• <li id="qswyw"><xmp id="qswyw">
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>

    北京國舜科技股份有限公司

    Beijing UnisGuard Technology Co.,Ltd

    北京市海淀區高梁橋斜街42號融匯國際大廈東區三層

    安全產(chǎn)品

    開(kāi)發(fā)安全

    SOAR

    業(yè)務(wù)安全

    網(wǎng)頁(yè)防篡改

    安全服務(wù)

    安全培訓

    安全咨詢(xún)

    攻防演練

    安全評估

    解決方案

    開(kāi)發(fā)安全

    實(shí)戰攻防演練

    城市安全運營(yíng)

    銀行行業(yè)

    關(guān)于我們

    企業(yè)介紹

    榮譽(yù)認可

    加入我們

    聯(lián)系我們

    聯(lián)系我們

    熱線(xiàn):400-696-8096

    電話(huà):010-82838085

    郵編:100044

    郵箱:contact@unisguard.com

    關(guān)注我們

    Copyright ?

    unisguard.com All Rights Reserved.

    北京國舜科技股份有限公司

    版權所有

    京ICP備09050222號

    京公網(wǎng)安備110108000272號

    《中國人民銀行業(yè)務(wù)領(lǐng)域數據安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)

    分類(lèi): 安全資訊

    發(fā)布時(shí)間: 2023-07-24 15:48:06

    標簽:

    作者:

    閱讀量: 39

    新聞來(lái)源:

    《中國人民銀行業(yè)務(wù)領(lǐng)域數據安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)

    中國人民銀行業(yè)務(wù)領(lǐng)域數據安全管理辦法

    (征求意見(jiàn)稿)

    第一章 總則

        第一條(目的和依據)為規范中國人民銀行業(yè)務(wù)領(lǐng)域數據的安全管理,根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國中國人民銀行法》等有關(guān)法律、行政法規,制定本辦法。

        第二條(適用范圍)數據處理者在中華人民共和國境內開(kāi)展的中國人民銀行業(yè)務(wù)領(lǐng)域數據相關(guān)的處理活動(dòng),適用本辦法。法律、行政法規或者中國人民銀行另有規定的,從其規定。

        本辦法所稱(chēng)中國人民銀行業(yè)務(wù)領(lǐng)域數據,指根據法律、行政法規、國務(wù)院決定和中國人民銀行規章,開(kāi)展中國人民銀行承擔監督管理職責的各類(lèi)業(yè)務(wù)活動(dòng)時(shí),所產(chǎn)生和收集的不涉及國家秘密的網(wǎng)絡(luò )數據,以下簡(jiǎn)稱(chēng)數據。

        第三條(管理原則與目標)數據安全工作遵循“誰(shuí)管業(yè)務(wù),誰(shuí)管業(yè)務(wù)數據,誰(shuí)管數據安全”基本原則。開(kāi)展數據處理活動(dòng)應當履行數據安全保護義務(wù),采取有效措施防范數據被篡改、破壞、泄露、不當獲取與利用等風(fēng)險,確保不損害國家安全、公共利益、金融秩序、個(gè)人及組織合法權益,遵守社會(huì )公德倫理、商業(yè)道德和職業(yè)道德。

        第四條(協(xié)同監督管理)在國家數據安全工作協(xié)調機制統籌協(xié)調下,中國人民銀行及其分支機構,依據本辦法開(kāi)展數據安全監督管理工作,積極支持其他有關(guān)主管部門(mén)依據職責開(kāi)展數據安全監督管理工作,必要時(shí)可以與其他有關(guān)主管部門(mén)簽署合作協(xié)議,進(jìn)一步約定數據安全監督管理協(xié)作模式。

        中國銀行間市場(chǎng)交易商協(xié)會(huì )、中國支付清算協(xié)會(huì )、中國互聯(lián)網(wǎng)金融協(xié)會(huì )等金融行業(yè)協(xié)會(huì )應當加強自律管理,建立便捷的投訴、舉報渠道,反映會(huì )員合理的數據安全意見(jiàn)建議。

    第二章 數據分類(lèi)分級

        第五條(數據分類(lèi)分級保護總體規劃)中國人民銀行負責組織制定數據分類(lèi)分級相關(guān)行業(yè)標準,指導數據處理者開(kāi)展數據分類(lèi)分級各項工作,統籌確定重要數據具體目錄并實(shí)施動(dòng)態(tài)管理。

        第六條(數據分類(lèi)分級制度規程)數據處理者應當建立健全本單位數據分類(lèi)分級實(shí)施制度,規范分類(lèi)分級工作操作規程。數據分類(lèi)分級過(guò)程實(shí)施和結果審批,應當嚴格遵循操作規程。

        第七條(數據分類(lèi)要求)數據處理者應當參考行業(yè)標準,根據業(yè)務(wù)開(kāi)展情況建立業(yè)務(wù)分類(lèi),梳理細化數據資源目錄,標識各數據項是否為個(gè)人信息、數據來(lái)源(生產(chǎn)經(jīng)營(yíng)加工產(chǎn)生、外部收集產(chǎn)生等)、存儲該數據項的信息系統清單和應用的業(yè)務(wù)類(lèi)別。

        第八條(數據分級要求)數據按照精度、規模和對國家安全的影響程度,分為一般、重要、核心三級。在中國人民銀行組織下,數據處理者應當準確識別判定本單位信息系統存儲的全量數據是否屬于重要數據、核心數據,并填寫(xiě)報送重要數據目錄內容,由中國人民銀行匯總后確定重要數據具體目錄。數據處理活動(dòng)中,數據處理者還應當及時(shí)準確識別判定所涉及數據是否屬于重要數據、核心數據。

        第九條(數據敏感性分層級)在數據分級基礎上,數據處理者應當參考行業(yè)標準,根據數據遭到泄露或者被非法獲取、非法利用時(shí),可能對個(gè)人、組織合法權益或者公共利益等造成的危害程度,將數據項敏感性從低至高進(jìn)一步分為一至五共五個(gè)層級。結構化數據項應當逐一標識層級;非結構化數據項應當優(yōu)先按照可拆分的各結構化數據項所對應最高層級,標識其層級。

