国家金融监督管理总局发布《银行保险机构数据安全管理办法》

liukang202418小时前吃瓜热门1141

为规范银职业稳妥业数据处理活动，确保数据安全、金融安全，促进数据合理开发运用，维护社会公共利益和金融顾客合法权益，金融监管总局近来拟定《银行稳妥安排数据安全办理方法》（下称《方法》）。

《方法》共9章81条，包含总则、数据安全办理、数据分类分级、数据安全办理、数据安全技能维护、个人信息维护、数据安全危险监测与处置、监督办理、附则等。一是强化数据办理顶层规划。要求银行稳妥安排树立与事务展开方针相适应的数据安全办理体系，实行数据安全职责制，依照“谁管事务、谁管事务数据、谁管数据安全”的准则展开数据安全维护作业。二是实行分类分级办理要求。要求对事务运营办理进程中获取、发生的数据进行分类办理。依据数据的重要性和灵敏程度，将数据分为中心、重要、一般三个等级，并将一般数据进一步细分为灵敏数据和其他一般数据，并采纳差异化的安全维护方法。三是强化数据安全办理体系。要求银行稳妥安排树立健全数据安全办理准则，对托付处理、一起处理、搬运、揭露、同享等相关数据处理活动展开安全点评，采纳相应技能手段确保数据全生命周期安全，确保数据开发运用活动安全稳健展开。四是加强个人信息维护。依照“明晰奉告、授权赞同”的准则处理个人信息，依照金融事务处理意图的最小规划搜集个人信息。同享和向外部供给个人信息，应实行个人奉告及获得赞同的职责。五是完善危险监测处置机制。将数据安全危险归入全面危险办理体系，明晰数据安全危险监测、危险点评、应急呼应及陈述、事情处置的安排架构和办理流程，有用防备和处置数据安全危险。

《方法》的出台是遵循实行党中央、国务院关于强化金融监管、防控金融危险的重要行动。金融监管总局将继续强化银职业稳妥业数据安全监管作业，加强催促辅导，做好《方法》遵循实行作业，辅导银行稳妥安排不断进步数据安全办理才能，为确保客户信息和金融买卖数据安全、牢牢守住不发生体系性危险底线奠定坚实根底。

附：银行稳妥安排数据安全办理方法

榜首章总则

榜首条为规范银职业稳妥业数据处理活动，确保数据安全、金融安全，促进数据合理开发运用，维护个人、安排的合法权益，维护国家安全和社会公共利益，依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息维护法》《中华人民共和国银职业监督办理法》《中华人民共和国商业银行法》《中华人民共和国稳妥法》等法令法规，拟定本方法。

第二条本方法所称银行稳妥安排，是指在中华人民共和国境内树立的方针性银行、商业银行、乡村协作银行、乡村信用协作社、金融财物办理公司、企业集团财政公司、金融租借公司、轿车金融公司、消费金融公司、钱银生意公司、信托公司、理财公司、稳妥公司、稳妥财物办理公司、稳妥集团（控股）公司。

展开触及国家秘密的数据处理活动，适用《中华人民共和国保存国家秘密法》等法令、行政法规的规矩。国家有关主管部分另有规矩的，应当依法恪守其规矩。

第三条本方法所称数据，是指以电子或许其他方法对信息的记载。

数据处理，是指对数据的搜集、存储、运用、加工、传输、供给、同享、搬运、揭露、删去、毁掉等。

数据安全，是指经过采纳必要方法，对数据处理活动和数据运用场景进行办理与操控，确保数据一直处于有用维护和合法运用的状况，以及具有确保继续安全状况的才能。

数据主体，是指数据所标识的自然人或许其监护人、企业、机关、事业单位、社会团体和其他安排。

个人信息，是以电子或许其他方法记载的与已辨认或许可辨认的自然人有关的各种信息，不包含匿名化处理后的信息。

大数据途径，是指以处理海量数据存储、核算、剖析等为意图的根底设施，包含数据统计剖析类的途径和大数据处理类途径（如数据湖、数据仓库等）。

第四条国家金融监督办理总局及其派出安排担任银职业稳妥业数据安全的监督办理，拟定并发布监管规章准则，对银行稳妥安排实行数据安全维护职责状况进行监督查看。

第五条银行稳妥安排应当树立与本安排事务展开方针相适应的数据安全办理体系，树立健全数据安全办理准则，构建掩盖数据全生命周期和运用场景的安全维护机制，展开数据安全危险点评、监测与处置，确保数据开发运用活动安全稳健开展。银行稳妥安排运用互联网等信息网络展开数据处理活动，应当在网络安全等级维护准则根底上，实行数据安全维护职责。

