北京國舜科技股份有限公司
Beijing UnisGuard Technology Co.,Ltd
北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
聯系我們
熱線:400-696-8096
電話:010-82838085
郵編:100044
郵箱:contact@unisguard.com
關注我們
分類: 安全資訊
發布時間: 2023-07-24 15:48:06
標簽:
作者:
閱讀量: 188
中國人民銀行業務領域數據安全管理辦法
(征求意見稿)
第一章 總則
第一條(目的和依據)為規范中國人民銀行業務領域數據的安全管理,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國中國人民銀行法》等有關法律、行政法規,制定本辦法。
第二條(適用范圍)數據處理者在中華人民共和國境內開展的中國人民銀行業務領域數據相關的處理活動,適用本辦法。法律、行政法規或者中國人民銀行另有規定的,從其規定。
本辦法所稱中國人民銀行業務領域數據,指根據法律、行政法規、國務院決定和中國人民銀行規章,開展中國人民銀行承擔監督管理職責的各類業務活動時,所產生和收集的不涉及國家秘密的網絡數據,以下簡稱數據。
第三條(管理原則與目標)數據安全工作遵循“誰管業務,誰管業務數據,誰管數據安全”基本原則。開展數據處理活動應當履行數據安全保護義務,采取有效措施防范數據被篡改、破壞、泄露、不當獲取與利用等風險,確保不損害國家安全、公共利益、金融秩序、個人及組織合法權益,遵守社會公德倫理、商業道德和職業道德。
第四條(協同監督管理)在國家數據安全工作協調機制統籌協調下,中國人民銀行及其分支機構,依據本辦法開展數據安全監督管理工作,積極支持其他有關主管部門依據職責開展數據安全監督管理工作,必要時可以與其他有關主管部門簽署合作協議,進一步約定數據安全監督管理協作模式。
中國銀行間市場交易商協會、中國支付清算協會、中國互聯網金融協會等金融行業協會應當加強自律管理,建立便捷的投訴、舉報渠道,反映會員合理的數據安全意見建議。
第二章 數據分類分級
第五條(數據分類分級保護總體規劃)中國人民銀行負責組織制定數據分類分級相關行業標準,指導數據處理者開展數據分類分級各項工作,統籌確定重要數據具體目錄并實施動態管理。
第六條(數據分類分級制度規程)數據處理者應當建立健全本單位數據分類分級實施制度,規范分類分級工作操作規程。數據分類分級過程實施和結果審批,應當嚴格遵循操作規程。
第七條(數據分類要求)數據處理者應當參考行業標準,根據業務開展情況建立業務分類,梳理細化數據資源目錄,標識各數據項是否為個人信息、數據來源(生產經營加工產生、外部收集產生等)、存儲該數據項的信息系統清單和應用的業務類別。
第八條(數據分級要求)數據按照精度、規模和對國家安全的影響程度,分為一般、重要、核心三級。在中國人民銀行組織下,數據處理者應當準確識別判定本單位信息系統存儲的全量數據是否屬于重要數據、核心數據,并填寫報送重要數據目錄內容,由中國人民銀行匯總后確定重要數據具體目錄。數據處理活動中,數據處理者還應當及時準確識別判定所涉及數據是否屬于重要數據、核心數據。
第九條(數據敏感性分層級)在數據分級基礎上,數據處理者應當參考行業標準,根據數據遭到泄露或者被非法獲取、非法利用時,可能對個人、組織合法權益或者公共利益等造成的危害程度,將數據項敏感性從低至高進一步分為一至五共五個層級。結構化數據項應當逐一標識層級;非結構化數據項應當優先按照可拆分的各結構化數據項所對應最高層級,標識其層級。
第十條(數據可用性分層級)數據可用性分層級工作納入信息系統業務連續性分級保障體系統一考慮。數據處理者應當評估信息系統存儲數據遭到篡改、破壞后可能對業務連續性造成的影響程度,明確恢復點目標要求?;謴忘c目標越嚴格,數據的可用性層級越高。在此基礎上,鼓勵數據處理者識別用于支撐最基本業務運轉、無法承受徹底滅失風險、需要進一步進行容災備份的數據。