        第十條(數據可用性分層級)數據可用性分層級工作納入信息系統業(yè)務(wù)連續性分級保障體系統一考慮。數據處理者應當評估信息系統存儲數據遭到篡改、破壞后可能對業(yè)務(wù)連續性造成的影響程度,明確恢復點(diǎn)目標要求?;謴忘c(diǎn)目標越嚴格,數據的可用性層級越高。在此基礎上,鼓勵數據處理者識別用于支撐最基本業(yè)務(wù)運轉、無(wú)法承受徹底滅失風(fēng)險、需要進(jìn)一步進(jìn)行容災備份的數據。

        第十一條(動(dòng)態(tài)更新要求)數據處理者應當根據數據和信息系統變化情況,每年組織更新數據資源目錄,避免信息系統所涉及數據項未在數據資源目錄中記錄、數據項標識信息不完整等情形發(fā)生。

    第三章 數據安全保護總體要求

        第十二條(責任落實(shí)總體要求)數據處理者應當明確其數據安全管理相關(guān)內設部門(mén)職責分工,配備足夠數量的數據安全管理人員,并細化各類(lèi)違規數據處理活動(dòng)的定責問(wèn)責規程,壓實(shí)數據安全保護責任。重要數據的處理者還應當書(shū)面明確數據安全負責人和數據安全牽頭管理內設部門(mén)。

        第十三條(全流程安全管理制度要求)數據處理者應當建立健全全流程數據安全管理制度,結合數據分類(lèi)分級結果,明確差異化的安全保護管理和技術(shù)措施要求,并制定數據處理活動(dòng)操作規程,規范各類(lèi)內部審批和授權流程。第五層級數據項應當在第四層級數據項對應的安全保護管理和技術(shù)措施基礎上進(jìn)一步從嚴管理。不同敏感性層級數據項在同一個(gè)數據處理活動(dòng)中被處理,且難以采取差異化安全保護管理和技術(shù)措施的,應當統一采取最高敏感性層級數據項對應的安全保護管理和技術(shù)措施。與母公司、子公司、關(guān)聯(lián)公司或者附屬公司等具有關(guān)聯(lián)關(guān)系的數據處理者合作開(kāi)展數據處理活動(dòng)時(shí),不得降低安全保護管理和技術(shù)措施要求。

        第十四條(安全培訓總體要求)數據處理者應當根據崗位分工,制定數據安全年度培訓計劃,組織開(kāi)展相關(guān)教育培訓,并對培訓結果進(jìn)行評價(jià)。培訓內容應當包括:

        (一) 數據安全相關(guān)法律、行政法規、部門(mén)規章、國家和金融行業(yè)標準、內部規定、行為準則和職業(yè)操守;

        (二) 不同崗位的數據安全責任,失職失責或者違法違規數據處理活動(dòng)應當承擔的后果;

        (三) 針對性的數據安全保護管理和技術(shù)措施要求,以及對應的操作規程;

        (四) 數據安全事件應急處置規程。

        第十五條(鼓勵創(chuàng )新)鼓勵數據處理者積極開(kāi)展數據安全技術(shù)創(chuàng )新應用,在保障安全合規前提下,積極促進(jìn)數據的高效流通和創(chuàng )新應用,鼓勵優(yōu)秀創(chuàng )新成果申報行業(yè)表彰獎勵。

    第四章 數據安全保護管理措施

        第十六條(人員管理要求)數據處理者應當按照最小必要和職責分離原則,嚴格管理信息系統各類(lèi)業(yè)務(wù)處理賬號、數據庫管理員等特權賬號的設立和權限,人員變動(dòng)時(shí)應當及時(shí)調整權限或者收回賬號。

        數據處理者應當加強賬號身份認證管理,可使用第二層級以上數據項的賬號應當支持身份驗證??墒褂玫谌龑蛹壱陨蠑祿椀馁~號應當支持多因素認證或者實(shí)現二次授權,相關(guān)賬號使用人員應當簽署保密協(xié)議。

        第十七條(數據收集保護管理措施要求)數據處理者收集數據應當遵循合法、正當原則,并采取下列安全保護管理措施:

        (一)除法律、行政法規明確無(wú)需說(shuō)明的情形外,應當在隱私政策協(xié)議或者合同協(xié)議中以顯著(zhù)方式、清晰易懂的語(yǔ)言說(shuō)明數據收集的目的、范圍、方式、存儲期限,以及數據來(lái)源不合法、數據不真實(shí)情形對應的違約責任;

        (二)接受其他數據處理者委托協(xié)助收集數據時(shí),應當通過(guò)合同協(xié)議與其約定,是否需要代其向相關(guān)個(gè)人、組織說(shuō)明委托關(guān)系;

        (三)非直接面向個(gè)人、組織收集數據時(shí),應當要求數據提供方依照法律、行政法規取得個(gè)人、組織的同意,對于非書(shū)面同意情形,應當要求其出具數據來(lái)源說(shuō)明材料,并依據材料評估其合法性、真實(shí)性;

        (四)應當針對數據合法性、真實(shí)性存疑等情形,明確業(yè)務(wù)暫停使用相關(guān)數據時(shí)的應急處置方案;

        (五)應當優(yōu)先采用數據提供方直接錄入或者信息系統間交互的方式收集數據;

        (六)因履行無(wú)障礙義務(wù)或者客觀(guān)條件限制,采用紙質(zhì)文件、影像或者代為手工錄入等方式收集數據時(shí),應當采取自動(dòng)識別、人工核驗等措施,保障數據錄入的及時(shí)性和準確性,并按照檔案管理要求保存原始數據收集憑證;

        (七)停止提供其產(chǎn)品服務(wù),合同協(xié)議履約終止或者響應個(gè)人、組織合法權益要求時(shí),應當主動(dòng)停止數據收集活動(dòng);