第六条银行稳妥安排展开数据处理活动，应当恪守法令、法规，尊重社会公德和道德，恪守商业道德和职业道德，诚笃守信，实行数据安全维护职责，承当社会职责，不得损害国家安全、政治安全、经济金融安全、公共利益，不得损害个人、安排的合法权益。

第七条银行稳妥安排应当统筹展开和安全，实行国家大数据战略，推进数据根底设施建造，加大数据立异运用力度，促进以数据为要害要素的数字经济展开，进步金融服务的智能化水平，立异普惠金融服务方法，增强防备化解危险的才能。

第八条银行稳妥安排应当继续盯梢新式数据开发运用和科技展开前沿动态，有用应对大数据运用与科技立异或许发生的规矩抵触、社会危险、道德道德危险，避免数据与科技被误用、乱用。

第二章数据安全办理

第九条银行稳妥安排应当树立掩盖董（理）事会、高管层、数据安全统筹、数据安全技能维护等部分的数据安全办理安排架构，明晰岗位职责和作业机制，实行资源确保。

第十条银行稳妥安排应当树立数据安全职责制，党委（党组）、董（理）事会对本单位数据安全作业负主体职责。银行稳妥安排首要担任人为数据安全榜首职责人，分担数据安全的高档办理人员为直接职责人，明晰各层级担任人的职责，明晰违规景象和职责追查事项，实行问责处置机制。

