引言

2025年5月9日，中国人民银行（以下简称“人民银行”）终于正式发布了《中国人民银行业务领域数据安全管理办法》（“《人行数安新规》”或者“新规”）。该新规将于2025年6月30日开始实施。

根据人民银行介绍，《人行数安新规》草案在向社会公开征求意见期间，共收到有效反馈意见103条，多数意见已经采纳。[1]相较于2023年7月发布的征求意见稿（“征求意见稿”），最终生效版本的《人行数安新规》在数据分类分级、生命周期全流程安全管理与技术要求方面均进行了适度精简优化，在促进金融领域数据有序自由流动的同时，坚守规范金融机构数据安全保护义务的合规底线，将安全贯穿数据供给、流通、使用全流程。[2]

在此之前，国家金融监督管理总局（“金管局”）于2024年底印发并开始施行《银行保险机构数据安全管理办法》（“《银行保险机构数安办法》”），针对其所辖的银行、保险等金融机构构建了统一的数据安全管理框架。由于人民银行和金管局是金融领域的两大行业监管部门，两部规定的相继落地共同构成金融数据安全治理的法律基线。

我们通过本文梳理了新规中值得关注的重点问题与关键合规要求。此外，《人行数安新规》与《银行保险机构数安办法》的监管方法存在诸多共通之处，适用范围也存在一定重叠，因此，在梳理过程中我们也会将两部规定进行对比，以期帮助各机构厘清新规之下的金融数据安全监管边界，为企业合规布局提供有益参考。

1.关注要点一：新规适用范围

《人行数安新规》适用于中国境内开展与人民银行业务领域数据相关的处理活动，针对开展相关活动的数据处理者设定了一系列合规要求。新规的适用范围与人民银行的监管职责一脉相承，企业在厘清自身是否属于新规的适用对象时需关注以下关键点：

• 在业务领域方面，依据与新规同日发布的有关负责人答记者问，“人民银行业务领域”具体包括人民银行承担监管职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域，这一点与征求意见稿公布时起草说明中的业务范围基本一致。

• 在适用的数据类型方面，《人行数安新规》适用于网络数据（通过网络处理和产生的各种电子数据），但不包括国家秘密、也不包括纸质档案等承载的非电子化数据（该类数据应分别遵循国家秘密保护、档案保管等相关法规要求）。

• 从适用的主体类型来看，新规明确其规制的数据处理者包括“金融机构以及经中国人民银行批准设立或者认定的其他机构”。依据该条，我们理解，对于人民银行可直接管理或者经人民银行批准设立的金融和非金融机构，如银行、第三方支付机构、征信机构、清算机构，其日常业务领域亦大部分属于人民银行业务领域范畴，因此新规对其适用；对于其他非人民银行主管或批准设立的金融机构，例如保险公司、证券公司等，其在从事涉及人民银行业务领域的业务流程时（如反洗钱工作、征信数据应用等）也应遵循新规中的数据处理要求。

值得注意的是，此前的征求意见稿提及“数据处理者”应包括“开展数据处理活动的金融机构和其他机构”，因为未有“其他机构”的相关定义，根据我们的观察，业界曾对相关规定是否触及所有与人民银行业务领域产生关联、提供相关数据或技术服务的其他企业（如金融科技公司、互联网平台、金融外包公司等）存在不同意见。根据《人行数安新规》，“其他机构”的范围进行了更为精确的限定，为金融科技/平台公司等“科技”主体判断新规适用情况提供了更为明晰的标准。就该类机构中不属于人民银行批准设立或认定的主体，新规似乎提供了一定缓冲空间，为其适当“减负”。但另一方面，我们理解各类“金融科技”主体因其特殊业务属性（如与各类金融机构合作提供支持服务），仍不可避免地会与人民银行业务领域产生较为紧密的联系，在此情况下，无论其是否属于新规项下适格的“数据处理主体”，均建议仔细理解学习新规的要求，持续关注后续的配套规定，结合自身的商业场景和合作伙伴要求，内化提升数据合规治理水平。

