中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）

1中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)第一章總則第一條(目的和依據(jù))為規(guī)范中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國中國人民銀行法》等有關(guān)法律、行政法規(guī)，制定本辦法。第二條(適用范圍)數(shù)據(jù)處理者在中華人民共和國境內(nèi)開展的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動，適用本辦法。法律、行政法規(guī)或者中國人民銀行另有規(guī)定的，從其。本辦法所稱中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)，指根據(jù)法律、行政法規(guī)、國務(wù)院決定和中國人民銀行規(guī)章，開展中國人民銀行承擔(dān)監(jiān)督管理職責(zé)的各類業(yè)務(wù)活動時，所產(chǎn)生和收集的不涉及國家秘密的網(wǎng)絡(luò)數(shù)據(jù)，以下簡稱數(shù)據(jù)。第三條(管理原則與目標(biāo))數(shù)據(jù)安全工作遵循“誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全”基本原則。開展數(shù)據(jù)處理活動應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)，采取有效措施防范數(shù)據(jù)被篡改、破壞、泄露、不當(dāng)獲取與利用等風(fēng)險，確保不損害國家安全、公共利益、金融秩序、個人及組織合法權(quán)益，遵2守社會公德倫理、商業(yè)道德和職業(yè)道德。第四條(協(xié)同監(jiān)督管理)在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下，中國人民銀行及其分支機構(gòu)，依據(jù)本辦法開展數(shù)據(jù)安全監(jiān)督管理工作，積極支持其他有關(guān)主管部門依據(jù)職責(zé)開展數(shù)據(jù)安全監(jiān)督管理工作,必要時可以與其他有關(guān)主管部門簽署合作協(xié)議，進(jìn)一步約定數(shù)據(jù)安全監(jiān)督管理協(xié)作模中國銀行間市場交易商協(xié)會、中國支付清算協(xié)會、中國互聯(lián)網(wǎng)金融協(xié)會等金融行業(yè)協(xié)會應(yīng)當(dāng)加強自律管理，建立便捷的投訴、舉報渠道，反映會員合理的數(shù)據(jù)安全意見建議。第二章數(shù)據(jù)分類分級第五條(數(shù)據(jù)分類分級保護(hù)總體規(guī)劃)中國人民銀行負(fù)責(zé)組織制定數(shù)據(jù)分類分級相關(guān)行業(yè)標(biāo)準(zhǔn)，指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級各項工作，統(tǒng)籌確定重要數(shù)據(jù)具體目錄并實施動態(tài)管理。第六條(數(shù)據(jù)分類分級制度規(guī)程)數(shù)據(jù)處理者應(yīng)當(dāng)建立健全本單位數(shù)據(jù)分類分級實施制度，規(guī)范分類分級工作操作規(guī)程。數(shù)據(jù)分類分級過程實施和結(jié)果審批，應(yīng)當(dāng)嚴(yán)格遵循操作規(guī)程。第七條(數(shù)據(jù)分類要求)數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)3準(zhǔn)，根據(jù)業(yè)務(wù)開展情況建立業(yè)務(wù)分類，梳理細(xì)化數(shù)據(jù)資源目錄，標(biāo)識各數(shù)據(jù)項是否為個人信息、數(shù)據(jù)來源(生產(chǎn)經(jīng)營加工產(chǎn)生、外部收集產(chǎn)生等)、存儲該數(shù)據(jù)項的信息系統(tǒng)清單和應(yīng)用的業(yè)務(wù)類別。第八條(數(shù)據(jù)分級要求)數(shù)據(jù)按照精度、規(guī)模和對國家安全的影響程度，分為一般、重要、核心三級。在中國人民銀行組織下，數(shù)據(jù)處理者應(yīng)當(dāng)準(zhǔn)確識別判定本單位信息系統(tǒng)存儲的全量數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)，并填寫報送重要數(shù)據(jù)目錄內(nèi)容，由中國人民銀行匯總后確定重要數(shù)據(jù)具體目錄。數(shù)據(jù)處理活動中，數(shù)據(jù)處理者還應(yīng)當(dāng)及時準(zhǔn)確識別判定所涉及數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)。第九條(數(shù)據(jù)敏感性分層級)在數(shù)據(jù)分級基礎(chǔ)上，數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)準(zhǔn)，根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時，可能對個人、組織合法權(quán)益或者公共利益等造成的危害程度，將數(shù)據(jù)項敏感性從低至高進(jìn)一步分為一至五共五個層級。結(jié)構(gòu)化數(shù)據(jù)項應(yīng)當(dāng)逐一標(biāo)識層級；非結(jié)構(gòu)化數(shù)據(jù)項應(yīng)當(dāng)優(yōu)先按照可拆分的各結(jié)構(gòu)化數(shù)據(jù)項所對應(yīng)最高層級，標(biāo)識其層級。第十條(數(shù)據(jù)可用性分層級)數(shù)據(jù)可用性分層級工作納入信息系統(tǒng)業(yè)務(wù)連續(xù)性分級保障體系統(tǒng)一考慮。數(shù)據(jù)處理者應(yīng)當(dāng)評估信息系統(tǒng)存儲數(shù)據(jù)遭到篡改、破壞后可能對業(yè)務(wù)連續(xù)性造成的影響程度，明確恢復(fù)點目標(biāo)要求?；謴?fù)點目標(biāo)越4嚴(yán)格，數(shù)據(jù)的可用性層級越高。