（一）业务数据安全工作原则

在数据安全工作上，《管理办法》构建“主体责任+监管问责”的双重机制。

在主体责任方面，延续《国家金融监督管理总局关于印发银行保险机构数据安全管理办法的通知》的规定，以“谁管业务，谁管业务数据，谁管数据安全”为基本原则。规定数据处理者需履行数据安全保护义务，防范业务数据面临的各类风险，保障国家安全、公共利益以及个人和组织的合法权益，同时要确保业务数据依法有序自由流动。具体而言，“谁管业务”，即业务归谁管的责任界定，根据业务性质和工作内容，明确每个业务板块的责任主体，确保每项业务都有专人负责。“谁管业务数据”，明确的是数据处置和流转权限在谁手上，应明确由谁负责收集、存储、处理和使用业务数据，对于业务过程中产生的数据，各个业务部门有直接管理责任。“谁管数据安全”，落实数据安全最终义务承担主体，要求业务部门直接承担数据安全管理责任，确保数据安全保障措施得到有效执行。

在监管问责方面，明确中国人民银行对业务数据安全负指导监管责任。央行通过动态监测、安全审查、联合执法等手段强化监督，并设定法律责任，对未履行义务的机构可依据《数据安全法》第四十五条处以罚款，同时明确“尽职从轻处罚”条款：“数据处理者积极提供数据安全风险情报，协助及时发现重大业务数据安全风险的，应当对其未履行数据安全保护义务但尚未造成危害后果的行为，从轻或者减轻行政处罚”，以激励企业主动合规。

（二）数据分类分级制度

《管理办法》第二章对数据分类分级体系进行了优化，重点调整了分类标准的逻辑框架。与此前《征求意见稿》将数据敏感性、可用性作为分级依据不同，正式发布的《管理办法》采取三级分类思路，即从业务关联性、敏感性和可用性方面进行数据分类，同时将数据安全层级简化为一般数据、重要数据、核心数据三级，大幅降低了金融机构落地执行的复杂度。这一调整既解决了原五级敏感性分层机制因颗粒度过细导致的实操难题，又通过将可用性纳入分类维度强化了数据价值与安全保护的协同性。

就重要数据识别的准确性、完备性而言，《管理办法》在一定程度上通过中国人民银行与数据处理者间的充分信息交互，确保监管部门能够从业务实践出发，更加准确地识别重要数据，避免金融从业机构等数据处理者在实践中开展业务时受到阻碍。

《管理办法》第六条规定，“中国人民银行负责制定业务数据分类分级保护相关规范标准，指导业务数据分类分级保护工作，组织编制中国人民银行业务领域重要数据目录并实施动态管理。”重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。中国人民银行按照国家有关规定组织确定重要数据具体目录，经国家数据安全工作协调机制审定后，确定重要数据的处理者并告知其对应的重要数据。

《管理办法》要求数据处理者应建立业务数据资源目录，并从业务关联性、敏感性、可用性三个方面开展数据分类。其中敏感性分类以数据泄露后的危害程度为核心，将“敏感个人信息”“商业秘密类客户信息”“应控制知悉范围的业务信息”界定为高敏感数据，需施加更加严格的保护措施。

（三）全流程数据安全管理

《管理办法》的第三章从数据收集、存储、使用、加工、传输、公开、删除等全生命周期明确了各数据处理环节的安全管理规定。

具体包括：

第一，收集：采用信息系统间交互方式收集高敏感性数据项的，应当验证数据提供方身份。

第二，存储：1.除履行法定职责或者法定义务外，高敏感性数据项原则上不在终端设备和移动介质中存储，确需存储的，应当统一规范管理相关需求场景；2.原则上高敏感性数据项须加密存储，确需不加密存储的，应当统一规范管理相关需求场景；3.明确高敏感性数据项的脱敏处理策略，切实降低脱敏业务数据仍可识别至特定个人、组织的风险。4.业务数据处理活动日志记录高敏感性数据项原则上须经脱敏处理。确需不脱敏处理的，应当统一规范管理相关需求场景。

第三，使用：1.与可使用高敏感性数据项账号的人员签订保密协议；2.使用高敏感性数据项，原则上不采取导出方式，使用用于身份鉴别的数据项原则上仅采取核验方式。确需采取导出方式使用高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的，应当统一规范管理相关需求场景；3.除根据个人请求向其展示与其相关业务数据，以及履行法定职责或者法定义务所需外，原则上须实施脱敏处理后再展示高敏感性数据项。确需不脱敏展示的，应当统一规范管理相关需求场景。4.可使用高敏感性数据项的账号应当支持多因素认证或者二次授权确认，并建立超时退出、访问通信地址变化等情形的重新验证机制。