        (八)保存數據收集行為對應的合同協(xié)議、內部審批記錄、數據提供方出具的數據來(lái)源說(shuō)明材料和對應評估結論等信息至少三年。

        第十八條(數據存儲保護管理措施要求)數據處理者應當根據業(yè)務(wù)需要,明確數據存儲期限。除履行法定職責或者法定義務(wù)所必需外,第三層級以上數據項原則上不得在終端設備和移動(dòng)介質(zhì)中存儲。確需存儲的,數據處理者在履行內部審批程序基礎上,應當統一明確需在終端設備和移動(dòng)介質(zhì)中存儲的特定場(chǎng)景、支持此類(lèi)場(chǎng)景的必要性、應當采取的風(fēng)險防范措施,并據此開(kāi)展。風(fēng)險防范措施至少應當包括僅在授權的終端設備和移動(dòng)介質(zhì)中存儲,存儲期限不得超過(guò)審批允許的期限。

        數據處理者應當保存終端設備、移動(dòng)介質(zhì)中存儲第三層級以上數據項行為的目的說(shuō)明、內部審批記錄、授權設備或者介質(zhì)識別編號、允許存儲期限等信息至少三年。

        第十九條(數據使用保護管理措施要求)第三層級數據項原則上不提供導出使用方式,第四層級以上數據項原則上僅提供核驗使用方式,確需提供其他使用方式時(shí),應當說(shuō)明相關(guān)必要性,經(jīng)內部審批并明確對應的風(fēng)險防范措施后,據此開(kāi)展。涉及第三層級以上數據項導出使用的風(fēng)險防范措施,原則上應當優(yōu)先采取加密、數字水印或者脫敏處理等安全保護措施,確需未經(jīng)安全保護即導出的,數據處理者應當統一明確相關(guān)導出需求場(chǎng)景,并據此開(kāi)展。

        除面向個(gè)人、組織展示其數據,履行法定職責或者法定義務(wù)必需展示數據的兩類(lèi)情形外,信息系統界面展示第三層級以上數據項時(shí),原則上應當優(yōu)先實(shí)施脫敏處理后再展示。

        確需明文展示的,數據處理者應當統一明確相關(guān)展示需求場(chǎng)景、支持此類(lèi)場(chǎng)景的必要性和應當采取的風(fēng)險防范措施,并據此開(kāi)展。

        第二十條(數據加工保護管理措施要求)數據加工前,數據處理者應當審查加工目的與收集約定是否一致,確保數據加工不以壟斷經(jīng)營(yíng)和不正當競爭為目的,不發(fā)生誤導、欺詐、脅迫或者干擾等限制個(gè)人或者組織正當選擇與決策的行為,遵循社會(huì )公德倫理。第四層級以上數據項加工,應當經(jīng)內部審批并明確對應的風(fēng)險防范措施后,據此開(kāi)展?;诩庸ど傻臄祿椕嫦騻€(gè)人提供自動(dòng)化決策服務(wù)時(shí),應當以適當方式說(shuō)明加工目的、加工依賴(lài)數據基本情況和加工基本邏輯,提升決策的透明度。

        數據處理者應當保存數據加工行為目的說(shuō)明、內部審查審批記錄、審查對應的加工應用程序源代碼、新產(chǎn)生數據項列表等信息至少三年。

        第二十一條(促進(jìn)數據開(kāi)發(fā)利用)使用第三層級以上數據項加工后產(chǎn)生的數據項,經(jīng)評估確認無(wú)法識別至特定個(gè)人、組織,或者反映信息敏感程度明顯低于原數據項時(shí),數據處理者履行內部審批手續后,可視情降低敏感性層級,促進(jìn)數據依法合規開(kāi)發(fā)利用。

        第二十二條(數據傳輸保護管理措施要求)除履行法定職責或者法定義務(wù)所必需外,數據處理者原則上不得采用互聯(lián)網(wǎng)郵件、即時(shí)通訊、在線(xiàn)文件傳輸、交互性信息服務(wù)等互聯(lián)網(wǎng)信息服務(wù)或者通過(guò)移動(dòng)介質(zhì)交換傳輸第三層級以上數據項,確有需要的,數據處理者應當統一明確相關(guān)傳輸需求場(chǎng)景、支持此類(lèi)場(chǎng)景的必要性和應當采取的風(fēng)險防范措施,并據此開(kāi)展。

        第二十三條(一般性數據提供保護管理措施要求)數據處理者應當針對自身業(yè)務(wù)開(kāi)展所需的數據提供行為采取下列安全保護管理措施:

        (一)涉及個(gè)人信息的數據提供行為,應當評估確認遵守有關(guān)法律、行政法規的規定。其他數據提供行為,應當評估確認不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密要求;

        (二)通過(guò)合同協(xié)議方式與數據接收方約定數據提供的目的、方式、范圍、規模、允許存儲時(shí)限、將數據再轉移提供至第三方的限定條件,要求接收方及時(shí)告知可能發(fā)生的數據泄露事件,明確各方數據安全保護責任和至少應當采取的安全保護措施;

        (三)向個(gè)人、組織提供其數據時(shí),可視情簡(jiǎn)化合同協(xié)議簽訂和對應內部審批要求,但應當先行核實(shí)其身份的真實(shí)性;

        (四)對于委托處理情形,在合同協(xié)議中進(jìn)一步明確委托處理受托人重要事項報告、及時(shí)返還和刪除數據的實(shí)施方式、接受并配合數據處理者監督其委托處理活動(dòng)等義務(wù);

        (五)有效監督委托處理受托人履約情況,定期評估確認其數據處理活動(dòng)符合事前約定,并已采取承諾的全部安全保護措施;