第十一条银行稳妥安排应当指定数据安全归口办理部分，作为本安排担任数据安全作业的主责部分。其首要职责包含：

（一）安排拟定数据安全办理准则、规划、准则和规范；

（二）安排树立和维护数据目录，推进实施数据分类分级维护；

（三）安排展开数据安全点评和查看；

（四）统筹树立数据安全应急办理机制，安排展开数据安全危险监测、预警与处置；

（五）安排展开数据安全宣贯练习，进步职工数据安全维护认识与技能；

（六）树立和维护内部数据同享、外部数据引进、数据对外供给、数据出境的统筹办理机制，牵头对外部数据供货商进行安全办理，统筹大数据运用、数据同享项意图安全需求办理；

（七）向党委（党组）、董（理）事会、高管层陈述数据安全重要事项；

（八）其他须统筹办理的数据安全作业事项。

第十二条银行稳妥安排应当依照“谁管事务、谁管事务数据、谁管数据安全”的准则，明晰各事务范畴的数据安全办理职责，实行数据安全维护办理要求。

第十三条银行稳妥安排危险办理、内控合规和审计部分担任将数据安全归入全面危险办理体系、内控评价体系，定时展开审计、监督查看与点评，催促问题整改和展开问责。

第十四条银行稳妥安排信息科技部分是数据安全的技能维护主责部分，其首要职责包含：

（一）建立数据安全技能维护体系，树立数据安全技能架构和维护操控基线，实行技能维护方法。

（二）拟定数据安全技能规范规范准则，安排展开数据安全技能危险点评。

（三）安排展开信息体系的生命周期安全办理，确保数据安全维护方法在需求、开发、测验、投产、监测等环节得到实行。

（四）树立数据安全技能应急办理机制，安排展开数据安全危险技能监测、预警、通报与处置，防备外部进犯、内外部损坏等损害数据安全活动。

（五）安排数据安全技能研究与运用。

第十五条银行稳妥安排应当树立杰出的数据安全文明，展开全员数据安全教育和练习，进步数据安全维护认识和水平，构成全员一起维护数据安全和促发展开的杰出环境。

第三章数据分类分级

第十六条银行稳妥安排应当拟定数据分类分级维护准则，树立数据目录和分类分级规范，动态办理和维护数据目录，采纳差异化安全维护方法。

第十七条银行稳妥安排应当对安排事务及运营办理进程中获取、发生的数据进行分类办理，数据类型包含客户数据、事务数据、运营办理数据、体系运转和安全办理数据等。

第十八条银行稳妥安排应当依据数据的重要性和灵敏程度，将数据分为中心数据、重要数据、一般数据。其间，一般数据细分为灵敏数据和其他一般数据。

中心数据，是指对范畴、集体、区域具有较高掩盖度或许到达较高精度、较大规划、必定深度的重要数据，一旦被不合法运用或许同享，或许直接影响政治安全、国家安全要点范畴、国民经济命脉、重要民生、严重公共利益。

重要数据，是指特定范畴、特定集体、特定区域或许到达必定精度和规划的数据，一旦被走漏或许篡改、损毁，或许直接损害国家安全、经济运转、社会安稳、公共健康和安全。

灵敏数据，是指一旦被走漏或许篡改、损毁，对经济运转、社会安稳、公共利益有必定影响，或许对安排本身或许公民个别形成重要影响的数据。

除以上数据之外的，为其他一般数据。

第十九条银行稳妥安排应当加强数据安全等级的时效办理，树立动态调整批阅机制，当数据的事务特点、重要程度和或许形成的损害程度发生改变，导致原安全等级不再适用的，应当及时动态调整。

第四章数据安全办理

第二十条银行稳妥安排应当依照国家数据安全与展开方针要求，依据本身展开战略，拟定数据安全维护战略。银行稳妥安排应当拟定数据安全办理方法，明晰办理职责分工，树立包含数据处理全生命周期管控机制，实行维护方法。

银行稳妥安排应当对数据外部引进或者协作同享、数据出境等，拟定安全办理实施细则。

第二十一条银行稳妥安排应当树立企业级数据架构，统筹展开对全域数据财物挂号办理，树立数据财物地图，以数据分类分级为根底明晰数据维护目标，环绕数据处理活动实施安全办理。

第二十二条银行稳妥安排在处理灵敏级及以上数据的事务活动时，或许展开数据托付处理、一起处理、搬运、揭露、同享等对数据主体有较大影响的活动时，应当事前展开数据安全点评。数据安全点评应当依据数据处理意图、性质和规划，依照法令法规和道德道德规范要求，剖析数据安全危险和对数据主体权益影响，点评数据处理的必要性、合规性，点评数据安全危险及防控方法的有用性。

第二十三条银行稳妥安排应当树立企业级数据服务办理体系，拟定数据服务规范，树立专职数据服务团队，统筹内外部数据加工、剖析，实施数据服务需求剖析、服务开发、服务布置、服务监控等活动。

第二十四条银行稳妥安排搜集数据应当坚持“合法、合理、必要、诚信”准则，明晰数据搜集和处理的意图、方法、规划、规矩，确保搜集进程的数据安全性、数据来历可追溯。银行稳妥安排不得超出数据主体赞同的规划向其搜集数据，法令、行政法规还有规矩的在外。

银行稳妥安排向其他银行稳妥安排搜集职业重要级及以上数据，需经国家金融监督办理总局赞同。

第二十五条银行稳妥安排应当以信息体系为数据搜集的首要途径，约束或者削减其他途径、临时性数据搜集。

银行稳妥安排中止金融事务或者服务后，应当立即中止相关数据搜集或许处理活动，法令、行政法规还有规矩的在外。

第二十六条银行稳妥安排应当拟定外部数据收购、协作引进的会集批阅办理准则，归入外包危险办理体系进行统筹办理，统筹树立数据需求、安全点评、搜集引进、数据运维、挂号存案和监督点评办理机制，对数据来历的实在性、合法性进行调查，点评数据供给者的安全确保才能及其数据安全危险，明晰两边数据安全职责及职责。