在此基礎(chǔ)上，鼓勵數(shù)據(jù)處理者識別用于支撐最基本業(yè)務(wù)運轉(zhuǎn)、無法承受徹底滅失風(fēng)險、需要進(jìn)一步進(jìn)行容災(zāi)備份的數(shù)據(jù)。第十一條(動態(tài)更新要求)數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)和信息系統(tǒng)變化情況，每年組織更新數(shù)據(jù)資源目錄，避免信息系統(tǒng)所涉及數(shù)據(jù)項未在數(shù)據(jù)資源目錄中記錄、數(shù)據(jù)項標(biāo)識信息不完整等情形發(fā)生。第三章數(shù)據(jù)安全保護(hù)總體要求第十二條(責(zé)任落實總體要求)數(shù)據(jù)處理者應(yīng)當(dāng)明確其數(shù)據(jù)安全管理相關(guān)內(nèi)設(shè)部門職責(zé)分工，配備足夠數(shù)量的數(shù)據(jù)安全管理人員，并細(xì)化各類違規(guī)數(shù)據(jù)處理活動的定責(zé)問責(zé)規(guī)程，壓實數(shù)據(jù)安全保護(hù)責(zé)任。重要數(shù)據(jù)的處理者還應(yīng)當(dāng)書面明確數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全牽頭管理內(nèi)設(shè)部門。第十三條(全流程安全管理制度要求)數(shù)據(jù)處理者應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理制度，結(jié)合數(shù)據(jù)分類分級結(jié)果，明確差異化的安全保護(hù)管理和技術(shù)措施要求，并制定數(shù)據(jù)處理活動操作規(guī)程，規(guī)范各類內(nèi)部審批和授權(quán)流程。第五層級數(shù)據(jù)項應(yīng)當(dāng)在第四層級數(shù)據(jù)項對應(yīng)的安全保護(hù)管理和技術(shù)措施基礎(chǔ)上進(jìn)一步從嚴(yán)管理。不同敏感性層級數(shù)據(jù)項在同一個數(shù)據(jù)處理活動中被處理，且難以采取差異化安全保護(hù)5管理和技術(shù)措施的，應(yīng)當(dāng)統(tǒng)一采取最高敏感性層級數(shù)據(jù)項對應(yīng)的安全保護(hù)管理和技術(shù)措施。與母公司、子公司、關(guān)聯(lián)公司或者附屬公司等具有關(guān)聯(lián)關(guān)系的數(shù)據(jù)處理者合作開展數(shù)據(jù)處理活動時，不得降低安全保護(hù)管理和技術(shù)措施要求。第十四條(安全培訓(xùn)總體要求)數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)崗位分工，制定數(shù)據(jù)安全年度培訓(xùn)計劃，組織開展相關(guān)教育培訓(xùn)，并對培訓(xùn)結(jié)果進(jìn)行評價。培訓(xùn)內(nèi)容應(yīng)當(dāng)包括：(一)數(shù)據(jù)安全相關(guān)法律、行政法規(guī)、部門規(guī)章、國家和金融行業(yè)標(biāo)準(zhǔn)、內(nèi)部規(guī)定、行為準(zhǔn)則和職業(yè)操守；(二)不同崗位的數(shù)據(jù)安全責(zé)任，失職失責(zé)或者違法違規(guī)數(shù)據(jù)處理活動應(yīng)當(dāng)承擔(dān)的后果；(三)針對性的數(shù)據(jù)安全保護(hù)管理和技術(shù)措施要求，以及對應(yīng)的操作規(guī)程；(四)數(shù)據(jù)安全事件應(yīng)急處置規(guī)程。第十五條(鼓勵創(chuàng)新)鼓勵數(shù)據(jù)處理者積極開展數(shù)據(jù)安全技術(shù)創(chuàng)新應(yīng)用，在保障安全合規(guī)前提下，積極促進(jìn)數(shù)據(jù)的高效流通和創(chuàng)新應(yīng)用，鼓勵優(yōu)秀創(chuàng)新成果申報行業(yè)表彰獎第四章數(shù)據(jù)安全保護(hù)管理措施第十六條(人員管理要求)數(shù)據(jù)處理者應(yīng)當(dāng)按照最小必6要和職責(zé)分離原則，嚴(yán)格管理信息系統(tǒng)各類業(yè)務(wù)處理賬號、數(shù)據(jù)庫管理員等特權(quán)賬號的設(shè)立和權(quán)限，人員變動時應(yīng)當(dāng)及時調(diào)整權(quán)限或者收回賬號。數(shù)據(jù)處理者應(yīng)當(dāng)加強賬號身份認(rèn)證管理，可使用第二層級以上數(shù)據(jù)項的賬號應(yīng)當(dāng)支持身份驗證。可使用第三層級以上數(shù)據(jù)項的賬號應(yīng)當(dāng)支持多因素認(rèn)證或者實現(xiàn)二次授權(quán)，相關(guān)賬號使用人員應(yīng)當(dāng)簽署保密協(xié)議。第十七條(數(shù)據(jù)收集保護(hù)管理措施要求)數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)原則，并采取下列安全保護(hù)管理(一)除法律、行政法規(guī)明確無需說明的情形外，應(yīng)當(dāng)在隱私政策協(xié)議或者合同協(xié)議中以顯著方式、清晰易懂的語言說明數(shù)據(jù)收集的目的、范圍、方式、存儲期限，以及數(shù)據(jù)來源不合法、數(shù)據(jù)不真實情形對應(yīng)的違約責(zé)任；(二)接受其他數(shù)據(jù)處理者委托協(xié)助收集數(shù)據(jù)時，應(yīng)當(dāng)通過合同協(xié)議與其約定，是否需要代其向相關(guān)個人、組織說明委托關(guān)系；(三)非直接面向個人、組織收集數(shù)據(jù)時，應(yīng)當(dāng)要求數(shù)據(jù)提供方依照法律、行政法規(guī)取得個人、組織的同意，對于非書面同意情形，應(yīng)當(dāng)要求其出具數(shù)據(jù)來源說明材料，并依據(jù)材料評估其合法性、真實性；(四)應(yīng)當(dāng)針對數(shù)據(jù)合法性、真實性存疑等情形，明確7業(yè)務(wù)暫停使用相關(guān)數(shù)據(jù)時的應(yīng)急處置方案；(五)應(yīng)當(dāng)優(yōu)先采用數(shù)據(jù)提供方直接錄入或者信息系統(tǒng)間交互的方式收集數(shù)據(jù)；(六)因履行無障礙義務(wù)或者客觀條件限制，采用紙質(zhì)文件、影像或者代為手工錄入等方式收集數(shù)據(jù)時，應(yīng)當(dāng)采取自動識別、人工核驗等措施，保障數(shù)據(jù)錄入的及時性和準(zhǔn)確性，并按照檔案管理要求保存原始數(shù)據(jù)收集憑證；(七)停止提供其產(chǎn)品服務(wù)，合同協(xié)議履約終止或者響個人、組織合法權(quán)益要求時，應(yīng)當(dāng)主動停止數(shù)據(jù)收集活動；(八)保存數(shù)據(jù)收集行為對應(yīng)的合同協(xié)議、內(nèi)部審批記錄、數(shù)據(jù)提供方出具的數(shù)據(jù)來源說明材料和對應(yīng)評估結(jié)論等信息至少三年。