新闻动态
产品服务
解决方案
技术支持
关于我们

中国人民银行发布《中国人民银行业务领域数据安全管理办法》

发布时间:2025-05-10 11:23:04    浏览次数:1151     来源:中国人民银行网站

59日,中国人民银行发布《中国人民银行业务领域数据安全管理办法》,《办法》共七章五十六条,规定了业务数据分类分级与总体要求、全流程业务数据安全管理要求、全流程业务数据安全技术要求、业务数据安全风险与事件管理等内容,既提出数据处理者原则上应当履行的安全保护义务,又明确例外情形下豁免相关义务的措施、轻或减轻行政处罚的情形,鼓励数据处理者勤勉尽责加强数据安全保护,支持数据处理者提供有价值的数据安全风险情报和协助及时发现重大数据安全风险隐患。此外,《办法》在业务数据安全风险与事件管理中提出,重要数据的处理者应当自行或者委托第三方评估机构,每年对业务数据开展一次风险评估,并于每年115日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。

中国人民银行业务领域数据安全管理办法

中国人民银行令〔2025〕第3

《中国人民银行业务领域数据安全管理办法》已经202542日中国人民银行第5次行务会议审议通过,现予发布,自2025630日起施行。

行 长  潘功胜

202551

中国人民银行业务领域数据安全管理办法

第一章  

第一条 为规范中国人民银行业务领域数据的安全管理并促进开发利用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律、行政法规,制定本办法。

第二条 在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理,适用本办法。其他有关主管部门有规定的,还应当依法遵守其规定。本办法所称中国人民银行业务领域,指依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督和管理职责的业务领域。本办法所称中国人民银行业务领域数据,指中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据(以下简称业务数据)。本办法所称数据处理者,指金融机构以及经中国人民银行批准设立或者认定的其他机构。

第三条 业务数据安全工作遵循谁管业务,谁管业务数据,谁管数据安全原则。中国人民银行对业务数据安全负指导监管责任。数据处理者应当履行数据安全保护义务,防范业务数据被篡改、破坏、泄露或者非法获取、非法利用等风险,保障国家安全、公共利益、个人及组织合法权益,尊重社会公德伦理,遵守商业道德和职业道德,保障业务数据依法有序自由流动。

第四条 在国家数据安全工作协调机制统筹协调下,中国人民银行及其分支机构按照本办法开展业务数据安全监督管理工作,加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通。相关金融行业协会应当加强自律管理,依法制定业务数据安全行为规范和团体标准,指导会员加强业务数据安全保护。

第五条 鼓励数据处理者积极开展业务数据安全创新应用,在保障安全合规前提下促进业务数据的高效流通和开发利用,鼓励在行业内推广优秀创新成果。

第二章 业务数据分类分级与总体要求

第六条 中国人民银行负责制定业务数据分类分级保护相关规范标准,指导业务数据分类分级保护工作,组织编制中国人民银行业务领域重要数据目录并实施动态管理。

第七条 数据处理者应当建立健全业务数据分类分级制度和操作规程。业务数据分类分级实施应当遵循制度规程,分类分级结果应当履行内部审批程序。

第八条 数据处理者应当建立业务数据资源目录,并从业务关联性、敏感性和可用性方面分别做好业务数据分类:

(一)标识各数据项是否为个人信息、是否为外部收集产生、存储该数据项的信息系统清单和关联的业务类别。

(二)根据业务数据遭到泄露或者被非法获取、非法利用时,对个人、组织合法权益或者公共利益等造成的危害程度开展敏感性分类。业务数据的结构化数据项应当逐一标识敏感性,业务数据的非结构化数据项应当优先按照可拆分的各结构化数据项所标识的最高敏感性,标识其敏感性。中国人民银行业务领域内的敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等,应当标识为高敏感性数据项。

(三)根据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度,明确信息系统差异化的数据恢复点目标,视为对业务数据的可用性分类。

第九条 按照国家有关规定,将业务数据分为一般数据、重要数据、核心数据三级。重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。核心数据是指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度,一旦被非法使用或者共享,可能直接影响政治安全的重要数据。

中国人民银行按照国家有关规定组织确定重要数据具体目录,数据处理者应当准确识别、申报本机构存储的全量业务数据是否属于重要数据、核心数据,并填报重要数据具体目录内容。

中国人民银行汇总形成重要数据具体目录,经国家数据安全工作协调机制审定后,确定重要数据的处理者并告知其对应的重要数据。

除单独说明的情形外,本办法所列重要数据的保护义务,均适用于核心数据。

第十条 数据处理者应当每年至少更新一次业务数据资源目录,完整准确记录信息系统所存储数据项和对应标识内容。

第十一条 数据处理者应当切实履行业务数据安全保护责任,明确业务数据安全保护相关内设部门职责,配备与业务范围和服务规模相适应的数据安全专业人员,细化业务数据安全保护奖惩规程。

面向社会提供产品、服务的数据处理者应当建立便捷的投诉、举报渠道,及时受理并处理业务数据安全有关投诉、举报。

重要数据的处理者应当明确业务数据的安全负责人和管理机构。管理机构应当切实履行法律、行政法规已明确的各项责任。业务数据的安全负责人应当符合法律、行政法规已明确需具备的条件,并确保其能够有效履行数据安全保护义务,有权直接向中国人民银行报告业务数据安全情况。