        (六)對于委托處理以外情形,第三層級數據項應當優(yōu)先通過(guò)查詢(xún)、固定報表和核驗方式向其他數據處理者提供,第四層級以上數據項應當優(yōu)先通過(guò)核驗方式向其他數據處理者提供,確需以其他方式提供的,在履行內部審批程序基礎上,數據處理者應當統一明確相關(guān)提供需求場(chǎng)景、支持此類(lèi)場(chǎng)景的必要性和應當采取的風(fēng)險防范措施,并據此開(kāi)展;

        (七)切實(shí)保障提供數據的質(zhì)量,對提供數據真實(shí)性作必要核驗,按照約定格式做好數據清洗轉換,不得提供虛假數據誤導數據接收方、合作方;

        (八)保存數據提供行為評估記錄、內部審批記錄、對應的合同協(xié)議內容、監督過(guò)程中識別的風(fēng)險及整改處置情況等信息至少三年。

        第二十四條(特殊性數據提供保護管理措施要求)數據處理者向其他數據處理者提供重要數據前,應當依照法律、行政法規要求,說(shuō)明重要數據的具體信息,從數據接收方數據處理目的方式和范圍的合法正當必要性、潛在安全隱患、數據接收方誠信守法和背景情況、合約協(xié)議完備性和擬采取的安全保護管理和技術(shù)措施等方面做好風(fēng)險評估并保存報告至少三年。在此基礎上,數據處理者還應當通過(guò)法律、行政法規明確規定的安全評估。數據處理者向其他數據處理者提供核心數據前,還應當提請國家數據安全工作協(xié)調機制辦公室批準。除履行法定職責或者法定義務(wù)所明確情形外,數據處理者不得通過(guò)拆分等方式規避上述義務(wù)。

        數據處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉移數據的,應當通過(guò)公告等方式將數據接收方信息告知相關(guān)個(gè)人、組織,并評估確認不違反與相關(guān)組織間事前約定的有關(guān)保守商業(yè)秘密要求。重要數據的處理者發(fā)生合并、分立、解散或者申請重整、和解以及破產(chǎn)清算等情況時(shí),法律、行政法規有明確要求的,應當事前向中國人民銀行報告重要數據處置方案和數據接收方基本情況。

        第二十五條(數據融合創(chuàng )新應用管理措施要求)數據處理者采用隱私計算等技術(shù)促進(jìn)數據融合創(chuàng )新應用時(shí),應當確認原始數據未離開(kāi)自身控制范圍,且多個(gè)數據提供行為關(guān)聯(lián)后,暴露約定范圍外信息的風(fēng)險可控。

        第二十六條(數據出境限制管理措施要求)數據處理者在中華人民共和國境內收集和產(chǎn)生的數據,法律、行政法規有境內存儲要求的,應當在境內存儲。

        數據處理者因自身需要向境外提供數據,存在國家網(wǎng)信部門(mén)規定情形的,應當嚴格遵守其有關(guān)規定事前開(kāi)展數據出境風(fēng)險自評估并申報數據出境安全評估。數據處理者不得有意拆分、縮減出境數據規模以規避申報數據出境安全評估。

        對于因自身需要的數據出境提供行為,數據處理者應當于每年 1 月底前測算或者估算其上兩年內累計出境數據規模與范圍,并保存測算估算結果和對應的境外接收方聯(lián)系方式至少三年。涉及數據出境安全評估的,數據處理者還應當保存有效期內的數據出境風(fēng)險自評估報告、數據出境安全評估申報書(shū)和評估結果。

        第二十七條(國際組織和外國金融管理部門(mén)數據調?。┲袊嗣胥y行根據有關(guān)法律和中華人民共和國締結或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理國際組織和外國金融管理部門(mén)關(guān)于提供數據的請求。非經(jīng)中國人民銀行和其他有關(guān)主管部門(mén)批準,數據處理者不得向其提供境內存儲的數據。

        第二十八條(數據公開(kāi)保護管理措施要求)數據處理者應當履行內部審批手續,審核數據公開(kāi)行為的目的、數據內容范圍、渠道、時(shí)限和脫敏處理情況,分析研判可能產(chǎn)生的負面影響,并核驗數據的合法性、真實(shí)性與有效性。數據公開(kāi)渠道原則上應當為本單位統一明確的官方渠道。確有需要通過(guò)其他渠道公開(kāi)的,應當經(jīng)內部審批并明確對應的風(fēng)險防范措施后,據此開(kāi)展。

        第二層級以上數據項公開(kāi)時(shí),數據處理者應當保存數據公開(kāi)行為目的說(shuō)明、日期、公開(kāi)渠道、數據范圍和內部審批記錄等信息至少三年。

        第三層級以上數據項原則上應當實(shí)施脫敏處理后再公開(kāi),數據處理者應當統一明確第三層級以上數據項確需未經(jīng)脫敏處理即允許公開(kāi)的特定需求場(chǎng)景、支持此類(lèi)場(chǎng)景的必要性和應當采取的風(fēng)險防范措施,并據此開(kāi)展。

        第二十九條(數據刪除保護管理措施要求)涉及個(gè)人信息的數據,滿(mǎn)足法律、行政法規規定應當刪除情形時(shí),數據處理者應當主動(dòng)刪除數據。其他數據已超過(guò)與組織約定的存儲時(shí)限,或者組織提出符合法律、行政法規規定的正當請求時(shí),數據處理者應當主動(dòng)刪除數據。刪除數據從技術(shù)上難以實(shí)現的,數據處理者應當停止除存儲和采取必要的安全保護措施之外的處理。數據處理者應當每年至少對信息系統業(yè)務(wù)處理賬號、特權賬號實(shí)施一次核驗,確認已停止除存儲和必要安全保護措施之外處理的數據,不可被訪(fǎng)問(wèn)使用。

        數據處理者發(fā)生解散、被宣告破產(chǎn)等情況時(shí),合法合規完成自身需要的數據轉移處理后,應當及時(shí)銷(xiāo)毀全部數據存儲介質(zhì)。中國人民銀行或其住所地分支機構依據法律、行政法規另有數據轉移要求的,還應當按照要求將數據轉移至指定接收方后再銷(xiāo)毀數據存儲介質(zhì)。

