《中国人民银行业务领域数据安全管理办法（中国人民银行令〔2025〕第3号）》

中国人民银行令〔2025〕第3号（中国人民银行业务领域数据安全管理办法）

《中国人民银行业务领域数据安全管理办法》已经2025年4月2日中国人民银行第5次行务会议审议通过，现予发布，自2025年6月30日起施行。

中国人民银行业务领域数据安全管理办法

第一章 总　则

第一条

为规范中国人民银行业务领域数据的安全管理并促进开发利用，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律、行政法规，制定本办法。

第二条

在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理，适用本办法。其他有关主管部门有规定的，还应当依法遵守其规定。本办法所称中国人民银行业务领域，指依据法律、行政法规，党中央、国务院决定，由中国人民银行承担监督和管理职责的业务领域。本办法所称中国人民银行业务领域数据，指中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据（以下简称业务数据）。本办法所称数据处理者，指金融机构以及经中国人民银行批准设立或者认定的其他机构。

第七章 附　则

第五十四条

术语定义：

（一）数据项，是指描述网络数据结构最基本的、不可分割的单位。

（二）结构化数据项，是指具有预定义的抽象描述数据类型，通常为使用数据库二维逻辑表单一字段指代的数据项。

（三）非结构化数据项，是指不适宜用数据库二维逻辑表展现的数据项，如图像、视频、音频、文档文件等。

（四）终端设备，是指数据处理者在业务数据处理活动中所用的计算机终端、移动智能终端、音视频和多媒体设备、其他专用终端设备。

（五）导出方式，是指数据使用或者提供活动中，将原本具有严格访问权限控制和访问日志记录的业务数据，转换成未实施严格访问控制或者无访问日志记录的文档文件的操作方式。

（六）核验方式，是指业务数据使用或者提供活动中，经核实验证后，仅反馈与存储业务数据是否匹配的操作方式。

（七）统一规范管理，是指数据处理者在本机构制度或者操作规程中对不执行本办法所提原则性合规要求的情形予以集中列举，并说明保留此类情形的必要性、对应需采取的安全保护措施和需履行的必要内部审批程序。

第五十五条

本办法由中国人民银行负责解释。

第五十六条

本办法自2025年6月30日起施行。

中国人民银行有关部门负责人就《中国人民银行业务领域数据安全管理办法》答记者问

为贯彻党中央、国务院关于数据安全的决策部署，落实《中华人民共和国数据安全法》，近日，中国人民银行发布了《中国人民银行业务领域数据安全管理办法》（中国人民银行令〔2025〕第3号，以下简称《办法》）。中国人民银行有关部门负责人就《办法》回答了记者提问。

问：《办法》出台的背景是什么？答：《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线；加强数据分类分级管理。《中华人民共和国数据安全法》明确工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。在此背景下，中国人民银行在充分调研基础上，组织研究起草《办法》，全面衔接《中华人民共和国数据安全法》《网络数据安全管理条例》等，细化明确中国人民银行业务领域数据安全合规底线要求，督促指导相关数据处理者合规开展数据处理活动、履行数据安全保护义务，保障个人、组织合法权益。

问：《办法》的适用范围是什么？答：《办法》严格遵照党中央、国务院关于数据安全管理的分工原则，依据《中华人民共和国中国人民银行法》、中国人民银行主要职责等，适用范围聚焦于金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动。其中，中国人民银行业务领域是指由中国人民银行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域。

问：制定《办法》的主要思路是什么？答：《办法》既提出数据处理者原则上应当履行的安全保护义务，又明确例外情形下豁免相关义务的措施，相关措施要求不影响正常办理金融业务。《办法》明确从轻或减轻行政处罚的情形，鼓励数据处理者勤勉尽责加强数据安全保护，支持数据处理者提供有价值的数据安全风险情报和协助及时发现重大数据安全风险隐患，有利于协同加强数据安全保障。

问：《办法》的主要内容包括哪些？答：《办法》共七章五十六条：第一章总则，明确制定依据、适用范围、管理原则、工作机制等；第二章业务数据分类分级与总体要求，对数据资源目录、分类分级、制度建设、操作规程等方面作出规定；第三章全流程业务数据安全管理要求，对数据收集、存储、使用、加工、传输、公开、删除等环节明确安全管理规定；第四章全流程业务数据安全技术要求，从数据存储保护、数据备份、数据传输安全、算法风险防控等方面明确安全技术规定；第五章业务数据安全风险与事件管理，对数据处理活动的风险监测、通报预警、评估与审计、事件分级、响应处置等方面作出规定；第六章法律责任，对中国人民银行及其分支机构的监督管理责任落实和数据处理者违反规定行为的处置作出规定；第七章附则，对术语定义、解释权、施行日期作出规定。

问：《办法》如何实现与其他主管部门间监管协同？答：《办法》贯彻落实《国务院办公厅关于深入推进跨部门综合监管的指导意见》提出的"完善各司其职、各负其责、相互配合、齐抓共管的协同监管机制"精神，明确其他有关主管部门有规定的，还应当依法遵守；明确中国人民银行加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通，必要时可以与其他有关主管部门联合实施执法检查，凝聚行业监管合力。

问：《办法》出台后，中国人民银行后续工作考虑有哪些？答：一是加强政策宣传，指导金融从业机构更准确地理解把握《办法》条款内容。二是完善标准指引，做好配套数据安全相关行业标准的制修订工作。三是规范行政执法，督促相关数据处理者坚守合规底线。四是强化信息共享利用，逐步建立健全数据安全监测预警机制。