第十二条 数据处理者应当建立健全全流程业务数据安全管理制度,结合业务数据分类分级明确差异化的安全保护措施,制定业务数据处理活动操作规程和业务数据安全相关内部审批授权规程,明确操作实施和审批授权记录的留存要求。

不同敏感性数据项在同一个业务数据处理活动中被处理,且难以采取差异化安全保护措施的,应当采取高敏感性数据项对应的安全保护措施。

第十三条 数据处理者应当根据岗位分工,制定业务数据安全年度培训计划,每年组织业务数据处理活动参与人员开展相关教育培训。培训内容应当包括与业务数据安全相关的制度标准、风险防范常识、岗位责任、保护措施和事件应急处置要求。

第三章 全流程业务数据安全管理要求

第十四条 数据处理者应当严格管理处理业务数据相关信息系统数据库管理员账号等特权账号和各类业务处理账号的权限,人员变动时应当立即调整权限。数据处理者应当与可使用高敏感性数据项账号的人员签订保密协议。

数据处理者存储核心数据的,应当对业务数据的安全负责人和可使用核心数据的关键岗位人员进行安全背景审查。

第十五条 数据处理者收集业务数据应当采取下列安全保护管理措施:

(一)除收集自行公开或者其他已经合法公开的业务数据的情形外,收集业务数据时应当依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权,并落实相应告知义务。

(二)非直接面向个人、组织收集其尚未公开的业务数据的,应当在合同或者协议中明确数据提供方保障业务数据来源合法性、真实性的义务。数据提供方未取得个人书面同意或者组织书面授权的,还应当要求其出具业务数据来源依法合规和数据真实性的必要佐证材料。

(三)采用人工录入方式收集业务数据的,应当采取必要校验措施保障业务数据录入的准确性,按照相关管理要求留存业务数据收集原始凭证。

(四)原则上不收集图像等原始个人生物识别信息。确需收集的,应当统一规范管理相关需求场景。

(五)按照与数据提供方合同或者协议中约定的处理目的、方式、范围以及安全保护义务等开展收集和后续的业务数据处理活动。

第十六条 数据处理者应当根据业务需要,明确业务数据保存期限。除履行法定职责或者法定义务外,高敏感性数据项原则上不在终端设备和移动介质中存储,确需存储的,数据处理者应当统一规范管理相关需求场景。

第十七条 业务数据使用活动中,数据处理者使用高敏感性数据项,原则上不采取导出方式,使用用于身份鉴别的数据项原则上仅采取核验方式。确需采取导出方式使用高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的,数据处理者应当统一规范管理相关需求场景。

除根据个人请求向其展示与其相关业务数据,以及履行法定职责或者法定义务所需外,数据处理者原则上须实施脱敏处理后再展示高敏感性数据项。确需不脱敏展示的,数据处理者应当统一规范管理相关需求场景。

第十八条 数据处理者应当审查业务数据加工目的与业务数据收集约定是否一致;需要训练业务数据的,应当审查训练业务数据的真实性、准确性、客观性、多样性;需要标注业务数据的,应当抽样审查标注的合理性与准确性;需要建立模型评价激励规则的,应当审查评价激励规则是否尊重社会公德伦理、遵守商业道德和职业道德。

业务数据加工活动中,数据处理者加工高敏感性数据项的,应当进一步明确应当采取的安全保护措施,并履行内部审批程序;基于加工生成的数据项面向个人提供自动化决策服务的,应当以适当方式向个人解释说明处理目的、用于加工的个人信息种类和加工规则。

第十九条 数据加工活动产生新数据项,经评估其敏感性明显高于加工所使用数据项的,数据处理者应当提高其敏感性标识,并加强业务数据安全保护。

第二十条 对于业务数据加工活动产生新数据项,经评估其敏感性明显低于加工所使用数据项的,数据处理者可遵循规程降低其敏感性标识,促进依法合规开发利用。

对于业务除根据个人请求向其传输与其相关业务数据外,数据处理者原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项。确有需要的,数据处理者应当统一规范管理相关需求场景。

第二十一条 从事业务所需的业务数据提供活动,数据处理者应当核验数据接收方身份,并采取下列安全保护管理措施:

(一)对于涉及个人信息的业务数据提供活动,应当评估是否遵守法律、行政法规要求。对于其他业务数据提供活动,应当评估是否符合保守商业秘密的约定。

(二)向其他数据处理者提供业务数据涉及个人信息和重要数据的,应当在合同或者协议中明确各自的数据安全保护义务,需要采取的安全保护措施,数据提供的目的、方式、范围,数据允许存储时限,数据提供至第三方的限制和数据安全事件告知义务,并对数据接收方履行约定义务的情况进行监督。

(三)按照约定做好业务数据清洗转换,对提供数据的真实性作必要审查,不得误导数据接收方。

(四)除委托处理情形外,原则上不采取导出方式向其他数据处理者提供高敏感性数据项,用于身份鉴别的数据项原则上须采取核验方式提供。确需采取导出方式提供高敏感性数据项或者采取其他方式使用用于身份鉴别的数据项的,数据处理者应当统一规范管理相关需求场景。

第二十二条 数据处理者向其他数据处理者提供、委托处理、共同处理重要数据前,应当依照法律、行政法规和中国人民银行相关规定进行风险评估,并重点评估数据接收方数据处理目的和方式的合法正当性、数据项列表的需求合理性、数据活动的潜在安全风险、数据接收方诚信守法情况、合同或者协议内容的完备性、拟采取的安全保护措施等。

除履行法定职责或者法定义务外,数据处理者向其他数据处理者提供核心数据达到国家规定情形的,在提供业务数据之前应当经中国人民银行报国家数据安全工作协调机制开展风险评估。数据处理者不得通过拆分、转换等手段规避上述义务。

重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当依照法律、行政法规要求,事前向中国人民银行或者住所地中国人民银行省级分支机构报告重要数据处置方案,在方案中说明重要数据目录内容更新情况、数据接收方的名称或者姓名和联系方式等。

第二十三条 数据处理者采用隐私计算等技术促进业务数据融合创新应用的,应当落实本办法第二十一条第一项至第三项要求,并确认除本机构外其他数据处理者无法使用未加密原始数据、与其他数据融合创新应用活动作关联分析无法泄露约定范围外的信息。

第二十四条 数据处理者因业务等需要向中华人民共和国境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定;法律、行政法规和中国人民银行相关规定有境内存储要求的,业务数据还应当同时在中华人民共和国境内存储。

符合国家网信部门规定应当申报数据出境安全评估或者开展保护认证等情形的,数据处理者不得对业务数据采取拆分、转换等手段规避相关义务。

第二十五条 中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国金融执法机构关于提供业务数据的请求。

第二十六条 数据处理者应当审核业务数据公开活动的目的、数据项列表、渠道、时限和脱敏处理情况,分析研判可能产生的不利影响,审查业务数据的合法性、真实性,并通过本机构明确的官方渠道公开业务数据。确需通过其他渠道公开的,应当明确采用的安全保护措施并履行内部审批程序。

业务数据处理活动中,数据处理者不得公开用于身份鉴别的数据项,公开其他高敏感性数据项原则上须作脱敏处理。确需不作脱敏处理的,数据处理者应当统一规范管理相关需求场景。

第二十七条 数据处理者应当依照法律、行政法规和中国人民银行相关规定,主动删除处理目的已实现、处理目的无法实现、为实现处理目的不再必要或者约定保存期限已届满等情形的业务数据。

删除业务数据从技术上难以实现的,数据处理者应当停止除存储和采取必要的安全保护措施之外的业务数据处理活动,并每年至少实施一次审查,确认相关业务数据不可被使用。

第二十八条 数据处理者委托处理业务数据,除落实本办法第二十一条第二项要求外,还应当在合同或者协议中明确受托人需报告的重要事项、委托处理事项完成后传输和删除业务数据的实施方式与时限要求、配合本机构监督其委托处理活动等义务,并采取定期评估等方式监督受托人履约情况。涉及核心数据的委托处理活动,数据处理者应当事前对受托人开展尽职调查,进一步加强对其的监督。

数据处理者应当将业务数据委托处理活动纳入业务或者信息科技外包管理体系,加强风险管理。

中国人民银行已明确要求不得以外包形式开展业务的,相关业务数据不得委托处理。

第四章 全流程业务数据安全技术要求

第二十九条 数据处理者应当加强访问控制,采取有效技术措施管控业务数据处理账号的数据使用权限,明确特权账号的使用场景并加强使用时的内部审批授权。使用特权账号实施业务数据新增、删除、修改等人工操作时应当逐一开展事前审批和事后审查。使用特权账号开展自动化操作前应当对操作正确性和安全性进行必要检查。

数据处理者应当加强安全认证,保障业务数据处理账号和特权账号认证口令的强度,限制验证失败重试次数,可使用高敏感性数据项的账号应当支持多因素认证或者二次授权确认,并建立超时退出、访问通信地址变化等情形的重新验证机制。

第三十条 数据处理者应当规范日志记录,明确业务数据处理活动日志记录信息,满足数据安全风险溯源和事件处置需要。

业务数据处理活动日志记录高敏感性数据项原则上须经脱敏处理。确需不脱敏处理的,数据处理者应当统一规范管理相关需求场景。

数据处理者应当将业务数据处理活动日志纳入业务数据分类分级管理,落实安全保护要求。

数据处理者应当留存业务数据处理活动日志至少六个月;对于与存储重要数据信息系统相关的业务数据处理活动日志,应当留存至少一年;对于与存储核心数据信息系统相关的业务数据处理活动日志,应当留存至少三年。

数据处理者向其他数据处理者提供、委托处理个人信息、重要数据的业务数据处理活动日志等记录,应当留存至少三年。

第三十一条 数据处理者应当优先采用直接录入或者信息系统间交互的方式收集业务数据。采用直接录入方式收集业务数据的,应当验证录入人身份;采用信息系统间交互方式收集高敏感性数据项的,应当验证数据提供方身份。

数据处理者应当采取关联信息交叉核验等技术措施,尽可能保障收集业务数据的准确性。

数据处理者采用自动化工具方式从其他数据处理者收集业务数据的,应当遵守其数据收集的控制规则,不得干扰网络服务正常运行,不得侵害其他机构网络服务合法运营权益。

第三十二条 数据处理者应当针对业务数据存储活动采取下列安全保护措施:

(一)有效隔离信息系统开发测试环境与生产环境。

(二)存储重要数据的信息系统应当满足三级网络安全等级保护要求,存储核心数据的信息系统应当满足四级网络安全等级保护要求或者关键信息基础设施保护要求,并优先采购安全可信的网络产品和服务。