第十八條(數(shù)據(jù)存儲保護(hù)管理措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)業(yè)務(wù)需要，明確數(shù)據(jù)存儲期限。除履行法定職責(zé)或者法定義務(wù)所必需外，第三層級以上數(shù)據(jù)項原則上不得在終端設(shè)備和移動介質(zhì)中存儲。確需存儲的，數(shù)據(jù)處理者在履行內(nèi)部審批程序基礎(chǔ)上，應(yīng)當(dāng)統(tǒng)一明確需在終端設(shè)備和移動介質(zhì)中存儲的特定場景、支持此類場景的必要性、應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。風(fēng)險防范措施至少應(yīng)當(dāng)包括僅在授權(quán)的終端設(shè)備和移動介質(zhì)中存儲，存儲期限不得超過審批允許的期限。數(shù)據(jù)處理者應(yīng)當(dāng)保存終端設(shè)備、移動介質(zhì)中存儲第三層8級以上數(shù)據(jù)項行為的目的說明、內(nèi)部審批記錄、授權(quán)設(shè)備或者介質(zhì)識別編號、允許存儲期限等信息至少三年。第十九條(數(shù)據(jù)使用保護(hù)管理措施要求)第三層級數(shù)據(jù)項原則上不提供導(dǎo)出使用方式，第四層級以上數(shù)據(jù)項原則上僅提供核驗使用方式，確需提供其他使用方式時，應(yīng)當(dāng)說明相關(guān)必要性，經(jīng)內(nèi)部審批并明確對應(yīng)的風(fēng)險防范措施后，據(jù)此開展。涉及第三層級以上數(shù)據(jù)項導(dǎo)出使用的風(fēng)險防范措施，原則上應(yīng)當(dāng)優(yōu)先采取加密、數(shù)字水印或者脫敏處理等安全保護(hù)措施，確需未經(jīng)安全保護(hù)即導(dǎo)出的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)導(dǎo)出需求場景，并據(jù)此開展。除面向個人、組織展示其數(shù)據(jù)，履行法定職責(zé)或者法定義務(wù)必需展示數(shù)據(jù)的兩類情形外，信息系統(tǒng)界面展示第三層級以上數(shù)據(jù)項時，原則上應(yīng)當(dāng)優(yōu)先實施脫敏處理后再展示。確需明文展示的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)展示需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。第二十條(數(shù)據(jù)加工保護(hù)管理措施要求)數(shù)據(jù)加工前，數(shù)據(jù)處理者應(yīng)當(dāng)審查加工目的與收集約定是否一致，確保數(shù)據(jù)加工不以壟斷經(jīng)營和不正當(dāng)競爭為目的，不發(fā)生誤導(dǎo)、欺詐、脅迫或者干擾等限制個人或者組織正當(dāng)選擇與決策的行為，遵循社會公德倫理。第四層級以上數(shù)據(jù)項加工，應(yīng)當(dāng)經(jīng)內(nèi)部審批并明確對應(yīng)的風(fēng)險防范措施后，據(jù)此開展。9基于加工生成的數(shù)據(jù)項面向個人提供自動化決策服務(wù)時，應(yīng)當(dāng)以適當(dāng)方式說明加工目的、加工依賴數(shù)據(jù)基本情況和加工基本邏輯，提升決策的透明度。數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)加工行為目的說明、內(nèi)部審查審批記錄、審查對應(yīng)的加工應(yīng)用程序源代碼、新產(chǎn)生數(shù)據(jù)項列表等信息至少三年。第二十一條(促進(jìn)數(shù)據(jù)開發(fā)利用)使用第三層級以上數(shù)據(jù)項加工后產(chǎn)生的數(shù)據(jù)項，經(jīng)評估確認(rèn)無法識別至特定個人、組織，或者反映信息敏感程度明顯低于原數(shù)據(jù)項時，數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后，可視情降低敏感性層級，促進(jìn)數(shù)據(jù)依法合規(guī)開發(fā)利用。第二十二條(數(shù)據(jù)傳輸保護(hù)管理措施要求)除履行法定職責(zé)或者法定義務(wù)所必需外，數(shù)據(jù)處理者原則上不得采用互聯(lián)網(wǎng)郵件、即時通訊、在線文件傳輸、交互性信息服務(wù)等互聯(lián)網(wǎng)信息服務(wù)或者通過移動介質(zhì)交換傳輸?shù)谌龑蛹壱陨蠑?shù)據(jù)項，確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)傳輸需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。第二十三條(一般性數(shù)據(jù)提供保護(hù)管理措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對自身業(yè)務(wù)開展所需的數(shù)據(jù)提供行為采取下列安全保護(hù)管理措施：(一)涉及個人信息的數(shù)據(jù)提供行為，應(yīng)當(dāng)評估確認(rèn)遵守有關(guān)法律、行政法規(guī)的規(guī)定。