金融業(yè)數(shù)據(jù)安全產(chǎn)業(yè)促進辦法第一章總則第一條立法目的為規(guī)范和促進金融業(yè)數(shù)據(jù)安全產(chǎn)業(yè)的健康發(fā)展，保障金融數(shù)據(jù)安全，維護金融穩(wěn)定，保護金融消費者合法權(quán)益，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內(nèi)從事金融業(yè)數(shù)據(jù)安全技術(shù)研發(fā)、產(chǎn)品生產(chǎn)、服務(wù)提供、系統(tǒng)集成、運營維護等相關(guān)活動的企業(yè)、機構(gòu)及個人（以下統(tǒng)稱“數(shù)據(jù)安全產(chǎn)業(yè)主體”）。第三條基本原則金融業(yè)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展應(yīng)遵循以下原則：安全與發(fā)展并重：在保障金融數(shù)據(jù)安全的前提下，推動產(chǎn)業(yè)創(chuàng)新發(fā)展。統(tǒng)籌規(guī)劃與市場主導(dǎo)結(jié)合：發(fā)揮政府引導(dǎo)作用，激發(fā)市場主體活力。自主可控與開放合作結(jié)合：鼓勵自主創(chuàng)新，同時積極參與國際合作與競爭。權(quán)責明確與社會共治結(jié)合：明確各方責任，構(gòu)建政府、企業(yè)、社會多方參與的治理體系。第四條定義與分類本辦法所稱“金融業(yè)數(shù)據(jù)安全產(chǎn)業(yè)”，是指圍繞金融數(shù)據(jù)的采集、存儲、傳輸、處理、分析、應(yīng)用、銷毀等全生命周期，提供安全技術(shù)、產(chǎn)品、服務(wù)及解決方案的產(chǎn)業(yè)集合。根據(jù)服務(wù)對象和應(yīng)用場景，可分為以下幾類：金融機構(gòu)內(nèi)部數(shù)據(jù)安全：為銀行、證券、保險等持牌金融機構(gòu)自身數(shù)據(jù)安全體系建設(shè)提供支撐。金融科技（FinTech）數(shù)據(jù)安全：為第三方支付、網(wǎng)絡(luò)借貸、數(shù)字貨幣等新興金融業(yè)態(tài)提供安全保障。金融監(jiān)管數(shù)據(jù)安全：為金融監(jiān)管部門對金融數(shù)據(jù)的采集、分析、監(jiān)測提供安全技術(shù)支持?？缇辰鹑跀?shù)據(jù)安全：為金融數(shù)據(jù)跨境流動、跨境金融業(yè)務(wù)提供合規(guī)與安全解決方案。第二章產(chǎn)業(yè)發(fā)展規(guī)劃與政策支持第五條產(chǎn)業(yè)發(fā)展規(guī)劃國家金融監(jiān)督管理總局、工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室等部門應(yīng)聯(lián)合制定金融業(yè)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展規(guī)劃，明確產(chǎn)業(yè)發(fā)展目標、重點任務(wù)和保障措施，引導(dǎo)產(chǎn)業(yè)健康有序發(fā)展。規(guī)劃應(yīng)重點關(guān)注以下方向：關(guān)鍵核心技術(shù)攻關(guān)，如數(shù)據(jù)加密、隱私計算、安全多方計算、聯(lián)邦學習、零信任架構(gòu)等。高安全等級產(chǎn)品研發(fā)，如金融級數(shù)據(jù)安全網(wǎng)關(guān)、高性能密碼設(shè)備、可信執(zhí)行環(huán)境（TEE）等。安全服務(wù)能力提升，如數(shù)據(jù)安全評估、風險咨詢、應(yīng)急響應(yīng)、安全運營服務(wù)（MSS）等。數(shù)據(jù)安全標準體系建設(shè)，推動形成統(tǒng)一、權(quán)威、可落地的行業(yè)標準。第六條財政與稅收支持專項資金：設(shè)立金融業(yè)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展專項資金，對符合國家戰(zhàn)略方向、具有重大技術(shù)突破或市場前景的項目給予直接資金支持。稅收優(yōu)惠：對數(shù)據(jù)安全產(chǎn)業(yè)主體的研發(fā)費用實施加計扣除；對符合條件的高新技術(shù)企業(yè)，減按15%的稅率征收企業(yè)所得稅；對數(shù)據(jù)安全產(chǎn)品和服務(wù)的進口關(guān)稅和增值稅給予適當減免。