    第五章 數據安全保護技術(shù)措施

        第三十條(賬號權限保護技術(shù)措施要求)數據處理者應當采取有效技術(shù)措施,從嚴管控業(yè)務(wù)處理賬號的數據使用權限,鼓勵建設技術(shù)平臺,采取統一認證、統一授權策略進(jìn)一步加強管控。

        數據處理者應當統一明確特權賬號的使用場(chǎng)景,并通過(guò)內部審批授權,嚴格限定其使用??墒褂玫谌龑蛹壱陨蠑祿椀奶貦噘~號,涉及人工操作的數據庫表刪除、修改等操作應當逐一進(jìn)行事前審查和事后審計。

        第三十一條(數據處理活動(dòng)日志保護技術(shù)措施要求)數據處理者應當建立統一的日志規范,明確數據處理活動(dòng)日志應當完整記錄的溯源所需信息。第三層級數據項如需在數據處理活動(dòng)日志中記錄原則上應當實(shí)施脫敏處理,第四層級以上數據項原則上不記錄。確有需要的,數據處理者應當統一明確相關(guān)日志記錄需求場(chǎng)景、支持此類(lèi)場(chǎng)景的必要性和應當采取的風(fēng)險防范措施,并據此開(kāi)展。

        數據處理者應當將數據處理活動(dòng)日志納入數據分類(lèi)分級管理,并落實(shí)對應的管理和技術(shù)措施要求。數據處理者應當妥善保存數據處理活動(dòng)日志至少六個(gè)月。向其他數據處理者提供涉及個(gè)人信息的數據或者重要數據的行為,相關(guān)日志應當保存至少三年。

        第三十二條(數據收集保護技術(shù)措施要求)采用直接錄入方式收集第二層級以上數據項,應當核驗錄入人身份。采用信息系統間交互方式收集第三層級以上數據項,應當對數據提供方身份進(jìn)行認證,并保障收集數據的完整性。

        數據處理者應當采取關(guān)聯(lián)信息交叉核驗等技術(shù)措施,識別并規避數據項同一內容不合理映射至多個(gè)個(gè)人或者組織、不同數據項信息相互矛盾等問(wèn)題,盡可能保障收集數據的準確性,避免損害個(gè)人、組織的合法權益。

        數據處理者面向個(gè)人直接錄入方式收集數據時(shí),應當建立健全技術(shù)措施,識別法律、行政法規禁止發(fā)布或者傳輸的信息。

        數據處理者采用自動(dòng)化搜集方式從其他數據處理者收集數據時(shí),應當遵守其數據訪(fǎng)問(wèn)控制協(xié)議,不得干擾其網(wǎng)絡(luò )服務(wù)正常運行,不得侵害其原有網(wǎng)絡(luò )服務(wù)合法運營(yíng)權益。

        第三十三條(數據存儲保護技術(shù)措施要求)數據處理者應當針對數據存儲行為采取下列安全保護技術(shù)措施:

        (一)有效隔離開(kāi)發(fā)測試環(huán)境與生產(chǎn)環(huán)境數據存儲設施設備;

        (二)存儲重要數據或者一百萬(wàn)人以上個(gè)人信息的信息系統應當落實(shí)三級以上網(wǎng)絡(luò )安全等級保護要求,存儲核心數據的信息系統應當落實(shí)四級網(wǎng)絡(luò )安全等級保護要求或者關(guān)鍵信息基礎設施保護要求;

        (三)除因業(yè)務(wù)影響、產(chǎn)業(yè)制約,并可提供詳細分析報告情形外,應當優(yōu)先采用商用密碼技術(shù)對信息系統中第三層級以上數據項實(shí)施加密存儲,結構化數據項在對數據庫文件整體實(shí)施加密基礎上鼓勵進(jìn)一步采用更細粒度的加密方式,非結構化數據項可僅對拆分的第三層級以上結構化數據項單獨實(shí)施加密;

        (四)按照業(yè)務(wù)連續性保障等級,加強信息系統數據冗余備份管理,對于恢復點(diǎn)目標要求小于十分鐘的信息系統,每天至少驗證一次最新冗余備份數據可被正常加載使用;對于其他信息系統應當逐一明確驗證頻率要求,據此定期驗證最新冗余備份數據可被正常加載使用。

        鼓勵數據處理者針對需要進(jìn)一步容災備份的數據,采取獨立于信息系統災難備份體系以外的備份技術(shù)措施。

        第三十四條(數據使用保護技術(shù)措施要求)數據處理者應當統一明確第三層級以上數據項的脫敏處理策略,降低脫敏數據仍可識別至個(gè)人、組織的風(fēng)險。

        數據處理者應當采取數字水印等措施,標識信息系統當前數據使用賬號、時(shí)間等信息,并在展示后及時(shí)清除緩存信息,提升數據展示、打印等使用過(guò)程的安全防護和溯源能力。

        數據處理者應當建立終端設備安全管控策略,鼓勵針對使用第三層級以上數據項的終端,采取安全沙箱、終端行為管控等安全保護措施。

        生產(chǎn)環(huán)境第二層級以上數據項原則上應當經(jīng)授權并實(shí)施脫敏處理后才能用于開(kāi)發(fā)測試,確需不經(jīng)脫敏處理即用于開(kāi)發(fā)測試的,數據處理者應當履行內部審批手續,并采取與生產(chǎn)環(huán)境一致的安全保護管理和技術(shù)措施,確保開(kāi)發(fā)測試數據安全。

        第三十五條(數據加工保護技術(shù)措施要求)數據處理者應當建立統一的加工算法風(fēng)險評估和控制策略,明確可解釋性、脆弱性等風(fēng)險對應的緩釋措施以及退出算法自動(dòng)化決策的替代方案。

        第三十六條(數據傳輸保護技術(shù)措施要求)數據處理者應當針對數據傳輸行為采取下列安全保護技術(shù)措施:

        (一)通過(guò)運營(yíng)商網(wǎng)絡(luò )傳輸第二層級以上數據項時(shí),采取專(zhuān)用線(xiàn)路、虛擬專(zhuān)用網(wǎng)絡(luò )、安全通信協(xié)議等安全保護措施;

        (二)動(dòng)態(tài)更新記錄不同網(wǎng)絡(luò )安全區域間正常數據傳輸對應的網(wǎng)絡(luò )地址、網(wǎng)絡(luò )協(xié)議通信映射關(guān)系,加強安全隔離與終端設備準入控制;

        (三)第三層級以上數據項傳輸至其他數據處理者、傳輸至不同數據中心或者傳輸至運營(yíng)商網(wǎng)絡(luò )時(shí),應當優(yōu)先使用商用密碼技術(shù)保障機密性,并根據業(yè)務(wù)需要使用商用密碼技術(shù)加強完整性和抗抵賴(lài)性保障,未使用商用密碼技術(shù)進(jìn)行傳輸保護的,數據處理者應當統一明確相關(guān)傳輸需求場(chǎng)景、支持此類(lèi)場(chǎng)景的必要性和應當采取的風(fēng)險防范措施,并據此開(kāi)展;

        (四)在傳輸失敗或者傳輸完成后,及時(shí)刪除不必要的緩存數據;

        (五)及時(shí)評估調整網(wǎng)絡(luò )線(xiàn)路的傳輸承載容量,加強網(wǎng)絡(luò )線(xiàn)路和相關(guān)軟硬件設備的冗余備份。

        第三十七條(數據提供保護技術(shù)措施要求)數據處理者應當針對數據提供行為采取下列安全保護技術(shù)措施:

        (一)針對持續性數據提供行為建設較為集中的技術(shù)平臺,并采用前置網(wǎng)關(guān)或者應用程序接口方式向其他數據處理者提供數據;

        (二)提供從其他數據處理者收集獲得的數據項,中國人民銀行有明確需公開(kāi)數據來(lái)源要求的,應當以顯著(zhù)方式標識來(lái)源;

        (三)提供第三層級以上數據項時(shí)應當對數據接收方身份進(jìn)行認證;

        (四)采用隱私計算技術(shù)提供數據時(shí),應當建立統一的技術(shù)風(fēng)險評估和控制策略,明確安全可驗證性、性能可接受性等風(fēng)險對應的緩釋措施;

        (五)對于委托處理情形的數據提供行為,應當納入信息科技外包管理體系統一管理。

        第三十八條(數據公開(kāi)保護技術(shù)措施要求)數據處理者應當明確自身已公開(kāi)數據是否可被自動(dòng)化搜集的數據訪(fǎng)問(wèn)控制協(xié)議,并采取有效技術(shù)措施,保障公開(kāi)數據不被篡改。

        第三十九條(數據刪除保護技術(shù)措施要求)刪除數據涉及數據存儲介質(zhì)銷(xiāo)毀工作時(shí),數據處理者應當建立統一的數據存儲介質(zhì)銷(xiāo)毀策略,明確銷(xiāo)毀技術(shù)方式和過(guò)程監督措施。

        存儲第三層級以上數據項的存儲介質(zhì)不再使用并且離開(kāi)數據處理者控制范圍時(shí),應當及時(shí)銷(xiāo)毀。

        數據處理者應當保存數據存儲介質(zhì)銷(xiāo)毀日期、銷(xiāo)毀介質(zhì)識別編號、采取的銷(xiāo)毀技術(shù)方式、操作執行及復核人等信息至少三年。

    第六章 風(fēng)險監測、評估審計與事件處置措施

        第四十條(數據處理活動(dòng)風(fēng)險監測)數據處理者應當采取有效措施,強化數據處理活動(dòng)安全風(fēng)險監測和告警,推進(jìn)違規數據處理活動(dòng)阻斷技術(shù)措施建設,及時(shí)做好風(fēng)險隱患的溯源排查處置,并核驗技術(shù)措施的有效性和可靠性。監測告警規則應當重點(diǎn)關(guān)注下列事項:

        (一)收集、提供的數據存在惡意程序或者法律、行政法規禁止傳輸的信息;

        (二)危害數據安全的漏洞;

        (三)終端設備和移動(dòng)介質(zhì)未經(jīng)授權存儲第三層級以上數據項;

        (四)識別到不明用途的數據存儲網(wǎng)絡(luò )地址;

        (五)未授權的數據使用行為,發(fā)生時(shí)間、網(wǎng)絡(luò )地址、頻率、總量存在明顯異常的數據使用行為;

        (六)用戶(hù)身份認證強度較弱;

        (七)開(kāi)發(fā)測試環(huán)境中使用未授權或者未經(jīng)脫敏處理的生產(chǎn)環(huán)境數據;

        (八)對第四層級以上數據項實(shí)施加工、提供等行為;

        (九)異常的網(wǎng)絡(luò )通信行為和非授權終端設備接入內部網(wǎng)絡(luò )的行為;

        (十)未經(jīng)商用密碼技術(shù)加密傳輸第三層級以上數據項;

        (十一)終端設備使用互聯(lián)網(wǎng)郵件、公共即時(shí)通訊、互聯(lián)網(wǎng)文件傳輸工具傳輸第三層級以上數據項或者打印第三層級以上數據項;

        (十二)網(wǎng)絡(luò )線(xiàn)路數據傳輸承載能力不足;

        (十三)使用前置網(wǎng)關(guān)或者應用程序接口方式提供超出合同協(xié)議約定范圍數據的異常行為;

        (十四)違反數據訪(fǎng)問(wèn)控制協(xié)議的公開(kāi)數據異常訪(fǎng)問(wèn)行為。

        第四十一條(數據安全風(fēng)險情報監測)數據處理者應當加強數據安全風(fēng)險情報的監測,及時(shí)核實(shí)并做好必要的數據安全防范處置工作。監測規則應當重點(diǎn)關(guān)注下列事項:

        (一)本單位非公開(kāi)數據泄漏至互聯(lián)網(wǎng)的情況;

        (二)兜售本單位數據的情況;

        (三)假冒本單位身份非法收集、公開(kāi)數據,或者對本單位管理的數據進(jìn)行造謠傳謠的情況;

        (四)與本單位或者具有關(guān)聯(lián)關(guān)系的數據處理者相關(guān)的數據安全負面輿情信息;

        (五)與本單位合作的數據接收方、委托處理受托人相關(guān)的數據安全負面輿情信息。

        第四十二條(數據安全通報預警監測)數據處理者應當及時(shí)接收、核查和處置中國人民銀行或其分支機構通報的數據安全風(fēng)險情報,并根據要求按時(shí)反饋核查處置結果。

        鼓勵數據處理者積極向中國人民銀行或其分支機構提供可共享的數據安全風(fēng)險情報,提升聯(lián)防聯(lián)控效能。

        第四十三條(數據安全風(fēng)險評估)重要數據的數據處理者應當自行或者委托檢測機構,每年組織開(kāi)展一次全面的數據安全風(fēng)險評估工作,于下年度一季度末前向中國人民銀行或其住所地分支機構報送風(fēng)險評估報告,并按照行政法規要求向對應的網(wǎng)信部門(mén)報送。除法律、行政法規已明確的內容外,風(fēng)險評估報告還應當重點(diǎn)評估下列風(fēng)險,并提出改進(jìn)應對措施:

        (一)數據分類(lèi)分級實(shí)施制度、違規數據處理活動(dòng)定責規程和問(wèn)責處罰措施、數據處理活動(dòng)全流程數據安全管理制度和相關(guān)操作規程的建設情況;

        (二)數據安全決策、管理、執行、監督各層面職責劃分和對應崗位設置是否明確、合理,實(shí)際職責落實(shí)情況;

        (三)人員培訓和日常管理情況;

        (四)重要數據識別判定情況,處理重要數據的目的、范圍、規模、方式、類(lèi)型、存儲期限和存儲地點(diǎn)等情況;

        (五)重要數據相關(guān)的數據處理活動(dòng)記錄信息的真實(shí)性與完整性;

        (六)重要數據相關(guān)的數據處理活動(dòng)全流程管理和技術(shù)措施執行情況及其有效性;

        (七)存儲重要數據信息系統的網(wǎng)絡(luò )安全等級保護測評和問(wèn)題整改落實(shí)情況;

        (八)重要數據相關(guān)的數據處理活動(dòng)風(fēng)險監測預警和溯源排查情況;

        (九)數據安全事件定級判定標準建設情況,應急預案、應急處置流程設計與演練實(shí)施情況,以及本年度發(fā)生的數據安全事件及處置情況;

        (十)向其他數據處理者提供重要數據的風(fēng)險評估報告。

        第四十四條(數據安全審計)數據處理者應當圍繞全流程數據安全管理制度和相關(guān)操作規程執行情況、數據安全相關(guān)投訴處理情況,每年至少開(kāi)展一次與數據安全相關(guān)的合規審計。發(fā)生重大以上數據安全事件后,應當及時(shí)開(kāi)展專(zhuān)項審計,督促數據處理活動(dòng)過(guò)程留痕,安全保障責任落實(shí)到人。

        第四十五條(數據安全風(fēng)險評估與審計的安全保障)數據處理者應當細化管控數據安全風(fēng)險評估人員和審計人員使用數據的權限,并采取有效措施確保實(shí)施過(guò)程安全。鼓勵數據處理者建立技術(shù)平臺,統一建立數據安全風(fēng)險評估與審計的安全管控策略。

        數據安全風(fēng)險評估報告和審計報告不得記錄第四層級以上數據項。報告保存期限不得短于實(shí)施過(guò)程中使用數據的存儲期限,且最短不得低于三年。

        委托檢測機構、審計機構開(kāi)展數據安全風(fēng)險評估或者審計工作時(shí),數據處理者應當在合同協(xié)議中明確其數據安全保護責任,并指定本單位人員全程參與評估。

        第四十六條(數據安全事件定級判定)數據處理者應當按照國家網(wǎng)絡(luò )安全事件應急預案有關(guān)事件分級要求,綜合考慮影響范圍和程度,細化明確各等級數據安全事件對應的定級判定標準:

        (一)對于數據被篡改、破壞的事件,定級標準應當考慮不同業(yè)務(wù)連續性保障等級信息系統無(wú)法正常服務(wù)的時(shí)長(cháng)、影響的業(yè)務(wù)筆數與金額、影響的個(gè)人或者組織數量、損失的各敏感性層級數據項情況和對應數據規模、帶來(lái)的輿情影響等;

        (二)對于數據泄露事件,定級標準應當考慮涉及的個(gè)人或者組織數量、泄露的各敏感性層級數據項情況和對應數據規模、帶來(lái)的輿情影響等;

        (三)涉及核心數據、重要數據的安全事件,應當分別定級為特別重大事件、重大事件。

        第四十七條(數據安全事件響應處置)數據處理者應當將數據安全事件納入網(wǎng)絡(luò )安全事件應急響應機制統一管理,制定相關(guān)應急預案,做好事件定級、處置、總結、報告、整改工作,按照規程向中國人民銀行或其住所地分支機構、其他有關(guān)主管部門(mén)報告事件信息。

        數據處理者應當每年至少開(kāi)展一次針對數據安全事件的應急演練,確保應急處置措施的效率和效果。

        合作的數據接收方、委托處理受托人發(fā)生與本單位所提供數據相關(guān)的數據安全事件時(shí),數據處理者應當立即開(kāi)展調查評估,督促其及時(shí)采取補救措施。

    第七章 法律責任

        第四十八條(監督管理責任履行)中國人民銀行及其分支機構,按照管轄權對數據處理者數據安全保護義務(wù)落實(shí)情況開(kāi)展執法檢查。必要時(shí)可以與其他有關(guān)主管部門(mén)聯(lián)合組織對數據處理者的執法檢查。中國人民銀行及其分支機構在執法檢查過(guò)程中發(fā)現數據處理者的數據處理活動(dòng)存在較大安全風(fēng)險時(shí),依照《中華人民共和國數據安全法》第四十四條予以處理;發(fā)現影響或者可能影響國家安全的數據處理活動(dòng)線(xiàn)索時(shí),應當及時(shí)報國家數據安全工作協(xié)調機制辦公室,研判是否啟動(dòng)國家數據安全審查。

        第四十九條(違反數據安全保護義務(wù)行為的處理)在本辦法適用范圍內,數據處理者未履行數據安全保護義務(wù),有下列情形之一的,中國人民銀行及其分支機構依照《中華人民共和國數據安全法》第四十五條規定予以處理:

        (一)未按照本辦法第十二條規定,明確或者壓實(shí)數據安全保護責任;

        (二)未按照本辦法第十三條規定,建立健全全流程數據安全管理制度;

        (三)未按照本辦法第十四條規定,制定數據安全年度培訓計劃,未組織開(kāi)展相關(guān)教育培訓;

        (四)除本辦法第五十條、第五十一條規定情形外,未對應采取本辦法第四章和第五章所規定的數據安全保護管理措施或者技術(shù)措施;

        (五)未按照本辦法第四十條、第四十一條規定,做好數據處理活動(dòng)風(fēng)險監測或者數據安全風(fēng)險情報監測;

        (六)未按照本辦法第四十二條規定,接收、核查、處置和反饋中國人民銀行或其分支機構通報的數據安全風(fēng)險情報;

        (七)重要數據的處理者未按照本辦法第四十三條規定,每年組織開(kāi)展一次全面的數據安全風(fēng)險評估并按時(shí)報送風(fēng)險評估報告;

        (八)發(fā)生數據安全事件時(shí),未按照本辦法第四十七條規定,做好響應處置各項工作。

        數據處理者未履行本辦法提出的數據安全保護義務(wù),其他有關(guān)法律、行政法規作出規定的,中國人民銀行及其分支機構依照相關(guān)規定予以處理。

        第五十條(違反規定數據出境行為的處理)中國人民銀行及其分支機構執法檢查發(fā)現數據處理者未履行本辦法第二十六條規定的數據境內存儲義務(wù),按照《中華人民共和國網(wǎng)絡(luò )安全法》第六十六條規定和有關(guān)法律、行政法規的規定予以處理;發(fā)現數據處理者未履行本辦法第二十六條規定的數據出境安全評估申報義務(wù),將相關(guān)案件信息移送同級網(wǎng)信部門(mén),并配合其依法依規予以處理。

        第五十一條(違反規定向國際組織或者外國金融管理部門(mén)提供數據行為的處理)數據處理者未履行本辦法第二十七條規定,未經(jīng)中國人民銀行和其他有關(guān)主管部門(mén)批準,向國際組織或者外國金融管理部門(mén)提供境內存儲的數據時(shí),中國人民銀行及其分支機構依照《中華人民共和國數據安全法》第四十八條第二款規定予以處理;所提供數據涉及個(gè)人信息的,依照《中華人民共和國個(gè)人信息保護法》第六十六條規定予以處理。

        第五十二條(非法獲取數據行為的處理)中國人民銀行及其分支機構執法檢查發(fā)現數據處理者存在竊取或者以其他非法方式獲取數據的行為時(shí),將相關(guān)案件信息移送同級公安機關(guān)、國家安全機關(guān),并配合其依法依規予以處理。

        第五十三條(處理數據損害合法權益行為的處理)中國人民銀行及其分支機構執法檢查發(fā)現數據處理者開(kāi)展數據處理活動(dòng)排除、限制競爭,或者損害個(gè)人、組織合法權益的,依照《中華人民共和國反不正當競爭法》《中華人民共和國反壟斷法》《中華人民共和國消費者權益保護法》等法律,將相關(guān)案件信息移送承擔執法職責的有關(guān)主管部門(mén),并配合其依法依規予以處理。

        第五十四條(監督管理人員違反規定行為的處理)中國人民銀行及其分支機構人員在監督管理過(guò)程中存在玩忽職守、濫用職權、徇私舞弊情形的,按照法律、行政法規規定給予處分;涉嫌犯罪的,依法移送監察機關(guān)或者司法機關(guān)處理。

    第八章 附則

        第五十五條(名詞定義)術(shù)語(yǔ)定義:

        (一)網(wǎng)絡(luò )數據,是指通過(guò)網(wǎng)絡(luò )收集、存儲、傳輸、處理和產(chǎn)生的各種電子數據,表現形式為由一條或者多條信息記錄組成的集合;

        (二)數據項,是指描述網(wǎng)絡(luò )數據結構最基本的、不可分割的單位;

        (三)結構化數據項,是指具有預定義的抽象描述數據類(lèi)型,通常使用數據庫二維邏輯表中單一字段指代的數據項;

        (四)非結構化數據項,是指沒(méi)有預定義的抽象描述數據類(lèi)型,并且不適宜用數據庫二維邏輯表展現的數據項,如圖像、視頻、音頻、文檔文件等;

        (五)數據處理活動(dòng),是指數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除等活動(dòng);

        (六)數據處理者,是指開(kāi)展數據處理活動(dòng)的金融機構和其他機構;

        (七)本辦法所稱(chēng)“以上”均含本級。

        第五十六條(解釋權)本辦法由中國人民銀行負責解釋。國家外匯領(lǐng)域數據安全管理由國家外匯管理局負責,具體制度可另行制定。

        第五十七條(生效期)本辦法自 2024年××月××日起施行。

    日本公与熄乱理在线播放_国内精品久久人妻无码妲己_久久精品国产精品亚洲艾草_亚洲色偷拍另类无码专区
  • <li id="qswyw"><xmp id="qswyw">
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>