其他數(shù)據(jù)提供行為，應(yīng)當(dāng)評估確認(rèn)不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密(二)通過合同協(xié)議方式與數(shù)據(jù)接收方約定數(shù)據(jù)提供的目的、方式、范圍、規(guī)模、允許存儲時限、將數(shù)據(jù)再轉(zhuǎn)移提供至第三方的限定條件，要求接收方及時告知可能發(fā)生的數(shù)據(jù)泄露事件，明確各方數(shù)據(jù)安全保護(hù)責(zé)任和至少應(yīng)當(dāng)采取的安全保護(hù)措施；(三)向個人、組織提供其數(shù)據(jù)時，可視情簡化合同協(xié)議簽訂和對應(yīng)內(nèi)部審批要求，但應(yīng)當(dāng)先行核實其身份的真實(四)對于委托處理情形，在合同協(xié)議中進(jìn)一步明確委托處理受托人重要事項報告、及時返還和刪除數(shù)據(jù)的實施方式、接受并配合數(shù)據(jù)處理者監(jiān)督其委托處理活動等義務(wù)；(五)有效監(jiān)督委托處理受托人履約情況，定期評估確認(rèn)其數(shù)據(jù)處理活動符合事前約定，并已采取承諾的全部安全保護(hù)措施；(六)對于委托處理以外情形，第三層級數(shù)據(jù)項應(yīng)當(dāng)優(yōu)先通過查詢、固定報表和核驗方式向其他數(shù)據(jù)處理者提供，第四層級以上數(shù)據(jù)項應(yīng)當(dāng)優(yōu)先通過核驗方式向其他數(shù)據(jù)處理者提供，確需以其他方式提供的，在履行內(nèi)部審批程序基礎(chǔ)上，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)提供需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展；(七)切實保障提供數(shù)據(jù)的質(zhì)量，對提供數(shù)據(jù)真實性作必要核驗，按照約定格式做好數(shù)據(jù)清洗轉(zhuǎn)換，不得提供虛假數(shù)據(jù)誤導(dǎo)數(shù)據(jù)接收方、合作方；(八)保存數(shù)據(jù)提供行為評估記錄、內(nèi)部審批記錄、對應(yīng)的合同協(xié)議內(nèi)容、監(jiān)督過程中識別的風(fēng)險及整改處置情況等信息至少三年。第二十四條(特殊性數(shù)據(jù)提供保護(hù)管理措施要求)數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供重要數(shù)據(jù)前，應(yīng)當(dāng)依照法律、行政法規(guī)要求，說明重要數(shù)據(jù)的具體信息，從數(shù)據(jù)接收方數(shù)據(jù)處理目的方式和范圍的合法正當(dāng)必要性、潛在安全隱患、數(shù)據(jù)接收方誠信守法和背景情況、合約協(xié)議完備性和擬采取的安全保護(hù)管理和技術(shù)措施等方面做好風(fēng)險評估并保存報告至少三年。在此基礎(chǔ)上，數(shù)據(jù)處理者還應(yīng)當(dāng)通過法律、行政法規(guī)明確規(guī)定的安全評估。數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)前，還應(yīng)當(dāng)提請國家數(shù)據(jù)安全工作協(xié)調(diào)機制辦公室批準(zhǔn)。除履行法定職責(zé)或者法定義務(wù)所明確情形外，數(shù)據(jù)處理者不得通過拆分等方式規(guī)避上述義務(wù)。數(shù)據(jù)處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)通過公告等方式將數(shù)據(jù)接收方信息告知相關(guān)個人、組織，并評估確認(rèn)不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密要求。重要數(shù)據(jù)的處理者發(fā)生合并、分立、解散或者申請重整、和解以及破產(chǎn)清算等情況時，法律、行政法規(guī)有明確要求的，應(yīng)當(dāng)事前向中國人民銀行報告重要數(shù)據(jù)處置方案和數(shù)據(jù)接收方基本情況。第二十五條(數(shù)據(jù)融合創(chuàng)新應(yīng)用管理措施要求)數(shù)據(jù)處理者采用隱私計算等技術(shù)促進(jìn)數(shù)據(jù)融合創(chuàng)新應(yīng)用時，應(yīng)當(dāng)確認(rèn)原始數(shù)據(jù)未離開自身控制范圍，且多個數(shù)據(jù)提供行為關(guān)聯(lián)后，暴露約定范圍外信息的風(fēng)險可控。第二十六條(數(shù)據(jù)出境限制管理措施要求)數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲要求的，應(yīng)當(dāng)在境內(nèi)存儲。數(shù)據(jù)處理者因自身需要向境外提供數(shù)據(jù)，存在國家網(wǎng)信部門規(guī)定情形的，應(yīng)當(dāng)嚴(yán)格遵守其有關(guān)規(guī)定事前開展數(shù)據(jù)出境風(fēng)險自評估并申報數(shù)據(jù)出境安全評估。數(shù)據(jù)處理者不得有意拆分、縮減出境數(shù)據(jù)規(guī)模以規(guī)避申報數(shù)據(jù)出境安全評估。對于因自身需要的數(shù)據(jù)出境提供行為，數(shù)據(jù)處理者應(yīng)當(dāng)于每年1月底前測算或者估算其上兩年內(nèi)累計出境數(shù)據(jù)規(guī)模與范圍，并保存測算估算結(jié)果和對應(yīng)的境外接收方聯(lián)系方式至少三年。涉及數(shù)據(jù)出境安全評估的，數(shù)據(jù)處理者還應(yīng)當(dāng)保存有效期內(nèi)的數(shù)據(jù)出境風(fēng)險自評估報告、數(shù)據(jù)出境安全評估申報書和評估結(jié)果。第二十七條(國際組織和外國金融管理部門數(shù)據(jù)調(diào)取)中國人民銀行根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理國際組織和外國金融管理部門關(guān)于提供數(shù)據(jù)的請求。非經(jīng)中國人民銀行和其他有關(guān)主管部門批準(zhǔn)，數(shù)據(jù)處理者不得向其提供境內(nèi)存儲的數(shù)據(jù)。第二十八條(數(shù)據(jù)公開保護(hù)管理措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)履行內(nèi)部審批手續(xù)，審核數(shù)據(jù)公開行為的目的、數(shù)據(jù)內(nèi)容范圍、渠道、時限和脫敏處理情況，分析研判可能產(chǎn)生的負(fù)面影響，并核驗數(shù)據(jù)的合法性、真實性與有效性。