政府采購：在金融監(jiān)管部門、國有大型金融機構(gòu)的信息化建設(shè)項目中，優(yōu)先采購本國自主可控的數(shù)據(jù)安全產(chǎn)品和服務(wù)。第七條金融與人才支持融資支持：鼓勵金融機構(gòu)為數(shù)據(jù)安全產(chǎn)業(yè)主體提供知識產(chǎn)權(quán)質(zhì)押貸款、科技信用貸款等特色金融產(chǎn)品。支持符合條件的數(shù)據(jù)安全企業(yè)在科創(chuàng)板、創(chuàng)業(yè)板上市融資。人才培養(yǎng)：鼓勵高校開設(shè)數(shù)據(jù)安全、網(wǎng)絡(luò)空間安全、金融科技等相關(guān)專業(yè)。支持企業(yè)與高校、科研院所共建實習基地、聯(lián)合實驗室，定向培養(yǎng)復(fù)合型人才。對引進的高端數(shù)據(jù)安全人才，給予落戶、住房、科研啟動資金等方面的支持。第三章技術(shù)創(chuàng)新與標準體系建設(shè)第八條關(guān)鍵技術(shù)攻關(guān)鼓勵數(shù)據(jù)安全產(chǎn)業(yè)主體加大研發(fā)投入，聚焦以下關(guān)鍵技術(shù)領(lǐng)域：技術(shù)領(lǐng)域核心內(nèi)容應(yīng)用場景數(shù)據(jù)加密技術(shù)國密算法（SM系列）應(yīng)用、后量子密碼、同態(tài)加密、全同態(tài)加密敏感金融數(shù)據(jù)存儲、傳輸、計算過程中的加密保護隱私計算技術(shù)聯(lián)邦學習、安全多方計算（SMPC）、差分隱私、可信執(zhí)行環(huán)境（TEE）在數(shù)據(jù)“可用不可見”前提下，實現(xiàn)跨機構(gòu)、跨部門的數(shù)據(jù)聯(lián)合建模與分析零信任架構(gòu)（ZTA）基于身份的動態(tài)訪問控制、持續(xù)驗證、最小權(quán)限原則重構(gòu)金融機構(gòu)內(nèi)部網(wǎng)絡(luò)安全邊界，防范內(nèi)部威脅和供應(yīng)鏈攻擊數(shù)據(jù)安全治理技術(shù)數(shù)據(jù)分類分級、數(shù)據(jù)資產(chǎn)測繪、數(shù)據(jù)血緣追蹤、數(shù)據(jù)脫敏、數(shù)據(jù)水印實現(xiàn)金融數(shù)據(jù)的精細化管理和全生命周期安全管控人工智能安全技術(shù)AI模型安全、AI對抗樣本防御、AI驅(qū)動的異常檢測與威脅狩獵提升金融安全系統(tǒng)的智能化水平，應(yīng)對新型網(wǎng)絡(luò)攻擊第九條標準體系建設(shè)國家金融監(jiān)督管理總局、全國金融標準化技術(shù)委員會應(yīng)牽頭建立健全金融業(yè)數(shù)據(jù)安全標準體系，包括：基礎(chǔ)通用標準：術(shù)語定義、參考架構(gòu)、安全等級保護等。技術(shù)標準：數(shù)據(jù)加密、身份認證、訪問控制、安全審計、漏洞管理等。產(chǎn)品標準：數(shù)據(jù)安全網(wǎng)關(guān)、防火墻、入侵檢測/防御系統(tǒng)（IDS/IPS）、安全運營中心（SOC）等產(chǎn)品的技術(shù)要求和測試方法。服務(wù)標準：數(shù)據(jù)安全評估、風險咨詢、應(yīng)急響應(yīng)、安全培訓等服務(wù)的規(guī)范。管理標準：數(shù)據(jù)安全管理制度、數(shù)據(jù)安全責任制、數(shù)據(jù)安全事件報告與處置流程等。鼓勵產(chǎn)業(yè)主體積極參與國際標準制定，提升中國在全球金融數(shù)據(jù)安全領(lǐng)域的話語權(quán)。第四章市場準入與監(jiān)督管理第十條市場準入資質(zhì)認證：對從事金融業(yè)數(shù)據(jù)安全產(chǎn)品研發(fā)、服務(wù)提供的企業(yè)，實行嚴格的資質(zhì)認證制度。重點認證其技術(shù)能力、服務(wù)水平、安全保障能力和合規(guī)性。產(chǎn)品認證：對面向金融領(lǐng)域銷售的數(shù)據(jù)安全產(chǎn)品，應(yīng)通過國家相關(guān)部門認可的權(quán)威檢測機構(gòu)的安全認證，確保其符合金融行業(yè)的高安全要求。