图解国家金融监督管理总局《银行保险机构数据安全管理办法》（征）V1.0.0

■·■·图解国家金融监督管理总局《银行保险机构数据安全管理办法》F边e章炼石网络2024年4月网络安全法网络安全法2016年11月民法典2021年1月银行业监督管理法2007年1月2023年10月2022年11月中国错保临会JR/T0197-2020数据安全法数据安全法2021年9月刑法修正案(九)刑法修正案(九)中国人民银行法2004年2月2016年4月国务持办公厅2023年7月中要人民银行2022年8月中日保监会2022年4月中四证监会2020年9月中国人民银行JR/T0250-2022个人信息保护法个人信息保护法2021年11月消费者权益保护法消费者权益保护法2014年3月商业银行法商业银行法1995年7月2023年2月中国证整会2020年9月中国银保临会2020年2月中国人民银行密码法密码法反洗钱法2007年2月13目录国家金融监督管理总局图解国家金融监督管理总局《银行保险机构数据安全管理办法(征)》CNASECURITIESREGULATORVCOMMI图解中国证券监督管理委员会《证券期货业网络和信息安全管理办法》中国人民银行图解中国人民银行《中国人民银行业务领域数据安全管理办法(征)》ChinaBankingandInsuranceRegulatoryCommi图解(原)中国银保监会《中国银保监会监管数据安全管理办法(试行)》4图解国家金融监督管理总局?《银行保险机构数据安全管理办法》m5金监局挂牌成立后首部数据安全管理方面的部门规章立法炼石国家金融监督管理总局国家金融监督管理总局相构概况新阅资讯政务值意在线醒场互动交液能计数舞专题专性国家金融监督管理总局关于《银行保险机构数据安全管理办法》公开征求意见的公告为规范银行业保险业数据处理活动，保降数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益，国家金融监督管理总局起草了《银行保险机构数据安全管理办法(公开征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：一、通过电子邮件将意见发送至：ybsabf@。二、通过信函方式将意见寄至：北京市西城区金融大街甲15号(100033),并请在信封上注明“银行保险机构数据安全管理办法征求意见”字样。意见反馈截止时间为2024年4月23日。国家金融监督管理总局2024年3月22日1.国家金融监督管理总局就《银行保险机构数据安全管理办法(征求意见稿)》公开征求意见hito://cn/cnview/pages/temDetallhtml?docld=1155866&itemld=915&generaltx2.国家金融监督管理总局有关司局负责人就《银行保险机构数据安全管理办法(征求意见稿)》答记者问hito:///cn/view/pages/ltemDetailhtml?docld=1155865&itemld=9158genera2024年3月22日，国家金融监督管理总局发布《银行保险机构数据安全管理办法(征求意见稿)》,面向社会公开征求意见，旨在规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益，维护国家安全和社会公共利益。个人信息保护法个人信息保护法2021年11月1日起施行银行业监督管理法商业银行法保险法2017年6月1日起施行2021年9月1日起施行2007年1月1日起施行2015年10月1日起施行2015年4月24日起施行《银行保险机构数据安全管理办法(征求意见稿)》《银行保险机构数据安全管理办法(征求意见稿)》6《银行保险机构数据安全管理办法(征)》制定背景充分发挥金监局监管“指挥棒”作用确保客户信息和金融交易数据安全合规要求夯实数据安全基线实战需求驱动数据安全保护数据安全护航金融数字发展金融行业数字化变革加速演进，有必要充分发挥监管的“指挥棒”息保护法》等上位法相继发布，对新技术、新业务模式不断涌现，作用，通过强化政策要求引导银行规范数据处理活动、个人信息保护数据的使用、加工、传输、共享保险机构压实主体责任，完善内部等提出了明确要求。等活动日益频繁，进一步凸显数据安全保护的重要性。制度，采取有效的措施加强数据管理和保护，确保客户信息和金融交易数据安全。银行保险机构数据安全管理办法(征)第一章总则3.术语定义4.致据安全监管第二章数据安全治理第四章数据安全管理(渠道要求)(兼并、组、破产)240240效据收集39.39.数据安全技术44.数据安全保护基线《告知同意)40.信息系统生命周期40.信息系统生命周期50.数据加工50.数据加工(透明公平)(明确目的)41.网络安全与41.网络安全与51.数据加工51.数据加工(模型算法)42.数据安全保护基线42.数据安全保护基线(人工智能)义务义务(拒绝服务】43.数据安全保护基线43.数据安全保护基线第七章数据安全风险监测与处置65.风险监测65.风险监测69.事件监管报告69.事件监管报告第八章监督管理(监管通报)(罚则)第九章附则健全数据安全技术体系《银行保险机构数据安全管理办法(征)》主要内容健全数据安全技术体系《办法》共九章八十一条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。炼石明确数据安全治理架构明确数据安全治理架构·要求银行保险机构建立数据安全责任制，指定归口管理部门负责本机构的数据安全工作；按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管建立数据分类分级标准建立数据分类分级标准·要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异强化数据安全管理强化数据安全管理·要求银行保险机构按照国家数据安全与发展政策要求，根据自身发展战略建立数据安全管理制度和数据处理管控机制，在开展相关数据业务处理活动·要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术手段保加强个人信息保护加强个人信息保护·要求银行保险机构在处理个人信息时，应按照“明确告知、授权同意”的原则实施,并履行必要的告知义务；·收集个人信息应限于实现金融业务处理目·共享和对外提供个人信息时，应取得个人完善数据安全风险监测与处置机制完善数据安全风险监测与处置机制·要求银行保险机构将数据安全风险纳入本机构全面风险管理体系，明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效防范明确监督管理职责明确监督管理职责·规定国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理，开展非现场监管、现场检查，依法对银行保险机构数据安全事件进行处置。对违反86《银行保险机构数据安全管理办法(征)》主要特点落实数据安全责任制》明确数据安全归口管理部门》明确数据安全归口管理部门将数据安全风险纳入将数据安全风险纳入全面风险管理体系强化数据安全评估建立数据安全保护基线建立数据安全保护基线明确银行保险机构党委(党组)、董(理)事会对本单位数据安全工作负主体责任，机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。要求银行保险机构指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。