第四，加工：加工高敏感性数据项的，应当进一步明确应当采取的安全保护措施，并履行内部审批程序。

第五，传输：1.除根据个人请求向其传输与其相关业务数据外，原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项。确有需要的，应当统一规范管理相关需求场景；2.除委托处理情形外，原则上不采取导出方式向其他数据处理者提供高敏感性数据项，用于身份鉴别的数据项原则上须采取核验方式提供。确需采取导出方式提供高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的，应当统一规范管理相关需求场景。3.原则上高敏感性数据项须加密传输至其他数据处理者、其他数据中心或者互联网。确需不加密传输的，应当统一规范管理相关需求场景。

第六，公开：不得公开用于身份鉴别的数据项，公开其他高敏感性数据项原则上须作脱敏处理。确需不作脱敏处理的，应当统一规范管理相关需求场景。

第七，删除：删除业务数据从技术上难以实现的，数据处理者应当停止除存储和采取必要的安全保护措施之外的业务数据处理活动，并每年至少实施一次审查，确认相关业务数据不可被使用。就数据安全的风险监测与处置而言，新规要求数据处理者建立常态化风险监测体系，针对数据泄露、非法利用、安全漏洞等风险及时采取补救措施，并依据数据敏感性、影响范围等标准对安全事件分级分类。

就数据安全的风险监测与处置而言，新规要求数据处理者建立常态化风险监测体系，针对数据泄露、非法利用、安全漏洞等风险及时采取补救措施，并依据数据敏感性、影响范围等标准对安全事件分级分类。

（四）数据安全风险管理

《管理办法》第五章对数据处理活动的风险监测、通报预警、评估与审计、事件分级、响应处置等方面作出了规定。其中，重点内容包括：

1.评估、审计要求

2024年12月27日印发的《银行保险机构数据安全管理办法》也对评估、审计做出了规定，我们在此与《管理办法》进行对比，以供参考：

2.数据安全的分级管理和报告制度

《管理办法》要求明确业务数据安全事件的分级标准，在发生业务数据安全事件时，应当立即采取处置措施，及时告知用户并按照中国人民银行要求及时、准确、完整报告事件情况。2025年1月24日，中国人民银行曾发布《中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）》，将金融从业机构的网络案件事件等级分为特别重大、重大、较大和一般四个等级。相关标准可以为业务数据安全事件分级提供参考。随着《管理办法》的正式发布，预期《中国人民银行业务领域网络安全事件报告管理办法》正式稿也将在不久的将来出台，为中国人民银行业务领域数据安全事件的分级管理和报告要求提供更为具体的指引。

（五）监管措施与法律责任

金融从业机构如违反《管理办法》的规定，中国人民银行及其分支机构会主要按照《中华人民共和国数据安全法》第四十五条等上位法进行处罚。就未履行数据安全保护义务的法律责任而言：

1.处罚情形：对于数据处理者未建立安全管理制度、未开展培训、未落实技术措施、未明确安全负责人、未监测风险、未及时处置事件、未报送风险评估报告等八种情形。

2.最高罚则：最高处1000万元罚款，并可责令暂停业务、停业整顿、吊销许可证或营业执照、构成犯罪的依法追究刑事责任。

3.双罚制：同时追究机构与责任人责任。

近年来，个人金融信息保护与信息安全相关行政处罚的密集发布传递出显著信号，金融行业作为高风险领域，需加大数据安全投入，确保数据合规管理。而中国人民银行有关部门负责人就《中国人民银行业务领域数据安全管理办法》答记者问中，也明确提及“中国人民银行后续会进一步规范行政执法，督促相关数据处理者坚守合规底线”。

（六）与《银行保险机构数据安全管理办法》的关系

《国家金融监督管理总局关于印发银行保险机构数据安全管理办法的通知》于2024年12月27日起生效，针对其所辖的银行、保险等金融机构构建了统一的数据安全管理框架，旨在引导银行保险机构压实主体责任，完善内部机制，采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。《管理办法》则进一步明确了中国人民银行业务领域，细化并加强人民银行业务领域数据安全合规要求的可操作性，更加有效地构建人民银行业务领域数据安全治理体系。由于人民银行和金管局是金融领域的两大行业监管部门，两部规定的相继落地共同构成金融数据安全治理的法律基线。