制協(xié)議，不得干擾其網(wǎng)絡(luò)服務(wù)正常運(yùn)行，不得侵害其原有網(wǎng)絡(luò)服務(wù)合法運(yùn)營(yíng)權(quán)益。第三十三條(數(shù)據(jù)存儲(chǔ)保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對(duì)數(shù)據(jù)存儲(chǔ)行為采取下列安全保護(hù)技術(shù)措施：(一)有效隔離開發(fā)測(cè)試環(huán)境與生產(chǎn)環(huán)境數(shù)據(jù)存儲(chǔ)設(shè)施設(shè)備；(二)存儲(chǔ)重要數(shù)據(jù)或者一百萬人以上個(gè)人信息的信息系統(tǒng)應(yīng)當(dāng)落實(shí)三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，存儲(chǔ)核心數(shù)據(jù)的信息系統(tǒng)應(yīng)當(dāng)落實(shí)四級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求或者關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求；(三)除因業(yè)務(wù)影響、產(chǎn)業(yè)制約，并可提供詳細(xì)分析報(bào)告情形外，應(yīng)當(dāng)優(yōu)先采用商用密碼技術(shù)對(duì)信息系統(tǒng)中第三層級(jí)以上數(shù)據(jù)項(xiàng)實(shí)施加密存儲(chǔ)，結(jié)構(gòu)化數(shù)據(jù)項(xiàng)在對(duì)數(shù)據(jù)庫文件整體實(shí)施加密基礎(chǔ)上鼓勵(lì)進(jìn)一步采用更細(xì)粒度的加密方式，非結(jié)構(gòu)化數(shù)據(jù)項(xiàng)可僅對(duì)拆分的第三層級(jí)以上結(jié)構(gòu)化數(shù)據(jù)項(xiàng)單獨(dú)實(shí)施加密；(四)按照業(yè)務(wù)連續(xù)性保障等級(jí)，加強(qiáng)信息系統(tǒng)數(shù)據(jù)冗余備份管理，對(duì)于恢復(fù)點(diǎn)目標(biāo)要求小于十分鐘的信息系統(tǒng)，每天至少驗(yàn)證一次最新冗余備份數(shù)據(jù)可被正常加載使用；對(duì)于其他信息系統(tǒng)應(yīng)當(dāng)逐一明確驗(yàn)證頻率要求，據(jù)此定期驗(yàn)證最新冗余備份數(shù)據(jù)可被正常加載使用。鼓勵(lì)數(shù)據(jù)處理者針對(duì)需要進(jìn)一步容災(zāi)備份的數(shù)據(jù)，采取獨(dú)立于信息系統(tǒng)災(zāi)難備份體系以外的備份技術(shù)措施。第三十四條(數(shù)據(jù)使用保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確第三層級(jí)以上數(shù)據(jù)項(xiàng)的脫敏處理策略，降低脫敏數(shù)據(jù)仍可識(shí)別至個(gè)人、組織的風(fēng)險(xiǎn)。數(shù)據(jù)處理者應(yīng)當(dāng)采取數(shù)字水印等措施，標(biāo)識(shí)信息系統(tǒng)當(dāng)前數(shù)據(jù)使用賬號(hào)、時(shí)間等信息，并在展示后及時(shí)清除緩存信息，提升數(shù)據(jù)展示、打印等使用過程的安全防護(hù)和溯源能力。數(shù)據(jù)處理者應(yīng)當(dāng)建立終端設(shè)備安全管控策略，鼓勵(lì)針對(duì)使用第三層級(jí)以上數(shù)據(jù)項(xiàng)的終端，采取安全沙箱、終端行為管控等安全保護(hù)措施。生產(chǎn)環(huán)境第二層級(jí)以上數(shù)據(jù)項(xiàng)原則上應(yīng)當(dāng)經(jīng)授權(quán)并實(shí)施脫敏處理后才能用于開發(fā)測(cè)試，確需不經(jīng)脫敏處理即用于開發(fā)測(cè)試的，數(shù)據(jù)處理者應(yīng)當(dāng)履行內(nèi)部審批手續(xù)，并采取與生產(chǎn)環(huán)境一致的安全保護(hù)管理和技術(shù)措施，確保開發(fā)測(cè)試數(shù)據(jù)安全。第三十五條(數(shù)據(jù)加工保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的加工算法風(fēng)險(xiǎn)評(píng)估和控制策略，明確可解釋性、脆弱性等風(fēng)險(xiǎn)對(duì)應(yīng)的緩釋措施以及退出算法自動(dòng)化決策的替代方案。