要求银行保险机构明确管理流程，主动评估风险，对数据安全风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。要求银行保险机构开展相关数据处理活动时，应事先开展安全评估。根据数据处理目的、性质和范围，分析数据安全风险和对数据主体权益影响，评估数据处理的必要性、合规性及防控措施的有效性。将数据纳入网络安全等级保护，对存放或传输敏感级及以上数据的机房、网络实施重点防护，在数据全生命周期内采取有效访问控制管理措施，采用安全有效的传输方式保障数据完整性、保密性、可用性。炼石《银行保险机构数据安全管理办法(征)》规定的数据安全管理职责《银行保险机构数据安全管理办法(征)》规定的数据安全管理职责要求银行保险机构按照国和范围，依照法律法规和伦理道德规范要求，对相关数据业务处理活动进行安全评估，分析数据安全风险和对数据主体权益影响，评估数据处理的必要收集数据应坚持“合法、正当、必要、诚信”原则，明确数据收集和处理的目的、方式、范围、规则，保障收集过程的数据安全性、数据来源可追溯，不得超出数据主体同意的范围收在数据集团内部共享的过程中，应建立总行(公司)与其子公司数据安全隔离的“防火墙”,并对共享数据采取有具体的数据处理场景分别提出在中华人民共和国境内设立的以下机构适用本办法：适用他法适用他法1.总则个人信息个人信息大数据平台据处理类平台(如数据湖、数据仓库等),数据1.总则1.总则·负责银行业保险业数据安全的监督管理血国家金融监督管理总局及其派出机构·义务履行监督·对银行保险机构履行数据安全保护义务情况进行监督检查银行保险机构建立与本机构业务发展目标相适应的数据安全治理体系建立数据安全管理机制银行保险机构建立与本机构业务发展目标相适应的数据安全治理体系建立数据安全管理机制保障数据开发利用活动安全稳健开展银行保险机构利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度基础上，履行数据安全保护义务。1.总则炼石数据开发利用持续提升1.总则组织架构银行保险机构应当建立覆盖以下等部门的数据安全管理组织架构，明确岗位职责和工作良好的数据安全文化和培训同维护数据明确各层级负责人的责任，明确违规情形和责任追究事项，落实问责处置机制归口部门部门规与审计部门定期开展审计、监督检查与评价，督促问题整改和开展问责规与审计部门银行保险机构信息科技部门是数据安全的技术保护主责部门，其主(一)建立数据安全技术保护体系，建立数据安全技术架构和保护控制基线，落实技术保护措施。(二)制定数据安全技术标准规范制度，组织开展数据安全技(四)建立数据安全技术应急管理机制，组织开展数据安全风险技术监测、预警、通报与处置，防范外部攻击行为。(五)组织数据安全技术研究与应用。1.总则银行保险机构应当对机构业务及经营管理过程中获取、产生的数据进行分类管理，数据类型5.数据安全技术保护较高覆盖度或者达到较高接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。特定领域、特定群体、特定区域或者达到一定旦被泄露或者篡改、损毁，可能直接危害国家稳定、公共健康和安全经济运行、社会稳数据为其定影响，或者对组据。体造成重要影响的数据。6.个人信息保护7.数据安全1.总则1.总则炼石程明族与需C数据安全保护策略数据安全管理办法安全管理实施细则1.总则1.总则炼石曾理体系曾理体系数据资产管理数据安全评估数据服务管理数据收集数据要托处理外包警理数据共同处理数据安全评估·银行保险机构在处理敏感级及以上数据的业务活动时，或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时，应当事先开展数据安全评估。·数据安全评估应当根据数据处理目的、性质和范围，按照法律法规和伦理道德规范要求，分析数据安全风险和对数据主体权益影响，评估数据处理的必要性、合规性，评估数据安全风险及防控措施的有效性。数据资产管理·银行保险机构应当建立企业级数据架构，统筹开展对全域数据资产登记管理，建立数据资产地图，以数据分类分级为基础明确数据保护对象，围绕数据处理活动实施安全管理。数据服务管理·银行保险机构应当建立企业级数据服务管理体系，制定数据服务规范，建立专职数据服务团队，统筹内外部数据加工、分析，实施数据服务需求分析、服务开发、服务部署、服务监控风险监测与处置数据加工·银行保险机构开展敏感级及以上数据清洗转换、汇聚融合、分析挖掘等数据加工活动时，应当采用匿名化、去标识化或者其他必要安全措施保护数据主体权益，法律、行政法规另有规定的除外。·数据汇聚融合衍生敏感级及以上数据，或者导致数据安全级别变化的，应当及时评估、调整安全保护措施。炼石曾理体系数据要托处理数据要托处理数据资产管理外包警理外包警理数据安全评估数据共同处理数据服务管理数据转移数据收集数据公开外部数据采期数据障填数据加工政据音份数据使用国底与需家政据共享及数据收集数据收集原则银行保险机构收集数据应当坚持“合法、正当、必要、诚信”原则，明确数据收集和处理的目的、方式、范围、规则，保障收集过程的数据安全性、数据来源可追溯。银行保险机构不得超出数据主体同意的范围向其收集数据，法律、行政法规另有规定的除外。银行保险机构向其他银行保险机构收集行业重要级及以上数据，需经国家金融监督管理总局同意。银行保险机构应当以信息系统为数据收集的主要渠道，限制或者减少其他渠道、临时性数据收集。银行保险机构停止金融业务或者服务后，应立即停止相关数据收集或者处理活动，法律、行政法规另有规定除外。数据收集主渠道外部数据采购外部数据采购银行保险机构应当制定外部数据采购、合作引入的集中审批管理制度，纳入外包风险管理体系进行统筹管理，统筹建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制，对数据来源的真实性、合法性进行调查，评估数据提供者的安全保障能力及其数据安全风险，明确双方数据安全责任及义务。银行保险机构数据使用、数据共享及集团内部共享要求数据使用数据使用原则和授权银行保险机构应当按照“业务必要授权”原则，对敏感级及以上数据严格实施授权管理，制定数据访问闭环管理机制，并对数据访问行为实施审计。数据提取和使用确因业务需要从生产环境提取数据的，应当建立严格的审批程序，并明确数据使用或者保存期限。网络安全保护银行保险机构利用互联网等信息网络开展数据处理活动时，要落实网络安全等级保护、关键信息基础设施安全保护、密码保护等制度要求。国底与需家国底与需家数据共享及集团内部共享数据共享集中安全管控银行保险机构应当对数据共享使用进行集中安全管控，明确企业级数据共享策略，评估数据共享使用的必要性、合规性、安全性及伦理道德规范的符合度。数据共享集团内部共享隔离“防火墙”银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”,集团内部共享并对共享数据采取有效保护措施。敏感级及以上数据银行保险机构与其母行、集团，或者其子行、子公司共享敏感级及以上数据，应当获得数据主体的授权同意，法律、行政法规另有规定的除外。不得拒绝服务不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务，所共享数据属于提供产品或者服务所必需的除外。国底与需家国底与需家2.数据安全治理3.数据分类分级4.数据安全管理5.数据安全技术保护6.个人信息保护风险监测与处置8.监督管理数据安全事件分级数据共同处理银行保险机构与第三方机构进行数据共同处理时，应当按照“业务必要授权”原则制定方案并采取有效技术保护措施确保数据安全，并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。银行保险机构数据委托处理、外包管理、数据共同处理要求银行保险机构数据委托处理、外包管理、数据共同处理要求数据委托处理数据委托处理原则银行保险机构在委托处理数据时，应当明确所涉数据外部使用和处理的条件、场景、方式。合同协议内容委托处理数据时，应当以合同协议方式约定委托处理的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务，以及受托方返还或者删除数据的方式等，对数据处理活动进行记录和审计，可对外公开披露的数据除外。训练、挪用数据，或者采取其他形式处理数据以谋取合同或者协议约定以外的利益。外包管理外包管理银行保险机构应当将数据委托处理纳入信息科技外包管理范围不得外包情况在实施过程中不得将信息科技管理责任、数据安全主体责任外包，涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。银行保险机构数据转移、数据公开、数据跨境要求炼石数据转移数据转移·银行保险机构因兼并、重组、破产等需要转移数据，应当明确数据转移内容，通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务，通过公告等方式告·数据转移应当采用安全可靠方式进行，并确保转移过程可追溯。·银行保险机构向外部提供敏感级及以上数据，应当取得数据主体同意，法律、行政法规另有规定的除外。·除国家机关依法履职外，银行保险机构核心数据跨主体流动应当按照国家相关政策要求通过风险评估、安全审查。数据公开数据公开银行保险机构应当建立对外公开披露数据的审批机制，研判可能产生影响，数据公开应当在机构官方渠道进行发布，确保数据真实、准确、防篡改，记录审批和发布情况。敏感级及以上数据不得公开，法律、行政法规另有规定的或者取得数据主体授权同意的除国底与需家国底与需家数据跨境数据跨境银行保险机构向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息，应当承担数据安全主体责任，并按照国家有关政策要求进行安全评估。数据资产管理外包警理曾理体系数据要托处理数据安全评估数据共同处理政据展务管理数据转移数据资产管理外包警理曾理体系数据要托处理数据安全评估数据共同处理政据展务管理数据转移数据收集数据公开数据备份采取技术措施银行保险机构应当采取技术措施，对敏感级及以上数据加强重点防护。备份策略和隔离保存加强数据备份，制定备份策略，备份数据和生产数据应隔离分开保存，严格管理备份数据的访整有效、业务可恢复。制定备份验证计划，确保备份数据完1.总则炼石外部数据采购数据障填数据备份数据加工数据使用数据备份致探制除与籍费致探制除与籍费政据共享及数据删除与销毁数据销毁管理制度银行保险机构应当制定数据销毁管理制度，按照国家、行业有关规定及与数据主体的约定进行数据删除或者匿名化处理。银行保险机构委托数据处理中止时，应当要求服务提供商及时删除数据，并采取现场检查等有效监督措施，确保数据被销毁、不可恢复。技术措施数据保护策略方法技术措施数据保护策略方法炼石1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护银行保险机构应当建立针对大银行保险机构应当建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保移动互联网Cpher1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护9.附则针对敏感级及以上数据明确安全保护要求针对敏感级及以上数据明确安全保护要求银行保险机构应当将数据纳入网络安全等级保护1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护7.数据安全银行保险机构应当将数据纳入网络安全银行保险机构应当将数据纳入网络安全等级保护。银行保险机构应当根据数据安全级别，划分网络逻辑安全域，建立分区域数据安全保护基线，实施有效的安全控制，包括内容过滤、访问控制和安全监控等，确保相关措施满足处理和存储最高级别数据的网络安全策略和数据安全保护策略要求。存放或者传输敏感级及以上数据的机房、网络应当实施重点防护，设立物理安全保护区域，对网络边界、重要网络节点进行安全监控根据数据安全级别，划分网络逻辑安全域，建立根据数据安全级别，划分网络逻辑安全域，建立分区域数据安全保护基线，实施有效的安全控制确保相关措施满足处理和存储最高级别数据的网络安全策略和数据安全保护策略要求区域重点防护1.总则数据访问控制3.数据分类分级数据传输保护信息系统保护5.数据安全技术保护数据传输保护信息系统保护风险监测与处置数据存储保护数据销毁管理数据存储保护数据销毁管理9.附则数据安全事件分级敏感级及以上数据纳入信息系统保护·银行保险机构应当将敏感级及以上数据纳入信敏感级及以上数据纳入信息系统保护·银行保险机构应当将敏感级及以上数据纳入信息系统保护。不同区域流转和共享同等水平安全防护·在数据全生命周期内采取有效的访问控制管理措施，对于不同区域流转和共享中的数据，应当实施同等水平的安全防护措施。多来源敏感级及以上数据安全措施强度·多来源敏感级及以上数据汇聚集中后，应当采取加强性或者至少不低于集中前最高级别数据保护强度的安全措施。11.总则2.数据安全治理3.数据分类分级4.数据安全管理5.数据安全技术保护6.个人信息保护7.数据安全风险监测与处置8.监督管理数据安全事件分级操作时间行为类型用户标识1.总则操作时间行为类型用户标识1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护银行保险机构应当严格实施对敏感级及以上数据的管理银行保险机构应当严格实施对敏感级及以上数据的管理采取有效的用户认证用户对数据的访问应当符合业务开展的必要要求并与数据安全级别相匹配采取有效的访问控制技术措施制定用户对数据的访问策略规范数据操作行为日志记录敏感级及以上数据的操作应当进行日志记录保存时间定期审计定期审计应当定期对数据操作行为进1.总则和展示。数据安全保护基线-数据销毁管理炼石1.总则敏感级及以上数据达到使用或者保存期限后敏感级及以上数据达到使用或者保存期限后。敏感级及以上数据达到使用或者保存期限后，应当采取技术措施及时删除或者销毁，确保数据不可恢复。终端和移动存储介质内的敏感级及以上数据终端和移动存储介质内的敏感级及以上数据·终端和移动存储介质内的敏感级及以上数据应当采取技术保护措施，确保受控安全访问，介质报废或者重用时，其存储空间数据应当完全清除并不可恢复。支持用户身份管理、数据匿名化、行为监测、日志审支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能的组件化、服务化保障安全标准在信息系统中执行的一致性开展数据安全基础设施建设是保障数据安全的重要一环开展数据安全基础设施建设是保障数据安全的重要一环1.总则实施有效系统安全控制银行保险机构开发信息系统时，应当明确系统拟处开展安全测试系统投产上线前应当开展安全测试，确保各项安全要求落实，有效防范数据安全风险实施有效系统安全控制银行保险机构开发信息系统时，应当明确系统拟处开展安全测试系统投产上线前应当开展安全测试，确保各项安全要求落实，有效防范数据安全风险测试环境说明测试环境应当与生产系统隔离，敏感级及以上数据原则上未经脱敏处理不得进入测试环境，防止数据泄露开发信息系统时需实施有效的系统安全控制开发信息系统时需实施有效的系统安全控制1.总则炼石技术数据备份安全加固高可用设计保护措施数据备份安全加固高可用设计保护主体大数据平台访问授权机制应当建立大数据服务访问授权机制应当建立大数据服务1.总则银行保险机构在应用人工智能等相关技术的时候，需要遵守几个原则，具体如下表所关键词具体介绍公开透明银行保险机构开展自动化决策分析、模型算法开发、数据标注等活动，应当保证数据处理透明安全审查银行保险机构信息系统、模型算法投入使用时，应当开展数据安全审查，审查数据与模型使用的合理性、正当性、可解释性，以及数据利用对相关主体合法权益的影响、伦理道德风险及防信息披露实时监测实时监测自动化处理与系统运行结果建立人工智能应用的风险缓释措施，包括制定退出人工智能应用的替代方案，对安全威应急方案并开展演练1.总则1.总则炼石与第三方数据合作时应当通过集中管理的外联平台或者应用程序接口实施计、开发、服务、运行等进行集中安全保护管理要实现自身与外部的安全风险隔离依据“业务必需、最小要实现自身与外部的安全风险隔离1.总则1.总则处理原则银行保险机构处理个人信息应当按照“明确告知、授权同意”的原则实施，法律、行政法规另有规定的除外，并在信息系统中实现相关功能控制银行保险机构处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关收集个人信息应当限于实现金融业务处理目的的最小范围，不得过度收集个人信息不得违法利用不得利用所收集的个人信息从事违法违规活动1.总则3.数据分类分级5.数据安全技术保护1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护9.附则“告知”关键词告知要求银行保险机构处理个人信息前，应当真实、准确内容告知内容项规则制定不得拒绝提供服务1.总则关键词评估内容包括个人信息处理的合法性、必要性，对全风险，所采取的保护措施合法性、有效性以及记录保持时间向外部提供个人信息应履行向个人告知及取得其同意等相关事项义务1.总则关键词银行保险机构与其母行、集团，或者其子行、子公司共享个人信息，及向外部提供个人信息，应当履行向个人告知及取得其同意等相关事项的银行保险机构向中华人民共和国境外提供个人信息的，除满足第五十九条规定的要求外，还应当向个人告知其向境外接收方行使信息权利的方银行保险机构委托第三方处理个人信息的，应当在合同或者协议条款内明确受托人对个人信息的保护义务、保护措施和期限等，并严格监督受托人以约定的处理目的、处理方式等处理个人信息，与第三方传输个人敏感数据必须确保安全，防范数据滥用和泄漏风险。未经银行保险机构发生或者可能发生个人信息泄露、篡改、丢失的，银行保险机构应当立即采取补救措施，同时通知个人并报送国家金融监督管理总局或者其派出机构。通知应当包括下列事项：关键词发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害发生或者可能发生个人信息泄露、篡改、丢失的，银行保险机构应当立即采取补救措施，同时通知个人并报送国家金融监督管理总局或者其派出机构。通知应当包括下列事项：关键词发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害银行保险机构采取的补救措施和个人可以采取的减轻危害的措施是否需要通知个人的情况说明1.总则展一次数据安全风险评估炼石银行保险机构应当将数据安全风险纳入本机构全面风险管理体系，明确数据银行保险机构应当将数据安全风险纳入本机构全面风险管理体系，明确数据监测银行保险机构应当对数据安全威胁进行有效监测，实施监督检查，主动评估风险，防止数据纂改、破坏、泄露、非法利用等安全事件发生。监测内容包括：(一)超范围授权或者使用系统特权账号(六)外包、第三方合作中的数据处理异常或者数5.数据安全技术保护(二)内部人员异常访问、使用数据6.个人信息保护(三)对数据集中共享的系统或者平台的网络安全、(四)敏感级及以上数据在不同区域的异常流动/,发生重大数据安全事件后,发生重大数据安全事件后评估评估计时，不得使用该机构提供的产品和其他服务1.总则1.总则机制关键词发生数据安全事件后，应当立即启动应急处置，分析事件原因报告机制建立数据安全事件报告机制，根据事件安全等级制定报告流程，发生数据安全事件时按照规定报告，同时按照合同、协议等有关约定履行客户及合作方告知义务发生数据安全事件或者使用的网络产品和服务存需根据数据安全事件的具体情况而采用不同的处理流程需根据数据安全事件的具体情况而采用不同的处理流程数据安全事件数据安全事件银行保险机构应当向国家金融监督管理总局或者其派出机构报告并在事件发生后24小时内提交正式书面报告银行保险机构应当立即采取处置措施银行保险机构应当每2小时将处置进展情况数据安全事件处置结束后银行保险机构应当在五个工作日内将事件及其处置的评估、总结和改进报告报送属地监管部门监管方式国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理，开展非现场监管、现场检查将数据安全管理情况纳入监管评级评估体系依法对银行保险机构数据安全事件进行处罚和处置，实施对数据安全管理的持续监管。监管方式国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理，开展非现场监管、现场检查将数据安全管理情况纳入监管评级评估体系依法对银行保险机构数据安全事件进行处罚和处置，实施对数据安全管理的持续监管。1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护9.附则炼石数据目录管理、行业监测预警数据目录管理、行业监测预警按照国家数据分类分级要求按照国家数据分类分级要求持续监测数据安全风险，向行业发布风险提示1.制定银制定银行业保险业重要数据目录持续监测数据安全风险，向行业发布风险提示2.提出核心数据目录建议2.提出核心数据目录建议3.监督指导银行保险机构开展数据分类分级管理和数制定银行业保险业数据安全事件应急预案，处置数据保护行业保险业重要数据目录制定银行业保险业数据安全事件应急预案，处置数据安全风险事件。银行保险机构应当按要求向国家金融监督管理总局或与国家数据安全管理部门建立联防联控管理机制者其派出机构报送重要数据目录。与国家数据安全管理部门建立联防联控管理机制者其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。实施重要数据目录发生重大变化应当及时报备更新后的数据目录。事件处置。数据目录管理行业监测预警数据目录管理敏感内容报送涉及批量敏感级及以上数据的数敏感内容报送涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移，银行保险机构应当在处理、合同签署前二十个工作日派出机构报告，法律、行政法规报送时间和内容前向国家金融监督管理总局或者1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护9.附则现场检查与事件处置国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行现场检查、事规事项的有关单位和个人，依法开展调查。现场检查、事件调查可以委托国家、行业有关专业技术机构或者审计机构予1.总则1.总则要求的国家金融监督管理总局或者其派出机构终止服务；·对有重大违法违规情形，或者迟报、瞒报数据安全事件和案件，或者产生重大数据安全风险、事件、案件的第三方机构进构暂缓或者停止合作。