第二十七条银行稳妥安排展开灵敏级及以上数据清洗转化、会聚交融、剖析发掘等数据加工活动时，应当选用匿名化、去标识化或许其他必要安全方法维护数据主体权益，法令、行政法规还有规矩的在外。数据会聚交融衍生灵敏级及以上数据，或者导致数据安全等级改变的，应当及时点评、调整安全维护方法。

第二十八条银行稳妥安排应当依照“事务必要授权”准则，对灵敏级及以上数据严厉实施授权办理，拟定数据拜访闭环办理机制，并对数据拜访行为实施审计。确因事务需求从出产环境提取数据的，应当树立严厉的批阅程序，并明晰数据运用或许保存期限。

银行稳妥安排运用互联网等信息网络展开数据处理活动时，要实行网络安全等级维护、要害信息根底设施安全维护、密码维护等准则要求。

第二十九条银行稳妥安排应当对数据同享运用进行会集安全管控，明晰企业级数据同享战略，点评数据同享运用的必要性、合规性、安全性及道德道德规范的契合度。

银行稳妥安排应当树立银行母行、稳妥集团或许母公司与其子行、子公司数据安全阻隔的“防火墙”，并对同享数据采纳有用维护方法。银行稳妥安排与其母行、集团，或许其子行、子公司同享灵敏级及以上数据，应当获得数据主体的授权赞同，法令、行政法规还有规矩的在外。不得以数据主体回绝赞同同享灵敏数据而中止或许回绝单家子行、子公司对其供给金融服务，所同享数据归于供给产品或许服务所必需的在外。

第三十条银行稳妥安排在托付处理数据时，应当明晰所涉数据外部运用和处理的条件、场景、方法。托付处理数据时，应当以合同协议方法约好托付处理的意图、期限、处理方法、数据规划、维护方法、两边的数据安全职责和职责，以及受托方返还或者删去数据的方法等，对数据处理活动进行记载和审计，可对外揭露发表的数据在外。银行稳妥安排应当要求受托方在未获得其赞一起，不得转托付其他主体处理数据，不得对外同享数据，不得加工、练习、移用数据，或许采纳其他方法处理数据以获取合同或许协议约好以外的利益。

第三十一条银行稳妥安排应当将数据托付处理归入信息科技外包办理规划，在实施进程中不得将信息科技办理职责、数据安全主体职责外包，触及信息科技战略办理、信息科技危险办理、信息科技内部审计及其他有关信息科技中心竞争力的功用不得外包。供应链服务中触及灵敏级及以上数据处理的，银行稳妥安排应当加强对供货商的准入和安全办理。

第三十二条银行稳妥安排与第三方安排进行数据一起处理时，应当依照“事务必要授权”准则拟定计划并采纳有用办理和技能维护方法确保数据安全，并以合同协议方法明晰两边在数据处理进程中的数据安全职责和职责。

第三十三条银行稳妥安排因兼并、分立、闭幕、被宣告破产等需求搬运数据的，应当明晰数据搬运内容，经过协议、许诺等方法约好数据接收方全面承受对应数据的安全维护职责，经过公告等方法奉告数据主体。数据搬运应当选用安全可靠方法进行，并确保搬运进程可追溯。

第三十四条银行稳妥安排向外部供给灵敏级及以上数据，应当获得数据主体赞同，法令、行政法规还有规矩的在外。除国家机关依法履职外，银行稳妥安排中心数据跨主体活动应当依照国家相关方针要求经过危险点评、安全查看。

第三十五条银行稳妥安排应当树立对外揭露发表数据的批阅机制，研判或许发生的影响，数据揭露应当在安排官方途径进行发布，确保数据实在、精确、防篡改，记载批阅和发布状况。

灵敏级及以上数据不得揭露，法令、行政法规还有规矩或者获得数据主体授权赞同的在外。

第三十六条银行稳妥安排向境外供给在中华人民共和国境内运营中搜集和发生的重要数据和个人信息，应当承当数据安全主体职责，并依照国家有关方针要求进行安全点评。

第三十七条银行稳妥安排应当采纳技能方法，对灵敏级及以上数据加强要点防护。加强数据备份，拟定备份战略，备份数据和出产数据应阻隔分隔保存，严厉办理备份数据的拜访权限。拟定备份验证计划，确保备份数据完好有用、事务可康复。

