中国人民银行业务领域数据安全管理办法(3)
(三)按照约定做好业务数据清洗转换,对提供数据的真实性作必要审查,不得误导数据接收方。
(四)除委托处理情形外,原则上不采取导出方式向其他数据处理者提供高敏感性数据项,用于身份鉴别的数据项原则上须采取核验方式提供。确需采取导出方式提供高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的,数据处理者应当统一规范管理相关需求场景。
第二十二条 数据处理者向其他数据处理者提供、委托处理、共同处理重要数据前,应当依照法律、行政法规和中国人民银行相关规定进行风险评估,并重点评估数据接收方数据处理目的和方式的合法正当性、数据项列表的需求合理性、数据活动的潜在安全风险、数据接收方诚信守法情况、合同或者协议内容的完备性、拟采取的安全保护措施等。
除履行法定职责或者法定义务外,数据处理者向其他数据处理者提供核心数据达到国家规定情形的,在提供业务数据之前应当经中国人民银行报国家数据安全工作协调机制开展风险评估。数据处理者不得通过拆分、转换等手段规避上述义务。
重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当依照法律、行政法规要求,事前向中国人民银行或者住所地中国人民银行省级分支机构报告重要数据处置方案,在方案中说明重要数据目录内容更新情况、数据接收方的名称或者姓名和联系方式等。
第二十三条 数据处理者采用隐私计算等技术促进业务数据融合创新应用的,应当落实本办法第二十一条第一项至第三项要求,并确认除本机构外其他数据处理者无法使用未加密原始数据、与其他数据融合创新应用活动作关联分析无法泄露约定范围外的信息。
第二十四条 数据处理者因业务等需要向中华人民共和国境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定;法律、行政法规和中国人民银行相关规定有境内存储要求的,业务数据还应当同时在中华人民共和国境内存储。
符合国家网信部门规定应当申报数据出境安全评估或者开展保护认证等情形的,数据处理者不得对业务数据采取拆分、转换等手段规避相关义务。
第二十五条 中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国金融执法机构关于提供业务数据的请求。
第二十六条 数据处理者应当审核业务数据公开活动的目的、数据项列表、渠道、时限和脱敏处理情况,分析研判可能产生的不利影响,审查业务数据的合法性、真实性,并通过本机构明确的官方渠道公开业务数据。确需通过其他渠道公开的,应当明确采用的安全保护措施并履行内部审批程序。
业务数据处理活动中,数据处理者不得公开用于身份鉴别的数据项,公开其他高敏感性数据项原则上须作脱敏处理。确需不作脱敏处理的,数据处理者应当统一规范管理相关需求场景。
第二十七条 数据处理者应当依照法律、行政法规和中国人民银行相关规定,主动删除处理目的已实现、处理目的无法实现、为实现处理目的不再必要或者约定保存期限已届满等情形的业务数据。
删除业务数据从技术上难以实现的,数据处理者应当停止除存储和采取必要的安全保护措施之外的业务数据处理活动,并每年至少实施一次审查,确认相关业务数据不可被使用。
第二十八条 数据处理者委托处理业务数据,除落实本办法第二十一条第二项要求外,还应当在合同或者协议中明确受托人需报告的重要事项、委托处理事项完成后传输和删除业务数据的实施方式与时限要求、配合本机构监督其委托处理活动等义务,并采取定期评估等方式监督受托人履约情况。涉及核心数据的委托处理活动,数据处理者应当事前对受托人开展尽职调查,进一步加强对其的监督。
数据处理者应当将业务数据委托处理活动纳入业务或者信息科技外包管理体系,加强风险管理。
中国人民银行已明确要求不得以外包形式开展业务的,相关业务数据不得委托处理。
第四章 全流程业务数据安全技术要求
第二十九条 数据处理者应当加强访问控制,采取有效技术措施管控业务数据处理账号的数据使用权限,明确特权账号的使用场景并加强使用时的内部审批授权。使用特权账号实施业务数据新增、删除、修改等人工操作时应当逐一开展事前审批和事后审查。使用特权账号开展自动化操作前应当对操作正确性和安全性进行必要检查。
数据处理者应当加强安全认证,保障业务数据处理账号和特权账号认证口令的强度,限制验证失败重试次数,可使用高敏感性数据项的账号应当支持多因素认证或者二次授权确认,并建立超时退出、访问通信地址变化等情形的重新验证机制。
第三十条 数据处理者应当规范日志记录,明确业务数据处理活动日志记录信息,满足数据安全风险溯源和事件处置需要。
业务数据处理活动日志记录高敏感性数据项原则上须经脱敏处理。确需不脱敏处理的,数据处理者应当统一规范管理相关需求场景。
数据处理者应当将业务数据处理活动日志纳入业务数据分类分级管理,落实安全保护要求。
总共6页
[1] [2] 3
[4] [5] [6] 上一页 下一页
相关法规: