引言

2025年5月9日，中国人民银行（以下简称“央行”）经过近两年的征求意见，正式发布《中国人民银行业务领域数据安全管理办法》（以下简称“《办法》”），《办法》将于6月30日起正式施行，作为首部全面规制央行业务领域数据安全的规范性文件，从机构管理、数据分类分级、数据全流程管理以及数据风险监测和处置应对等方面对相关的数据处理者提出了明确的合规要求。

一、新规出台背景和影响

《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线；加强数据分类分级管理。《中华人民共和国数据安全法》明确工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。《办法》全面衔接《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律法规，细化明确央行业务领域数据安全合规底线要求，督促指导相关数据处理者合规开展数据处理活动、履行数据安全保护义务，明确提出重要数据的处理者应当自行或者委托第三方评估机构，每年对业务数据开展一次风险评估，并按期向央行报送风险评估报告，同时须每年至少开展一次与重要数据安全相关的合规审计，以保障个人、组织合法权益，同时也督促金融机构切实强化业务数据全流程风险防控能力，保障我国现代化金融体系稳健运行。

二、监管逻辑和核心目标

《办法》作为央行业务领域的首部数据安全专门性规范，意在贯彻落实《国务院办公厅关于深入推进跨部门综合监管的指导意见》提出的“完善各司其职、各负其责、相互配合、齐抓共管的协同监管机制”精神，明确其他有关主管部门有规定的，还应当依法遵守；明确央行加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通，必要时可以与其他有关主管部门联合实施执法检查，凝聚行业监管合力。

《办法》规定了金融机构以及经央行批准设立或者认定的其他机构在中国境内开展的央行业务领域数据相关处理活动的安全要求，督促指导相关数据处理者合规开展数据处理活动、履行数据安全保护义务，同时明确例外情形下豁免相关义务的措施，相关措施要求不影响正常办理金融业务。《办法》明确从轻或减轻行政处罚的情形，鼓励数据处理者勤勉尽责加强数据安全保护，支持数据处理者提供有价值的数据安全风险情报和协助及时发现重大数据安全风险隐患，有利于协同加强数据安全保障。

三、适用主体范围和数据领域

《办法》严格遵照党中央、国务院关于数据安全管理的分工原则，依据《中华人民共和国中国人民银行法》、中国人民银行主要职责等，规定业务数据安全工作遵循“谁管业务，谁管业务数据，谁管数据安全”原则。央行对业务数据安全负指导监管责任。《办法》适用范围聚焦于金融机构以及经央行批准设立或者认定的其他机构，该部分机构应包括银行、支付机构、征信机构、银联等清算机构，（以下合称“金融机构”）金融机构作为数据处理者，应当履行数据安全保护义务，防范业务数据被篡改、破坏、泄露或者非法获取、非法利用等风险。

《办法》规制在中国境内开展的中国人民银行业务领域数据相关处理活动，即中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据，该业务领域是指由央行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等领域。

四、金融机构相关数据处理者合规义务重点解析

（一）数据分类分级：

业务数据分类分级要求（第二章）可以说是《办法》的核心基础，目的在于提升数据安全管理精准性、有效性、合理性，该部分规定也为后续的数据全生命周期安全管理与风险防控设定了框架，更是《数据安全法》《个人信息保护法》等上位法关于数据分级分类和保护的要求。《办法》提出由中国人民银行负责制定业务数据分类分级保护相关规范标准，同时第7至13条详细规定了金融机构相关数据处理者必须履行以下合规义务：

· 建立健全业务数据分类分级制度和操作规程，分类分级结果应当履行内部审批程序。

 ·根据数据的性质、特征、相关方、处理目的及方式等属性或特征，将数据从业务关联性、敏感性和可用性三个方面进行业务数据分类，分类应服务于管理需要和保护要求，要能有效支撑后续的分级和保护措施落地，如：是否为个人信息，数据产生或来源方式、存储系统与业务类别的关联性；对于结构化数据项应当逐一标识敏感性，非结构化数据项应优先标识为最高敏感性，敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等，应标识为高敏感性数据项；可用性方面要求数据应结合被篡改、破坏后的影响程度，明确信息系统差异化的数据恢复点目标。

·对于业务数据分级，《办法》与《数据安全法》等数据监管领域现行法律规定基本保持一致，金融机构须根据数据危害程度，按照一般数据、重要数据、核心数据进行三级划分，且每年至少更新一次业务数据资源目录，准确识别、申报是否属于重要数据、核心数据并按规定进行填报。

· 关于数据安全保护，《办法》对金融机构相关数据处理者从制度流程、重要/核心数据的识别管理，机构岗位权限、分区域管理等方面的关键职责提出了要求：数据处理者应明确业务数据安全保护相关内设部门职责，配备与业务范围和服务规模相适应的数据安全专业人员，建立健全全流程业务数据安全管理制度，制定业务数据安全年度培训计划，每年组织开展相关教育培训。同时重要数据的处理者应当明确业务数据的安全负责人和管理机构，安全负责人应符合法律法规的条件并有权直接向央行报告数据安全情况。

（二）业务数据全流程安全管理/技术要求

《办法》专章规定了银行业业务数据全流程安全管理要求，管理范围覆盖数据收集、存储、使用、加工、传输、提供、公开、删除（销毁）等全部环节，要求安全措施必须与数据的安全级别、重要性以及处理活动的风险相适应，明确各环节的责任主体（部门、岗位）和操作权限，反映了“数据安全无小事”的监管思路。《办法》要求金融机构数据处理者在数据的“生老病死”全过程中必须采取以下安全管理/技术措施：

 ·账号管理：数据处理者应当严格管理各类业务处理账号，高敏感性数据项账号使用应签订保密协议。存储核心数据的，应当对业务数据的安全负责人和可使用核心数据的关键岗位人员进行安全背景审查。

· 数据收集：收集业务数据应取得授权并告知，非直接收集业务数据，应当通过合同约定明确数据来源合法性、真实性；原则上不收集图像等原始个人生物识别信息，业务数据处理应按照与数据提供方的合同约定进行。

· 数据存储：数据保存期限应明确，高敏感性数据项原则上不能存储在终端设备和移动介质中。

· 数据使用：高敏感性数据项原则上不采取导出方式且须实施脱敏处理，使用用于身份鉴别的数据项原则上仅采取核验方式。

· 数据加工：数据加工目的应与业务数据收集约定保持一致，训练业务数据应当审查数据的真实性、准确性、客观性、多样性，加工高敏感性数据项的，应当明确采取的安全保护措施，并履行内部审批程序。

· 数据传输：数据传输原则上不得使用互联网信息服务或者移动介质传输高敏感性数据项。

· 数据提供：应当核验数据接收方身份，进行合法性评估、通过合同约定数据安全保护义务，原则上不采取导出方式提供高敏感性数据项，用于身份鉴别的数据项原则上须采取核验方式提供。重要数据提供应进行风险评估，提供核心数据达到阈值应报国家数据安全工作协调机制开展风险评估，且不得通过拆分、转换等手段规避。

· 数据出境：数据出境应按相关规定符合境内存储要求，按网信部门规定进行安全评估或者开展保护认证，且不得通过拆分、转换等手段规避。

· 数据公开：履行内部审批程序且不得公开用于身份鉴别的数据项。

· 数据删除：依法主动删除业务数据，每年至少实施一次审查，确认相关业务数据不可被使用。

· 委托处理：通过合同明确受托人需报告的重要事项等义务，采取定期评估等方式进行监督，核心数据的委托处理应事前对受托人开展尽职调查。

· 关于业务数据安全技术要求：

1. 应当有效管控业务数据处理账号的使用，特权账号使用应进行必要检查，通过技术手段加强安全认证。数据处理活动日志须纳入业务数据分类分级管理，留存至少六个月，重要数据相关的日志应当留存至少一年，核心数据相关日志应当留存至少三年。

2. 关于业务数据的全生命周期管理，应履行的安全保护技术义务包括：数据采集环节区别直接录入、自动化工具收集数据，应分别采取核验措施，存储环节须有效隔离开发测试环境与生产环境，重要数据和核心数据的存储应当符合各自的网络安全等级保护要求或者关键信息基础设施保护要求；数据使用过程中，应明确高敏感性数据项的脱敏处理策略，降低可识别风险；数据加工环节，应当建立算法风险评估和控制策略，明确替代方案；数据传输优先采取专用线路、虚拟专用网，高敏感性数据项须加密传输，动态维护前置网关和应用程序接口清单等。

（三）业务数据安全风险与事件管理

关于业务数据安全的风险监测与处置，《办法》第39至46条构建了一个覆盖风险识别与评估→风险监测与预警→事件分级与报告→应急响应与处置→调查分析与整改→持续改进的管理流程，要求金融机构不仅要构建预防体系，更要具备敏锐的风险感知能力、规范的事件处置能力和快速的协同响应能力，从被动应对到主动防控，确保在风险升级或事件发生时能够有效控制、减轻损失、及时恢复并持续学习改进应对能力，具体包括：

· 建立常态化风险识别、评估、监测、预警机制，从技术、管理、人员、环境等多维度进行管理，这也是业务数据安全风险管理核心要求，如：监测业务数据处理活动风险，业务数据泄露、业务数据被非法兜售、仿冒本机构身份处理业务数据风险，来自监管部门通报与业务数据相关的数据安全缺陷、漏洞等风险等。

· 重要数据的风险评估：应自行或者委托第三方评估机构，每年开展一次风险评估，定期报送风险评估报告。

· 对于业务数据安全事件的管理，数据处理者应建立规范、高效、协同的安全事件报告、评估、响应、处置和善后机制，按照国家相关分级要求，明确业务数据安全事件对应的分级标准，如信息系统数据恢复点目标、无法正常提供服务时长、受影响业务笔数和金额、受影响个人或者组织数量、损失的不同敏感性数据项和对应规模等因素，涉及核心数据、重要数据泄露或者被篡改、破坏的安全事件，应当分别分级为特别重大事件、重大事件，发生安全事件应及时告知用户、及时报告。

· 对于重要数据应每年至少开展一次数据安全事件应急演练，开展一次与重要数据安全相关的合规审计；其他数据处理者应当每三年至少开展一次数据安全事件应急演练，开展一次业务数据安全合规审计，应急演练和数据安全合规审计，必要时可委托外部专业的应急响应专家、法律顾问开展。

（四）监督与法律责任

金融行业作为数据安全高风险领域，为确保金融机构数据合规管理，《办法》规定相关的监管措施包括约谈、责令整改、罚款（个人最高10万/机构最高100万），对于数据处理者未建立安全管理制度、开展培训、落实技术措施、明确安全负责人、监测风险、及时处置事件、报送风险评估报告等八种情形，中国人民银行及其分支机构将依上位法《数据安全法》第45条进行处罚，最高处1000万元罚款，吊销牌照（如支付业务许可证），在部分情形下适用“双罚制”，同时追究机构及直接责任人。《办法》出台后中国人民银行有关部门负责人答记者问环节，也明确表示“中国人民银行后续会进一步规范行政执法，督促相关数据处理者坚守合规底线”，央行这一表态也是提醒金融机构数据处理者，金融领域数据安全将一直处于高压监管态势。

五、行业合规建议

金融从业机构业务数据的合规与安全管理是确保业务顺利开展的基础，我们建议金融从业机构在贯彻落实《数据安全法》《个人信息保护法》以及《网络数据安全管理条例》的基础上，根据《办法》关于业务数据分类分级、全流程业务数据安全管理、业务数据安全风险与事件管理方面提出的要求，全面履行数据安全合规义务，制定并实施全面的业务数据安全管理措施，以确保业务数据的合规性、安全性和高效流通，包括建立健全业务数据分类分级制度，落实实施全流程业务数据安全管理，采取技术和管理措施从数据存储保护、数据备份、数据传输安全、算法风险防控等方面保证全流程的数据安全，建立健全风险与事件管理机制。特别是《办法》对行业数据处理者的定期评估、审计义务提出的明确要求，即每三年至少开展一次业务数据安全合规审计，重要数据处理者应当每年至少开展一次与重要数据安全相关的合规审计，这就要求金融从业机构必须建立常态化、周期性的审计制度并加以贯彻落实。此外，建议金融从业机构按照《办法》完善数据合规治理，在内部建立监督机制，例如设立专门的数据安全管理机构，负责监督业务数据处理活动的合规性，防范潜在的法律风险。

本文作者