(三)原则上高敏感性数据项须加密存储,确需不加密存储的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的,按照其规定执行。

(四)及时评估并调整业务数据存储承载容量。对照信息系统数据恢复点目标,做好生产环境业务数据冗余备份,按照中国人民银行要求定期验证冗余备份业务数据的可用性。评估备份技术措施是否具备防范生产环境业务数据和冗余备份业务数据同时遭到篡改、破坏等风险的能力,并针对性加强安全保护措施。

第三十三条 数据处理者应当明确高敏感性数据项的脱敏处理策略,切实降低脱敏业务数据仍可识别至特定个人、组织的风险。

数据处理者应当建立终端设备安全管控策略,明确安全防护措施要求。业务数据展示、打印时应当采取技术措施标识当前使用业务数据的业务处理账号和使用时间。

除开发测试环境与生产环境业务数据安全保护措施完全一致的情形外,生产环境数据项用于开发测试环境的,应当履行内部审批程序并实施脱敏处理。

第三十四条 数据处理者应当建立业务数据加工算法风险评估和控制策略,明确可解释性、脆弱性等风险对应的防范或者缓释措施和停止使用加工算法开展自动化决策时的替代方案。

第三十五条 数据处理者应当针对业务数据传输活动采取下列安全保护措施:

(一)优先采取专用线路、虚拟专用网等技术加强业务数据传输安全保护。

(二)健全访问控制和安全隔离策略,加强相关终端设备准入控制。

(三)原则上高敏感性数据项须加密传输至其他数据处理者、其他数据中心或者互联网。确需不加密传输的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据传输有使用商用密码保护特别规定的,按照其规定执行。

(四)及时评估并调整通信线路的传输承载容量,加强通信线路和相关软硬件设备的冗余备份。

第三十六条 数据处理者应当动态维护本机构提供业务数据的前置网关和应用程序接口清单,并在前置网关和应用程序接口变更投产前开展安全测试,发现风险隐患立即采取补救措施。

数据处理者采用隐私计算等技术提供业务数据的,应当建立技术风险评估和控制策略,明确安全不可验证、性能不可接受等风险的应对措施。

第三十七条 数据处理者应当制定本机构公开的业务数据是否允许自动化工具收集的控制规则,并采取必要技术措施保障公开的业务数据不被篡改。

第三十八条 数据处理者应当明确业务数据存储介质销毁策略,规范销毁实施方式和过程监督程序。

第五章 业务数据安全风险与事件管理

第三十九条 数据处理者应当加强业务数据处理活动风险监测,有效识别下列风险并立即采取补救措施:

(一)存在法律、行政法规禁止发布传输的信息。

(二)存在计算机病毒、木马、勒索等恶意程序,数据安全漏洞、认证口令强度偏低等缺陷。

(三)高敏感性数据项安全保护措施失效。

(四)异常的业务数据处理活动。

(五)业务数据传输或者存储承载能力不足。

第四十条 数据处理者应当加强对业务数据泄露、业务数据被非法兜售、仿冒本机构身份处理业务数据,以及其他与本机构有关的业务数据安全负面舆情的风险监测,发现相关风险时应当立即核实处置。

第四十一条 中国人民银行及其分支机构通报与业务数据相关的数据安全缺陷、漏洞等风险时,数据处理者应当立即核实处置,并根据通报要求按时准确反馈情况。

鼓励数据处理者向中国人民银行及其分支机构提供具有行业共享价值的业务数据安全风险情报。

第四十二条 重要数据的处理者应当自行或者委托第三方评估机构,每年对业务数据开展一次风险评估,并于每年115日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。除法律、行政法规已明确应当评估的内容外,风险评估报告还应当包含与存储重要数据信息系统相关的人员培训与日常管理情况,与业务数据相关的岗位职责落实情况、网络安全等级保护测评和整改情况、保护措施执行情况、本年度风险监测和事件处置情况,以及中国人民银行要求的其他评估内容。

第四十三条 数据处理者应当按照国家网络安全事件应急预案有关事件分级要求,综合考虑影响范围和程度,明确业务数据安全事件对应的分级标准:

(一)业务数据被篡改、破坏事件分级的标准应当考虑信息系统数据恢复点目标、无法正常提供服务时长、受影响业务笔数和金额、受影响个人或者组织数量、损失的不同敏感性数据项和对应规模等因素。

(二)业务数据泄露事件分级的标准应当考虑受影响个人或者组织数量、泄露的不同敏感性数据项和对应规模等因素。

(三)涉及核心数据、重要数据泄露或者被篡改、破坏的安全事件,应当分别分级为特别重大事件、重大事件。

第四十四条 数据处理者应当做好业务数据安全事件分级,发生业务数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并按照中国人民银行要求及时、准确、完整报告事件情况。

