金融業(yè)機密計算技術應用管理辦法第一章總則第一條目的與依據(jù)為規(guī)范金融業(yè)機密計算技術的應用與管理，防范數(shù)據(jù)安全風險，保障金融業(yè)務連續(xù)性，促進金融科技健康發(fā)展，依據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》及金融行業(yè)相關監(jiān)管規(guī)定，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內(nèi)依法設立的銀行業(yè)金融機構(gòu)、證券期貨業(yè)金融機構(gòu)、保險業(yè)金融機構(gòu)、非銀行支付機構(gòu)以及其他從事金融業(yè)務的機構(gòu)（以下統(tǒng)稱“金融機構(gòu)”）。第三條定義機密計算技術：指在數(shù)據(jù)處理過程中，通過硬件或軟件手段實現(xiàn)數(shù)據(jù)在使用狀態(tài)下的加密保護，確保數(shù)據(jù)僅在授權(quán)范圍內(nèi)被訪問和處理的技術?？尚艌?zhí)行環(huán)境（TEE）：機密計算技術的核心載體，是一種基于硬件的安全隔離環(huán)境，能夠提供數(shù)據(jù)的完整性、機密性和代碼的完整性保護。隱私計算：機密計算是隱私計算的重要組成部分，通過多方安全計算、聯(lián)邦學習等技術，實現(xiàn)數(shù)據(jù)“可用不可見”。第四條基本原則安全優(yōu)先：機密計算技術應用必須以保障金融數(shù)據(jù)安全為首要目標。合規(guī)可控：嚴格遵守國家法律法規(guī)和金融監(jiān)管要求，確保技術應用全過程可管可控。自主可控：鼓勵金融機構(gòu)采用自主可控的機密計算技術和產(chǎn)品，提升核心技術自主創(chuàng)新能力。風險為本：建立健全風險評估與管理機制，動態(tài)識別和應對機密計算技術應用中的各類風險。第二章技術應用要求第五條技術選型與評估金融機構(gòu)在引入機密計算技術前，應開展充分的技術選型與評估，重點包括：技術成熟度：評估技術的穩(wěn)定性、可靠性和兼容性。安全防護能力：驗證技術對數(shù)據(jù)機密性、完整性和可用性的保護效果。性能影響：分析技術應用對業(yè)務系統(tǒng)性能的影響程度。合規(guī)性：確認技術符合國家及行業(yè)相關標準規(guī)范。第六條應用場景機密計算技術可在以下金融場景中探索應用：數(shù)據(jù)共享與合作：在金融機構(gòu)間、金融機構(gòu)與第三方機構(gòu)間的數(shù)據(jù)共享中，保護敏感數(shù)據(jù)不被泄露。聯(lián)合建模與分析：在金融風控、精準營銷等場景中，實現(xiàn)多方數(shù)據(jù)聯(lián)合建模，數(shù)據(jù)“可用不可見”。隱私保護計算：在客戶身份認證、交易驗證等環(huán)節(jié)，保護用戶隱私信息。云服務安全：提升金融機構(gòu)上云數(shù)據(jù)的安全性，防范云服務商內(nèi)部風險。第七條技術部署與運維部署架構(gòu)：機密計算技術部署應遵循最小權(quán)限原則，合理劃分安全域，確保與現(xiàn)有安全體系有效融合。運維管理：建立機密計算技術運維管理制度，明確運維流程和操作規(guī)范，定期開展安全審計和漏洞掃描。應急處置：制定機密計算技術安全事件應急預案，定期組織演練，確保能夠快速響應和處置安全事件。第三章數(shù)據(jù)安全管理第八條數(shù)據(jù)分類分級金融機構(gòu)應按照國家及行業(yè)數(shù)據(jù)分類分級標準，對涉及機密計算的數(shù)據(jù)進行分類分級管理，明確不同級別數(shù)據(jù)的保護要求。第九條數(shù)據(jù)生命周期安全數(shù)據(jù)采集：確保采集數(shù)據(jù)的合法性、必要性和最小化原則。數(shù)據(jù)存儲：采用加密等技術手段，保護存儲在機密計算環(huán)境中的數(shù)據(jù)安全。數(shù)據(jù)傳輸：在數(shù)據(jù)傳輸過程中，使用安全的傳輸協(xié)議，防止數(shù)據(jù)被竊取或篡改。數(shù)據(jù)使用：嚴格控制數(shù)據(jù)在機密計算環(huán)境中的訪問權(quán)限，實現(xiàn)數(shù)據(jù)的細粒度授權(quán)。數(shù)據(jù)銷毀：建立完善的數(shù)據(jù)銷毀機制，確保數(shù)據(jù)在生命周期結(jié)束后被徹底清除。第十條數(shù)據(jù)跨境流動涉及跨境流動的數(shù)據(jù)，金融機構(gòu)應嚴格遵守國家數(shù)據(jù)出境管理相關規(guī)定，未經(jīng)批準不得將敏感金融數(shù)據(jù)通過機密計算技術傳輸至境外。第四章風險評估與合規(guī)管理第十一條風險評估金融機構(gòu)應定期開展機密計算技術應用風險評估，評估內(nèi)容包括：技術風險：如漏洞利用、側(cè)信道攻擊等技術層面的風險。管理風險：如制度不完善、人員操作不當?shù)裙芾韺用娴娘L險。業(yè)務風險：如技術故障導致業(yè)務中斷、數(shù)據(jù)泄露引發(fā)聲譽風險等。第十二條合規(guī)管理內(nèi)部合規(guī)審查：金融機構(gòu)應建立內(nèi)部合規(guī)審查機制，確保機密計算技術應用符合法律法規(guī)和監(jiān)管要求。外部合規(guī)認證：鼓勵金融機構(gòu)申請國家及行業(yè)相關合規(guī)認證，提升技術應用的可信度。監(jiān)管溝通：及時向金融監(jiān)管部門報告機密計算技術應用的重大進展和風險情況。第五章監(jiān)督管理與法律責任第十三條監(jiān)督管理金融監(jiān)管部門：負責對金融機構(gòu)機密計算技術應用情況進行監(jiān)督檢查，指導金融機構(gòu)防范和化解技術風險。行業(yè)自律組織：推動制定金融業(yè)機密計算技術應用行業(yè)標準和規(guī)范，開展行業(yè)交流與培訓。第十四條法律責任金融機構(gòu)違反本辦法規(guī)定，導致數(shù)據(jù)安全事件或造成不良后果的，由金融監(jiān)管部門依法依規(guī)進行處罰；構(gòu)成犯罪的，依法追究刑事責任。第六章附則第十五條解釋權(quán)本辦法由國務院金融監(jiān)督管理部門負責解釋。第十六條生效日期本辦法自發(fā)布之日起施行。第十七條過渡安排本辦法施行前已開展機密計算技術應用的金融機構(gòu)，應在本辦法施行之日起6個月內(nèi)完成合規(guī)整改。本