近日，中国人民银行发布《中国人民银行业务领域数据安全管理办法》（中国人民银行令〔2025〕第3号，以下简称《办法》），自2025年6月30日起施行。

《办法》适用范围聚焦于金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动。其中，中国人民银行业务领域是指由中国人民银行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域。

下一步，中国人民银行将组织实施好《办法》，指导金融从业机构依法依规保障业务数据安全，促进业务数据开发利用，保护个人、组织的合法权益，筑牢金融安全防线。

以下为《办法》全文：

中国人民银行业务领域数据安全管理办法

第一章 总  则

第一条 为规范中国人民银行业务领域数据的安全管理并促进开发利用，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律、行政法规，制定本办法。

第二条 在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理，适用本办法。其他有关主管部门有规定的，还应当依法遵守其规定。

本办法所称中国人民银行业务领域，指依据法律、行政法规，党中央、国务院决定，由中国人民银行承担监督和管理职责的业务领域。

本办法所称中国人民银行业务领域数据，指中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据（以下简称业务数据）。

本办法所称数据处理者，指金融机构以及经中国人民银行批准设立或者认定的其他机构。

第三条 业务数据安全工作遵循“谁管业务，谁管业务数据，谁管数据安全”原则。中国人民银行对业务数据安全负指导监管责任。数据处理者应当履行数据安全保护义务，防范业务数据被篡改、破坏、泄露或者非法获取、非法利用等风险，保障国家安全、公共利益、个人及组织合法权益，尊重社会公德伦理，遵守商业道德和职业道德，保障业务数据依法有序自由流动。

第四条 在国家数据安全工作协调机制统筹协调下，中国人民银行及其分支机构按照本办法开展业务数据安全监督管理工作，加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通。

相关金融行业协会应当加强自律管理，依法制定业务数据安全行为规范和团体标准，指导会员加强业务数据安全保护。

第五条 鼓励数据处理者积极开展业务数据安全创新应用，在保障安全合规前提下促进业务数据的高效流通和开发利用，鼓励在行业内推广优秀创新成果。

第二章 业务数据分类分级与总体要求

第六条 中国人民银行负责制定业务数据分类分级保护相关规范标准，指导业务数据分类分级保护工作，组织编制中国人民银行业务领域重要数据目录并实施动态管理。

第七条 数据处理者应当建立健全业务数据分类分级制度和操作规程。业务数据分类分级实施应当遵循制度规程，分类分级结果应当履行内部审批程序。

第八条 数据处理者应当建立业务数据资源目录，并从业务关联性、敏感性和可用性方面分别做好业务数据分类：

（一）标识各数据项是否为个人信息、是否为外部收集产生、存储该数据项的信息系统清单和关联的业务类别。

（二）根据业务数据遭到泄露或者被非法获取、非法利用时，对个人、组织合法权益或者公共利益等造成的危害程度开展敏感性分类。业务数据的结构化数据项应当逐一标识敏感性，业务数据的非结构化数据项应当优先按照可拆分的各结构化数据项所标识的最高敏感性，标识其敏感性。中国人民银行业务领域内的敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等，应当标识为高敏感性数据项。

（三）根据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度，明确信息系统差异化的数据恢复点目标，视为对业务数据的可用性分类。

第九条 按照国家有关规定，将业务数据分为一般数据、重要数据、核心数据三级。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度，一旦被非法使用或者共享，可能直接影响政治安全的重要数据。

中国人民银行按照国家有关规定组织确定重要数据具体目录，数据处理者应当准确识别、申报本机构存储的全量业务数据是否属于重要数据、核心数据，并填报重要数据具体目录内容。

中国人民银行汇总形成重要数据具体目录，经国家数据安全工作协调机制审定后，确定重要数据的处理者并告知其对应的重要数据。

除单独说明的情形外，本办法所列重要数据的保护义务，均适用于核心数据。

第十条 数据处理者应当每年至少更新一次业务数据资源目录，完整准确记录信息系统所存储数据项和对应标识内容。

第十一条 数据处理者应当切实履行业务数据安全保护责任，明确业务数据安全保护相关内设部门职责，配备与业务范围和服务规模相适应的数据安全专业人员，细化业务数据安全保护奖惩规程。