第三十八条银行稳妥安排应当拟定数据毁掉办理准则，依照国家、职业有关规矩及与数据主体的约好进行数据删去或者匿名化处理。银行稳妥安排托付数据处理中止时，应当要求服务供给商及时删去数据，并采纳现场查看等有用监督方法，确保数据被毁掉、不行康复。

第五章数据安全技能维护

第三十九条银行稳妥安排应当树立针对大数据、云核算、移动互联网、物联网等多元异构环境下的数据安全技能维护体系，树立数据安全技能架构，明晰数据维护战略方法，采纳技能方法，确保数据安全。

第四十条银行稳妥安排应当将数据安全维护归入信息体系开发生命周期结构，针对灵敏级及以上数据明晰安全维护要求，完成数据安全维护方法与信息体系的同步规划、同步建造、同步运用。

第四十一条银行稳妥安排应当将数据归入网络安全等级维护。银行稳妥安排应当依据数据安全等级，区分网络逻辑安全域，树立分区域数据安全维护基线，实施有用的安全操控，包含内容过滤、拜访操控和安全监控等，确保相关方法满意处理和存储最高等级数据的网络安全战略和数据安全维护战略要求。寄存或者传输灵敏级及以上数据的机房、网络应当实施要点防护，树立物理安全维护区域，对网络鸿沟、重要网络节点进行安全监控与审计。

第四十二条银行稳妥安排应当将灵敏级及以上数据归入信息体系维护。在数据全生命周期内采纳有用的拜访操控办理方法，关于不同区域流通和同享中的数据，应当实施平等水平的安全防护方法。多来历灵敏级及以上数据会聚会集后，应当采纳加强性或者至少不低于会集前最高等级数据维护强度的安全方法。

第四十三条银行稳妥安排应当严厉实施对灵敏级及以上数据的办理，拟定用户对数据的拜访战略，采纳有用的用户认证和拜访操控技能方法，规范数据操作行为，用户对数据的拜访应当契合事务展开的必要要求并与数据安全等级相匹配。灵敏级及以上数据的操作应当进行日志记载，包含操作时刻、用户标识、行为类型等，中心数据操作日志及其备份数据保存时刻不低于三年，重要数据、灵敏数据操作日志及其备份数据保存时刻不低于一年，如触及托付处理、一起处理的数据操作日志及其备份数据保存时刻不低于三年。应当定时对数据操作行为进行审计，审计周期不超越六个月。

第四十四条银行稳妥安排灵敏级及以上数据传输应当选用安全的传输方法，确保数据完好性、保密性、可用性。

银行稳妥安排之间进行数据交换时，参加数据交换的相关安排应当采纳有用方法确保信息数据传输和存储的保密性、完好性、精确性、及时性、安全性。

第四十五条银行稳妥安排应当对灵敏级及以上数据采纳安全存储方法，避免勒索病毒、木马后门等进犯。个人身份辨别数据不得明文存储、传输和展现。灵敏级及以上数据应当实施数据容灾备份，定时进行数据可康复性验证。

第四十六条灵敏级及以上数据到达运用或者保存期限后，应当采纳技能方法及时删去或者毁掉，确保数据不行康复。终端和移动存储介质内的灵敏级及以上数据应当采纳技能维护方法，确保受控安全拜访，介质作废或者重用时，其存储空间数据应当彻底铲除并不行康复。

第四十七条银行稳妥安排应当展开数据安全的技能根底设施建造，支撑用户身份办理、数据匿名化、行为监测、日志审计、数据虚拟化等功用的组件化、服务化，确保安全规范在信息体系中实行的一致性。

第四十八条银行稳妥安排开发信息体系时，应当明晰体系拟处理的数据及其安全等级、拜访规矩、维护需求，并实施有用的体系安全操控。体系投产上线前应当展开安全测验，确保各项安全要求实行，有用防备数据安全危险。测验环境应当与出产体系阻隔，灵敏级及以上数据准则上未经脱敏处理不得进入测验环境，避免数据走漏。

第四十九条银行稳妥安排应当对大数据途径采纳高可用规划、安全加固、数据备份等方法进行要点维护。应当树立大数据服务拜访授权机制，动态监测与审计大数据拜访行为。

第五十条银行稳妥安排展开自动化决议计划剖析、模型算法开发、数据标示等活动，应当确保数据处理透明度和成果公平合理。银行稳妥安排应当对人工智能模型开发运用进行统一办理，树立模型算法产品外部引进的准入机制，对模型研制进程进行自动办理，完成模型算法可验证、可审阅、可追溯。

第五十一条银行稳妥安排信息体系、模型算法投入运用前，应当展开数据安全查看，查看数据与模型运用的合理性、合理性、可解说性，以及数据运用对相关主体合法权益的影响、道德道德危险及防控方法有用性等。

第五十二条银行稳妥安排运用人工智能技能展开事务时，应当就数据对决议计划成果影响进行解说阐明和信息发表，实时监测自动化处理与体系运转成果，树立人工智能运用的危险缓释方法，包含拟定退出人工智能运用的代替计划，对安全要挟拟定应急计划并展开演练。

第五十三条银行稳妥安排在建造敞开银行、金融生态或者与第三方数据协作时，要完成本身与外部的安全危险阻隔，与外部安排的数据交互应当经过会集办理的外联途径或者运用程序接口实施，依据“事务必需、最小权限”准则，采纳有用方法对接口规划、开发、服务、运转等进行会集安全维护办理。

第六章个人信息维护

第五十四条银行稳妥安排处理个人信息应当依照“明晰奉告、授权赞同”的准则实施，法令、行政法规还有规矩的在外，并在信息体系中完成相关功用操控。

第五十五条银行稳妥安排处理个人信息应当具有明晰、合理的意图，并应当与处理意图直接相关，搜集个人信息应当限于完成金融事务处理意图的最小规划，不得过度搜集个人信息。不得运用所搜集的个人信息从事违法违规活动。

第五十六条银行稳妥安排处理个人信息前，应当实在、精确、完好地向个人奉告其个人信息的处理意图、处理方法、处理的个人信息品种、保存期限，个人行使其信息权力的请求受理和处理程序，以及法令法规规矩应当奉告的其他事项。

银行稳妥安排应当拟定个人信息处理规矩，个人信息处理规矩应当公展开示、易于拜访、内容明晰、明晰易懂。

第五十七条银行稳妥安排不得以个人不赞同处理其个人信息或许撤回赞同为由，回绝供给产品或许服务，处理个人信息归于供给产品或许服务所必需的在外。

第五十八条银行稳妥安排在展开触及对个人权益有严重影响的个人信息处理活动时，应当进行个人信息维护影响点评，点评内容包含个人信息处理的合法性、必要性，对个人权益的影响及安全危险，所采纳的维护方法合法性、有效性以及是否与危险程度相适应。个人信息维护影响点评陈述和处理状况记载应当至少保存三年。

第五十九条银行稳妥安排与其母行、集团，或者其子行、子公司同享个人信息，及向外部供给个人信息，应当实行向个人奉告及获得其赞平等相关事项的职责。

第六十条银行稳妥安排向中华人民共和国境外供给个人信息的，除满意第三十六条、第五十九条规矩的要求外，还应当向个人奉告其向境外接收方行使信息权力的方法和程序等事项，法令、行政法规还有规矩的在外。

第六十一条银行稳妥安排托付第三方处理个人信息的，应当在合同或许协议条款内明晰受托人对个人信息的维护职责、维护方法和期限等，并严厉监督受托人以约好的处理意图、处理方法等处理个人信息，与第三方传输个人灵敏数据有必要确保安全，防备数据乱用和走漏危险。未经银行稳妥安排赞同，受托人不得转托付别人处理个人信息。

第六十二条银行稳妥安排在算法规划、练习数据挑选和模型生成时，应当采纳有用方法，确保个人合法权益。运用个人信息进行自动化决议计划，应当确保决议计划的透明度和成果公平、公平。

第六十三条发生或许或许发生个人信息走漏、篡改、丢掉的，银行稳妥安排应当当即采纳补救方法，一起告诉个人并报送国家金融监督办理总局或许其派出安排。告诉应当包含下列事项：

（一）发生或许或许发生个人信息走漏、篡改、丢掉的信息品种、原因和或许形成的损害；

（二）银行稳妥安排采纳的补救方法和个人能够采纳的减轻损害的方法。

银行稳妥安排采纳方法能够有用避免信息走漏、篡改、丢掉形成损害的，能够不告诉个人；监管部分以为或许形成损害的，有权要求银行稳妥安排告诉个人。

第七章数据安全危险监测与处置

第六十四条银行稳妥安排应当将数据安全危险归入本安排全面危险办理体系，明晰数据安全危险监测、危险点评、应急呼应及陈述、事情处置的安排架构和办理流程，有用防备和处置数据安全危险。

第六十五条银行稳妥安排应当对数据安全要挟进行有用监测，实施监督查看，自动点评危险，避免数据篡改、损坏、走漏、不合法运用等安全事情发生。监测内容包含：

（一）超规划授权或者运用体系特权账号；

（二）内部人员反常拜访、运用数据；

（三）对数据会集同享的体系或许途径的网络安全、数据安全要挟；

（四）灵敏级及以上数据在不同区域的反常活动；

（五）移动存储介质的反常运用；

（六）外包、第三方协作中的数据处理反常或许数据走漏、丢掉和篡改；

（七）客户有关数据安全的投诉；

（八）数据走漏、仿冒诈骗等负面舆情；

（九）其他或许导致数据安全事情发生的状况。

第六十六条银行稳妥安排应当每年展开一次数据安全危险点评。审计部分应当每三年至少展开一次数据安全全面审计，发生严重数据安全事情后应当展开专项审计。银行稳妥安排托付专业安排进行数据安全审计时，不得运用该安排供给的产品和其他服务。

第六十七条数据安全事情是指银行稳妥安排数据被篡改、走漏、损坏、不合法获取、不合法运用等，对个人或者安排合法权益、职业安全、国家安全形成负面影响的事情。依据其影响规划和程度，分为特别严重、严重、较大和一般四个事情等级。

第六十八条银行稳妥安排应当树立数据安全事情应急办理机制，树立安排内部和谐联动机制，树立服务供给商、第三方协作安排数据安全事情的陈述机制，及时处置危险危险及安全事情。

（一）拟定数据安全事情应急预案，定时展开应急呼应练习和应急演练。

（二）发生数据安全事情后，应当当即发动应急处置，剖析事情原因、点评事情影响、展开事情定级，依照预案及时采纳事务、技能等方法操控事态。

（三）树立数据安全事情陈述机制，依据事情安全等级拟定陈述流程，发生数据安全事情时依照规矩陈述，一起依照合同、协议等有关约好实行客户及协作方奉告职责。

（四）发生数据安全事情或者运用的网络产品和服务存在安全缺点、缝隙时，应当当即展开调查点评，及时采纳补救方法，避免损害扩展。网络产品和服务供给商存在安全缺点、缝隙隐秘不报的，银行稳妥安排应当责令其改正；未按要求整改或许形成严重后果的，应当吊销其服务资历，按合同约好予以处分，并向国家金融监督办理总局或者其派出安排陈述。

第六十九条数据安全事情发生2小时内，银行稳妥安排应当向国家金融监督办理总局或者其派出安排陈述，并在事情发生后24小时内提交正式书面陈述。发生特别严重数据安全事情，银行稳妥安排应当当即采纳处置方法，依照规矩及时奉告用户并向国家金融监督办理总局或者其派出安排、属地公安机关陈述。银行稳妥安排应当每2小时将处置发展状况上报，直至处置完毕。数据安全事情处置完毕后，银行稳妥安排应当在五个作业日内将事情及其处置的点评、总结和改善陈述报送国家金融监督办理总局或者其派出安排。其他法令、行政法规对数据安全事情应急处置作出规矩的，银行稳妥安排应当实行。

第八章监督办理

第七十条国家金融监督办理总局及其派出安排对银行稳妥安排数据安全维护状况进行监督办理，展开非现场监管、现场查看，将数据安全办理状况归入监管评级点评体系，依法对银行稳妥安排数据安全事情进行处分和处置，实施对数据安全办理的继续监管。

第七十一条国家金融监督办理总局依照国家数据分类分级要求，拟定银职业稳妥业重要数据目录，提出中心数据目录主张，监督辅导银行稳妥安排展开数据分类分级办理和数据维护。银行稳妥安排应当按要求向国家金融监督办理总局或者其派出安排报送重要数据目录。重要数据目录发生严重改变应当及时报备更新后的数据目录。

第七十二条国家金融监督办理总局树立银职业稳妥业数据安全监测预警、通报处置机制，继续监测数据安全危险，向职业发布危险提示，拟定银行业稳妥业数据安全事情应急预案，处置数据安全危险事情。与国家数据安全办理部分树立联防联控办理机制，实施数据安全信息同享、危险监测预警及数据安全事情处置。

第七十三条触及批量灵敏级及以上数据的数据同享、托付处理、转让买卖、数据搬运，银行稳妥安排应当在处理、合同签署前二十个作业日向国家金融监督办理总局或者其派出安排陈述，法令、行政法规还有规矩的在外。

第七十四条银行稳妥安排应当于每年1月15日前向国家金融监督办理总局或者其派出安排报送上一年度数据安全危险点评陈述，陈述内容包含数据安全治理、技能维护、数据安全危险监测及处置方法、数据安全事情及处置状况、托付和一起处理、数据出境、数据安全点评与查看状况、数据安全相关的投诉及处理状况等。

第七十五条国家金融监督办理总局及其派出安排对银行稳妥安排数据安全维护状况进行现场查看、事情调查，关于发现涉嫌违法违规事项的有关单位和个人，依法展开调查。现场查看、事情调查能够托付国家、职业有关专业技能安排或许审计安排予以帮忙。

第七十六条银行稳妥安排违背本方法要求的，国家金融监督办理总局或许其派出安排依据其违规状况，对银行稳妥安排依法采纳危险提示、监管说话、监管通报、责令改正等监管方法；对触及违规处理行为的体系或许运用，责令暂停或许中止服务；对有严重违法违规景象，或者迟报、瞒报数据安全事情和案子，或许发生严重数据安全危险、事情、案子的第三方安排进行职业通报，责令银行稳妥安排暂缓或许中止协作。

第七十七条银职业金融安排违背本方法要求的，国家金融监督办理总局及其派出安排能够依据《中华人民共和国银职业监督办理法》相关规矩，责令银职业金融安排改正，并处以二十万以上五十万以下罚款；情节特别严重或许逾期不改正的，能够责令停业整顿或者撤消其运营许可证。依据违规状况，能够责令银职业金融安排对直接担任的董事、高档办理人员和其他直接职责人员给予纪律处分；银职业金融安排的行为尚不构成犯罪的，对直接担任的董事、高档办理人员和其他直接职责人员给予正告，处五万元以上五十万元以下罚款；吊销直接担任的董事、高档办理人员必定时限直至终身的任职资历，制止直接担任的董事、高档办理人员和其他直接职责人员必定时限直至终身从事银职业作业。构成犯罪的，依法追查刑事职责。

稳妥业金融安排违背本方法要求的，国家金融监督办理总局及其派出安排可以依据《中华人民共和国稳妥法》相关规矩，责令稳妥业金融安排改正，处五万元以上三十万元以下的罚款；情节严重的，约束其事务规划、责令中止承受新事务或许撤消事务许可证。依据违规状况，对其直接担任的主管人员和其他直接职责人员给予正告，并处一万元以上十万元以下的罚款；情节严重的，吊销任职资历。构成犯罪的，依法追查刑事职责。