2.关注要点二：数据资源管理与分类分级

2.1.数据分类分级方法

《人行数安新规》要求各机构建立业务数据资源目录，健全内部业务数据分类分级制度、操作规程，分类分级结果应履行内部审批程序；各机构应当每年至少组织一次业务数据资源目录的更新，完整准确记录信息系统所存储数据项和对应标识内容。

在数据分类分级具体方法上，相较于此前征求意见稿，《人行数安新规》进行了适度精简与调整。对于同时也需要适用《银行保险机构数安办法》的金融机构而言，新规一定程度上能够减轻协调两套法规下数据分类分级方法的合规负担。其中：

• 数据“分级”方面，《人行数安新规》调整了征求意见稿规定的“三级五层”分级方式，而是仅保留根据《数据安全法》一般性原则所确立的“三层级”分级体系，即按照数据重要性及影响从低至高分为一般数据、重要数据、核心数据；征求意见稿中提出的“数据敏感性分层级”“可用性分层级”则调整至“数据分类”的范畴。

• 数据“分类”方面，《人行数安新规》则要求机构从业务关联性、敏感性和可用性方面三个维度分别做好业务数据分类工作。其中：

(1) 关于业务关联性，新规要求标识各数据项是否为个人信息、是否为外部收集产生、存储该数据项的信息系统清单、关联的业务类别。我们理解这一分类方法符合正常业务流程，不会与《银行保险机构数安办法》中的分类方法产生冲突或为数据标注工作增加额外负担。

(2) 关于敏感性分类，我们理解该分类要求是征求意见稿中“数据敏感性分层级”调整而来，但是新规删除了此前征求意见稿中要求数据项敏感性从低至高进一步分为1至5共五个层级的细化要求（同时全流程管理上不再按照五级设定不同要求），整体上为敏感性分类提供了更多的灵活性与自主性。与此同时，《人行数安新规》仍要求各机构将“敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等”标识为“高敏感性数据项”，并对高敏感性数据项规定了更严格的安全保护义务。

♜话题延伸1——如何理解敏感性分类与数据分级的关系？

虽然《人行数安新规》并没有设定数据敏感性分类与数据分级的对应关系，但两者之间亦存在紧密关联，如“高敏感性数据项”因为涉及敏感的个人信息、商业客户经营信息等，视其敏感和重要程度，可能属于一般数据、重要数据（含核心数据）等不同级别。

此外，《银行保险机构数安办法》中亦存在“敏感数据”的概念，是指银行保险机构掌握的未到达重要数据标准、但是“一旦被泄露或者篡改、损毁，对经济运行、社会稳定、公共利益有一定影响，或者对组织自身或者公民个体造成重要影响”的数据。“敏感数据”从属于该办法数据分级体系下的“一般数据”范畴。从文义解读，前述“高敏感性数据项”中的敏感个人信息、商业秘密、敏感业务数据等与《银行保险机构数安办法》中的“敏感数据”可能存在交集，但视其泄露篡改可能会产生的风险程度，“高敏感性数据项”也有可能属于更高层级的重要数据（含核心数据）。

♜话题延伸2——如何衔接与现有金融行业标准中的分级要求？

根据2020年出台的《金融数据安全 数据安全分级指南》（JR/T 0197-2020）、《个人金融信息保护技术规范》（JR/T 0171-2020），其规定了1至5级的金融数据分类分级标准，其中C1/C2/C3类个人金融信息对应2至4级数据；重要数据（含核心数据）属于第5级。

根据我们的观察，上述分级指南虽然出台时间早于《数据安全法》《个人信息保护法》等基础法规，但仍为当前金融机构数据合规实践中极为重要的参照标准。根据此前征求意见稿起草说明[3]，主管部门也将组织加快相关标准的修订工作。未来这些标准中原有的数据分类分级架构是否会进行精简调整、与《人行数安新规》《银行保险机构数安办法》“一般数据-重要数据-核心数据”的三层级别衔接一致，仍有待观察。