数据接收方、委托处理受托人发生与数据处理者所提供业务数据相关的数据安全事件的,数据处理者应当开展调查评估,督促相关机构立即采取补救措施并向有关主管部门报告。

重要数据的处理者应当每年至少开展一次针对业务数据安全事件的应急演练,其他数据处理者应当每三年至少开展一次针对业务数据安全事件的应急演练。

第四十五条 数据处理者应当对照法律、行政法规和本办法所列安全保护措施要求,以及本机构业务数据安全相关管理制度和操作规程的执行情况,每三年至少开展一次业务数据安全合规审计,重要数据的处理者应当每年至少开展一次与重要数据安全相关的合规审计。发生重大或者特别重大事件后,应当开展专项审计。审计应当重点关注业务数据资源目录是否及时更新、相关信息系统账号权限管理是否严密、业务数据处理活动相关合同或者协议是否完备、高敏感性数据项安全保护措施是否有效、数据委托处理受托人管理职责是否落实、前置网关和应用程序接口是否持续安全维护、数据安全风险监测是否有效、数据安全风险与事件处置是否及时、数据出境是否合规、数据安全投诉处理是否及时等情况。

第四十六条 数据处理者应当加强风险评估人员和审计人员使用业务数据权限的管理,采取必要措施确保实施过程的业务数据安全。

与业务数据相关的风险评估报告和审计报告记录高敏感性数据项时应当进行脱敏处理。

数据处理者委托第三方评估机构、审计机构开展与业务数据相关的风险评估或者审计工作的,应当在合同或者协议中明确其数据安全保护义务和对应责任,指定本机构人员全程参与。涉及会计审计服务的,还应当按照国家网信部门和财政部门要求,进一步加强相关业务数据安全保护。

第六章 法律责任

第四十七条 中国人民银行及其分支机构发现数据处理者的业务数据处理活动存在较大安全风险时,可以对其进行约谈和要求其采取措施进行整改;发现影响或者可能影响国家安全的业务数据处理活动线索时,可以要求数据处理者按照国家有关规定进行国家安全审查。

中国人民银行及其分支机构按照职责可以对数据处理者与业务数据相关的数据安全保护义务落实情况开展执法检查,必要时可以与其他有关主管部门联合实施执法检查。

第四十八条 中国人民银行及其分支机构发现数据处理者在业务数据处理活动中未履行数据出境安全评估或者保护认证等义务的,应当将相关案件信息移送同级网信部门,并配合其予以处理。

第四十九条 数据处理者未履行本办法规定的数据安全保护义务,有下列情形之一的,中国人民银行及其分支机构依照《中华人民共和国数据安全法》第四十五条予以处罚:

(一)未依照法律、行政法规对应规定,建立健全全流程业务数据安全管理制度的。

(二)未依照法律、行政法规对应规定,组织开展业务数据安全教育培训的。

(三)未依照法律、行政法规对应规定,采取相应的技术措施和其他必要措施,保障业务数据安全的。

(四)重要数据的处理者未明确业务数据安全负责人和管理机构的。

(五)未有效监测业务数据安全风险的。

(六)发现业务数据安全风险未立即采取补救措施的。

(七)发生业务数据安全事件未立即采取处置措施,未及时告知用户,或者未按照要求报告事件情况的。

(八)重要数据的处理者未每年对业务数据开展一次风险评估,或者未按照要求报送风险评估报告的。

第五十条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照相关法律、行政法规予以处理,属于其他有关主管部门管理职责的,移送相关案件信息并配合其予以处理。

第五十一条 中国人民银行及其分支机构发现数据处理者开展业务数据处理活动,涉嫌构成违反治安管理行为或者构成犯罪的,将相关案件信息移送同级公安机关、国家安全机关等有关主管部门,并配合其予以处理。

第五十二条 数据处理者发生业务数据安全事件造成危害后果,如能证明本机构已按照规定采取数据安全保护措施,并立即采取补救措施的,应当对其从轻或者减轻行政处罚。

数据处理者积极提供数据安全风险情报,协助及时发现重大业务数据安全风险的,应当对其未履行数据安全保护义务但尚未造成危害后果的行为,从轻或者减轻行政处罚。

第五十三条 中国人民银行及其分支机构工作人员在业务数据处理活动的安全监督管理过程中存在玩忽职守、滥用职权、徇私舞弊情形的,依法给予处分。

第七章  

第五十四条 术语定义:

(一)数据项,是指描述网络数据结构最基本的、不可分割的单位。

(二)结构化数据项,是指具有预定义的抽象描述数据类型,通常为使用数据库二维逻辑表单一字段指代的数据项。

(三)非结构化数据项,是指不适宜用数据库二维逻辑表展现的数据项,如图像、视频、音频、文档文件等。

(四)终端设备,是指数据处理者在业务数据处理活动中所用的计算机终端、移动智能终端、音视频和多媒体设备、其他专用终端设备。

(五)导出方式,是指数据使用或者提供活动中,将原本具有严格访问权限控制和访问日志记录的业务数据,转换成未实施严格访问控制或者无访问日志记录的文档文件的操作方式。

(六)核验方式,是指业务数据使用或者提供活动中,经核实验证后,仅反馈与存储业务数据是否匹配的操作方式。

(七)统一规范管理,是指数据处理者在本机构制度或者操作规程中对不执行本办法所提原则性合规要求的情形予以集中列举,并说明保留此类情形的必要性、对应需采取的安全保护措施和需履行的必要内部审批程序。

第五十五条 本办法由中国人民银行负责解释。

第五十六条 本办法自2025630日起施行。

 

关键字: 数据安全
国家工信部等四部门联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》|网络安全|等级测评机构|河南金盾信安 金盾信安官网|网络安全|等级测评机构|河南金盾信安
新闻动态
产品服务
解决方案
技术支持
关于我们