第三十六條(數(shù)據(jù)傳輸保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對(duì)數(shù)據(jù)傳輸行為采取下列安全保護(hù)技術(shù)措施：(一)通過運(yùn)營(yíng)商網(wǎng)絡(luò)傳輸?shù)诙蛹?jí)以上數(shù)據(jù)項(xiàng)時(shí)，采線路、虛擬專用網(wǎng)絡(luò)、安全通信協(xié)議等安全保護(hù)措施；(二)動(dòng)態(tài)更新記錄不同網(wǎng)絡(luò)安全區(qū)域間正常數(shù)據(jù)傳輸對(duì)應(yīng)的網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議通信映射關(guān)系，加強(qiáng)安全隔離與終端設(shè)備準(zhǔn)入控制；(三)第三層級(jí)以上數(shù)據(jù)項(xiàng)傳輸至其他數(shù)據(jù)處理者、傳輸至不同數(shù)據(jù)中心或者傳輸至運(yùn)營(yíng)商網(wǎng)絡(luò)時(shí)，應(yīng)當(dāng)優(yōu)先使用商用密碼技術(shù)保障機(jī)密性，并根據(jù)業(yè)務(wù)需要使用商用密碼技術(shù)加強(qiáng)完整性和抗抵賴性保障，未使用商用密碼技術(shù)進(jìn)行傳輸保護(hù)的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)傳輸需求場(chǎng)景、支持此類場(chǎng)景的必要性和應(yīng)當(dāng)采取的風(fēng)險(xiǎn)防范措施，并據(jù)此開(四)在傳輸失敗或者傳輸完成后，及時(shí)刪除不必要的緩存數(shù)據(jù)；(五)及時(shí)評(píng)估調(diào)整網(wǎng)絡(luò)線路的傳輸承載容量，加強(qiáng)網(wǎng)絡(luò)線路和相關(guān)軟硬件設(shè)備的冗余備份。第三十七條(數(shù)據(jù)提供保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對(duì)數(shù)據(jù)提供行為采取下列安全保護(hù)技術(shù)措施：(一)針對(duì)持續(xù)性數(shù)據(jù)提供行為建設(shè)較為集中的技術(shù)平臺(tái)，并采用前置網(wǎng)關(guān)或者應(yīng)用程序接口方式向其他數(shù)據(jù)處理者提供數(shù)據(jù)；(二)提供從其他數(shù)據(jù)處理者收集獲得的數(shù)據(jù)項(xiàng)，中國(guó)人民銀行有明確需公開數(shù)據(jù)來源要求的，應(yīng)當(dāng)以顯著方式標(biāo)識(shí)來源；(三)提供第三層級(jí)以上數(shù)據(jù)項(xiàng)時(shí)應(yīng)當(dāng)對(duì)數(shù)據(jù)接收方身份進(jìn)行認(rèn)證；(四)采用隱私計(jì)算技術(shù)提供數(shù)據(jù)時(shí)，應(yīng)當(dāng)建立統(tǒng)一的技術(shù)風(fēng)險(xiǎn)評(píng)估和控制策略，明確安全可驗(yàn)證性、性能可接受性等風(fēng)險(xiǎn)對(duì)應(yīng)的緩釋措施；(五)對(duì)于委托處理情形的數(shù)據(jù)提供行為，應(yīng)當(dāng)納入信息科技外包管理體系統(tǒng)一管理。第三十八條(數(shù)據(jù)公開保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)明確自身已公開數(shù)據(jù)是否可被自動(dòng)化搜集的數(shù)據(jù)訪問控制協(xié)議，并采取有效技術(shù)措施，保障公開數(shù)據(jù)不被篡改。第三十九條(數(shù)據(jù)刪除保護(hù)技術(shù)措施要求)刪除數(shù)據(jù)涉及數(shù)據(jù)存儲(chǔ)介質(zhì)銷毀工作時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的數(shù)據(jù)存儲(chǔ)介質(zhì)銷毀策略，明確銷毀技術(shù)方式和過程監(jiān)督措施。存儲(chǔ)第三層級(jí)以上數(shù)據(jù)項(xiàng)的存儲(chǔ)介質(zhì)不再使用并且離開數(shù)據(jù)處理者控制范圍時(shí)，應(yīng)當(dāng)及時(shí)銷毀。數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)存儲(chǔ)介質(zhì)銷毀日期、銷毀介質(zhì)識(shí)別編號(hào)、采取的銷毀技術(shù)方式、操作執(zhí)行及復(fù)核人等信息至少三年。