(3)关于可用性分类，也是延续自征求意见稿中的“可用性分层级”，是指依据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度进行的分类，与承载数据的金融信息系统业务连续性保障能力密切相关。相较于征求意见稿，《人行数安新规》明确，各机构通过确定信息系统差异化的数据恢复点目标，能够视为对业务数据的可用性分类。

2.2.重要数据（含核心数据）识别工作

对于人民银行业务领域内的重要数据目录制定流程，《人行数安新规》提出了更为清晰的指引。根据新规，人民银行将组织确定领域内重要数据的具体目录，各机构需要根据主管部门的指导准确识别、申报本机构存储的全量业务数据是否属于重要数据、核心数据，并相应填报重要数据具体目录内容。人民银行在收集、汇总各机构填报内容后，将形成重要数据具体目录、并经国家数据安全工作协调机制审定后，会确定重要数据的处理者并告知其对应的重要数据。考虑到目录内容本身的敏感性，业务领域的重要数据填报流程、识别指引可能仅会在业内机构范围内下发开展。最终重要数据目录审定后，重要数据及其处理者将采取由人民银行逐一告知的方式，进一步提升了领域内重要数据认定工作的确定性。

3.关注要点三：全流程数据安全管理与技术要求

《人行数安新规》与《银行保险机构数安办法》在数据处理应用方面，均分别从数据安全管理性要求与技术性要求两方面，对于数据在收集、存储、加工、传输、对外提供、删除等全生命周期流程提出各项合规义务。相较于征求意见稿，《人行数安新规》适度精简了领域内数据的安全管理与技术保护性要求，特别是考虑到办法不再规定数据依据敏感性1至5级分层级，正式稿中精简了此前诸多不同敏感性层级数据应遵守的差异化细节性要求，而是着重规定了各类数据均需要普遍适用的数据安全保护义务，同时对“高敏感性数据项”做了特殊规定。

囿于篇幅，我们选取了全流程管理中机构应当重点关注的重要/核心数据处理要求、高敏感性数据项处理要求进行解读。

3.1. 重要/核心数据管理要求

《人行数安新规》在重要数据处理方面首先与《数据安全法》《网络数据安全管理条例》衔接一致，规定属于重要数据处理者的机构应当明确业务数据的安全负责人和管理机构；安全负责人应当符合法律法规明确需具备的条件、有效履行数据安全保护义务。同时，业务数据安全负责人有权直接向人民银行报告业务数据安全情况。

对于存储系统保护以及涉及对外提供、委托处理等数据流转高风险环节，新规也额外规定了更高的保护要求，我们将其总结如下（适用于重要数据的合规管理要求同样适用于核心数据）：

表1 《人行数安新规》重要/核心数据处理要求

在重要/核心数据保护要求方面，《人行数安新规》整体与《网络数据安全管理条例》保持高度一致：一是场景化的重要数据风险评估要求（类似于《个人信息保护法》下的个人信息保护影响评估（PIA）），针对对外提供、委托处理、共同处理等体外流转环节进行落实；二是组织结构变化时需向主管部门明确重要数据处置方案。

针对核心数据的跨主体流动，《人行数安新规》则规定了更为严格的监管手续要求，即对外提供前必须经过人民银行报国家数据安全工作协调机制进行风险评估；《银行保险机构数安办法》也同样要求银行保险机构的核心数据跨主体流动应按照国家有关规定履行风险评估、安全审查。

相较之下，《银行保险机构数安办法》则还存在一些差异化要求：如向其他银行保险机构收集金管局认定的行业重要数据，需经金管局审批同意；批量敏感级及以上数据（包括重要数据、核心数据）的数据共享、委托处理、转让交易、数据转移，银行保险机构还应当在处理、合同签署前20个工作日向金管局或其派出机构履行报告手续等。对于银行金融机构而言，其掌握的部分重要数据乃至核心数据，可能同时存在于人民银行及金管局的重要数据目录中，各机构在进行相关数据处理活动时需要注意识别及履行不同监管条线的合规要求，以及需关注监管部门间是否后续出台协同机制。