面向社会提供产品、服务的数据处理者应当建立便捷的投诉、举报渠道，及时受理并处理业务数据安全有关投诉、举报。

重要数据的处理者应当明确业务数据的安全负责人和管理机构。管理机构应当切实履行法律、行政法规已明确的各项责任。业务数据的安全负责人应当符合法律、行政法规已明确需具备的条件，并确保其能够有效履行数据安全保护义务，有权直接向中国人民银行报告业务数据安全情况。

第十二条 数据处理者应当建立健全全流程业务数据安全管理制度，结合业务数据分类分级明确差异化的安全保护措施，制定业务数据处理活动操作规程和业务数据安全相关内部审批授权规程，明确操作实施和审批授权记录的留存要求。

不同敏感性数据项在同一个业务数据处理活动中被处理，且难以采取差异化安全保护措施的，应当采取高敏感性数据项对应的安全保护措施。

第十三条 数据处理者应当根据岗位分工，制定业务数据安全年度培训计划，每年组织业务数据处理活动参与人员开展相关教育培训。培训内容应当包括与业务数据安全相关的制度标准、风险防范常识、岗位责任、保护措施和事件应急处置要求。

第三章 全流程业务数据安全管理要求

第十四条 数据处理者应当严格管理处理业务数据相关信息系统数据库管理员账号等特权账号和各类业务处理账号的权限，人员变动时应当立即调整权限。数据处理者应当与可使用高敏感性数据项账号的人员签订保密协议。

数据处理者存储核心数据的，应当对业务数据的安全负责人和可使用核心数据的关键岗位人员进行安全背景审查。

第十五条 数据处理者收集业务数据应当采取下列安全保护管理措施：

（一）除收集自行公开或者其他已经合法公开的业务数据的情形外，收集业务数据时应当依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权，并落实相应告知义务。

（二）非直接面向个人、组织收集其尚未公开的业务数据的，应当在合同或者协议中明确数据提供方保障业务数据来源合法性、真实性的义务。数据提供方未取得个人书面同意或者组织书面授权的，还应当要求其出具业务数据来源依法合规和数据真实性的必要佐证材料。

（三）采用人工录入方式收集业务数据的，应当采取必要校验措施保障业务数据录入的准确性，按照相关管理要求留存业务数据收集原始凭证。

（四）原则上不收集图像等原始个人生物识别信息。确需收集的，应当统一规范管理相关需求场景。

（五）按照与数据提供方合同或者协议中约定的处理目的、方式、范围以及安全保护义务等开展收集和后续的业务数据处理活动。

第十六条 数据处理者应当根据业务需要，明确业务数据保存期限。除履行法定职责或者法定义务外，高敏感性数据项原则上不在终端设备和移动介质中存储，确需存储的，数据处理者应当统一规范管理相关需求场景。

第十七条 业务数据使用活动中，数据处理者使用高敏感性数据项，原则上不采取导出方式，使用用于身份鉴别的数据项原则上仅采取核验方式。确需采取导出方式使用高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的，数据处理者应当统一规范管理相关需求场景。

除根据个人请求向其展示与其相关业务数据，以及履行法定职责或者法定义务所需外，数据处理者原则上须实施脱敏处理后再展示高敏感性数据项。确需不脱敏展示的，数据处理者应当统一规范管理相关需求场景。

第十八条 数据处理者应当审查业务数据加工目的与业务数据收集约定是否一致；需要训练业务数据的，应当审查训练业务数据的真实性、准确性、客观性、多样性；需要标注业务数据的，应当抽样审查标注的合理性与准确性；需要建立模型评价激励规则的，应当审查评价激励规则是否尊重社会公德伦理、遵守商业道德和职业道德。

业务数据加工活动中，数据处理者加工高敏感性数据项的，应当进一步明确应当采取的安全保护措施，并履行内部审批程序；基于加工生成的数据项面向个人提供自动化决策服务的，应当以适当方式向个人解释说明处理目的、用于加工的个人信息种类和加工规则。

第十九条 对于业务数据加工活动产生新数据项，经评估其敏感性明显低于加工所使用数据项的，数据处理者可遵循规程降低其敏感性标识，促进依法合规开发利用。

对于业务数据加工活动产生新数据项，经评估其敏感性明显高于加工所使用数据项的，数据处理者应当提高其敏感性标识，并加强业务数据安全保护。

第二十条 除根据个人请求向其传输与其相关业务数据外，数据处理者原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项。确有需要的，数据处理者应当统一规范管理相关需求场景。

第二十一条 从事业务所需的业务数据提供活动，数据处理者应当核验数据接收方身份，并采取下列安全保护管理措施：

（一）对于涉及个人信息的业务数据提供活动，应当评估是否遵守法律、行政法规要求。对于其他业务数据提供活动，应当评估是否符合保守商业秘密的约定。

（二）向其他数据处理者提供业务数据涉及个人信息和重要数据的，应当在合同或者协议中明确各自的数据安全保护义务，需要采取的安全保护措施，数据提供的目的、方式、范围，数据允许存储时限，数据提供至第三方的限制和数据安全事件告知义务，并对数据接收方履行约定义务的情况进行监督。

（三）按照约定做好业务数据清洗转换，对提供数据的真实性作必要审查，不得误导数据接收方。

（四）除委托处理情形外，原则上不采取导出方式向其他数据处理者提供高敏感性数据项，用于身份鉴别的数据项原则上须采取核验方式提供。确需采取导出方式提供高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的，数据处理者应当统一规范管理相关需求场景。

第二十二条 数据处理者向其他数据处理者提供、委托处理、共同处理重要数据前，应当依照法律、行政法规和中国人民银行相关规定进行风险评估，并重点评估数据接收方数据处理目的和方式的合法正当性、数据项列表的需求合理性、数据活动的潜在安全风险、数据接收方诚信守法情况、合同或者协议内容的完备性、拟采取的安全保护措施等。

除履行法定职责或者法定义务外，数据处理者向其他数据处理者提供核心数据达到国家规定情形的，在提供业务数据之前应当经中国人民银行报国家数据安全工作协调机制开展风险评估。数据处理者不得通过拆分、转换等手段规避上述义务。

重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的，应当依照法律、行政法规要求，事前向中国人民银行或者住所地中国人民银行省级分支机构报告重要数据处置方案，在方案中说明重要数据目录内容更新情况、数据接收方的名称或者姓名和联系方式等。

第二十三条 数据处理者采用隐私计算等技术促进业务数据融合创新应用的，应当落实本办法第二十一条第一项至第三项要求，并确认除本机构外其他数据处理者无法使用未加密原始数据、与其他数据融合创新应用活动作关联分析无法泄露约定范围外的信息。

第二十四条 数据处理者因业务等需要向中华人民共和国境外提供数据，存在国家网信部门规定情形的，应当严格遵守其有关规定；法律、行政法规和中国人民银行相关规定有境内存储要求的，业务数据还应当同时在中华人民共和国境内存储。

符合国家网信部门规定应当申报数据出境安全评估或者开展保护认证等情形的，数据处理者不得对业务数据采取拆分、转换等手段规避相关义务。

第二十五条 中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国金融执法机构关于提供业务数据的请求。

第二十六条 数据处理者应当审核业务数据公开活动的目的、数据项列表、渠道、时限和脱敏处理情况，分析研判可能产生的不利影响，审查业务数据的合法性、真实性，并通过本机构明确的官方渠道公开业务数据。确需通过其他渠道公开的，应当明确采用的安全保护措施并履行内部审批程序。

业务数据处理活动中，数据处理者不得公开用于身份鉴别的数据项，公开其他高敏感性数据项原则上须作脱敏处理。确需不作脱敏处理的，数据处理者应当统一规范管理相关需求场景。

第二十七条 数据处理者应当依照法律、行政法规和中国人民银行相关规定，主动删除处理目的已实现、处理目的无法实现、为实现处理目的不再必要或者约定保存期限已届满等情形的业务