第十一條(動態更新要求)數據處理者應當根據數據和信息系統變化情況,每年組織更新數據資源目錄,避免信息系統所涉及數據項未在數據資源目錄中記錄、數據項標識信息不完整等情形發生。
第三章 數據安全保護總體要求
第十二條(責任落實總體要求)數據處理者應當明確其數據安全管理相關內設部門職責分工,配備足夠數量的數據安全管理人員,并細化各類違規數據處理活動的定責問責規程,壓實數據安全保護責任。重要數據的處理者還應當書面明確數據安全負責人和數據安全牽頭管理內設部門。
第十三條(全流程安全管理制度要求)數據處理者應當建立健全全流程數據安全管理制度,結合數據分類分級結果,明確差異化的安全保護管理和技術措施要求,并制定數據處理活動操作規程,規范各類內部審批和授權流程。第五層級數據項應當在第四層級數據項對應的安全保護管理和技術措施基礎上進一步從嚴管理。不同敏感性層級數據項在同一個數據處理活動中被處理,且難以采取差異化安全保護管理和技術措施的,應當統一采取最高敏感性層級數據項對應的安全保護管理和技術措施。與母公司、子公司、關聯公司或者附屬公司等具有關聯關系的數據處理者合作開展數據處理活動時,不得降低安全保護管理和技術措施要求。
第十四條(安全培訓總體要求)數據處理者應當根據崗位分工,制定數據安全年度培訓計劃,組織開展相關教育培訓,并對培訓結果進行評價。培訓內容應當包括:
(一) 數據安全相關法律、行政法規、部門規章、國家和金融行業標準、內部規定、行為準則和職業操守;
(二) 不同崗位的數據安全責任,失職失責或者違法違規數據處理活動應當承擔的后果;
(三) 針對性的數據安全保護管理和技術措施要求,以及對應的操作規程;
(四) 數據安全事件應急處置規程。
第十五條(鼓勵創新)鼓勵數據處理者積極開展數據安全技術創新應用,在保障安全合規前提下,積極促進數據的高效流通和創新應用,鼓勵優秀創新成果申報行業表彰獎勵。
第四章 數據安全保護管理措施
第十六條(人員管理要求)數據處理者應當按照最小必要和職責分離原則,嚴格管理信息系統各類業務處理賬號、數據庫管理員等特權賬號的設立和權限,人員變動時應當及時調整權限或者收回賬號。
數據處理者應當加強賬號身份認證管理,可使用第二層級以上數據項的賬號應當支持身份驗證??墒褂玫谌龑蛹壱陨蠑祿椀馁~號應當支持多因素認證或者實現二次授權,相關賬號使用人員應當簽署保密協議。
第十七條(數據收集保護管理措施要求)數據處理者收集數據應當遵循合法、正當原則,并采取下列安全保護管理措施:
(一)除法律、行政法規明確無需說明的情形外,應當在隱私政策協議或者合同協議中以顯著方式、清晰易懂的語言說明數據收集的目的、范圍、方式、存儲期限,以及數據來源不合法、數據不真實情形對應的違約責任;
(二)接受其他數據處理者委托協助收集數據時,應當通過合同協議與其約定,是否需要代其向相關個人、組織說明委托關系;
(三)非直接面向個人、組織收集數據時,應當要求數據提供方依照法律、行政法規取得個人、組織的同意,對于非書面同意情形,應當要求其出具數據來源說明材料,并依據材料評估其合法性、真實性;
(四)應當針對數據合法性、真實性存疑等情形,明確業務暫停使用相關數據時的應急處置方案;
(五)應當優先采用數據提供方直接錄入或者信息系統間交互的方式收集數據;
(六)因履行無障礙義務或者客觀條件限制,采用紙質文件、影像或者代為手工錄入等方式收集數據時,應當采取自動識別、人工核驗等措施,保障數據錄入的及時性和準確性,并按照檔案管理要求保存原始數據收集憑證;
(七)停止提供其產品服務,合同協議履約終止或者響應個人、組織合法權益要求時,應當主動停止數據收集活動;
(八)保存數據收集行為對應的合同協議、內部審批記錄、數據提供方出具的數據來源說明材料和對應評估結論等信息至少三年。
第十八條(數據存儲保護管理措施要求)數據處理者應當根據業務需要,明確數據存儲期限。除履行法定職責或者法定義務所必需外,第三層級以上數據項原則上不得在終端設備和移動介質中存儲。確需存儲的,數據處理者在履行內部審批程序基礎上,應當統一明確需在終端設備和移動介質中存儲的特定場景、支持此類場景的必要性、應當采取的風險防范措施,并據此開展。風險防范措施至少應當包括僅在授權的終端設備和移動介質中存儲,存儲期限不得超過審批允許的期限。
數據處理者應當保存終端設備、移動介質中存儲第三層級以上數據項行為的目的說明、內部審批記錄、授權設備或者介質識別編號、允許存儲期限等信息至少三年。
第十九條(數據使用保護管理措施要求)第三層級數據項原則上不提供導出使用方式,第四層級以上數據項原則上僅提供核驗使用方式,確需提供其他使用方式時,應當說明相關必要性,經內部審批并明確對應的風險防范措施后,據此開展。涉及第三層級以上數據項導出使用的風險防范措施,原則上應當優先采取加密、數字水印或者脫敏處理等安全保護措施,確需未經安全保護即導出的,數據處理者應當統一明確相關導出需求場景,并據此開展。
除面向個人、組織展示其數據,履行法定職責或者法定義務必需展示數據的兩類情形外,信息系統界面展示第三層級以上數據項時,原則上應當優先實施脫敏處理后再展示。
確需明文展示的,數據處理者應當統一明確相關展示需求場景、支持此類場景的必要性和應當采取的風險防范措施,并據此開展。
第二十條(數據加工保護管理措施要求)數據加工前,數據處理者應當審查加工目的與收集約定是否一致,確保數據加工不以壟斷經營和不正當競爭為目的,不發生誤導、欺詐、脅迫或者干擾等限制個人或者組織正當選擇與決策的行為,遵循社會公德倫理。第四層級以上數據項加工,應當經內部審批并明確對應的風險防范措施后,據此開展?;诩庸ど傻臄祿椕嫦騻€人提供自動化決策服務時,應當以適當方式說明加工目的、加工依賴數據基本情況和加工基本邏輯,提升決策的透明度。
數據處理者應當保存數據加工行為目的說明、內部審查審批記錄、審查對應的加工應用程序源代碼、新產生數據項列表等信息至少三年。
第二十一條(促進數據開發利用)使用第三層級以上數據項加工后產生的數據項,經評估確認無法識別至特定個人、組織,或者反映信息敏感程度明顯低于原數據項時,數據處理者履行內部審批手續后,可視情降低敏感性層級,促進數據依法合規開發利用。
第二十二條(數據傳輸保護管理措施要求)除履行法定職責或者法定義務所必需外,數據處理者原則上不得采用互聯網郵件、即時通訊、在線文件傳輸、交互性信息服務等互聯網信息服務或者通過移動介質交換傳輸第三層級以上數據項,確有需要的,數據處理者應當統一明確相關傳輸需求場景、支持此類場景的必要性和應當采取的風險防范措施,并據此開展。
第二十三條(一般性數據提供保護管理措施要求)數據處理者應當針對自身業務開展所需的數據提供行為采取下列安全保護管理措施:
(一)涉及個人信息的數據提供行為,應當評估確認遵守有關法律、行政法規的規定。其他數據提供行為,應當評估確認不違反與相關組織間事前約定的有關保守商業秘密要求;
(二)通過合同協議方式與數據接收方約定數據提供的目的、方式、范圍、規模、允許存儲時限、將數據再轉移提供至第三方的限定條件,要求接收方及時告知可能發生的數據泄露事件,明確各方數據安全保護責任和至少應當采取的安全保護措施;
(三)向個人、組織提供其數據時,可視情簡化合同協議簽訂和對應內部審批要求,但應當先行核實其身份的真實性;
(四)對于委托處理情形,在合同協議中進一步明確委托處理受托人重要事項報告、及時返還和刪除數據的實施方式、接受并配合數據處理者監督其委托處理活動等義務;
(五)有效監督委托處理受托人履約情況,定期評估確認其數據處理活動符合事前約定,并已采取承諾的全部安全保護措施;
(六)對于委托處理以外情形,第三層級數據項應當優先通過查詢、固定報表和核驗方式向其他數據處理者提供,第四層級以上數據項應當優先通過核驗方式向其他數據處理者提供,確需以其他方式提供的,在履行內部審批程序基礎上,數據處理者應當統一明確相關提供需求場景、支持此類場景的必要性和應當采取的風險防范措施,并據此開展;
(七)切實保障提供數據的質量,對提供數據真實性作必要核驗,按照約定格式做好數據清洗轉換,不得提供虛假數據誤導數據接收方、合作方;
(八)保存數據提供行為評估記錄、內部審批記錄、對應的合同協議內容、監督過程中識別的風險及整改處置情況等信息至少三年。
第二十四條(特殊性數據提供保護管理措施要求)數據處理者向其他數據處理者提供重要數據前,應當依照法律、行政法規要求,說明重要數據的具體信息,從數據接收方數據處理目的方式和范圍的合法正當必要性、潛在安全隱患、數據接收方誠信守法和背景情況、合約協議完備性和擬采取的安全保護管理和技術措施等方面做好風險評估并保存報告至少三年。在此基礎上,數據處理者還應當通過法律、行政法規明確規定的安全評估。數據處理者向其他數據處理者提供核心數據前,還應當提請國家數據安全工作協調機制辦公室批準。除履行法定職責或者法定義務所明確情形外,數據處理者不得通過拆分等方式規避上述義務。
數據處理者因合并、分立、解散、被宣告破產等原因需要轉移數據的,應當通過公告等方式將數據接收方信息告知相關個人、組織,并評估確認不違反與相關組織間事前約定的有關保守商業秘密要求。重要數據的處理者發生合并、分立、解散或者申請重整、和解以及破產清算等情況時,法律、行政法規有明確要求的,應當事前向中國人民銀行報告重要數據處置方案和數據接收方基本情況。
第二十五條(數據融合創新應用管理措施要求)數據處理者采用隱私計算等技術促進數據融合創新應用時,應當確認原始數據未離開自身控制范圍,且多個數據提供行為關聯后,暴露約定范圍外信息的風險可控。
第二十六條(數據出境限制管理措施要求)數據處理者在中華人民共和國境內收集和產生的數據,法律、行政法規有境內存儲要求的,應當在境內存儲。
數據處理者因自身需要向境外提供數據,存在國家網信部門規定情形的,應當嚴格遵守其有關規定事前開展數據出境風險自評估并申報數據出境安全評估。數據處理者不得有意拆分、縮減出境數據規模以規避申報數據出境安全評估。
對于因自身需要的數據出境提供行為,數據處理者應當于每年 1 月底前測算或者估算其上兩年內累計出境數據規模與范圍,并保存測算估算結果和對應的境外接收方聯系方式至少三年。涉及數據出境安全評估的,數據處理者還應當保存有效期內的數據出境風險自評估報告、數據出境安全評估申報書和評估結果。
第二十七條(國際組織和外國金融管理部門數據調?。┲袊嗣胥y行根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理國際組織和外國金融管理部門關于提供數據的請求。非經中國人民銀行和其他有關主管部門批準,數據處理者不得向其提供境內存儲的數據。
第二十八條(數據公開保護管理措施要求)數據處理者應當履行內部審批手續,審核數據公開行為的目的、數據內容范圍、渠道、時限和脫敏處理情況,分析研判可能產生的負面影響,并核驗數據的合法性、真實性與有效性。數據公開渠道原則上應當為本單位統一明確的官方渠道。確有需要通過其他渠道公開的,應當經內部審批并明確對應的風險防范措施后,據此開展。
第二層級以上數據項公開時,數據處理者應當保存數據公開行為目的說明、日期、公開渠道、數據范圍和內部審批記錄等信息至少三年。
第三層級以上數據項原則上應當實施脫敏處理后再公開,數據處理者應當統一明確第三層級以上數據項確需未經脫敏處理即允許公開的特定需求場景、支持此類場景的必要性和應當采取的風險防范措施,并據此開展。
第二十九條(數據刪除保護管理措施要求)涉及個人信息的數據,滿足法律、行政法規規定應當刪除情形時,數據處理者應當主動刪除數據。其他數據已超過與組織約定的存儲時限,或者組織提出符合法律、行政法規規定的正當請求時,數據處理者應當主動刪除數據。刪除數據從技術上難以實現的,數據處理者應當停止除存儲和采取必要的安全保護措施之外的處理。數據處理者應當每年至少對信息系統業務處理賬號、特權賬號實施一次核驗,確認已停止除存儲和必要安全保護措施之外處理的數據,不可被訪問使用。
數據處理者發生解散、被宣告破產等情況時,合法合規完成自身需要的數據轉移處理后,應當及時銷毀全部數據存儲介質。中國人民銀行或其住所地分支機構依據法律、行政法規另有數據轉移要求的,還應當按照要求將數據轉移至指定接收方后再銷毀數據存儲介質。
第五章 數據安全保護技術措施
第三十條(賬號權限保護技術措施要求)數據處理者應當采取有效技術措施,從嚴管控業務處理賬號的數據使用權限,鼓勵建設技術平臺,采取統一認證、統一授權策略進一步加強管控。
數據處理者應當統一明確特權賬號的使用場景,并通過內部審批授權,嚴格限定其使用??墒褂玫谌龑蛹壱陨蠑祿椀奶貦噘~號,涉及人工操作的數據庫表刪除、修改等操作應當逐一進行事前審查和事后審計。
第三十一條(數據處理活動日志保護技術措施要求)數據處理者應當建立統一的日志規范,明確數據處理活動日志應當完整記錄的溯源所需信息。第三層級數據項如需在數據處理活動日志中記錄原則上應當實施脫敏處理,第四層級以上數據項原則上不記錄。確有需要的,數據處理者應當統一明確相關日志記錄需求場景、支持此類場景的必要性和應當采取的風險防范措施,并據此開展。
數據處理者應當將數據處理活動日志納入數據分類分級管理,并落實對應的管理和技術措施要求。數據處理者應當妥善保存數據處理活動日志至少六個月。向其他數據處理者提供涉及個人信息的數據或者重要數據的行為,相關日志應當保存至少三年。
第三十二條(數據收集保護技術措施要求)采用直接錄入方式收集第二層級以上數據項,應當核驗錄入人身份。采用信息系統間交互方式收集第三層級以上數據項,應當對數據提供方身份進行認證,并保障收集數據的完整性。
數據處理者應當采取關聯信息交叉核驗等技術措施,識別并規避數據項同一內容不合理映射至多個個人或者組織、不同數據項信息相互矛盾等問題,盡可能保障收集數據的準確性,避免損害個人、組織的合法權益。
數據處理者面向個人直接錄入方式收集數據時,應當建立健全技術措施,識別法律、行政法規禁止發布或者傳輸的信息。
數據處理者采用自動化搜集方式從其他數據處理者收集數據時,應當遵守其數據訪問控制協議,不得干擾其網絡服務正常運行,不得侵害其原有網絡服務合法運營權益。
第三十三條(數據存儲保護技術措施要求)數據處理者應當針對數據存儲行為采取下列安全保護技術措施:
(一)有效隔離開發測試環境與生產環境數據存儲設施設備;
(二)存儲重要數據或者一百萬人以上個人信息的信息系統應當落實三級以上網絡安全等級保護要求,存儲核心數據的信息系統應當落實四級網絡安全等級保護要求或者關鍵信息基礎設施保護要求;
(三)除因業務影響、產業制約,并可提供詳細分析報告情形外,應當優先采用商用密碼技術對信息系統中第三層級以上數據項實施加密存儲,結構化數據項在對數據庫文件整體實施加密基礎上鼓勵進一步采用更細粒度的加密方式,非結構化數據項可僅對拆分的第三層級以上結構化數據項單獨實施加密;
(四)按照業務連續性保障等級,加強信息系統數據冗余備份管理,對于恢復點目標要求小于十分鐘的信息系統,每天至少驗證一次最新冗余備份數據可被正常加載使用;對于其他信息系統應當逐一明確驗證頻率要求,據此定期驗證最新冗余備份數據可被正常加載使用。
鼓勵數據處理者針對需要進一步容災備份的數據,采取獨立于信息系統災難備份體系以外的備份技術措施。
第三十四條(數據使用保護技術措施要求)數據處理者應當統一明確第三層級以上數據項的脫敏處理策略,降低脫敏數據仍可識別至個人、組織的風險。
數據處理者應當采取數字水印等措施,標識信息系統當前數據使用賬號、時間等信息,并在展示后及時清除緩存信息,提升數據展示、打印等使用過程的安全防護和溯源能力。
數據處理者應當建立終端設備安全管控策略,鼓勵針對使用第三層級以上數據項的終端,采取安全沙箱、終端行為管控等安全保護措施。
生產環境第二層級以上數據項原則上應當經授權并實施脫敏處理后才能用于開發測試,確需不經脫敏處理即用于開發測試的,數據處理者應當履行內部審批手續,并采取與生產環境一致的安全保護管理和技術措施,確保開發測試數據安全。
第三十五條(數據加工保護技術措施要求)數據處理者應當建立統一的加工算法風險評估和控制策略,明確可解釋性、脆弱性等風險對應的緩釋措施以及退出算法自動化決策的替代方案。
第三十六條(數據傳輸保護技術措施要求)數據處理者應當針對數據傳輸行為采取下列安全保護技術措施:
(一)通過運營商網絡傳輸第二層級以上數據項時,采取專用線路、虛擬專用網絡、安全通信協議等安全保護措施;
(二)動態更新記錄不同網絡安全區域間正常數據傳輸對應的網絡地址、網絡協議通信映射關系,加強安全隔離與終端設備準入控制;
(三)第三層級以上數據項傳輸至其他數據處理者、傳輸至不同數據中心或者傳輸至運營商網絡時,應當優先使用商用密碼技術保障機密性,并根據業務需要使用商用密碼技術加強完整性和抗抵賴性保障,未使用商用密碼技術進行傳輸保護的,數據處理者應當統一明確相關傳輸需求場景、支持此類場景的必要性和應當采取的風險防范措施,并據此開展;
(四)在傳輸失敗或者傳輸完成后,及時刪除不必要的緩存數據;
(五)及時評估調整網絡線路的傳輸承載容量,加強網絡線路和相關軟硬件設備的冗余備份。
第三十七條(數據提供保護技術措施要求)數據處理者應當針對數據提供行為采取下列安全保護技術措施:
(一)針對持續性數據提供行為建設較為集中的技術平臺,并采用前置網關或者應用程序接口方式向其他數據處理者提供數據;
(二)提供從其他數據處理者收集獲得的數據項,中國人民銀行有明確需公開數據來源要求的,應當以顯著方式標識來源;
(三)提供第三層級以上數據項時應當對數據接收方身份進行認證;
(四)采用隱私計算技術提供數據時,應當建立統一的技術風險評估和控制策略,明確安全可驗證性、性能可接受性等風險對應的緩釋措施;
(五)對于委托處理情形的數據提供行為,應當納入信息科技外包管理體系統一管理。
第三十八條(數據公開保護技術措施要求)數據處理者應當明確自身已公開數據是否可被自動化搜集的數據訪問控制協議,并采取有效技術措施,保障公開數據不被篡改。
第三十九條(數據刪除保護技術措施要求)刪除數據涉及數據存儲介質銷毀工作時,數據處理者應當建立統一的數據存儲介質銷毀策略,明確銷毀技術方式和過程監督措施。
存儲第三層級以上數據項的存儲介質不再使用并且離開數據處理者控制范圍時,應當及時銷毀。
數據處理者應當保存數據存儲介質銷毀日期、銷毀介質識別編號、采取的銷毀技術方式、操作執行及復核人等信息至少三年。
第六章 風險監測、評估審計與事件處置措施
第四十條(數據處理活動風險監測)數據處理者應當采取有效措施,強化數據處理活動安全風險監測和告警,推進違規數據處理活動阻斷技術措施建設,及時做好風險隱患的溯源排查處置,并核驗技術措施的有效性和可靠性。監測告警規則應當重點關注下列事項:
(一)收集、提供的數據存在惡意程序或者法律、行政法規禁止傳輸的信息;
(二)危害數據安全的漏洞;
(三)終端設備和移動介質未經授權存儲第三層級以上數據項;
(四)識別到不明用途的數據存儲網絡地址;
(五)未授權的數據使用行為,發生時間、網絡地址、頻率、總量存在明顯異常的數據使用行為;
(六)用戶身份認證強度較弱;
(七)開發測試環境中使用未授權或者未經脫敏處理的生產環境數據;
(八)對第四層級以上數據項實施加工、提供等行為;
(九)異常的網絡通信行為和非授權終端設備接入內部網絡的行為;
(十)未經商用密碼技術加密傳輸第三層級以上數據項;
(十一)終端設備使用互聯網郵件、公共即時通訊、互聯網文件傳輸工具傳輸第三層級以上數據項或者打印第三層級以上數據項;
(十二)網絡線路數據傳輸承載能力不足;
(十三)使用前置網關或者應用程序接口方式提供超出合同協議約定范圍數據的異常行為;
(十四)違反數據訪問控制協議的公開數據異常訪問行為。
第四十一條(數據安全風險情報監測)數據處理者應當加強數據安全風險情報的監測,及時核實并做好必要的數據安全防范處置工作。監測規則應當重點關注下列事項:
(一)本單位非公開數據泄漏至互聯網的情況;
(二)兜售本單位數據的情況;
(三)假冒本單位身份非法收集、公開數據,或者對本單位管理的數據進行造謠傳謠的情況;
(四)與本單位或者具有關聯關系的數據處理者相關的數據安全負面輿情信息;
(五)與本單位合作的數據接收方、委托處理受托人相關的數據安全負面輿情信息。
第四十二條(數據安全通報預警監測)數據處理者應當及時接收、核查和處置中國人民銀行或其分支機構通報的數據安全風險情報,并根據要求按時反饋核查處置結果。
鼓勵數據處理者積極向中國人民銀行或其分支機構提供可共享的數據安全風險情報,提升聯防聯控效能。
第四十三條(數據安全風險評估)重要數據的數據處理者應當自行或者委托檢測機構,每年組織開展一次全面的數據安全風險評估工作,于下年度一季度末前向中國人民銀行或其住所地分支機構報送風險評估報告,并按照行政法規要求向對應的網信部門報送。除法律、行政法規已明確的內容外,風險評估報告還應當重點評估下列風險,并提出改進應對措施:
(一)數據分類分級實施制度、違規數據處理活動定責規程和問責處罰措施、數據處理活動全流程數據安全管理制度和相關操作規程的建設情況;
(二)數據安全決策、管理、執行、監督各層面職責劃分和對應崗位設置是否明確、合理,實際職責落實情況;
(三)人員培訓和日常管理情況;
(四)重要數據識別判定情況,處理重要數據的目的、范圍、規模、方式、類型、存儲期限和存儲地點等情況;
(五)重要數據相關的數據處理活動記錄信息的真實性與完整性;
(六)重要數據相關的數據處理活動全流程管理和技術措施執行情況及其有效性;
(七)存儲重要數據信息系統的網絡安全等級保護測評和問題整改落實情況;
(八)重要數據相關的數據處理活動風險監測預警和溯源排查情況;
(九)數據安全事件定級判定標準建設情況,應急預案、應急處置流程設計與演練實施情況,以及本年度發生的數據安全事件及處置情況;
(十)向其他數據處理者提供重要數據的風險評估報告。
第四十四條(數據安全審計)數據處理者應當圍繞全流程數據安全管理制度和相關操作規程執行情況、數據安全相關投訴處理情況,每年至少開展一次與數據安全相關的合規審計。發生重大以上數據安全事件后,應當及時開展專項審計,督促數據處理活動過程留痕,安全保障責任落實到人。
第四十五條(數據安全風險評估與審計的安全保障)數據處理者應當細化管控數據安全風險評估人員和審計人員使用數據的權限,并采取有效措施確保實施過程安全。鼓勵數據處理者建立技術平臺,統一建立數據安全風險評估與審計的安全管控策略。
數據安全風險評估報告和審計報告不得記錄第四層級以上數據項。報告保存期限不得短于實施過程中使用數據的存儲期限,且最短不得低于三年。
委托檢測機構、審計機構開展數據安全風險評估或者審計工作時,數據處理者應當在合同協議中明確其數據安全保護責任,并指定本單位人員全程參與評估。
第四十六條(數據安全事件定級判定)數據處理者應當按照國家網絡安全事件應急預案有關事件分級要求,綜合考慮影響范圍和程度,細化明確各等級數據安全事件對應的定級判定標準:
(一)對于數據被篡改、破壞的事件,定級標準應當考慮不同業務連續性保障等級信息系統無法正常服務的時長、影響的業務筆數與金額、影響的個人或者組織數量、損失的各敏感性層級數據項情況和對應數據規模、帶來的輿情影響等;
(二)對于數據泄露事件,定級標準應當考慮涉及的個人或者組織數量、泄露的各敏感性層級數據項情況和對應數據規模、帶來的輿情影響等;
(三)涉及核心數據、重要數據的安全事件,應當分別定級為特別重大事件、重大事件。
第四十七條(數據安全事件響應處置)數據處理者應當將數據安全事件納入網絡安全事件應急響應機制統一管理,制定相關應急預案,做好事件定級、處置、總結、報告、整改工作,按照規程向中國人民銀行或其住所地分支機構、其他有關主管部門報告事件信息。
數據處理者應當每年至少開展一次針對數據安全事件的應急演練,確保應急處置措施的效率和效果。
合作的數據接收方、委托處理受托人發生與本單位所提供數據相關的數據安全事件時,數據處理者應當立即開展調查評估,督促其及時采取補救措施。
第七章 法律責任
第四十八條(監督管理責任履行)中國人民銀行及其分支機構,按照管轄權對數據處理者數據安全保護義務落實情況開展執法檢查。必要時可以與其他有關主管部門聯合組織對數據處理者的執法檢查。中國人民銀行及其分支機構在執法檢查過程中發現數據處理者的數據處理活動存在較大安全風險時,依照《中華人民共和國數據安全法》第四十四條予以處理;發現影響或者可能影響國家安全的數據處理活動線索時,應當及時報國家數據安全工作協調機制辦公室,研判是否啟動國家數據安全審查。