3.2.高敏感数据项处理要求

对于机构掌握的高敏感数据项，《人行数安新规》亦在各个处理环节过程中提出了更高标准的保护要求。同时，新规创新性地在多个环节规定了“确需”例外场景以适当放宽保护要求，为数据处理活动提供了一定便利与灵活性，但是也要求各机构应当提前对此类场景统一进行明确、规范例外情形范围，而不能以业务确需理由任意利用该豁免规则降低数据保护标准。数据处理活动同时存在高敏感数据项和其他数据项难以区分保护的，则从严按照高敏感数据项进行对待（就高从严规则）。另一方面，对于数据加工活动产生新数据项，经评估其敏感性明显低于加工所使用数据项的，则可遵循规程降低其敏感性标识：

表2 高敏感数据项处理要求

3.3.数据安全风险评估与审计

在年度数据安全风险评估方面（区别于前述重要数据跨主体流动场景化的“风险评估”），《人行数安新规》要求重要数据的处理者应当自行或者委托第三方评估机构，每年对业务数据开展一次风险评估，并于每年1月15日前向人民银行或者住所地省级分支机构报送上一年度风险评估报告。

这一点与《数据安全法》《网络数据安全管理条例》针对重要数据处理者的规定相一致。我们理解，要求所有受新规管辖的机构均履行年度评估义务可能会过度加重合规负担，因此新规将年度评估报告义务限定于人民银行认定和告知的“重要数据处理者”。

在安全事件应对方面，《人行数安新规》要求各机构综合考虑影响范围和程度，做好业务数据安全事件分级，涉及核心数据、重要数据泄露或者被篡改、破坏的安全事件，应当分别分级为特别重大事件、重大事件。发生业务数据安全事件时，应当立即采取处置措施、按照规定及时告知用户并向人民银行进行事件报告。

相较于征求意见稿，《人行数安新规》还要求机构在数据接收方、委托处理受托人发生与其提供的业务数据相关的数据安全事件的，机构应当主动开展调查评估，并督促对方及时补救和履行报告义务。此外，重要数据处理者应当每年至少开展一次针对业务数据安全事件的应急演练，其他机构则应当每三年至少开展一次针对业务数据安全事件的应急演练。人民银行于2025年1月曾发布《中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）》，我们理解未来该规定中的网络安全事件处置与《人行数安新规》新规下的数据安全事件处置也会进行衔接协调。

在合规审计方面，《人行数安新规》要求业务数据的处理者每三年至少开展一次业务数据安全合规审计，重要数据处理者则应每年至少开展一次与重要数据安全相关的合规审计。发生重大或者特别重大数据安全事件后，还应开展专项审计。

在安全培训方面，《人行数安新规》则要求各机构根据岗位分工，制定业务数据安全年度培训计划，每年组织业务数据处理活动参与人员开展相关教育培训。

♜话题延伸——人民银行与金管局条线评估与审计义务的履行 

不同于《人行数安新规》将年度评估报告义务主体限定于重要数据处理者，《银行保险机构数安办法》由于适用主体范围更为明确，要求所辖银行保险机构均需履行年度评估报告义务。

如前文所提示的，银行金融机构需要面临和协调来自《人行数安新规》与《银行保险机构数安办法》的双重监管，包括相关的年度风险评估报告、合规审计等义务要求。但两部规定在相关义务履行的频次、时点方面基本一致/相似（风险评估每年度开展一次、每年1月15日前报送评估报告、全面安全审计每三年开展一次）。

《网络数据安全管理条例》第52条规定：“有关主管部门在开展网络数据安全监督检查时，应当加强协同配合、信息沟通，合理确定检查频次和检查方式，避免不必要的检查和交叉重复检查。个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。”未来，人民银行、金管局所要求的数据安全年度风险评估与审计等要求（也包括根据《未成年人网络保护条例》、国家网信部门《个人信息保护合规审计管理办法》要求的相关审计要求）在内容要求上是否有共同融合之处，以及结果之间在多大程度上能够互相采信，也有待主管部门后续进一步明确。

4.关注要点四：跨境金融数据流动

《人行数安新规》第24、25条对于领域内业务数据跨境传输规则进行了规定，整体而言，衔接对齐了国家网信部门《数据出境安全评估办法》及2024年3月发布的《促进和规范数据跨境流动规定》相关规则，要求数据处理者因业务等需要向境外提供数据，存在国家网信部门规定情形的，应当严格遵守其有关规定；符合国家网信部门规定应当申报数据出境安全评估或者开展保护认证等情形的，不得对业务数据采取拆分、转换等手段规避相关义务；国家法律法规及人民银行有境内存储要求的，业务数据还应当同时在中国境内存储。

根据人民银行官网发布的新规意见反馈采纳情况，为便利数据跨境流动，新规删除了征求意见稿中要求的“每年1月底前测算或者估算其上两年内累计出境数据规模与范围，并保存测算估算结果和对应的境外接收方联系方式至少3年”的强制义务。

对于外国金融执法机构为跨境金融监管目的进行的数据跨境请求，《人行数安新规》第25条相较于征求意见稿并未保留“非经中国人民银行和其他有关主管部门批准，数据处理者不得向其提供境内存储的数据”，而是原则性规定根据有关法律和缔结或者参加的国际条约、协定或者按照平等互惠原则处理外国金融执法机构关于业务数据调取请求。针对此类跨境执法场景下的数据出境情况，仍需要注意并遵守《数据安全法》《个人信息保护法》以及反洗钱、反恐怖融资、反欺诈等法规项下的相关要求。

♜话题延伸——跨境金融数据流动规则新动态

值得注意的是，根据人民银行官网在2025年4月17日发布的公告，人民银行、金管局已经联合证监会、国家外汇局、国家网信办、国家数据局近期在业内印发了《促进和规范金融业数据跨境流动合规指南》（“《指南》”），作为首个行业性的跨境数据流动指引，旨在持续推动金融高水平开放、规范金融数据跨境传输安全。根据有关报道，该《指南》扩展形成了47项免于安全评估、标准合同或认证的高频金融业务场景及对应数据项清单，涵盖跨境支付、跨境汇款、跨境开户、跨境购物等活动，并且梳理了主管部门认可的、但无法免于数据跨境流动合规义务的其他61项常见金融业务场景。此外，《指南》还明确金融机构在数据跨境过程中应采取必要的数据安全保护管理和技术措施。

我们理解，未来包括人民银行业务领域相关的金融数据流动及相关合规要求，将主要依据《指南》执行落实，同时各自贸区针对辖区内机构还将参考当地适用的数据跨境流动清单。

5.关注要点五：新技术与新业态

随着金融行业数字化转型加速，与《银行保险机构数安办法》相类似，《人行数安新规》同样针对金融领域新技术、新业态的应用场景明确了相关数据安全合规要求。新规聚焦隐私计算、数据融合创新、算法加工与自动化决策等技术领域，我们将相关具体要求整理如下：

• 隐私计算技术应用：采用隐私计算等技术促进业务数据融合创新应用，必须确保数据的“可用不可见”，除本机构外的其他参与方无法直接获取未加密原始数据，进行数据关联分析过程中约定范围外的信息不得外泄。

  同时，针对使用隐私计算对外提供数据的，各机构应建立技术风险评估机制与控制策略，明确对于可能存在的“安全不可验证”“性能不可接受”等技术缺陷与风险的应对措施。

• 数据训练加工与算法应用：针对金融业务中日益普及的算法模型应用，新规衔接了《个人信息保护法》《网络数据安全管理条例》，并参考了国家网信部门《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等通用领域的算法模型管理规则，从以下维度提出了各机构在数据加工、训练及模型应用方面的合规义务：

