7.4數據使用

7.4.1概述

數據使用是指金融業機構在提供金融產品和服務、開展經營管理等活動中，進行數據的訪問、導出、加工、展示、開發測試、匯聚融合、公開披露、數據轉讓、委托處理、數據共享等活動。數據使用不應超出數據采集時所聲明的目的和范圍，數據使用過程存在數據非授權訪問、竊取、泄漏、篡改、損毀等安全風險。

7.4.2數據訪問

7.4.2.1基本要求

數據訪問指金融業機構內外部各類主體對數據進行查詢和變更的過程，數據訪問控制安全要求如下：

a)應綜合考慮主體角色、信用等級、業務需要、時效性等因素，按最小化原則確定2級及以上數據的訪問權限規則。

b)3級及以上數據訪問應建立訪問權限申請和審核批準機制，并宜通過訪問控制組件或訪問控制代理技術對訪問的終端設備、系統進行控制，以及實際操作和申請操作進行驗證，保證實際操作與申請并審批的操作是一致的。

c)應根據數據的不同安全級別，制定和明確數據訪問控制過程中的相關安全措施，保障金融數據在被訪問過程中的保密性和完整性，包括但不限于：

1)2級及以上的數據訪問應進行身份認證，對訪問者實名認證，將數據訪問權限與實際訪問者的身份或角色進行關聯，防止數據的非授權訪問。

2)2級及以上的數據訪問過程應留存相關操作日志，操作日志應至少包含明確的主體、客體、操作時間、具體操作類型、操作結果等。

3)3級及以上的數據訪問應實現多因素認證或二次授權，并應結合業務需要對數據采取脫敏和控制訪問數據行數的技術措施，以滿足最小化原則要求。

d)應對數據的訪問權限和實際訪問控制情況進行定期審計，至少每半年1次對訪問權限規則和已授權清單進行復核，及時清理已失效的賬號和授權。

e)應通過訪問控制等措施限制頻繁查詢數據人員的數據訪問頻率，如柜員、客戶經理、客服人員等確需批量查詢的應通過相應審批并留存相關記錄，并宜提供訪問控制組件與審批結果的自動聯動能力。

7.4.2.2特權訪問安全要求

特權訪問指不受訪問控制措施限制的數據訪問，例如使用數據庫管理員權限訪問數據，或使用可

a)特權賬號應明確安全責任人，嚴格限定特權賬號的使用地點，并配套多因素認證措施對使用者進行實名認證。

b)應預先明確特權賬號的使用場景和使用規則，并配套建立審批授權機制。

c)可訪問3級及以上數據的特權賬號，在每次使用前應進行審批授權，并宜采取措施確保實際操作與所獲授權的操作是一致的，防止誤執行高危操作或越權使用等違規操作。

d)應詳細記錄特權賬號的訪問過程和操作記錄，配備事后審計機制，并確保特權賬號無法對操作日志進行修改和刪除。

7.4.3數據導出

數據導出是指數據從高等級安全域流動至低等級安全域的過程，如數據從生產系統至運維終端、移動存儲介質等情形。數據導出安全要求如下：

a)金融業機構應根據最小夠用原則，確定數據導出場景、導出數據范圍和相應的權限規則。

b)2級及以上的數據導出操作應明確安全責任人，配備安全、完善的身份驗證措施對導出操作人進行實名認證.