第四十九條(違反數據安全保護義務行為的處理)在本辦法適用范圍內,數據處理者未履行數據安全保護義務,有下列情形之一的,中國人民銀行及其分支機構依照《中華人民共和國數據安全法》第四十五條規定予以處理:
(一)未按照本辦法第十二條規定,明確或者壓實數據安全保護責任;
(二)未按照本辦法第十三條規定,建立健全全流程數據安全管理制度;
(三)未按照本辦法第十四條規定,制定數據安全年度培訓計劃,未組織開展相關教育培訓;
(四)除本辦法第五十條、第五十一條規定情形外,未對應采取本辦法第四章和第五章所規定的數據安全保護管理措施或者技術措施;
(五)未按照本辦法第四十條、第四十一條規定,做好數據處理活動風險監測或者數據安全風險情報監測;
(六)未按照本辦法第四十二條規定,接收、核查、處置和反饋中國人民銀行或其分支機構通報的數據安全風險情報;
(七)重要數據的處理者未按照本辦法第四十三條規定,每年組織開展一次全面的數據安全風險評估并按時報送風險評估報告;
(八)發生數據安全事件時,未按照本辦法第四十七條規定,做好響應處置各項工作。
數據處理者未履行本辦法提出的數據安全保護義務,其他有關法律、行政法規作出規定的,中國人民銀行及其分支機構依照相關規定予以處理。
第五十條(違反規定數據出境行為的處理)中國人民銀行及其分支機構執法檢查發現數據處理者未履行本辦法第二十六條規定的數據境內存儲義務,按照《中華人民共和國網絡安全法》第六十六條規定和有關法律、行政法規的規定予以處理;發現數據處理者未履行本辦法第二十六條規定的數據出境安全評估申報義務,將相關案件信息移送同級網信部門,并配合其依法依規予以處理。
第五十一條(違反規定向國際組織或者外國金融管理部門提供數據行為的處理)數據處理者未履行本辦法第二十七條規定,未經中國人民銀行和其他有關主管部門批準,向國際組織或者外國金融管理部門提供境內存儲的數據時,中國人民銀行及其分支機構依照《中華人民共和國數據安全法》第四十八條第二款規定予以處理;所提供數據涉及個人信息的,依照《中華人民共和國個人信息保護法》第六十六條規定予以處理。
第五十二條(非法獲取數據行為的處理)中國人民銀行及其分支機構執法檢查發現數據處理者存在竊取或者以其他非法方式獲取數據的行為時,將相關案件信息移送同級公安機關、國家安全機關,并配合其依法依規予以處理。
第五十三條(處理數據損害合法權益行為的處理)中國人民銀行及其分支機構執法檢查發現數據處理者開展數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照《中華人民共和國反不正當競爭法》《中華人民共和國反壟斷法》《中華人民共和國消費者權益保護法》等法律,將相關案件信息移送承擔執法職責的有關主管部門,并配合其依法依規予以處理。
第五十四條(監督管理人員違反規定行為的處理)中國人民銀行及其分支機構人員在監督管理過程中存在玩忽職守、濫用職權、徇私舞弊情形的,按照法律、行政法規規定給予處分;涉嫌犯罪的,依法移送監察機關或者司法機關處理。
第八章 附則
第五十五條(名詞定義)術語定義:
(一)網絡數據,是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據,表現形式為由一條或者多條信息記錄組成的集合;
(二)數據項,是指描述網絡數據結構最基本的、不可分割的單位;
(三)結構化數據項,是指具有預定義的抽象描述數據類型,通常使用數據庫二維邏輯表中單一字段指代的數據項;
(四)非結構化數據項,是指沒有預定義的抽象描述數據類型,并且不適宜用數據庫二維邏輯表展現的數據項,如圖像、視頻、音頻、文檔文件等;
(五)數據處理活動,是指數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動;
(六)數據處理者,是指開展數據處理活動的金融機構和其他機構;
(七)本辦法所稱“以上”均含本級。
第五十六條(解釋權)本辦法由中國人民銀行負責解釋。國家外匯領域數據安全管理由國家外匯管理局負責,具體制度可另行制定。
第五十七條(生效期)本辦法自 2024年××月××日起施行。