为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称“《办法》”），从7月24日起，面向社会公开征求意见。

《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章，共五十七条。

《办法》要求，数据处理者应当参考行业标准，根据业务开展情况建立业务分类，梳理细化数据资源目录，标识各数据项是否为个人信息、数据来源（生产经营加工产生、外部收集产生等）、存储该数据项的信息系统清单和应用的业务类别。

《办法》要求，数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。

《办法》要求，在数据分级基础上，数据处理者应当参考行业标准，根据数据遭到泄露或者被非法获取、非法利用时，可能对个人、组织合法权益或者公共利益等造成的危害程度，将数据项敏感性从低至高进一步分为一至五共五个层级。

《办法》要求，数据处理者应当加强账号身份认证管理，可使用第二层级以上数据项的账号应当支持身份验证。可使用第三层级以上数据项的账号应当支持多因素认证或者实现二次授权，相关账号使用人员应当签署保密协议。

《办法》要求，第三层级数据项原则上不提供导出使用方式，第四层级以上数据项原则上仅提供核验使用方式，确需提供其他使用方式时，应当说明相关必要性，经内部审批并明确对应的风险防范措施后，据此开展。涉及第三层级以上数据项导出使用的风险防范措施，原则上应当优先采取加密、数字水印或者脱敏处理等安全保护措施，确需未经安全保护即导出的，数据处理者应当统一明确相关导出需求场景，并据此开展。

《办法》要求，除履行法定职责或者法定义务所必需外，数据处理者原则上不得采用互联网邮件、即时通讯、在线文件传输、交互性信息服务等互联网信息服务或者通过移动介质交换传输第三层级以上数据项，确有需要的，数据处理者应当统一明确相关传输需求场景、支持此类场景的必要性和应当采取的风险防范措施，并据此开展。

《办法》要求，数据处理者采用隐私计算等技术促进数据融合创新应用时，应当确认原始数据未离开自身控制范围，且多个数据提供行为关联后，暴露约定范围外信息的风险可控。