數(shù)據(jù)公開渠道原則上應(yīng)當(dāng)為本單位統(tǒng)一明確的官方渠道。確有需要通過其他渠道公開的，應(yīng)當(dāng)經(jīng)內(nèi)部審批并明確對應(yīng)的風(fēng)險防范措施后，據(jù)此開展。第二層級以上數(shù)據(jù)項公開時，數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)公開行為目的說明、日期、公開渠道、數(shù)據(jù)范圍和內(nèi)部審批記錄等信息至少三年。第三層級以上數(shù)據(jù)項原則上應(yīng)當(dāng)實施脫敏處理后再公開，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確第三層級以上數(shù)據(jù)項確需未經(jīng)脫敏處理即允許公開的特定需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。第二十九條(數(shù)據(jù)刪除保護(hù)管理措施要求)涉及個人信息的數(shù)據(jù)，滿足法律、行政法規(guī)規(guī)定應(yīng)當(dāng)刪除情形時，數(shù)據(jù)處理者應(yīng)當(dāng)主動刪除數(shù)據(jù)。其他數(shù)據(jù)已超過與組織約定的存儲時限，或者組織提出符合法律、行政法規(guī)規(guī)定的正當(dāng)請求時，數(shù)據(jù)處理者應(yīng)當(dāng)主動刪除數(shù)據(jù)。刪除數(shù)據(jù)從技術(shù)上難以實現(xiàn)的，數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。數(shù)據(jù)處理者應(yīng)當(dāng)每年至少對信息系統(tǒng)業(yè)務(wù)處理賬號、特權(quán)賬號實施一次核驗，確認(rèn)已停止除存儲和必要安全保護(hù)措施之外處理的數(shù)據(jù)，不可被訪問使用。數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況時，合法合規(guī)完成自身需要的數(shù)據(jù)轉(zhuǎn)移處理后，應(yīng)當(dāng)及時銷毀全部數(shù)據(jù)存儲介質(zhì)。中國人民銀行或其住所地分支機構(gòu)依據(jù)法律、行政法規(guī)另有數(shù)據(jù)轉(zhuǎn)移要求的，還應(yīng)當(dāng)按照要求將數(shù)據(jù)轉(zhuǎn)移至指定接收方后再銷毀數(shù)據(jù)存儲介質(zhì)。第五章數(shù)據(jù)安全保護(hù)技術(shù)措施第三十條(賬號權(quán)限保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)采取有效技術(shù)措施，從嚴(yán)管控業(yè)務(wù)處理賬號的數(shù)據(jù)使用權(quán)限，鼓勵建設(shè)技術(shù)平臺，采取統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)策略進(jìn)一步加強管控。數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確特權(quán)賬號的使用場景，并通過內(nèi)部審批授權(quán)，嚴(yán)格限定其使用?？墒褂玫谌龑蛹壱陨蠑?shù)據(jù)項的特權(quán)賬號，涉及人工操作的數(shù)據(jù)庫表刪除、修改等操作應(yīng)當(dāng)逐一進(jìn)行事前審查和事后審計。第三十一條(數(shù)據(jù)處理活動日志保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的日志規(guī)范，明確數(shù)據(jù)處理活動日志應(yīng)當(dāng)完整記錄的溯源所需信息。第三層級數(shù)據(jù)項如需在數(shù)據(jù)處理活動日志中記錄原則上應(yīng)當(dāng)實施脫敏處理，第四層級以上數(shù)據(jù)項原則上不記錄。確有需要的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)日志記錄需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開展。數(shù)據(jù)處理者應(yīng)當(dāng)將數(shù)據(jù)處理活動日志納入數(shù)據(jù)分類分級管理，并落實對應(yīng)的管理和技術(shù)措施要求。數(shù)據(jù)處理者應(yīng)當(dāng)妥善保存數(shù)據(jù)處理活動日志至少六個月。向其他數(shù)據(jù)處理者提供涉及個人信息的數(shù)據(jù)或者重要數(shù)據(jù)的行為，相關(guān)日志應(yīng)當(dāng)保存至少三年。第三十二條(數(shù)據(jù)收集保護(hù)技術(shù)措施要求)采用直接錄入方式收集第二層級以上數(shù)據(jù)項，應(yīng)當(dāng)核驗錄入人身份。采用信息系統(tǒng)間交互方式收集第三層級以上數(shù)據(jù)項，應(yīng)當(dāng)對數(shù)據(jù)提供方身份進(jìn)行認(rèn)證，并保障收集數(shù)據(jù)的完整性。數(shù)據(jù)處理者應(yīng)當(dāng)采取關(guān)聯(lián)信息交叉核驗等技術(shù)措施，識別并規(guī)避數(shù)據(jù)項同一內(nèi)容不合理映射至多個個人或者組織、不同數(shù)據(jù)項信息相互矛盾等問題，盡可能保障收集數(shù)據(jù)的準(zhǔn)確性，避免損害個人、組織的合法權(quán)益。數(shù)據(jù)處理者面向個人直接錄入方式收集數(shù)據(jù)時，應(yīng)當(dāng)建立健全技術(shù)措施，識別法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)臄?shù)據(jù)處理者采用自動化搜集方式從其他數(shù)據(jù)處理者收集數(shù)據(jù)時，應(yīng)當(dāng)遵守其數(shù)據(jù)訪問控制協(xié)議，不得干擾其網(wǎng)絡(luò)服務(wù)正常運行，不得侵害其原有網(wǎng)絡(luò)服務(wù)合法運營權(quán)益。第三十三條(數(shù)據(jù)存儲保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對數(shù)據(jù)存儲行為采取下列安全保護(hù)技術(shù)措施：(一)有效隔離開發(fā)測試環(huán)境與生產(chǎn)環(huán)境數(shù)據(jù)存儲設(shè)施設(shè)備；(二)存儲重要數(shù)據(jù)或者一百萬人以上個人信息的信息系統(tǒng)應(yīng)當(dāng)落實三級以上網(wǎng)絡(luò)安全等級保護(hù)要求，存儲核心數(shù)據(jù)的信息系統(tǒng)應(yīng)當(dāng)落實四級網(wǎng)絡(luò)安全等級保護(hù)要求或者關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求；(三)除因業(yè)務(wù)影響、產(chǎn)業(yè)制約，并可提供詳細(xì)分析報告情形外，應(yīng)當(dāng)優(yōu)先采用商用密碼技術(shù)對信息系統(tǒng)中第三層級以上數(shù)據(jù)項實施加密存儲，結(jié)構(gòu)化數(shù)據(jù)項在對數(shù)據(jù)庫文件整體實施加密基礎(chǔ)上鼓勵進(jìn)一步采用更細(xì)粒度的加密方式，非結(jié)構(gòu)化數(shù)據(jù)項可僅對拆分的第三層級以上結(jié)構(gòu)化數(shù)據(jù)項單獨實施加密；(四)按照業(yè)務(wù)連續(xù)性保障等級，加強信息系統(tǒng)數(shù)據(jù)冗余備份管理，對于恢復(fù)點目標(biāo)要求小于十分鐘的信息系統(tǒng)，每天至少驗證一次最新冗余備份數(shù)據(jù)可被正常加載使用；對于其他信息系統(tǒng)應(yīng)當(dāng)逐一明確驗證頻率要求，據(jù)此定期驗證最新冗余備份數(shù)據(jù)可被正常加載使用。鼓勵數(shù)據(jù)處理者針對需要進(jìn)一步容災(zāi)備份的數(shù)據(jù)，采取獨立于信息系統(tǒng)災(zāi)難備份體系以外的備份技術(shù)措施。第三十四條(數(shù)據(jù)使用保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確第三層級以上數(shù)據(jù)項的脫敏處理策略，降低脫敏數(shù)據(jù)仍可識別至個人、組織的風(fēng)險。數(shù)據(jù)處理者應(yīng)當(dāng)采取數(shù)字水印等措施，標(biāo)識信息系統(tǒng)當(dāng)前數(shù)據(jù)使用賬號、時間等信息，并在展示后及時清除緩存信息，提升數(shù)據(jù)展示、打印等使用過程的安全防護(hù)和溯源能力。數(shù)據(jù)處理者應(yīng)當(dāng)建立終端設(shè)備安全管控策略，鼓勵針對使用第三層級以上數(shù)據(jù)項的終端，采取安全沙箱、終端行為管控等安全保護(hù)措施。生產(chǎn)環(huán)境第二層級以上數(shù)據(jù)項原則上應(yīng)當(dāng)經(jīng)授權(quán)并實施脫敏處理后才能用于開發(fā)測試，確需不經(jīng)脫敏處理即用于開發(fā)測試的，數(shù)據(jù)處理者應(yīng)當(dāng)履行內(nèi)部審批手續(xù)，并采取與生產(chǎn)環(huán)境一致的安全保護(hù)管理和技術(shù)措施，確保開發(fā)測試數(shù)據(jù)安全。第三十五條(數(shù)據(jù)加工保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的加工算法風(fēng)險評估和控制策略，明確可解釋性、脆弱性等風(fēng)險對應(yīng)的緩釋措施以及退出算法自動化決策的替代方案。第三十六條(數(shù)據(jù)傳輸保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對數(shù)據(jù)傳輸行為采取下列安全保護(hù)技術(shù)措施：(一)通過運營商網(wǎng)絡(luò)傳輸?shù)诙蛹壱陨蠑?shù)據(jù)項時，采線路、虛擬專用網(wǎng)絡(luò)、安全通信協(xié)議等安全保護(hù)措施；(二)動態(tài)更新記錄不同網(wǎng)絡(luò)安全區(qū)域間正常數(shù)據(jù)傳輸對應(yīng)的網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議通信映射關(guān)系，加強安全隔離與終端設(shè)備準(zhǔn)入控制；(三)第三層級以上數(shù)據(jù)項傳輸至其他數(shù)據(jù)處理者、傳輸至不同數(shù)據(jù)中心或者傳輸至運營商網(wǎng)絡(luò)時，應(yīng)當(dāng)優(yōu)先使用商用密碼技術(shù)保障機密性，并根據(jù)業(yè)務(wù)需要使用商用密碼技術(shù)加強完整性和抗抵賴性保障，未使用商用密碼技術(shù)進(jìn)行傳輸保護(hù)的，數(shù)據(jù)處理者應(yīng)當(dāng)統(tǒng)一明確相關(guān)傳輸需求場景、支持此類場景的必要性和應(yīng)當(dāng)采取的風(fēng)險防范措施，并據(jù)此開(四)在傳輸失敗或者傳輸完成后，及時刪除不必要的緩存數(shù)據(jù)；(五)及時評估調(diào)整網(wǎng)絡(luò)線路的傳輸承載容量，加強網(wǎng)絡(luò)線路和相關(guān)軟硬件設(shè)備的冗余備份。第三十七條(數(shù)據(jù)提供保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)針對數(shù)據(jù)提供行為采取下列安全保護(hù)技術(shù)措施：(一)針對持續(xù)性數(shù)據(jù)提供行為建設(shè)較為集中的技術(shù)平臺，并采用前置網(wǎng)關(guān)或者應(yīng)用程序接口方式向其他數(shù)據(jù)處理者提供數(shù)據(jù)；(二)提供從其他數(shù)據(jù)處理者收集獲得的數(shù)據(jù)項，中國人民銀行有明確需公開數(shù)據(jù)來源要求的，應(yīng)當(dāng)以顯著方式標(biāo)識來源；(三)提供第三層級以上數(shù)據(jù)項時應(yīng)當(dāng)對數(shù)據(jù)接收方身份進(jìn)行認(rèn)證；(四)采用隱私計算技術(shù)提供數(shù)據(jù)時，應(yīng)當(dāng)建立統(tǒng)一的技術(shù)風(fēng)險評估和控制策略，明確安全可驗證性、性能可接受性等風(fēng)險對應(yīng)的緩釋措施；(五)對于委托處理情形的數(shù)據(jù)提供行為，應(yīng)當(dāng)納入信息科技外包管理體系統(tǒng)一管理。第三十八條(數(shù)據(jù)公開保護(hù)技術(shù)措施要求)數(shù)據(jù)處理者應(yīng)當(dāng)明確自身已公開數(shù)據(jù)是否可被自動化搜集的數(shù)據(jù)訪問控制協(xié)議，并采取有效技術(shù)措施，保障公開數(shù)據(jù)不被篡改。第三十九條(數(shù)據(jù)刪除保護(hù)技術(shù)措施要求)刪除數(shù)據(jù)涉及數(shù)據(jù)存儲介質(zhì)銷毀工作時，數(shù)據(jù)處理者應(yīng)當(dāng)建立統(tǒng)一的數(shù)據(jù)存儲介質(zhì)銷毀策略，明確銷毀技術(shù)方式和過程監(jiān)督措施。存儲第三層級以上數(shù)據(jù)項的存儲介質(zhì)不再使用并且離開數(shù)據(jù)處理者控制范圍時，應(yīng)當(dāng)及時銷毀。數(shù)據(jù)處理者應(yīng)當(dāng)保存數(shù)據(jù)存儲介質(zhì)銷毀日期、銷毀介質(zhì)識別編號、采取的銷毀技術(shù)方式、操作執(zhí)行及復(fù)核人等信息至少三年。0第六章風(fēng)險監(jiān)測、評估審計與事件處置措施第四十條(數(shù)據(jù)處理活動風(fēng)險監(jiān)測)數(shù)據(jù)處理者應(yīng)當(dāng)采取有效措施，強化數(shù)據(jù)處理活動安全風(fēng)險監(jiān)測和告警，推進(jìn)違規(guī)數(shù)據(jù)處理活動阻斷技術(shù)措施建設(shè)，及時做好風(fēng)險隱患的溯源排查處置，并核驗技術(shù)措施的有效性和可靠性。監(jiān)測告警規(guī)則應(yīng)當(dāng)重點關(guān)注下列事項：(一)收集、提供的數(shù)據(jù)存在惡意程序或者法律、行政法規(guī)禁止傳輸?shù)男畔ⅲ?二)危害數(shù)據(jù)安全的漏洞；(三)終端設(shè)備和移動介質(zhì)未經(jīng)授權(quán)存儲第三層級以上數(shù)據(jù)項；(四)識別到不明用途的數(shù)據(jù)存儲網(wǎng)絡(luò)地址；(五)未授權(quán)的數(shù)據(jù)使用行為，發(fā)生時間、網(wǎng)絡(luò)地址、頻率、總量存在明顯異常的數(shù)據(jù)使用行為；(六)用戶身份認(rèn)證強度較弱；(七)開發(fā)測試環(huán)境中使用未授權(quán)或者未經(jīng)脫敏處理的生產(chǎn)環(huán)境數(shù)據(jù)；(八)對第四層級以上數(shù)據(jù)項實施加工、提供等行為；(九)異常的網(wǎng)絡(luò)通信行為和非授權(quán)終端設(shè)備接入內(nèi)部網(wǎng)絡(luò)的行為；(十)未經(jīng)商用密碼技術(shù)加密傳輸?shù)谌龑蛹壱陨蠑?shù)據(jù)1(十一)終端設(shè)備使用互聯(lián)網(wǎng)郵件、公共即時通訊、互聯(lián)網(wǎng)文件傳輸工具傳輸?shù)谌龑蛹壱陨蠑?shù)據(jù)項或者打印第三層級以上數(shù)據(jù)項；(十二)網(wǎng)絡(luò)線路數(shù)據(jù)傳輸承載能力不足；(十三)使用前置網(wǎng)關(guān)或者應(yīng)用程序接口方式提供超出合同協(xié)議約定范圍數(shù)據(jù)的異常行為；(十四)違反數(shù)據(jù)訪問控制協(xié)議的公開數(shù)據(jù)異常訪問第四十一條(數(shù)據(jù)安全風(fēng)險情報監(jiān)測)數(shù)據(jù)處理者應(yīng)當(dāng)加強數(shù)據(jù)安全風(fēng)險情報的監(jiān)測，及時核實并做好必要的數(shù)據(jù)安全防范處置工作。監(jiān)測規(guī)則應(yīng)當(dāng)重點關(guān)注下列事項：(一)本單位非公開數(shù)據(jù)泄漏至互聯(lián)網(wǎng)的情況；(二)兜售本單位數(shù)據(jù)的情況；(三)假冒本單位身份非法收集、公開數(shù)據(jù)，或者對本單位管理的數(shù)據(jù)進(jìn)行造謠傳謠的情況；(四)與本單位或者具有關(guān)聯(lián)關(guān)系的數(shù)據(jù)處理者相關(guān)的數(shù)據(jù)安全負(fù)面輿情信息；(五)與本單位合作的數(shù)據(jù)接收方、委托處理受托人相關(guān)的數(shù)據(jù)安全負(fù)面輿情信息。第四十二條(數(shù)據(jù)安全通報預(yù)警監(jiān)測)數(shù)據(jù)處理者應(yīng)當(dāng)及時接收、核查和處置中國人民銀行或其分支機構(gòu)通報的數(shù)2據(jù)安全風(fēng)險情報，并根據(jù)要求按時反饋核查處置結(jié)果。鼓勵數(shù)據(jù)處理者積極向中國人民銀行或其分支機構(gòu)提供可共享的數(shù)據(jù)安全風(fēng)險情報，提升聯(lián)防聯(lián)控效能。第四十三條(數(shù)據(jù)安全風(fēng)險評估)重要數(shù)據(jù)的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托檢測機構(gòu)，每年組織開展一次全面的數(shù)據(jù)安全風(fēng)險評估工作，于下年度一季度末前向中國人民銀行或其住所地分支機構(gòu)報送風(fēng)險評估報告，并按照行政法規(guī)要求向?qū)?yīng)的網(wǎng)信部門報送。除法律、行政法規(guī)已明確的內(nèi)容外，風(fēng)險評估報告還應(yīng)當(dāng)重點評估下列風(fēng)險，并提出改進(jìn)應(yīng)對措施：(一)數(shù)據(jù)分類分級實施制度、違規(guī)數(shù)據(jù)處理活動定責(zé)規(guī)程和問責(zé)處罰措施、數(shù)據(jù)處理活動全流程數(shù)據(jù)安全管理制度和相關(guān)操作規(guī)程的建設(shè)情況；(二)數(shù)據(jù)安全決策、管理、執(zhí)行、監(jiān)督各層面職責(zé)劃分和對應(yīng)崗位設(shè)置是否明確、合理，實際職責(zé)落實情況；(三)人員培訓(xùn)和日常管理情況；(四)重要數(shù)據(jù)識別判定情況，處理重要數(shù)據(jù)的目的、范圍、規(guī)模、方式、類型、存儲期限和存儲地點等情況；(五)重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動記錄信息的真實性與完整性；(六)重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動全流程管理和技術(shù)措施執(zhí)行情況及其有效性；3(七)存儲重