国家工信部等四部门联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》

发布时间:2024-07-04 11:41:01    浏览次数:2129     来源:工信部官网

7月2日,国家工业和信息化部、中央网信办、国家发展改革委、国家标准委等四部门联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》,《指南》围绕人工智能标准体系结构和框架两方面展开,对基础共性标准、基础支撑标准、关键技术标准、智能产品与服务标准、赋能新型工业化标准、行业应用标准、安全/治理标准等7个重点方向进行部署。提出规范人工智能技术、产品、系统、应用、服务等全生命周期的安全要求,包括基础安全,数据、算法和模型安全,网络、技术和系统安全,安全管理和服务,安全测试评估,安全标注,内容标识,产品和应用安全等标准。

工业和信息化部 中央网络安全和信息化委员会办公室 国家发展和改革委员会 国家标准化管理委员会关于印发国家人工智能产业综合标准化体系建设指南(2024版)的通知

工信部联科〔2024〕113号

各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门、网信办、发展改革委、市场监管局(厅、委),有关行业协会、标准化技术组织、标准化专业机构:

为深入贯彻落实党中央、国务院决策部署,加强人工智能标准化工作系统谋划,工业和信息化部、中央网络安全和信息化委员会办公室、国家发展和改革委员会、国家标准化管理委员会组织编制了《国家人工智能产业综合标准化体系建设指南(2024版)》。现印发给你们,请结合实际,抓好贯彻落实。

工业和信息化部

中央网络安全和信息化委员会办公室

国家发展和改革委员会

国家标准化管理委员会

2024年6月5日

国家人工智能产业综合标准化体系建设指南

(2024版)

为深入贯彻落实党中央、国务院关于加快发展人工智能的部署要求,贯彻落实《国家标准化发展纲要》《全球人工智能治理倡议》,进一步加强人工智能标准化工作系统谋划,加快构建满足人工智能产业高质量发展和“人工智能+”高水平赋能需求的标准体系,夯实标准对推动技术进步、促进企业发展、引领产业升级、保障产业安全的支撑作用,更好推进人工智能赋能新型工业化,特制定本指南。

一、产业发展现状

人工智能是引领新一轮科技革命和产业变革的基础性和战略性技术,正成为发展新质生产力的重要引擎,加速和实体经济深度融合,全面赋能新型工业化,深刻改变工业生产模式和经济发展形态,将对加快建设制造强国、网络强国和数字中国发挥重要的支撑作用。人工智能产业链包括基础层、框架层、模型层、应用层等4个部分。其中,基础层主要包括算力、算法和数据,框架层主要是指用于模型开发的深度学习框架和工具,模型层主要是指大模型等技术和产品,应用层主要是指人工智能技术在行业场景的应用。近年来,我国人工智能产业在技术创新、产品创造和行业应用等方面实现快速发展,形成庞大市场规模。伴随以大模型为代表的新技术加速迭代,人工智能产业呈现出创新技术群体突破、行业应用融合发展、国际合作深度协同等新特点,亟需完善人工智能产业标准体系。

二、总体要求

以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大和二十届二中全会精神,认真落实中央经济工作会议和全国新型工业化推进大会部署要求,完整、准确、全面贯彻新发展理念,统筹高质量发展和高水平安全,加快赋能新型工业化,以抢抓人工智能产业发展先机为目标,完善人工智能标准工作顶层设计,强化全产业链标准工作协同,统筹推进标准的研究、制定、实施和国际化,为推动我国人工智能产业高质量发展提供坚实的技术支撑。

到2026年,标准与产业科技创新的联动水平持续提升,新制定国家标准和行业标准50项以上,引领人工智能产业高质量发展的标准体系加快形成。开展标准宣贯和实施推广的企业超过1000家,标准服务企业创新发展的成效更加凸显。参与制定国际标准20项以上,促进人工智能产业全球化发展。

坚持创新驱动。优化产业科技创新与标准化联动机制,加快人工智能领域关键共性技术研究,推动先进适用的科技创新成果高效转化成标准。

坚持应用牵引。坚持企业主体、市场导向,面向行业应用需求,强化创新成果迭代和应用场景构建,协同推进人工智能与重点行业融合应用。

坚持产业协同。加强人工智能全产业链标准化工作协同,加强跨行业、跨领域标准化技术组织的协作,打造大中小企业融通发展的标准化模式。

坚持开放合作。深化国际标准化交流与合作,鼓励我国企事业单位积极参与国际标准化活动,携手全球产业链上下游企业共同制定国际标准。

三、建设思路

(一)人工智能标准体系结构

人工智能标准体系结构包括基础共性、基础支撑、关键技术、智能产品与服务、赋能新型工业化、行业应用、安全/治理等7个部分,如图1所示。其中,基础共性标准是人工智能的基础性、框架性、总体性标准。基础支撑标准主要规范数据、算力、算法等技术要求,为人工智能产业发展夯实技术底座。关键技术标准主要规范人工智能文本、语音、图像,以及人机混合增强智能、智能体、跨媒体智能、具身智能等的技术要求,推动人工智能技术创新和应用。智能产品与服务标准主要规范由人工智能技术形成的智能产品和服务模式。赋能新型工业化标准主要规范人工智能技术赋能制造业全流程智能化以及重点行业智能升级的技术要求。行业应用标准主要规范人工智能赋能各行业的技术要求,为人工智能赋能行业应用,推动产业智能化发展提供技术保障。安全/治理标准主要规范人工智能安全、治理等要求,为人工智能产业发展提供安全保障。