融机构并处以二十万以上五十万以下罚款；保险机构要求的国家金融监督管理总局或者其派出机构保险机构要求的国家金融监督管理总局或者其派出机构·国家金融监督管理总局或者其派出机构可以依据《中华人民共和国保险法》相关规定，责令保险机构改正，处五万元以上三十严重的，限制其业务范围、责令停止接受新业务或者吊销业务许可证。·根据违规情况，对其直接负责的主管人员和其他直接责任人员给予警///行业协会职责1.总则解释和修订本办法由国家金融监督管理总局负责解释和修订。参照执行国家金融监督管理总局批准设立的外国银行分行、其他金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融监督管理部门批准设立的金融组织参照适用本办法。生效日期本办法解释和修订本办法由国家金融监督管理总局负责解释和修订。参照执行国家金融监督管理总局批准设立的外国银行分行、其他金融机构、金融控股公司以及总局管理单位参照适用本办法。地方金融监督管理部门批准设立的金融组织参照适用本办法。生效日期本办法自公布之日起施行，《银行保险机构数据安全办法》(银保监办发〔2022〕118号)同时废止。《办法》(征)相关要求说明《办法》(征)相关要求说明1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护9.附则遭到泄露、破坏或者非1.总则5.数据安全技术保护6.个人信息保护9.附则特别重大数据安全事件遭到泄露、破坏或者非法获取、非法利用，对2个及以上省级区域经济运行秩序造成特别严重影响。遭到大规模泄露、破坏或者非法获取、非法利用，导致下述情形之一的：(1)对公共利益造成特别严重危害，造成特别重大经济损失，或者产生特(2)对银行业保险业核心业务、系统重要性金融机构、关键信息基础设施等生产经营造成特别严重威胁或者影响，包括导致大面积业务中断、大量处理能力丧失、大面积关键信息基础设施瘫痪等。其他对国家安全、政治安全、经济金融安全、公共利益造成特别严重影响o重要数据遭到泄露、破坏或者非重要数据遭到泄露、破坏或者非法获取、非法利用，对省级区域经济带来重大影响或者对银行保险行业安全造成影响。1.总则3.数据分类分级5.数据安全技术保护6.个人信息保护重大数据安全事件敏感级及以上数据遭到泄露、破坏或者非法获取、非法利用，导致下述情形之一的：(1)对多个银行保险机构的业务、重要信息系统生产运营造成严重威胁或者影响，可能导致区域性或者部分金融机构的业务中断、信息系统中断、处理能力丧失等；(2)对公众利益造成严重危害，产生大范围社会负面影响,可能导致或者直接造成大面积投诉、社会群体性事件；(3)对多个个人或者组织权益造成严重影响，包括对党政机关、企事业单位、社会团体等多个组织造成严重经济或者技术损失，对生产经营秩序产生直接影响；多人财产安全受到严重危害、尊严遭受侵害等。安全、经济公共利益造成特别严重较大数据安全事件较大数据安全事件全遭受损失或者可能产生重大损失，个人名誉尊(3)银行保险机构自身部分业务无法正常开展或者本机构声誉受到破坏；(4)其他对经济金融安全、公共利益造成一般影响，或者对个人和组织权1.总则5.数据安全技术保护6.个人信息保护9.附则10.附件：炼石一一般安全事件除上述数据安全事件外，对组织或者个人造成一定影响的数据安全事件。图解中国人民银行↑《中国人民银行业务领域数据安全管理办法》m《中国人民银行业务领域数据安全管理办法》国国上属型告下干理唱关于供氮形政城理国公名值文市其202358月24日星加口)社的位置有正，热法2023年7月24日，中国人民银行起草发布《中国人民银行业务领域数据安全管理办法》(征求意见稿),面向社会公开征求意见，旨在落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理。2017年6月1日起施行2021年9月1日起施行2004年2月1日起施行《网络安全法》《网络安全法》《中国人民银行业务领域数据安全管理办法(征求意见稿)》《中国人民银行业务领域数据安全管理办法(征求意见稿)》·加快推动自身业务监督管理职责范围内数据安全管理的法制化建设；·指导督促相关数据处理者依法依规开展中国人民银行业务领域数据处理活动，履行数据安全保护义务。《中国人民银行业务领域数据安全管理办法(征)》起草背景风吸细化中国人民银行业务领域数据安全合规底线要求填补本领域数据安全管理制度保障空白《中共中央国务院关于构建数据基础制度更好发挥数据要第六条明确“工业、电信、交通、金融、自然资源、技等主管部门承担本行业、本领域数据安全监管职责”录管理、全流程数据安全管理、数据安全监测预警和应急处置相关制度3中国人民银行衔接法律要求，细化合规底线，填补制度保障空白上，组织研究起草《办法》,全面衔接《中华人民共和国数据安全法》,细化明确中国人民银行业务领域数据安全合规底线要求，②③细化监测/审计/处置和责任法检查；《中国人民银行业务领域数据安全管理办法(征)》重点问题说明设立原则对于上位法“采取相应的技术措施和必要措施”要求，既细化提出原则上应当采取的技术措施和管理措施，又明确特殊情形可通过内部审核审批、统一明确场景等方式弱化措施落实，避免合规义务“一刀切”。关于办法适用范围根据“谁管业务，谁管业务数据，谁管数据安全”基本原则，《办法》明确适用范围为中华人民共和国境内开展的，中国人民银行承担监督管理职责各类业务相关的数据处理活动。此类业务涉及的数据处理者，开展对应数据处理活动时，应当遵守《办法》提出的管理要求。《办法》约束的数据处理活动主要包括：·货币政策业务·跨境人民币业务·银行间各类市场交易业务金融业综合统计业务支付清算业务·货币管理和数字人民币业务·经理国库业务·征信业务反洗钱业务标准的衔接注重与业务管理制度衔接注重与业务管理制度衔接 注重与个人信息保护管理制度的衔接注重与涉密数据管理制度的衔接注重与涉密数据管理制度的衔接 注重与非网络数据管理制度的衔接 关于关于中国人民银行业务领域数据安全管理办法(征】第一章总则第二章数据分类分级第五章数据安全保护技术措施技术措施要求技术措施要求8数据处理活动日虑保护技术措施要求36.数据传输保护技术措施要求技术措施要求技术措施要求技术措施要求技术措施要求技术措施要求第七章法律责任50.违反规定数据出境行为50.违反规定数据出境行为的处理审计的安全保障第四章数据安全保护管理措施23一般性数据提供23一般性数据提供衔接上位法，限定中国人民银行业务领域数据范围仅为网络数据1.总则1.总则目的和依据·为规范中国人民银行业务领域数据的安目的和依据·为规范中国人民银行业务领域数据的安全管理，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国中国人民银行法》等有关法律、行政法规，制定本办法。··数据处理者在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动，适用本办法。法律、行政法规或者中国人民银行另有规定的，从其规定。关键定义·本办法所称中国人民银行业务领域数据，指根据法律、行政法规、国务院决定和中国人民银行规章，开展中国人民银行承担监督管理职责的各类业务活动时，所产生和收集的不涉及国家秘密的网络数据，以下简称数据。炼石跨部门综合监管，强化条块结合/区域联动的协同监督管理，避免重复检查炼石级开展数据处理活动应当履行数据安全保护义务，采取有效措施防范数据被篡改、破坏、泄露、不当获取与利用等风险，级确保不损害国家安全、公共利益、金融秩序、个人及组织合法权益，遵守社会公德伦理、商业道德和职业道德。