表3 《人行数安新规》数据训练加工与算法应用要求

♜话题延伸——关注金融AI算法创新应用合规风险

除了新规中提及的一系列管理要求，金融机构在算法应用过程中对于非内部使用场景、利用业务数据面向用户提供AI算法等功能的（如客服、投顾、资讯、数字人等），还需要格外注意审查自研或外采的算法、模型是否已经按照国家网信办要求办理备案及/或安全评估（如需）。值得注意的是，人民银行此前也就金融领域算法应用发布了《人工智能算法金融应用信息披露指南》（JR/T 0287-2023）等行业标准，且近期已有地方主管部门督促辖区内机构根据该指南完成AI算法金融应用信息披露、公示工作。[4]

由此可见，算法应用领域，各金融机构不仅需要关注新规要求，还需要结合、遵循国家网信部门通用规则、主管部门的指导意见，同时密切关注行业实践，在创新技术应用过程中防范数据安全风险、切实保障用户权益。

6.结语

《人行数安新规》整体延续《数据安全法》《网络数据安全管理条例》确立的数据合规监管原则及重要要求。与此同时，相比征求意见稿，新规正式生效稿在广泛吸收业界反馈意见的基础上精简优化了分类分级、全流程管理等方面义务，对于部分环节的数据处理要求也引入了“确需”的例外场景以放宽要求，体现出在保障数据安全的同时兼顾业务效率、创新的监管思路。新规也对相关机构提出重要数据年度评估报告义务、数据安全审计机制建设等要求，进一步加强本条线的数据安全统筹监管。

根据新规，针对相关机构未建立数据安全管理制度、未组织开展数安教育培训、未落实技术保障措施、未明确安全负责人及管理机构等八大违规情形，应按照《数据安全法》有关规定进行处罚。同时，近年来，金融领域网络数据安全及个人信息保护的执法行动也愈加频繁和精细化，高额罚单屡见不鲜。基于上述情况，各机构应尽快主动结合自身业务属性、数据处理场景及主管部门意见，评估新规对机构自身业务的适用性。针对新规中有关分类分级标注、高敏感项数据保护要求、重要数据识别保护、内外部数据交互、新技术应用等重点要求，需从内部管理制度、信息系统与技术措施、业务协议等对客界面多方面做好合规准备与整改工作。

鉴于当前金融数据安全领域多部门监管、多法规指南交叉并行的特点，企业也应注意统筹来自不同法规标准的要求，在寻找合规“公约数”基础上兼顾不同法规的差异化特殊规定，同时密切跟踪主管部门的后续立法发展、指导意见与相关执法。需要注意的是，对于非持牌但实际参与业务数据处理的科技服务商而言，新规之下的合规责任并非“事不关己”，应基于服务对应的商业场景、数据流转链条及潜在风险敞口，及时进行合规优化升级。在当前金融数据安全立法基础已然夯实的背景下，只有通过全面、系统的合规布局，保障数据安全与业务发展的良性互动，业内机构才能在金融数字化转型的浪潮中稳健前行。

[注] 

[1]关于《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见的反馈：http://www.pbc.gov.cn/tiaofasi/144941/144979/3941928/5706201/index.html。

[2]中国人民银行有关部门负责人就《中国人民银行业务领域数据安全管理办法》答记者问：http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5706206/index.html。

[3]参见《<中国人民银行业务领域数据安全管理办法（征求意见稿）>起草说明》。

[4]人民银行广西区分行指导辖区金融机构依据金融行业标准《人工智能算法金融应用信息披露指南》（JR/T 0287—2023），对采用人工智能算法的金融科技产品信息进行披露，并于2024年11月30日前完成首批信息披露工作，涉及智能外呼、智能客服、数字人等领域。参见人民银行广西分行微信公众号报道《广西完成首批人工智能算法金融应用信息披露工作》：https://mp.weixin.qq.com/s/lVWInuKqbjEiNwUluBnG2Q。