人員資質(zhì)：從事金融業(yè)數(shù)據(jù)安全關(guān)鍵崗位的人員（如安全架構(gòu)師、滲透測試工程師）應(yīng)具備相應(yīng)的專業(yè)資質(zhì)（如CISSP、CISA、CISP-F等）。第十一條監(jiān)督管理日常監(jiān)管：國家金融監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室等部門應(yīng)加強對數(shù)據(jù)安全產(chǎn)業(yè)主體的日常監(jiān)管，定期開展合規(guī)檢查和安全評估。動態(tài)評估：建立數(shù)據(jù)安全產(chǎn)業(yè)主體的動態(tài)評估機制，對其技術(shù)能力、服務(wù)質(zhì)量、安全事件響應(yīng)能力進行持續(xù)跟蹤和評估。評估結(jié)果作為市場準入、政府采購、評優(yōu)評先的重要依據(jù)。信用體系：建立金融業(yè)數(shù)據(jù)安全產(chǎn)業(yè)信用體系，對違法違規(guī)、失信失責的企業(yè)和個人進行公示和懲戒，對誠信經(jīng)營、技術(shù)領(lǐng)先的企業(yè)給予激勵。第十二條數(shù)據(jù)安全評估金融機構(gòu)在采購數(shù)據(jù)安全產(chǎn)品或服務(wù)前，應(yīng)委托第三方專業(yè)機構(gòu)進行數(shù)據(jù)安全評估。評估內(nèi)容包括：產(chǎn)品/服務(wù)的安全性、穩(wěn)定性、兼容性。供應(yīng)商的數(shù)據(jù)安全能力、合規(guī)性及商業(yè)信譽。產(chǎn)品/服務(wù)部署后可能帶來的潛在風險。評估結(jié)果應(yīng)作為采購決策的重要參考。第五章數(shù)據(jù)安全事件應(yīng)急與處置第十三條應(yīng)急預(yù)案企業(yè)預(yù)案：數(shù)據(jù)安全產(chǎn)業(yè)主體應(yīng)制定本單位的數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確應(yīng)急組織架構(gòu)、預(yù)警機制、處置流程和責任分工。行業(yè)預(yù)案：國家金融監(jiān)督管理總局應(yīng)組織制定金融業(yè)數(shù)據(jù)安全事件行業(yè)應(yīng)急預(yù)案，指導(dǎo)金融機構(gòu)和數(shù)據(jù)安全產(chǎn)業(yè)主體開展應(yīng)急演練。第十四條事件報告與處置報告義務(wù)：數(shù)據(jù)安全產(chǎn)業(yè)主體在發(fā)生或可能發(fā)生數(shù)據(jù)安全事件時，應(yīng)立即啟動應(yīng)急預(yù)案，并按照規(guī)定時限向國家金融監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室等相關(guān)部門報告。協(xié)同處置：相關(guān)監(jiān)管部門接到報告后，應(yīng)立即組織力量進行研判、處置和調(diào)查，并視情況啟動跨部門、跨區(qū)域協(xié)同處置機制。事后評估與改進：事件處置結(jié)束后，應(yīng)組織對事件原因、影響范圍、處置過程進行全面評估，總結(jié)經(jīng)驗教訓，完善安全措施。第十五條責任追究對因數(shù)據(jù)安全產(chǎn)業(yè)主體的產(chǎn)品缺陷、服務(wù)失誤或管理不善導(dǎo)致金融數(shù)據(jù)安全事件，造成重大損失或惡劣影響的，應(yīng)依法依規(guī)追究其法律責任和經(jīng)濟賠償責任。第六章國際合作與交流第十六條國際標準與規(guī)則對接積極參與全球金融數(shù)據(jù)安全治理，推動與主要經(jīng)濟體在數(shù)據(jù)安全標準、規(guī)則和監(jiān)管沙盒等方面的對接與互認，為中國金融數(shù)據(jù)安全企業(yè)“走出去”創(chuàng)造有利條件。第十七條技術(shù)交流與合作鼓勵數(shù)據(jù)安全產(chǎn)業(yè)主體與國際領(lǐng)先企業(yè)、科研機構(gòu)開展技術(shù)交流與合作，引進先進技術(shù)和管理經(jīng)驗，提升自身創(chuàng)新能力和國際競爭力。第十八條跨境數(shù)據(jù)流動安全支持數(shù)據(jù)安全產(chǎn)業(yè)主體為金融機構(gòu)的跨境數(shù)據(jù)流動提供合規(guī)與安全解決方案，幫助金融機構(gòu)遵守《個人信息保護法