A4.数据安全护技术措施在国家数据安全工作协调机制统筹协调下，中国人民银行及其分支机构，依据本办法开展数据安在国家数据安全工作协调机制统筹协调下，中国人民银行及其分支机构，依据本办法开展数据安全监督管理工作，积极支持其他有关主管部门依中国银行间市场交易商协会、中国支付清算协会、中国互联网金融协会等金融行业协会应当加强自律管理，建立便捷的投诉、举报渠道，反映会员合理的数据安全意见建议。据职责开展数据安全监督管理工作，必要时可以与其他有关主管部门签署合作协议，进一步约定数据安全监督管理协作模式。中国人民银行负责组织制定数据分类分级相关行业标准，指导数据处理者开展数据分类分级各项工作，统筹确定重要数据具体目录并实施动态管理。数据处理者建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程。数据分类分级过程实施和结果审批，应当严格遵循操作规程。数据分类要求数据分级要求数据按照精度、规模和对国家安全的影响程度中国人民银行负责组织制定数据分类分级相关行业标准，指导数据处理者开展数据分类分级各项工作，统筹确定重要数据具体目录并实施动态管理。数据处理者建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程。数据分类分级过程实施和结果审批，应当严格遵循操作规程。数据分类要求数据分级要求数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。中国人民银行组织下，数据处理者应：v准确识别判定本单位信息系统存储的全量数据是否属于重要数据/核心数据；V填写报送重要数据目录内容；v由中国人民银行汇总后确定重要数据具体数据处理活动中，数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据处理者应参考行业标准，根据业务开展情况建立业务分类，梳理细化数据资源目录，标分类分级存储该数据项的信息系统清单和应用1.总则应6.风险监测、个人信息数据来源(生产经营加工产生、外部收集产生等)数据来源(生产经营加工产生、外部推动数据处理者做好数据敏感性、可用性层级划分、动态更新1.总则数据敏感性分层级数据处理者应当根据数据和息系统变化情况，每年组织更新数据资源目录，避免信息系统所涉及数据项未在数据资源目录中记录、数据项标识信息不完整等情形发生。全流程数据安全管理制度安全培训总体要求全流程数据安全管理制度安全培训总体要求者应当根据岗位分工，制定数据安全年度培训计划，组织开展相关教育培训，并对培训结果进行评价。·培训内容应当包括：1.数据安全相关法律、行政法规、部门规章、国家和金融行业标准、内部规定、行为准则和职业操守；2.不同岗位的数据安全责任，失职失责或者违法违规数据处理活动应当承担的后果；3.针对性的数据安全保护管理和技术措施要求，以及对应的操作规程；4.数据安全事件应急处置规程。责任落实总体要求:数据处理者应当明确其数据安全管理相关内设部门职责分工，配备足够数量的数据安全管理人员，并细化各类违规数据处理活动的定责问责规程，压实数据安全保护责任。书面明确数据安全负责人和数据安全牵头管理内设部门。明确差异化保护、审批授权要求：数据处理者应建立健全全流程数据安全管理制度,结合数据分类分级结果，明确差异化的安全保护管理和技术措施要求，制定数据处理活动操作规程，规范内部审批和授权流程。据项应当在第四层级数据项对应的安全保护管理和技术措施基础上进一步从严管理。性层级数据项在同一个数据处理活动中被处理，且难以采取差异化安全保护管理和技术措施的，应当统一采取最高敏感性层级数据项对应的安全保护管理和技术措施。·存在关联关系的数据处理不得降低保护要求：与母公司、子公司、关联公司或者附属公司等具有关联关系的数据处理者合作开展数据处理活动时，不得降低安全保护管理和技术措施要求。1.总则6.风险监测8.附则鼓励创新极开展数据安全技术创新应用；提下，积极促进数据的高效流通和创申报行业表彰奖励第五层级数据项第四层级数据项第三层级数据项第二层级数据项第一层级数据项坚持最小必要和指责分离原则，细化不同层级数据项的账号身份认证管理第五层级数据项第四层级数据项第三层级数据项第二层级数据项第一层级数据项三账号身份认证管理数据处理者应当加强账号身份认证管理可使用第二层级以上数据项的账号可使用第二层级以上数据项的账号3可使用第三层级以上数据项的账号应当支持多因素认证或者实现二次3可使用第三层级以上数据项的账号应当支持多因素认证或者实现二次授权，相关账号使用人员应当签署数据收集遵循合法、正当原则2.数据分类分级3.数据安全保护总体要求4.数据安全保护管理措施护技术措施评估审计与事件处置措施7.法律责任8.附则收集使用加工提供提供数据收集保护管理措施要求数据收集保护管理措施要求并接受其他数据处接受其他数据处明确数据收集除法律、行政法规明确无需说明的情形外，应当在隐私政策协议或者合同协议中以显著方式、清晰易懂的语言说明数据收集的目的、范围、方式、存储期限，以及数据来源不合法、数据不真实情形对应因履行无障碍义务或者客观条件限制，采用纸质文件、影像或者代为手工录入等方式收集数据时，应当采取自动识别、人工核验等措施，保障数据录入的及时性和准确性，并按照档案管理要求保存原始数据收集凭证；应急处置方案应当针对数据合法性、真实性存疑等情形,明确业务暂停使用相关数处置方案；应当优先采用数据提供方直接录入或者信息系统间交互的方式收集数据；理者委托协助收集数据时，应当通过合同协议与明委托关系；非直接面向个人、组织收集数据时，应当要求数据提供方依照法律、行政法规取得个人、组织的同意，对于非书面同意情形，应当要求其出具数据来源说明材料，并依据材料评估其合法性、真实性；删除停止提供其产品服务，合同协议履约终止或者响应个人、组织合法权益要求时，应当主动停止数据收集活动；保存期限保存数据收集行为对应的合同协议、内部审批记录、数据提供方出具的数据来源说明材料和对应评估结论等信息提供提供级4.数据安全件处置措施第三层级以上数据项原则上不得在终端设备和移动介质数据处理者在履行内部审批程序基础上，应统一明确需在终端设备和移动介质中存储的特定场景、支持此类场景的必要性、应当采风险防范措施至少应当包括仅在授权的终端设备和移动介质中存储，存储期限不得超过审批允许的期限存储期限1.总则级1.总则级4.数据安全护技术措施件处置措施确需提供其他使用方式时应当说明相关必要性，经内部审批并明确对应的风险防范措施后，据此开展确需未经安全保护即导出的，数据处理者应当统一明确相关导出删除提供加工使用删除提供加工使用第四层级以上数据项第五层级数据项第五层级数据项第四层级数据项第三层级数据项原则上不提供导出使用方式场景、支持此类场景的必要性和应当加工传输提供公开1.总则2.数据分类分级3.数据安全保护总体要求4.数据安全保护管理措施5.数据安全保护技术措施评估审计与事件处置措施7.法律责任8.附则使用删除使用删除数据加工前，数据处理者应当审查加工目的与收集约定是否一致，确保数据加工不以垄断经营和不正当竞争为目的，不发生误导、欺诈、胁迫或者干扰等限制个人或者组织正当选择与决策的行为，遵循社会公德伦理。目的一致性应当经内部审批并明确对应的风险防范措施后，据此开展。第四层级以上数据项加工基于加工生成的数据项面向个人提供自动化决策服务时，应当以适当方式说明加工目的、加工依赖数据基本情况和加工基本逻辑，提升决策的透明度。