0第六章風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估審計(jì)與事件處置措施第四十條(數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè))數(shù)據(jù)處理者應(yīng)當(dāng)采取有效措施，強(qiáng)化數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)和告警，推進(jìn)違規(guī)數(shù)據(jù)處理活動(dòng)阻斷技術(shù)措施建設(shè)，及時(shí)做好風(fēng)險(xiǎn)隱患的溯源排查處置，并核驗(yàn)技術(shù)措施的有效性和可靠性。監(jiān)測(cè)告警規(guī)則應(yīng)當(dāng)重點(diǎn)關(guān)注下列事項(xiàng)：(一)收集、提供的數(shù)據(jù)存在惡意程序或者法律、行政法規(guī)禁止傳輸?shù)男畔ⅲ?二)危害數(shù)據(jù)安全的漏洞；(三)終端設(shè)備和移動(dòng)介質(zhì)未經(jīng)授權(quán)存儲(chǔ)第三層級(jí)以上數(shù)據(jù)項(xiàng)；(四)識(shí)別到不明用途的數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)地址；(五)未授權(quán)的數(shù)據(jù)使用行為，發(fā)生時(shí)間、網(wǎng)絡(luò)地址、頻率、總量存在明顯異常的數(shù)據(jù)使用行為；(六)用戶身份認(rèn)證強(qiáng)度較弱；(七)開發(fā)測(cè)試環(huán)境中使用未授權(quán)或者未經(jīng)脫敏處理的生產(chǎn)環(huán)境數(shù)據(jù)；(八)對(duì)第四層級(jí)以上數(shù)據(jù)項(xiàng)實(shí)施加工、提供等行為；(九)異常的網(wǎng)絡(luò)通信行為和非授權(quán)終端設(shè)備接入內(nèi)部網(wǎng)絡(luò)的行為；(十)未經(jīng)商用密碼技術(shù)加密傳輸?shù)谌龑蛹?jí)以上數(shù)據(jù)1(十一)終端設(shè)備使用互聯(lián)網(wǎng)郵件、公共即時(shí)通訊、互聯(lián)網(wǎng)文件傳輸工具傳輸?shù)谌龑蛹?jí)以上數(shù)據(jù)項(xiàng)或者打印第三層級(jí)以上數(shù)據(jù)項(xiàng)；(十二)網(wǎng)絡(luò)線路數(shù)據(jù)傳輸承載能力不足；(十三)使用前置網(wǎng)關(guān)或者應(yīng)用程序接口方式提供超出合同協(xié)議約定范圍數(shù)據(jù)的異常行為；(十四)違反數(shù)據(jù)訪問控制協(xié)議的公開數(shù)據(jù)異常訪問第四十一條(數(shù)據(jù)安全風(fēng)險(xiǎn)情報(bào)監(jiān)測(cè))數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)情報(bào)的監(jiān)測(cè)，及時(shí)核實(shí)并做好必要的數(shù)據(jù)安全防范處置工作。監(jiān)測(cè)規(guī)則應(yīng)當(dāng)重點(diǎn)關(guān)注下列事項(xiàng)：(一)本單位非公開數(shù)據(jù)泄漏至互聯(lián)網(wǎng)的情況；(二)兜售本單位數(shù)據(jù)的情況；(三)假冒本單位身份非法收集、公開數(shù)據(jù)，或者對(duì)本單位管理的數(shù)據(jù)進(jìn)行造謠傳謠的情況；(四)與本單位或者具有關(guān)聯(lián)關(guān)系的數(shù)據(jù)處理者相關(guān)的數(shù)據(jù)安全負(fù)面輿情信息；(五)與本單位合作的數(shù)據(jù)接收方、委托處理受托人相關(guān)的數(shù)據(jù)安全負(fù)面輿情信息。第四十二條(數(shù)據(jù)安全通報(bào)預(yù)警監(jiān)測(cè))數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)接收、核查和處置中國(guó)人民銀行或其分支機(jī)構(gòu)通報(bào)的數(shù)2據(jù)安全風(fēng)險(xiǎn)情報(bào)，并根據(jù)要求按時(shí)反饋核查處置結(jié)果。鼓勵(lì)數(shù)據(jù)處理者積極向中國(guó)人民銀行或其分支機(jī)構(gòu)提供可共享的數(shù)據(jù)安全風(fēng)險(xiǎn)情報(bào)，提升聯(lián)防聯(lián)控效能。第四十三條(數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估)重要數(shù)據(jù)的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托檢測(cè)機(jī)構(gòu)，每年組織開展一次全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，于下年度一季度末前向中國(guó)人民銀行或其住所地分支機(jī)構(gòu)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告，并按照行政法規(guī)要求向?qū)?yīng)的網(wǎng)信部門報(bào)送。除法律、行政法規(guī)已明確的內(nèi)容外，風(fēng)險(xiǎn)評(píng)估報(bào)告還應(yīng)當(dāng)重點(diǎn)評(píng)估下列風(fēng)險(xiǎn)，并提出改進(jìn)應(yīng)對(duì)措施：(一)數(shù)據(jù)分類分級(jí)實(shí)施制度、違規(guī)數(shù)據(jù)處理活動(dòng)定責(zé)規(guī)程和問責(zé)處罰措施、數(shù)據(jù)處理活動(dòng)全流程數(shù)據(jù)安全管理制度和相關(guān)操作規(guī)程的建設(shè)情況；(二)數(shù)據(jù)安全決策、管理、執(zhí)行、監(jiān)督各層面職責(zé)劃分和對(duì)應(yīng)崗位設(shè)置是否明確、合理，實(shí)際職責(zé)落實(shí)情況；(三)人員培訓(xùn)和日常管理情況；(四)重要數(shù)據(jù)識(shí)別判定情況，處理重要數(shù)據(jù)的目的、范圍、規(guī)模、方式、類型、存儲(chǔ)期限和存儲(chǔ)地點(diǎn)等情況；(五)重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動(dòng)記錄信息的真實(shí)性與完整性；(六)重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動(dòng)全流程管理和技術(shù)措施執(zhí)行情況及其有效性；3(七)存儲(chǔ)重要數(shù)據(jù)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)和問題整改落實(shí)情況；(八)重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警和溯源排查情況；(九)數(shù)據(jù)安全事件定級(jí)判定標(biāo)準(zhǔn)建設(shè)情況，應(yīng)急預(yù)案、應(yīng)急處置流程設(shè)計(jì)與演練實(shí)施情況，以及本年度發(fā)生的數(shù)據(jù)安全事件及處置情況；(十)向其他數(shù)據(jù)處理者提供重要數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估報(bào)第四十四條(數(shù)據(jù)安全審計(jì))數(shù)據(jù)處理者應(yīng)當(dāng)圍繞全流程數(shù)據(jù)安全管理制度和相關(guān)操作規(guī)程執(zhí)行情況、數(shù)據(jù)安全相關(guān)投訴處理情況，每年至少開展一次與數(shù)據(jù)安全相關(guān)的合規(guī)審計(jì)。發(fā)生重大以上數(shù)據(jù)安全事件后，應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)，督促數(shù)據(jù)處理活動(dòng)過程留痕，安全保障責(zé)任落實(shí)到人。第四十五條(數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與審計(jì)的安全保障)數(shù)據(jù)處理者應(yīng)當(dāng)細(xì)化管控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估人員和審計(jì)人員使用數(shù)據(jù)的權(quán)限，并采取有效措施確保實(shí)施過程安全。鼓勵(lì)數(shù)據(jù)處理者建立技術(shù)平臺(tái)，統(tǒng)一建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與審計(jì)的安全管控策略。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告和審計(jì)報(bào)告不得記錄第四層級(jí)以上數(shù)據(jù)項(xiàng)。報(bào)告保存期限不得短于實(shí)施過程中使用數(shù)據(jù)的存儲(chǔ)期限，且最短不得低于三年。4委托檢測(cè)機(jī)構(gòu)、審計(jì)機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估或者審計(jì)工作時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)在合同協(xié)議中明確其數(shù)據(jù)安全保護(hù)責(zé)任，并指定本單位人員全程參與評(píng)估。