382.png

图 1  人工智能标准体系结构图

(二)人工智能标准体系框架

人工智能标准体系框架主要由基础共性、基础支撑、关键技术、智能产品与服务、赋能新型工业化、行业应用、安全/治理等7个部分组成,如图2所示。

453.png

图 2 人工智能标准体系框架图

四、重点方向

(一)基础共性标准

基础共性标准主要包括人工智能术语、参考架构、测试评估、管理、可持续等标准。

1. 术语标准。规范人工智能相关技术、应用的概念定义,为其它标准的制定和人工智能研究提供参考,包括人工智能相关术语定义、范畴、实例等标准。

2. 参考架构标准。规范人工智能相关技术、应用及系统的逻辑关系和相互作用,包括人工智能参考架构、人工智能系统生命周期及利益相关方等标准。

3. 测试评估标准。规范人工智能技术发展的成熟度、人工智能体系架构之间的适配度、行业发展水平、企业智能化能力等方面的测试及评估的指标要求,包括与人工智能相关的服务能力成熟度评估,人工智能通用性测试指南、评估原则和等级要求,企业智能化能力框架及测评要求等标准。

4. 管理标准。规范人工智能技术、产品、系统、服务等全生命周期涉及的人员、组织管理要求和评价,包括面向人工智能组织的管理要求,人工智能管理体系、分类方法、评级流程等标准。

5. 可持续标准。规范人工智能影响环境的技术框架、方法和指标,平衡产业发展与环境保护,包括促进生态可持续的人工智能软件开源基础框架,人工智能系统能效评价,人工智能与资源利用、碳排放、废弃部件处置等标准。

(二)基础支撑标准

基础支撑标准主要包括基础数据服务、智能芯片、智能传感器、计算设备、算力中心、系统软件、开发框架、软硬件协同等标准。

1. 基础数据服务标准。规范人工智能研发、测试、应用等过程中涉及数据服务的要求,包括数据采集、数据标注、数据治理、数据质量等标准。

2. 智能芯片标准。规范智能芯片相关的通用技术要求,包括智能芯片架构、指令集、统一编程接口及相关测试要求、芯片数据格式和协议等标准。

3. 智能传感器标准。规范单模态、多模态新型传感器的接口协议、性能评定、试验方法等技术要求,包括智能传感器的架构、指令、数据格式、信息提取方法、信息融合方法、功能集成方法、性能指标和评价方法等标准。

4. 计算设备标准。规范人工智能加速卡、人工智能加速模组、人工智能服务器等计算设备,及使能软件的技术要求和测试方法,包括人工智能计算设备虚拟化方法,人工智能加速模组接口协议和测试方法,及使能软件的访问协议、功能、性能、能效的测试方法和运行维护要求等标准。

5. 算力中心标准。规范面向人工智能的大规模计算集群、新型数据中心、智算中心、基础网络通信、算力网络、数据存储等基础设施的技术要求和评估方法,包括基础设施参考架构、计算能力评估、技术要求、稳定性要求和业务服务接口等标准。

6. 系统软件标准。规范人工智能系统层的软硬件技术要求,包括软硬件编译器架构和优化方法、人工智能算子库、芯片软件运行时库及调试工具、人工智能软硬件平台计算性能等标准。

7. 开发框架标准。规范人工智能开发框架相关的技术要求,包括开发框架的功能要求,与应用系统之间的接口协议、神经网络模型表达和压缩等标准。

8. 软硬件协同标准。规范智能芯片、计算设备等硬件与系统软件、开发框架等软件之间的适配要求,包括智能芯片与开发框架的适配要求、人工智能计算任务调度、分布式计算等软硬件协同任务的交互协议、执行效率和协同性能等标准。

(三)关键技术标准

关键技术标准主要包括机器学习、知识图谱、大模型、自然语言处理、智能语音、计算机视觉、生物特征识别、人机混合增强智能、智能体、群体智能、跨媒体智能、具身智能等标准。

1. 机器学习标准。规范机器学习的训练数据、数据预处理、模型表达和格式、模型效果评价等,包括自监督学习、无监督学习、半监督学习、深度学习、强化学习等标准。

2. 知识图谱标准。规范知识图谱的描述、构建、运维、共享、管理和应用,包括知识表示与建模、知识获取与存储、知识融合与可视化、知识计算与管理、知识图谱质量评价与互联互通、知识图谱交付与应用、知识图谱系统架构与性能要求等标准。

3. 大模型标准。规范大模型训练、推理、部署等环节的技术要求,包括大模型通用技术要求、评测指标与方法、服务能力成熟度评估、生成内容评价等标准。

4. 自然语言处理标准。规范自然语言处理中语言信息提取、文本处理、语义处理等方面的技术要求和评测方法,包括语法分析、语义理解、语义表达、机器翻译、自动摘要、自动问答、语言大模型等标准。