加工生成数据数据处理者应当保存数据加工行为目的说明、内部审查审批记录、审查对应的加工应用程序源代码、新产生数据加工数据保存期限项列表等信息至少三加工数据保存期限促进数据开发利用使用第三层级以上数据项加工后产生的数据项，经评估确认无法识别至特定个人、组织，或者反映信息敏感程度明显低于原数据项时，数据处理者履行内部审批手续后，可视情降低敏感性层级，促进数据依法合规开发利用。CpherGatewoy1.总则CpherGatewoy1.总则6.风险监测、收集收集存储使用加工传输提供公开即时通讯在线文件传输互联网邮件交互性信息服务互联网邮件除履行法定职责或者法定义务所必需外，数据处理者原则上不得采用互联网邮件、即时通讯、在线文件传输、交互性信息服务等互联网信息服务或者通过移动介质交换传输第三层级以上数据项。确有需要的，数据处理者应当统一明确相关传输需求场景、支持此类场景的必要性和应当采取的风险防范措施，并据此开展。存储存储级收集收集使用提供删除按照约定格式做好数据清洗转换，不得提供虚假数据误导数级4.数据安全件处置措施数据处理者向其他数据处理者提供重要数据前，应当依照法律、行政法规要求，说明重要数据的具体信息，从数据接收方数据处理目的方式和范围的合法正当必要性、潜在安全隐患、数据接收方诚信守法和背景情况、合约协议完备性和拟采取的安全保护管理和技术措施等方面做好风险评估并保存报告至少三年。在此基础上，数据处理者还应当通过法律、行政法规明确规定的安全评估。数据处理者向其他数据处理者提供核心数据前，还应当提请国家数据安全工作协调机制办公室批准。除履行法定职责或者法定义务所明确情形外，数据处理者不得通过拆分等方式规避上述义务。·数据处理者因合并、分立、解散、被宣告破产等原因需要转移数据的，应当通过公告等方式将数据接收方信息告知相关个人、组织，并评估确认不违反与相关组织间事前约定的有关保守商业秘密要求。·重要数据的处理者发生合并、分立、解散或者申请重整、和解以及破产清算等情况时，法律、行政法规有明确要求的，应当事前向中国人民银行报告重要数据处置方案和数据接收方基本情况。1.总则2.数据分类分级3.数据安全保1.总则2.数据分类分级3.数据安全保护总体要求4.数据安全保护管理措施5.数据安全保护技术措施评估审计与事件处置措施7.法律责任8.附则炼石收集存储使用加工传输提供公开删除数据处理者应当履行内部审批手续，审核数据公开行为的目的、数据内容范围、渠道、时限和脱敏处理情况，分析研判可能产生的负面影响，并核验数据的合法性、真实性与有效性。·数据公开渠道原则上应当为本单位统一明确的官方渠道。·确有需要通过其他渠道公开的，应当经内部审批并明确对应的风险防范措施后，据此开展。第三层级以上数据项原则上应当实施脱敏处理后再公开，数据处理者应当统一明确第三层级以上数据项确需未经脱敏处理即允许公开的特定需求场景、支持此类场景的必要性和应当采取的风险防范措施，并据此开展。第二层级以上数据项公开时，数据处理者应当保存数据公开行为目的说明、日期、公开渠道、数据范围和内部审批记录等信息至少三年级涉及个人信息的数据,满足法律、行政法规数据处理者应当主动删删除数据从技术上难数据处理者应当每年当及时销毁全部数据中国人民银行或其住所数据处理者采用隐私计算等技术促进数据融合创新应用时，应当确认原始数据未离开自身控制范围，且多个数据提供行为关联后，暴露约定范围外信息的风险可控。科技创新数据处理者采用隐私计算等技术促进数据融合创新应用时，应当确认原始数据未离开自身控制范围，且多个数据提供行为关联后，暴露约定范围外信息的风险可控。科技创新1.总则6.风险监测、炼石1.总则6.风险监测、件处置措施数据出境限制管理数据出境限制管理措施要求·数据处理者在中华人民共和国境内收集和产生的数据，法律、行政法规有境内存储要求的，应当在境内存储。·数据处理者因自身需要向境外提供数据，存在国家网信部门规定情形的，应当严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估。·数据处理者不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。·对于因自身需要的数据出境提供行为，数据处理者应当于每年1月底前测算或者估算其上两年内累计出境数据规模与范围，并保存测算估算结果和对应的境外接收方联系方式至少三年。·涉及数据出境安全评估的，数据处理者还应当保存有效期内的数据出境风险自评估报告、数据出境安全评估申报书和评估结果。1.总则1.总则数据处理活动日志保护技术措施要求·数据处理者应当建立统一的日志规范，明确数据处理活动日志应当完整记录的溯源所需信息。·第三层级数据项如需在数据处理活动日志中记录原则上应当实施脱敏处理，第四层级以上数据项原则上不记录。确有需要的，数据处理者应当统一明确相关日志记录需求场景、支持此类场景的必要性和应当采取的风险防范措施，并据此开展。·数据处理者应当将数据处理活动日志纳入数据分类分级管理，并落实对应的管理和技术措施要求。·数据处理者应当妥善保存数据处理活动日志至少六个月。·向其他数据处理者提供涉及个人信息的数据或者重要数据的行为，相关日志应当保存至少三年。级级件处置措施收集收集存储使用加工传输提供公开采用直接录入方式收集第二层级以上数据项，应当核验录入人身份。采用信息系统间交互方式收集第三层级以上数据项，应当对数据提供方身份进行认证，并保障收集数据的完整性。数据处理者应当采取关联信息交叉核验等技术措施，识别并规避数据项同一内容不合理映射至多个个人或者组织、不同数据项信息相互矛盾等问题，尽可能保障收集数据的准确性，避免损害个人、组织的合数据处理者面向个人直接录入方式收集数据时,应当建立健全技术措施，识别法律、行政法规禁止发布或者传输的数据处理者采用自动化搜集方式从其他数据处理者收集数据时，应当遵守其数据访问控制协议，不得干扰其网络服务正常运行，不得侵害其原有网络服务合法运1.总则2.数据分类分级3.数据安全保1.总则2.数据分类分级3.数据安全保护总体要求4.数据安全保护管理措施5.数据安全保护技术措施评估审计与事件处置措施7.法律责任8.附则炼石收集收集使用加工传输提供公开数据处理者应当针对数据存储行为采取下列安全保护技术措施：1隔离设备2等保要求按照业务连续性保障等级，加强信息系统数据冗余备份管理，对于恢复点目标要求小于十分钟的信息系统，每天至少验证一次最按照业务连续性保障等级，加强信息系统数据冗余备份管理，对于恢复点目标要求小于十分钟的信息系统，每天至少验证一次最新冗余备份数据可被正常加载使用；对于其他信息系统应当逐一明确验证频率要求，据此定期验证最新冗余备份数据可被正常加载使用。有效隔离开发测试环境与生产环境数据存储设施设备；除因业务影响、产业制约，并可提供详细分析报告情形外，应当息系统中第三层级以上数据项实施加密存储。·结构化数据项在对数据库文件整体实施加密基础上鼓励进一步采用更细粒度的加密方式；非结构化数据项可仅对拆分的第三层级以上结构化数据以上个人信息的信息系统应当落实三级以上网络安全等级保护要求；·存储核心数据的信息系统应当落实四级网络安全等级保护要求或者关键信息基础设施保护要求；鼓励数据处理者针对需要进一步容灾备份的数据，采取独立于信息系统灾难备份体系以外的备份技术措施。给出数据使用保护的技术措施要求使用使用级数据处理者应当统一明确第三层级以上数数据处理者应当统一明确第三层级以上数据项的脱敏处理策略,降低脱敏数据仍可识别至个人、组织的数据处理者应当采取数号、时间等信息，并在展示后及时清除缓存信息，提升数据展示、打印等使用过程的安全防提供提供凸安全沙箱、终端行为数据处理者应当建立终端设备安全管控策略，鼓励?生产环境第二层级以上数据项原则上应当经授权并实施脱敏处理后才能用于开发测试，确需不经脱敏处理即用于开发测试的，数据处理者应当履行内部审批手续,并采取与生产环境一致的安全保护管理和技术措施，确保开发测试数据加工明确缓释措施及退出算法自动化决策的替代方案1.总则1.总则2.数据分类分级3.数据安全保护总体要求4.数据安全保护管理措施5.数据安全保护技术措施评估审计与事件处置措施7.法律责任8.附则收集收集存储使用加工传输提供公开删除数据处理者应当建立统一的加工算法风险评估和控制策略，明确可解释性、脆弱性等风险对应的缓释措施以及退出算法自动化决策的替代方案。删除提供加工传输删除提供加工传输2.数据分类分级3.数据安全保护总体要求4.数据安全保护管理措施5.数据安全保护技术措施6.风险监测、评估审计与事件处置措施7.法律责任8.附则使用使用数据处理者应当针对数据传输行为采取下列安全保护技术措施：商用密码技术专用线路、虚拟专用网络商用密码技术通过运营商网络传输第二层级以上数据项时，采取专用线路、虚拟专用网络、安全通信协议等安全保护措施；第三层级以上数据项传输至其他数据处理者、传输至不同数据中心或者传输至运营商网络时，应当优先使用商用密码技术保障机密性，并根据业务需要使用商用密码技术加强完整护的，数据处理者应当统一明确相关传输需求场景、支持此类场景的必要性和应当采取的风险防范措施，并据此开展；动态更新记录不同网络安全区域间正常数据传输对应的网络地址、网络协议通信映射关系，加强安全隔离与终端设备准入控制；在传输失败或者传输完成后，及时删除不必要的缓存数据；及时评估调整网络线路的传输承载容量,加强网络线路和相关软硬件设备的冗余备份。V炼石数据处理者应当针对数据提供行为采取下列安全保护技术措施：技术平台V炼石数据处理者应当针对数据提供行为采取下列安全保护技术措施：技术平台针对持续性数据提供行为建设较为集中的技术平台，并采用前置网关或者应用程序接口方式向其他数据处理者家显著标识来源提供从其他数据处理者收集获得的数据项，中国人民银行有明确需公开数据来源要求的，应当以显著方式标识身份认证提供第三层级以上数据项时应当对数据接收方身份进行缓释措施采用隐私计算技术提供数据时，应当建立统一的技术风险评估和控制策略,明确安全可验证性、性能可接受性等风险对应的缓释外包管理对于委托处理情形的数据提供行为，应当纳入信息科技外包管理体系统一级CpherGotewayCpherGoteway级件处置措施存储介质销毁策略删除数据涉及数据存储介质销毁工作时，数据处理者应当建立统一的数据存储介质销毁策略，明确销毁技术方式和过程监督措施。存储第三层级以上数据项的存储介质不再使用并且离开数据处理者控制范围时，应当及时销毁。数据处理者应当保存数据存储介质销毁日期、销毁介质识别编号、采取的销毁技术方式、操作执行及复核人等信息至少三年。公公开删删除数据处理者应当采取有效措施，强化数据处理活动安全风险监测和告警，推进违规数据处理活动阻断技术措施建设，及时做好风险隐患的溯源排查处置，并核验技术措施的有效性和可靠性。监测告警规则应当重点关注下列事项：)收集、提供的数据存在恶意程序或者法律、行政法规禁止传输的信息；(二)危害数据安全的漏洞；(三)终端设备和移动介质未经授权存储第三层级以上数(四)识别到不明用途的数据存储网络地址；(五)未授权的数据使用行为，发生时间、网络地址、数据处理者应当采取有效措施，强化数据处理活动安全风险监测和告警，推进违规数据处理活动阻断技术措施建设，及时做好风险隐患的溯源排查处置，并核验技术措施的有效性和可靠性。监测告警规则应当重点关注下列事项：)收集、提供的数据存在恶意程序或者法律、行政法规禁止传输的信息；(二)危害数据安全的漏洞；(三)终端设备和移动介质未经授权存储第三层级以上数(四)识别到不明用途的数据存储网络地址；(五)未授权的数据使用行为，发生时间、网络地址、频率、总量存在明显异常的数据使用行为；(六)用户身份认证强度较弱；八)对第四层级以上数据项实施加工、提供等行为；(九)异常的网络通信行为和非授权终端设备接入内部网络十)未经商用密码技术加密传输第三层级以上数据项；)终端设备使用互联网邮件、公共即时通讯、互联网文件传输工具传输第三层级以上数据项或者打印第三层级以上数据项；《十二)网络线路数据传输承载能力不足；(十三)使用前置网关或者应用程序接口方式提供超出合同协议约定范围数据的异常行为；十四)违反数据访问控制协议的公开数据异常访问行1.总则加强数据安全风险情报、通报预警监测1.总则级4.数据安全护技术措施数据处理者应当加强数据安全风险情报的监测，及时核实并做好必要的数据安全防范处置工作。(一)本单位非公开数据泄漏至互联网的情况；(二)兜售本单位数据的情况；(三)假冒本单位身份非法收集、公开数据，或者对本单位管理的数据进行造谣传谣的情况；(四)与本单位或者具有关联关系的数据处理者相关的数据安全负面舆情信息；(五)与本单位合作的数据接收方、委托处理受托人相关的数据安全负面舆情信息。共享风险情报按时反馈核查处置共享风险情报数据处理者应当及时接收、核查和处置中国人民银行或其分支机构通报的数据安全风险情报，并根据要求按时反馈核查处置结果。鼓励数据处理者积极向中国人民银行或其分支机构提供可共享的数据安全风险情报，提升联防联控效能。重要数据的数据处理者应当自行或者委托检测机构，每年组织开展一次全面的数据安全风险评估工作，于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告，并按照行政法规要重要数据的数据处理者应当自行或者委托检测机构，每年组织开展一次全面的数据安全风险评估工作，于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告，并按照行政法规要求向对应的网信部门报送。除法律、行政法规已明确的内容外，风险评估报告还应当重点评估下列风险，并提出改进应对措施：(一)数据分类分级实施制度、违规数据处理活动定责规程和问责处罚措施、数据处理活动全流程数据安全管理制度和相关操作规程的建设情况；(二)数据安全决策、管理、执行、监督各层面职责划分和对应岗位设置是否明确、合理，实际职责落实情况；(四)重要数据识别判定情况，处理重要数据的目的、范围、规模、方式、类型、存储期限和存储地点等情况；(五)重要数据相关的数据处理活动记录信息的真实性与完整性；(六)重要数据相关的数据处理活动全流程管理和技术措施执行情况及其有效性；(七)存储重要数据信息系统的网络安全等级保护测评和问题整改落实情况；(八)重要数据相关的数据处理活动风险监测预警和溯源排查情况；(九)数据安全事件定级判定标准建设情况，应急预案、应急处置流程设计与演练实施情况，以及本年度发生的数据安全事件及处置情况；(十)向其他数据处理者提供重要数据的风险评估报告。(三)人员培训和日常管理情况；1.总则6.风险监测、件处置措施数据安全审计数据安全风险评估与审计的安全保障度和相关操作规程执行情况、数据安全相关数据安全审计数据安全风险评估与审计的安全保障度和相关操作规程执行情况、数据安全相关·数据处理者应当细化管控数据安全风险评估人员和审计人使用数据的权限，并采取有效措施确保实施·鼓励数据处理者建立技术平台，统一建立数据安全风险评估与审计的安全管控策略。·数据安全风险评估报告和审计报告不得记录第四层级以上数据项。报告保存期限不得短于实施过程中使用数据的存储期限，且最短不得低于三年。·委托检测机构、审计机构开展数据安全风险评估或者审计工作时，数据处理者应当在合同协议中明确其数据安全保护责任，并指定本单位人员全程参与1.总则6.风险监测、1