金融業(yè)數(shù)據(jù)安全國(guó)際合作管理辦法第一章總則第一條目的和依據(jù)為規(guī)范金融業(yè)數(shù)據(jù)安全國(guó)際合作行為，保障國(guó)家金融安全、數(shù)據(jù)主權(quán)和個(gè)人信息權(quán)益，促進(jìn)金融業(yè)對(duì)外開(kāi)放和健康發(fā)展，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)國(guó)家安全法》等法律法規(guī)，制定本辦法。第二條適用范圍本辦法適用于中華人民共和國(guó)境內(nèi)的金融機(jī)構(gòu)、非銀行支付機(jī)構(gòu)（以下統(tǒng)稱“金融機(jī)構(gòu)”）以及其他開(kāi)展金融業(yè)數(shù)據(jù)處理活動(dòng)的組織（以下統(tǒng)稱“數(shù)據(jù)處理者”），在與境外機(jī)構(gòu)、組織或個(gè)人（以下統(tǒng)稱“境外主體”）開(kāi)展數(shù)據(jù)安全相關(guān)國(guó)際合作時(shí)的行為。本辦法所稱“金融業(yè)數(shù)據(jù)”，是指金融機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)過(guò)程中產(chǎn)生、收集、存儲(chǔ)、加工、傳輸、使用和提供的數(shù)據(jù)，包括但不限于客戶身份信息、賬戶信息、交易信息、信用信息、金融產(chǎn)品信息等。第三條基本原則金融業(yè)數(shù)據(jù)安全國(guó)際合作應(yīng)當(dāng)遵循以下原則：安全優(yōu)先，風(fēng)險(xiǎn)可控：將數(shù)據(jù)安全置于首位，全面評(píng)估并有效管控合作中的各類風(fēng)險(xiǎn)。合法合規(guī)，權(quán)責(zé)清晰：嚴(yán)格遵守中國(guó)法律法規(guī)及監(jiān)管要求，明確合作各方的權(quán)利與義務(wù)。分類分級(jí)，重點(diǎn)保護(hù)：對(duì)金融業(yè)數(shù)據(jù)實(shí)施分類分級(jí)管理，重點(diǎn)保護(hù)國(guó)家核心數(shù)據(jù)、重要數(shù)據(jù)和個(gè)人敏感信息。開(kāi)放合作，互利共贏：在確保安全的前提下，積極開(kāi)展國(guó)際合作，促進(jìn)金融創(chuàng)新與發(fā)展。主權(quán)在我，對(duì)等互惠：堅(jiān)持?jǐn)?shù)據(jù)主權(quán)原則，在合作中爭(zhēng)取對(duì)等的權(quán)利和待遇。第四條監(jiān)管職責(zé)國(guó)家金融監(jiān)督管理總局、中國(guó)人民銀行、國(guó)家互聯(lián)網(wǎng)信息辦公室等相關(guān)部門（以下統(tǒng)稱“監(jiān)管部門”）按照各自職責(zé)分工，負(fù)責(zé)對(duì)金融業(yè)數(shù)據(jù)安全國(guó)際合作進(jìn)行監(jiān)督管理、指導(dǎo)和協(xié)調(diào)。第二章數(shù)據(jù)分類分級(jí)與出境安全評(píng)估第五條數(shù)據(jù)分類分級(jí)數(shù)據(jù)處理者應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定和監(jiān)管要求，對(duì)其處理的金融業(yè)數(shù)據(jù)進(jìn)行分類分級(jí)。核心數(shù)據(jù)：關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益的數(shù)據(jù)。例如，涉及國(guó)家金融穩(wěn)定、貨幣政策執(zhí)行、跨境資本流動(dòng)的宏觀數(shù)據(jù)等。重要數(shù)據(jù)：一旦泄露、非法提供或?yàn)E用可能危害國(guó)家安全、公共利益的數(shù)據(jù)。例如，大額跨境交易數(shù)據(jù)、重要金融基礎(chǔ)設(shè)施運(yùn)行數(shù)據(jù)、特定行業(yè)客戶群體的聚合數(shù)據(jù)等。一般數(shù)據(jù)：除核心數(shù)據(jù)和重要數(shù)據(jù)以外的其他數(shù)據(jù)。例如，單個(gè)客戶的非敏感交易記錄、金融機(jī)構(gòu)內(nèi)部管理數(shù)據(jù)等。第六條數(shù)據(jù)出境安全評(píng)估數(shù)據(jù)處理者向境外提供核心數(shù)據(jù)、重要數(shù)據(jù)，或者因業(yè)務(wù)需要向境外提供個(gè)人信息，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定進(jìn)行數(shù)據(jù)出境安全評(píng)估。