第四十六條(數(shù)據(jù)安全事件定級(jí)判定)數(shù)據(jù)處理者應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案有關(guān)事件分級(jí)要求，綜合考慮影響范圍和程度，細(xì)化明確各等級(jí)數(shù)據(jù)安全事件對(duì)應(yīng)的定級(jí)判定標(biāo)準(zhǔn)：(一)對(duì)于數(shù)據(jù)被篡改、破壞的事件，定級(jí)標(biāo)準(zhǔn)應(yīng)當(dāng)考慮不同業(yè)務(wù)連續(xù)性保障等級(jí)信息系統(tǒng)無法正常服務(wù)的時(shí)長(zhǎng)、影響的業(yè)務(wù)筆數(shù)與金額、影響的個(gè)人或者組織數(shù)量、損失的各敏感性層級(jí)數(shù)據(jù)項(xiàng)情況和對(duì)應(yīng)數(shù)據(jù)規(guī)模、帶來的輿情影響(二)對(duì)于數(shù)據(jù)泄露事件，定級(jí)標(biāo)準(zhǔn)應(yīng)當(dāng)考慮涉及的個(gè)人或者組織數(shù)量、泄露的各敏感性層級(jí)數(shù)據(jù)項(xiàng)情況和對(duì)應(yīng)數(shù)據(jù)規(guī)模、帶來的輿情影響等；(三)涉及核心數(shù)據(jù)、重要數(shù)據(jù)的安全事件，應(yīng)當(dāng)分別定級(jí)為特別重大事件、重大事件。第四十七條(數(shù)據(jù)安全事件響應(yīng)處置)數(shù)據(jù)處理者應(yīng)當(dāng)將數(shù)據(jù)安全事件納入網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制統(tǒng)一管理，制定相關(guān)應(yīng)急預(yù)案，做好事件定級(jí)、處置、總結(jié)、報(bào)告、整改工作，按照規(guī)程向中國(guó)人民銀行或其住所地分支機(jī)構(gòu)、其他有關(guān)主管部門報(bào)告事件信息。5數(shù)據(jù)處理者應(yīng)當(dāng)每年至少開展一次針對(duì)數(shù)據(jù)安全事件的應(yīng)急演練，確保應(yīng)急處置措施的效率和效果。合作的數(shù)據(jù)接收方、委托處理受托人發(fā)生與本單位所提供數(shù)據(jù)相關(guān)的數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)立即開展調(diào)查評(píng)估，督促其及時(shí)采取補(bǔ)救措施。第七章法律責(zé)任第四十八條(監(jiān)督管理責(zé)任履行)中國(guó)人民銀行及其分支機(jī)構(gòu)，按照管轄權(quán)對(duì)數(shù)據(jù)處理者數(shù)據(jù)安全保護(hù)義務(wù)落實(shí)情況開展執(zhí)法檢查。必要時(shí)可以與其他有關(guān)主管部門聯(lián)合組織對(duì)數(shù)據(jù)處理者的執(zhí)法檢查。中國(guó)人民銀行及其分支機(jī)構(gòu)在執(zhí)法檢查過程中發(fā)現(xiàn)數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)時(shí)，依照《中華人民共和國(guó)數(shù)據(jù)安全法》第四十四條予以處理；發(fā)現(xiàn)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)線索時(shí)，應(yīng)當(dāng)及時(shí)報(bào)國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制辦公室，研判是否啟動(dòng)國(guó)家數(shù)據(jù)安全審查。第四十九條(違反數(shù)據(jù)安全保護(hù)義務(wù)行為的處理)在本辦法適用范圍內(nèi)，數(shù)據(jù)處理者未履行數(shù)據(jù)安全保護(hù)義務(wù)，有下列情形之一的，中國(guó)人民銀行及其分支機(jī)構(gòu)依照《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條規(guī)定予以處理：(一)未按照本辦法第十二條規(guī)定，明確或者壓實(shí)數(shù)據(jù)6安全保護(hù)責(zé)任；(二)未按照本辦法第十三條規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度；(三)未按照本辦法第十四條規(guī)定，制定數(shù)據(jù)安全年度培訓(xùn)計(jì)劃，未組織開展相關(guān)教育培訓(xùn)；(四)除本辦法第五十條、第五十一條規(guī)定情形外，未對(duì)應(yīng)采取本辦法第四章和第五章所規(guī)定的數(shù)據(jù)安全保護(hù)管理措施或者技術(shù)措施；(五)未按照本辦法第四十條、第四十一條規(guī)定，做好數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)或者數(shù)