5. 智能语音标准。规范前端处理、语音处理、语音接口、数据资源等技术要求和评测方法,包括深度合成的鉴伪方法、全双工交互、语音大模型等标准。

6. 计算机视觉标准。规范图像获取、图像/视频处理、图像内容分析、三维计算机视觉、计算摄影学、跨媒体融合等技术要求和评价方法,包括功能、性能、可维护性等标准。

7. 生物特征识别标准。规范生物特征样本处理、生物特征数据协议、设备或系统等技术要求,包括生物特征数据交换格式、接口协议等标准。

8. 人机混合增强智能标准。规范多通道、多模式和多维度的交互途径、模式、方法和技术要求,包括脑机接口、在线知识演化、动态自适应、动态识别、人机协同感知、人机协同决策与控制等标准。

9. 智能体标准。规范以通用大模型为核心的智能体实例和智能体基本功能、应用架构等技术要求,包括智能体强化学习、多任务分解、推理、提示词工程,智能体数据接口和参数范围,人机协作、智能体自主操作、多智能体分布式一致性等标准。

10. 群体智能标准。规范群体智能算法的控制、编队、感知、规划、决策、通信等技术要求和评测方法,包括自主控制、协同控制、任务规划、路径规划、协同决策、组网通信等标准。

11. 跨媒体智能标准。规范文本、图像、视频、音频等多模态数据处理基础、转换分析、融合应用等方面的技术要求,包括数据获取与处理、模态转换、模态对齐、融合与协同、应用扩展等标准。

12. 具身智能标准。规范多模态主动与交互、自主行为学习、仿真模拟、知识推理、具身导航、群体具身智能等标准。

(四)智能产品与服务标准

智能产品与服务标准主要包括智能机器人、智能运载工具、智能移动终端、数字人、智能服务等标准。

1. 智能机器人标准。规范人工智能在机器人领域应用的技术要求,包括机器人智能认知、智能决策等标准。

2. 智能运载工具标准。规范智能运载工具感知、识别与预判、协同与博弈、决策与控制、评价等技术要求,包括环境融合感知、智能识别预判、智能决策控制、多模式测试评价等标准。

3. 智能移动终端标准。规范人工智能应用在移动终端领域的技术要求,包括图像识别、人脸识别、智能语音交互,以及智能移动终端涉及的信息无障碍、适老化等标准。

4. 数字人标准。规范数字人的外形、动作生成、语音识别与合成、自然语言交互等技术要求,包括数字人基础能力评估、多媒体合成渲染、基础数据采集方法、标识和识别方法等标准。

5. 智能服务标准。规范基于大模型、自然语言处理、智能语音、计算机视觉等人工智能技术提供的服务,包括模型即服务平台技术要求和评测方法等标准,以及面向特定场景的人工智能应用服务,如智能软件开发、智能设计、智能防伪等标准。

(五)赋能新型工业化标准

赋能新型工业化标准主要包括研发设计、中试验证、生产制造、营销服务、运营管理等制造业全流程智能化标准,以及重点行业智能升级标准。

1. 研发设计标准。研制跨领域知识整合、新型设计模式生成、人机协同研发设计等标准。

2. 中试验证标准。围绕高精度、全流程仿真模型,研制智能虚拟中试标准,以及复杂工业场景新技术应用验证标准。

3. 生产制造标准。研制生产过程智能化、产线监测及维护等标准。

4. 营销服务标准。围绕营销服务效率提升,研制智能客服、数字人、商品三维模型标准,以及用户体验等标准。

5. 运营管理标准。围绕运营管理智能化能力提升,研制相关供应链管理、数据管理、风险管理等标准。

6. 重点行业智能升级标准。围绕原材料行业,开展大模型畅联产线数据、优化在线监测调控和工艺改进等标准研制。围绕消费品行业,开展需求预测、个性化定制等标准研制。围绕装备行业,研制智能装备感知、交互、控制、协作、自主决策等标准。

(六)行业应用标准

开展智慧城市、科学智算、智慧农业、智慧能源、智慧环保、智慧金融、智慧物流、智慧教育、智慧医疗、智慧交通、智慧文旅等领域标准研究。

(七)安全/治理标准

安全/治理标准主要包括人工智能领域的安全、治理等标准。

1. 安全标准。规范人工智能技术、产品、系统、应用、服务等全生命周期的安全要求,包括基础安全,数据、算法和模型安全,网络、技术和系统安全,安全管理和服务,安全测试评估,安全标注,内容标识,产品和应用安全等标准。

2. 治理标准。结合人工智能治理实际需求,规范人工智能的技术研发和运营服务等要求,包括人工智能鲁棒性、可靠性、可追溯性的技术要求与评测方法,人工智能治理支撑技术;规范人工智能全生命周期的伦理治理要求,包括人工智能伦理风险评估,人工智能的公平性、可解释性等伦理治理技术要求与评测方法,人工智能伦理审查等标准。

五、保障措施

(一)完善组织建设。建立健全人工智能领域标准化技术组织,统筹产学研用各方、产业链各环节优势力量,协同推进人工智能标准建设,共同构建先进适用的人工智能产业标准体系。

(二)构建人才队伍。鼓励标准化研究机构培养和引进标准化高端人才,加强面向标准化从业人员的专题培训。鼓励企业、高校、研究机构等将标准化人才纳入职业能力评价和激励范围,构建标准化人才梯队。

(三)加强宣贯推广。指导行业协会、标准化技术组织、国家技术标准创新基地等,面向企业开展人工智能标准体系、重点标准的宣贯和培训,引导企业在研发、设计、生产、管理、检测等环节对标达标,持续提升标准助力产业高质量发展效能。

 

关键字: 网络安全