要數(shù)據(jù)信息系統(tǒng)的網(wǎng)絡(luò)安全等級保護(hù)測評和問題整改落實情況；(八)重要數(shù)據(jù)相關(guān)的數(shù)據(jù)處理活動風(fēng)險監(jiān)測預(yù)警和溯源排查情況；(九)數(shù)據(jù)安全事件定級判定標(biāo)準(zhǔn)建設(shè)情況，應(yīng)急預(yù)案、應(yīng)急處置流程設(shè)計與演練實施情況，以及本年度發(fā)生的數(shù)據(jù)安全事件及處置情況；(十)向其他數(shù)據(jù)處理者提供重要數(shù)據(jù)的風(fēng)險評估報第四十四條(數(shù)據(jù)安全審計)數(shù)據(jù)處理者應(yīng)當(dāng)圍繞全流程數(shù)據(jù)安全管理制度和相關(guān)操作規(guī)程執(zhí)行情況、數(shù)據(jù)安全相關(guān)投訴處理情況，每年至少開展一次與數(shù)據(jù)安全相關(guān)的合規(guī)審計。發(fā)生重大以上數(shù)據(jù)安全事件后，應(yīng)當(dāng)及時開展專項審計，督促數(shù)據(jù)處理活動過程留痕，安全保障責(zé)任落實到人。第四十五條(數(shù)據(jù)安全風(fēng)險評估與審計的安全保障)數(shù)據(jù)處理者應(yīng)當(dāng)細(xì)化管控數(shù)據(jù)安全風(fēng)險評估人員和審計人員使用數(shù)據(jù)的權(quán)限，并采取有效措施確保實施過程安全。鼓勵數(shù)據(jù)處理者建立技術(shù)平臺，統(tǒng)一建立數(shù)據(jù)安全風(fēng)險評估與審計的安全管控策略。數(shù)據(jù)安全風(fēng)險評估報告和審計報告不得記錄第四層級以上數(shù)據(jù)項。報告保存期限不得短于實施過程中使用數(shù)據(jù)的存儲期限，且最短不得低于三年。4委托檢測機構(gòu)、審計機構(gòu)開展數(shù)據(jù)安全風(fēng)險評估或者審計工作時，數(shù)據(jù)處理者應(yīng)當(dāng)在合同協(xié)議中明確其數(shù)據(jù)安全保護(hù)責(zé)任，并指定本單位人員全程參與評估。第四十六條(數(shù)據(jù)安全事件定級判定)數(shù)據(jù)處理者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案有關(guān)事件分級要求，綜合考慮影響范圍和程度，細(xì)化明確各等級數(shù)據(jù)安全事件對應(yīng)的定級判定標(biāo)準(zhǔn)：(一)對于數(shù)據(jù)被篡改、破壞的事件，定級標(biāo)準(zhǔn)應(yīng)當(dāng)考慮不同業(yè)務(wù)連續(xù)性保障等級信息系統(tǒng)無法正常服務(wù)的時長、影響的業(yè)務(wù)筆數(shù)與金額、影響的個人或者組織數(shù)量、損失的各敏感性層級數(shù)據(jù)項情況和對應(yīng)數(shù)據(jù)規(guī)模、帶來的輿情影響(二)對于數(shù)據(jù)泄露事件，定級標(biāo)準(zhǔn)應(yīng)當(dāng)考慮涉及的個人或者組織數(shù)量、泄露的各敏感性層級數(shù)據(jù)項情況和對應(yīng)數(shù)據(jù)規(guī)模、帶來的輿情影響等；(三)涉及核心數(shù)據(jù)、重要數(shù)據(jù)的安全事件，應(yīng)當(dāng)分別定級為特別重大事件、重大事件。第四十七條(數(shù)據(jù)安全事件響應(yīng)處置)數(shù)據(jù)處理者應(yīng)當(dāng)將數(shù)據(jù)安全事件納入網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制統(tǒng)一管理，制定相關(guān)應(yīng)急預(yù)案，做好事件定級、處置、總結(jié)、報告、整改工作，按照規(guī)程向中國人民銀行或其住所地分支機構(gòu)、其他有關(guān)主管部門報告事件信息。5數(shù)據(jù)處理者應(yīng)當(dāng)每年至少開展一次針對數(shù)據(jù)安全事件的應(yīng)急演練，確保應(yīng)急處置措施的效率和效果。合作的數(shù)據(jù)接收方、委托處理受托人發(fā)生與本單位所提供數(shù)據(jù)相關(guān)的數(shù)據(jù)安全事件時，數(shù)據(jù)處理者應(yīng)當(dāng)立即開展調(diào)查評估，督促其及時采取補救措施。第七章法律責(zé)任第四十八條(監(jiān)督管理責(zé)任履行)中國人民銀行及其分支機構(gòu)，按照管轄權(quán)對數(shù)據(jù)處理者數(shù)據(jù)安全保護(hù)義務(wù)落實情況開展執(zhí)法檢查。必要時可以與其他有關(guān)主管部門聯(lián)合組織對數(shù)據(jù)處理者的執(zhí)法檢查。中國人民銀行及其分支機構(gòu)在執(zhí)法檢查過程中發(fā)現(xiàn)數(shù)據(jù)處理者的數(shù)據(jù)處理活動存在較大安全風(fēng)險時，依照《中華人民共和國數(shù)據(jù)安全法》第四十四條予以處理；發(fā)現(xiàn)影響或者可能影響國家安全的數(shù)據(jù)處理活動線索時，應(yīng)當(dāng)及時報國家數(shù)據(jù)安全工作協(xié)調(diào)機制辦公室，研判是否啟動國家數(shù)據(jù)安全審查。第四十九條(違反數(shù)據(jù)安全保護(hù)義務(wù)行為的處理)在本辦法適用范圍內(nèi)，數(shù)據(jù)處理者未履行數(shù)據(jù)安全保護(hù)義務(wù)，有下列情形之一的，中國人民銀行及其分支機構(gòu)依照《中華人民共和國數(shù)據(jù)安全法》第四十五條規(guī)定予以處理：(一)未按照本辦法第十二條規(guī)定，明確或者壓實數(shù)據(jù)6安全保護(hù)責(zé)任；(二)未按照本辦法第十三條規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度；(三)未按照本辦法第十四條規(guī)定，制定數(shù)據(jù)安全年度培訓(xùn)計劃，未組織開展相關(guān)教育培訓(xùn)；(四)除本辦法第五十條、第五十一條規(guī)定情形外，未對應(yīng)采取本辦法第四章和第五章所規(guī)定的數(shù)據(jù)安全保護(hù)管理措施或者技術(shù)措施；(五)未按照本辦法第四十條、第四十一條規(guī)定，做好數(shù)據(jù)處理活動風(fēng)險監(jiān)測或者數(shù)