中国人民银行业务领域数据安全管理办法
中国人民银行令〔2025〕第3号(中国人民银行业务领域数据安全管理办法)
《中国人民银行业务领域数据安全管理办法》已经2025年4月2日中国人民银行第5次行务会议审议通过,现予发布,自2025年6月30日起施行。
行 长 潘功胜
2025年5月1日
中国人民银行业务领域数据安全管理办法
第一章 总 则
第一条 为规范中国人民银行业务领域数据的安全管理并促进开发利用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理,适用本办法。其他有关主管部门有规定的,还应当依法遵守其规定。
本办法所称中国人民银行业务领域,指依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督和管理职责的业务领域。
本办法所称中国人民银行业务领域数据,指中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据(以下简称业务数据)。
本办法所称数据处理者,指金融机构以及经中国人民银行批准设立或者认定的其他机构。
第三条 业务数据安全工作遵循“谁管业务,谁管业务数据,谁管数据安全”原则。中国人民银行对业务数据安全负指导监管责任。数据处理者应当履行数据安全保护义务,防范业务数据被篡改、破坏、泄露或者非法获取、非法利用等风险,保障国家安全、公共利益、个人及组织合法权益,尊重社会公德伦理,遵守商业道德和职业道德,保障业务数据依法有序自由流动。
第四条 在国家数据安全工作协调机制统筹协调下,中国人民银行及其分支机构按照本办法开展业务数据安全监督管理工作,加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通。
相关金融行业协会应当加强自律管理,依法制定业务数据安全行为规范和团体标准,指导会员加强业务数据安全保护。
第五条 鼓励数据处理者积极开展业务数据安全创新应用,在保障安全合规前提下促进业务数据的高效流通和开发利用,鼓励在行业内推广优秀创新成果。
第二章 业务数据分类分级与总体要求
第六条 中国人民银行负责制定业务数据分类分级保护相关规范标准,指导业务数据分类分级保护工作,组织编制中国人民银行业务领域重要数据目录并实施动态管理。
第七条 数据处理者应当建立健全业务数据分类分级制度和操作规程。业务数据分类分级实施应当遵循制度规程,分类分级结果应当履行内部审批程序。
第八条 数据处理者应当建立业务数据资源目录,并从业务关联性、敏感性和可用性方面分别做好业务数据分类:
(一)标识各数据项是否为个人信息、是否为外部收集产生、存储该数据项的信息系统清单和关联的业务类别。
(二)根据业务数据遭到泄露或者被非法获取、非法利用时,对个人、组织合法权益或者公共利益等造成的危害程度开展敏感性分类。业务数据的结构化数据项应当逐一标识敏感性,业务数据的非结构化数据项应当优先按照可拆分的各结构化数据项所标识的最高敏感性,标识其敏感性。中国人民银行业务领域内的敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等,应当标识为高敏感性数据项。
(三)根据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度,明确信息系统差异化的数据恢复点目标,视为对业务数据的可用性分类。
第九条 按照国家有关规定,将业务数据分为一般数据、重要数据、核心数据三级。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度,一旦被非法使用或者共享,可能直接影响政治安全的重要数据。
中国人民银行按照国家有关规定组织确定重要数据具体目录,数据处理者应当准确识别、申报本机构存储的全量业务数据是否属于重要数据、核心数据,并填报重要数据具体目录内容。
中国人民银行汇总形成重要数据具体目录,经国家数据安全工作协调机制审定后,确定重要数据的处理者并告知其对应的重要数据。
除单独说明的情形外,本办法所列重要数据的保护义务,均适用于核心数据。
第十条 数据处理者应当每年至少更新一次业务数据资源目录,完整准确记录信息系统所存储数据项和对应标识内容。
第十一条 数据处理者应当切实履行业务数据安全保护责任,明确业务数据安全保护相关内设部门职责,配备与业务范围和服务规模相适应的数据安全专业人员,细化业务数据安全保护奖惩规程。
面向社会提供产品、服务的数据处理者应当建立便捷的投诉、举报渠道,及时受理并处理业务数据安全有关投诉、举报。
总共6页 1
[2] [3] [4] [5] [6] 下一页
相关法规: