重要数据的处理者应当明确业务数据的安全负责人和管理机构。管理机构应当切实履行法律、行政法规已明确的各项责任。业务数据的安全负责人应当符合法律、行政法规已明确需具备的条件，并确保其能够有效履行数据安全保护义务，有权直接向中国人民银行报告业务数据安全情况。
　　第十二条 数据处理者应当建立健全全流程业务数据安全管理制度，结合业务数据分类分级明确差异化的安全保护措施，制定业务数据处理活动操作规程和业务数据安全相关内部审批授权规程，明确操作实施和审批授权记录的留存要求。
　　不同敏感性数据项在同一个业务数据处理活动中被处理，且难以采取差异化安全保护措施的，应当采取高敏感性数据项对应的安全保护措施。
　　第十三条 数据处理者应当根据岗位分工，制定业务数据安全年度培训计划，每年组织业务数据处理活动参与人员开展相关教育培训。培训内容应当包括与业务数据安全相关的制度标准、风险防范常识、岗位责任、保护措施和事件应急处置要求。
　　第三章 全流程业务数据安全管理要求
　　第十四条 数据处理者应当严格管理处理业务数据相关信息系统数据库管理员账号等特权账号和各类业务处理账号的权限，人员变动时应当立即调整权限。数据处理者应当与可使用高敏感性数据项账号的人员签订保密协议。
　　数据处理者存储核心数据的，应当对业务数据的安全负责人和可使用核心数据的关键岗位人员进行安全背景审查。
　　第十五条 数据处理者收集业务数据应当采取下列安全保护管理措施：
　　（一）除收集自行公开或者其他已经合法公开的业务数据的情形外，收集业务数据时应当依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权，并落实相应告知义务。
　　（二）非直接面向个人、组织收集其尚未公开的业务数据的，应当在合同或者协议中明确数据提供方保障业务数据来源合法性、真实性的义务。数据提供方未取得个人书面同意或者组织书面授权的，还应当要求其出具业务数据来源依法合规和数据真实性的必要佐证材料。
　　（三）采用人工录入方式收集业务数据的，应当采取必要校验措施保障业务数据录入的准确性，按照相关管理要求留存业务数据收集原始凭证。
　　（四）原则上不收集图像等原始个人生物识别信息。确需收集的，应当统一规范管理相关需求场景。
　　（五）按照与数据提供方合同或者协议中约定的处理目的、方式、范围以及安全保护义务等开展收集和后续的业务数据处理活动。
　　第十六条 数据处理者应当根据业务需要，明确业务数据保存期限。除履行法定职责或者法定义务外，高敏感性数据项原则上不在终端设备和移动介质中存储，确需存储的，数据处理者应当统一规范管理相关需求场景。
　　第十七条 业务数据使用活动中，数据处理者使用高敏感性数据项，原则上不采取导出方式，使用用于身份鉴别的数据项原则上仅采取核验方式。确需采取导出方式使用高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的，数据处理者应当统一规范管理相关需求场景。
　　除根据个人请求向其展示与其相关业务数据，以及履行法定职责或者法定义务所需外，数据处理者原则上须实施脱敏处理后再展示高敏感性数据项。确需不脱敏展示的，数据处理者应当统一规范管理相关需求场景。
　　第十八条 数据处理者应当审查业务数据加工目的与业务数据收集约定是否一致；需要训练业务数据的，应当审查训练业务数据的真实性、准确性、客观性、多样性；需要标注业务数据的，应当抽样审查标注的合理性与准确性；需要建立模型评价激励规则的，应当审查评价激励规则是否尊重社会公德伦理、遵守商业道德和职业道德。
　　业务数据加工活动中，数据处理者加工高敏感性数据项的，应当进一步明确应当采取的安全保护措施，并履行内部审批程序；基于加工生成的数据项面向个人提供自动化决策服务的，应当以适当方式向个人解释说明处理目的、用于加工的个人信息种类和加工规则。
　　第十九条 对于业务数据加工活动产生新数据项，经评估其敏感性明显低于加工所使用数据项的，数据处理者可遵循规程降低其敏感性标识，促进依法合规开发利用。
　　对于业务数据加工活动产生新数据项，经评估其敏感性明显高于加工所使用数据项的，数据处理者应当提高其敏感性标识，并加强业务数据安全保护。
　　第二十条 除根据个人请求向其传输与其相关业务数据外，数据处理者原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项。确有需要的，数据处理者应当统一规范管理相关需求场景。
　　第二十一条 从事业务所需的业务数据提供活动，数据处理者应当核验数据接收方身份，并采取下列安全保护管理措施：
　　（一）对于涉及个人信息的业务数据提供活动，应当评估是否遵守法律、行政法规要求。对于其他业务数据提供活动，应当评估是否符合保守商业秘密的约定。
　　（二）向其他数据处理者提供业务数据涉及个人信息和重要数据的，应当在合同或者协议中明确各自的数据安全保护义务，需要采取的安全保护措施，数据提供的目的、方式、范围，数据允许存储时限，数据提供至第三方的限制和数据安全事件告知义务，并对数据接收方履行约定义务的情况进行监督。

总共6页  [1] 2 [3] [4] [5] [6] 
上一页  下一页