評(píng)估主體：數(shù)據(jù)處理者是數(shù)據(jù)出境安全評(píng)估的責(zé)任主體。評(píng)估內(nèi)容：應(yīng)當(dāng)包括數(shù)據(jù)出境的目的、范圍、方式、境外接收方的安全保護(hù)能力、數(shù)據(jù)出境可能帶來(lái)的風(fēng)險(xiǎn)以及安全保障措施等。評(píng)估方式：數(shù)據(jù)處理者可以自行開(kāi)展安全評(píng)估，也可以委托專業(yè)機(jī)構(gòu)進(jìn)行評(píng)估。對(duì)于核心數(shù)據(jù)和重要數(shù)據(jù)的出境，通常需要向監(jiān)管部門申報(bào)并接受審查。評(píng)估結(jié)果：安全評(píng)估結(jié)果是數(shù)據(jù)出境的重要依據(jù)。未經(jīng)安全評(píng)估或評(píng)估未通過(guò)的，不得向境外提供相關(guān)數(shù)據(jù)。第三章國(guó)際合作的類型與要求第七條合作類型金融業(yè)數(shù)據(jù)安全國(guó)際合作主要包括以下類型：跨境金融服務(wù)：金融機(jī)構(gòu)通過(guò)設(shè)立境外分支機(jī)構(gòu)、代理行、合作平臺(tái)等方式，向境外客戶提供金融產(chǎn)品和服務(wù)，涉及數(shù)據(jù)跨境傳輸和處理?？缇硵?shù)據(jù)共享與交換：金融機(jī)構(gòu)與境外合作伙伴（如境外金融機(jī)構(gòu)、征信機(jī)構(gòu)、科技公司等）基于業(yè)務(wù)合作、風(fēng)險(xiǎn)聯(lián)防聯(lián)控等目的，進(jìn)行數(shù)據(jù)共享或交換?？缇辰鹑诳萍己献鳎航鹑跈C(jī)構(gòu)與境外金融科技公司在云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域開(kāi)展技術(shù)合作，可能涉及數(shù)據(jù)的跨境存儲(chǔ)、分析和使用?？缇潮O(jiān)管合作與信息共享：監(jiān)管部門與境外監(jiān)管機(jī)構(gòu)之間，為履行監(jiān)管職責(zé)、打擊跨境金融犯罪等目的，開(kāi)展的監(jiān)管信息交流與合作。境外上市與融資：境內(nèi)金融機(jī)構(gòu)在境外上市或融資過(guò)程中，向境外監(jiān)管機(jī)構(gòu)、投資者、中介機(jī)構(gòu)等提供相關(guān)數(shù)據(jù)和信息。第八條合作方準(zhǔn)入與盡職調(diào)查數(shù)據(jù)處理者在選擇境外合作方時(shí)，應(yīng)當(dāng)進(jìn)行嚴(yán)格的盡職調(diào)查。調(diào)查內(nèi)容：包括境外合作方的主體資格、業(yè)務(wù)資質(zhì)、信譽(yù)狀況、數(shù)據(jù)安全保護(hù)能力、遵守中國(guó)法律法規(guī)的意愿和能力、所在國(guó)家或地區(qū)的法律環(huán)境與政治風(fēng)險(xiǎn)等。準(zhǔn)入標(biāo)準(zhǔn)：應(yīng)當(dāng)制定明確的境外合作方準(zhǔn)入標(biāo)準(zhǔn)，優(yōu)先選擇具有良好信譽(yù)、健全數(shù)據(jù)安全管理體系和較強(qiáng)技術(shù)實(shí)力的合作方。動(dòng)態(tài)評(píng)估：對(duì)合作方的安全狀況進(jìn)行持續(xù)監(jiān)控和定期評(píng)估，發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)應(yīng)及時(shí)采取措施。第九條合作協(xié)議數(shù)據(jù)處理者與境外合作方開(kāi)展合作，應(yīng)當(dāng)簽訂書面的合作協(xié)議，明確以下核心條款：數(shù)據(jù)處理的目的、范圍和方式：清晰界定合作中涉及的數(shù)據(jù)處理活動(dòng)。數(shù)據(jù)安全保護(hù)義務(wù)：明確境外合作方在數(shù)據(jù)存儲(chǔ)、傳輸、使用、銷毀等各環(huán)節(jié)的安全保護(hù)責(zé)任，要求其采取不低于中國(guó)法律法規(guī)和監(jiān)管要求的安全措施。數(shù)據(jù)跨境傳輸與出境限制：約定數(shù)據(jù)跨境傳輸?shù)臈l件、路徑和安全保障措施。未經(jīng)數(shù)據(jù)處理者明確授權(quán)和安全評(píng)估，境外合作方不得將接收的數(shù)據(jù)再次轉(zhuǎn)移至第三方。數(shù)據(jù)使用限制：境外合作方只能在合作協(xié)議約定的范圍內(nèi)使用數(shù)據(jù)，不得用于其他目的。數(shù)據(jù)保密義務(wù)：合作各方均應(yīng)對(duì)合作中知悉的對(duì)方商業(yè)秘密、未公開(kāi)信息以及個(gè)人信息等承擔(dān)嚴(yán)格的保密義務(wù)。風(fēng)險(xiǎn)共擔(dān)與責(zé)任劃分：明確因數(shù)據(jù)安全事件造成損失時(shí)的責(zé)任劃分和賠償機(jī)制。監(jiān)督與審計(jì)：數(shù)據(jù)處理者有權(quán)對(duì)境外合作方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督，必要時(shí)可要求其提供數(shù)據(jù)安全審計(jì)報(bào)告。應(yīng)急響應(yīng)與事件處理：約定數(shù)據(jù)安全事件發(fā)生后的報(bào)告流程、應(yīng)急處置措施和溝通協(xié)調(diào)機(jī)制。協(xié)議變更與終止：明確協(xié)議變更和終止的條件及程序，特別是數(shù)據(jù)的返還或銷毀要求。爭(zhēng)議解決：約定爭(zhēng)議解決的方式和適用法律。原則上，應(yīng)優(yōu)先選擇中國(guó)法律和中國(guó)境內(nèi)的仲裁機(jī)構(gòu)或法院。第十條跨境金融服務(wù)中的數(shù)據(jù)安全提供跨境金融服務(wù)的數(shù)據(jù)處理者，除遵守本章其他規(guī)定外，還應(yīng)當(dāng)：確保其境外分支機(jī)構(gòu)或合作平臺(tái)符合當(dāng)?shù)胤煞ㄒ?guī)和數(shù)據(jù)安全要求，同時(shí)不得損害中國(guó)的國(guó)家安全和社會(huì)公共利益。對(duì)跨境金融服務(wù)中產(chǎn)生的數(shù)據(jù)進(jìn)行有效管理，明確數(shù)據(jù)的存儲(chǔ)地點(diǎn)、備份策略和訪問(wèn)控制。向境外客戶充分告知數(shù)據(jù)處理的規(guī)則、范圍和可能的跨境傳輸情況，并取得必要的授權(quán)同意。第十一條跨境金融科技合作中的數(shù)據(jù)安全開(kāi)展跨境金融科技合作的數(shù)據(jù)處理者，除遵守本章其他規(guī)定外，還應(yīng)當(dāng)：對(duì)合作涉及的技術(shù)架構(gòu)、數(shù)據(jù)接口、算法模型等進(jìn)行安全評(píng)估，防范技術(shù)后門、數(shù)據(jù)泄露等風(fēng)險(xiǎn)。如涉及使用境外云計(jì)算服務(wù)，應(yīng)當(dāng)選擇符合國(guó)家監(jiān)管要求的服務(wù)商，并對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)，確保數(shù)據(jù)主權(quán)和控制權(quán)。明確合作中產(chǎn)生的知識(shí)產(chǎn)權(quán)歸屬，特別是與數(shù)據(jù)相關(guān)的創(chuàng)新成果。第十二條境外上市與融資中的數(shù)據(jù)安全擬在境外上市或融資的境內(nèi)金融機(jī)構(gòu)，應(yīng)當(dāng)：對(duì)上市或融資過(guò)程中需要向境外提供的數(shù)據(jù)進(jìn)行嚴(yán)格審查和篩選，確保不涉及核心數(shù)據(jù)和未授權(quán)的重要數(shù)據(jù)。與境外中介機(jī)構(gòu)（如律師事務(wù)所、會(huì)計(jì)師事務(wù)所）簽訂嚴(yán)格的數(shù)據(jù)保密協(xié)議，明確數(shù)據(jù)使用范圍和責(zé)任。按照監(jiān)管要求，就數(shù)據(jù)出境事宜履行必要的申報(bào)和審批程序。第四章安全保障措施第十三條技術(shù)保障措施數(shù)據(jù)處理者應(yīng)當(dāng)采取必要的技術(shù)措施，保障數(shù)據(jù)在存儲(chǔ)、傳輸、使用過(guò)程中的安全。數(shù)據(jù)加密：對(duì)核心數(shù)據(jù)、重要數(shù)據(jù)和個(gè)人敏感信息在存儲(chǔ)和傳輸過(guò)程中進(jìn)行加密處理。訪問(wèn)控制：實(shí)施嚴(yán)格的身份認(rèn)證和權(quán)限管理，確保數(shù)據(jù)僅被授權(quán)人員訪問(wèn)。安全審計(jì)：對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行全程記錄和審計(jì)，以便追溯和調(diào)查。數(shù)據(jù)脫敏與去標(biāo)識(shí)化：在不影響數(shù)據(jù)可用性的前提下，對(duì)數(shù)據(jù)進(jìn)行脫敏或去標(biāo)識(shí)化處理，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。備份與恢復(fù)：建立完善的數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制，確保數(shù)據(jù)的完整性和可用性。第十四條管理保障措施數(shù)據(jù)處理者應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理制度。組織架構(gòu)：設(shè)立專門的數(shù)據(jù)安全管理部門或崗位，明確負(fù)責(zé)人和職責(zé)。人員管理：對(duì)接觸敏感數(shù)據(jù)的人員進(jìn)行背景審查、安全培訓(xùn)和保密教育。合規(guī)審查：在開(kāi)展國(guó)際合作項(xiàng)目前，進(jìn)行合規(guī)性審查，確保符合中國(guó)法律法規(guī)和監(jiān)管要求。風(fēng)險(xiǎn)評(píng)估：定期或不定期對(duì)國(guó)際合作中的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并根據(jù)評(píng)估結(jié)果調(diào)整安全策略。文檔管理：妥善保存與數(shù)據(jù)安全國(guó)際合作相關(guān)的協(xié)議、評(píng)估報(bào)告、審計(jì)記錄等文檔。第十五條境外接收方的安全要求數(shù)據(jù)處理者應(yīng)當(dāng)要求境外接收方承諾并采取以下措施：遵守中國(guó)法律：承諾遵守中國(guó)關(guān)于數(shù)據(jù)安全和個(gè)人信息保護(hù)的法律法規(guī)。安全保護(hù)能力：具備與所接收數(shù)據(jù)相適應(yīng)的安全保護(hù)技術(shù)和管理能力。數(shù)據(jù)使用限制：嚴(yán)格按照合作協(xié)議約定的目的和范圍使用數(shù)據(jù)，不得超范圍使用或未經(jīng)授權(quán)向第三方提供。配合監(jiān)管：承諾在必要時(shí)配合中國(guó)監(jiān)管部門的調(diào)查和監(jiān)管要求。第五章監(jiān)督管理與法律責(zé)任第十六條監(jiān)督檢查監(jiān)管部門有權(quán)對(duì)數(shù)據(jù)處理者開(kāi)展的金融業(yè)數(shù)據(jù)安全國(guó)際合作進(jìn)行監(jiān)督檢查。檢查方式：包括現(xiàn)場(chǎng)檢查、非現(xiàn)場(chǎng)監(jiān)管、數(shù)據(jù)安全評(píng)估等。檢查內(nèi)容：合作協(xié)議的合規(guī)性、數(shù)據(jù)安全管理制度的落實(shí)情況、技術(shù)保障措施的有效性、境外接收方的安全狀況等。檢查結(jié)果：對(duì)檢查中發(fā)現(xiàn)的問(wèn)題，監(jiān)管部門可以要求數(shù)據(jù)處理者限期整改；情節(jié)嚴(yán)重的，可以采取約談、通報(bào)批評(píng)、暫停相關(guān)業(yè)務(wù)等監(jiān)管措施。第十七條應(yīng)急處置數(shù)據(jù)處理者應(yīng)當(dāng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，并定期組織演練。事件報(bào)告：發(fā)生數(shù)據(jù)安全事件后，應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取補(bǔ)救措施，并按照規(guī)定及時(shí)向監(jiān)管部門報(bào)告?？缇硡f(xié)調(diào)：如事件涉及境外接收方，應(yīng)及時(shí)與其溝通協(xié)調(diào)，共同采取措施控制事態(tài)發(fā)展。第十八條法律責(zé)任違反本辦法規(guī)定的，由監(jiān)管部門依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)予以處罰。警告、罰款：對(duì)違反規(guī)定的機(jī)構(gòu)和個(gè)人，可以處以警告、罰款。暫停業(yè)務(wù)、吊銷執(zhí)照：情節(jié)嚴(yán)重的，可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。刑事責(zé)任：構(gòu)成犯罪的，依法追究刑事責(zé)任。第六章附則第十九條術(shù)語(yǔ)解釋本辦法下列用語(yǔ)的含義：數(shù)據(jù)處理者：指在金融業(yè)數(shù)據(jù)處理活動(dòng)中自主決定處理目的和處理方式的組織或個(gè)人。境外接收方：指接收從中國(guó)境內(nèi)向境外提供的數(shù)據(jù)的境外機(jī)構(gòu)、組織或個(gè)人。數(shù)據(jù)出境：指數(shù)據(jù)處理者將在中華人