c)2級及以上的數據導出應有詳細操作記錄，包括操作人、操作時間、操作結果、數據類型及安全級別等，留存時間不少于6個月。

d)3級及以上數據的導出操作還應有明確的權限申請和審核批準機制。

e)3級及以上數據的導出操作前應使用多因素認證或二次授權機制，并將操作執行的網絡地址限制在有限的范圍內。

f)3級及以上的數據導出應使用加密、脫敏等技術手段防止數據泄露，國家及行業主管部門另有規定的除外。

g)4級數據原則上不應導出，確需導出的，除上述要求外，還應經金融業機構高級管理層批準，并配套數據跟蹤溯源機制。

7.4.4數據加工

數據加工是金融業機構基于市場分析、業務優化、風險管控等需求，對數據進行清洗、轉換、分析、挖掘等操作。數據加工安全要求如下：

a)應明確原始數據數據加工過程中的數據獲取方式、訪問接口、授權機制、邏輯安全、處理結果安全等內容。

b)3級及以上數據加工之前應進行數據安全評估，并采用加密、脫敏等技術措施，保證數據加工過程的數據安全性。

c)除業務必須外，不應對4級數據進行加工。

d)應對數據加工過程進行必要的監督和檢查，確保加工過程的數據安全性。

e)應完整記錄數據加工過程的操作日志。

7.4.5數據展示

數據展示是指金融業機構通過業務運營平臺、運維終端、客戶端應用軟件、銀行卡受理設備、自助終端設備等界面顯示數據的過程。數據展示安全要求如下：

a)數據展示前，應事前評估展示需求，包括展示的條件、環境、權限、內容等，確定展示的必要性和安全性。

1)對應用系統桌面、移動運維終端、柜面受理設備等界面展示增加水印，水印內容應最少包括訪問主體、訪問時間。

2)禁用展示界面復制、打印等可將展示數據導出的功能。

3)業務系統對2級及以上數據明文查詢實現逐條授權、逐條查詢，或具備對查詢相關授權、次數、頻率、總量等指標的實時監測預警功能，并留存相關查詢日志。

c)數據展示后，應及時將展示數據從本地緩存中清除。

d)2級數據的展示應事先通過審批授權后方可展示。

e)3級數據的展示應在審批的基礎上采用屏蔽等技術措施防止信息泄露。

f)4級及以上數據不應明文展示，國家及行業主管部門另有規定的除外。

7.4.6開發測試

開發測試是指金融業機構使用金融數據完成軟件、系統、產品等開發和測試的過程。開發測試安全要求如下：

a)應采取技術措施，實現開發測試環境數據與生產環境數據的有效隔離。

b)應通過安全運維管理平臺或數據提取專用終端獲取數據，專用終端應事先經過審批授權后方可開通，原則上不應涉及4級數據。

c)通過管理平臺或專用終端獲取3級及以上數據時，應通過技術手段控制數據的獲取范圍，包括對象、數據量等，并能對獲取的數據按照策略進行脫敏處理，保證生產數據經過脫敏處理后才能被提取。

d)開發測試等過程的數據，應事先進行脫敏處理，防止數據處理過程中的數據泄露，國家及行業主管部門另有規定的除外。

e)使用外部的軟件開發包、組件、源碼等開展開發測試工作前應進行數據安全評估。

f)接入開發測試環境的內外部終端設備應進行統一安全管理，宜安裝統一的終端安全管理軟件。

g)應制定開發測試安全審核流程，對數據源、需求進行審核，以確保數據分析目的、分析操作等方面的正當性與合法性。

h)應對開發測試過程進行日志記錄，并定期進行安全審計。

i)非本機構設備接入開發測試環境應經過開發部門以及設備使用部門審批，存儲有開發測試數據的設備、介質帶離金融業機構前應經過開發部門以及設備使用部門審批。

7.4.7匯聚融合

匯聚融合是指金融業機構因提供金融產品和服務、開展經營管理等活動，在機構內部不同部門之間或本機構與外部機構之間，進行多源或多主體的數據匯集、整合等產生數據的過程。數據匯聚融合安全要求如下：

a)匯聚融合的數據不應超出采集時所聲明的使用范圍，因業務需要確需超范圍使用個人金融信息的，應事先再次征得個人金融信息主體明示同意。

b)匯聚融合前應根據匯聚融合后可能產生的數據內容、所用于的目的、范圍等開展數據安全影

c)涉及第三方機構合作的，應以合同協議等方式明確用于匯聚融合的數據內容和范圍、結果用途和知悉范圍、各合作方數據保護責任和義務，以及數據保護要求等，并采用技術手段如多方安全計算、聯邦學習、數據加密等技術降低數據泄露、竊取等風險。

d)4級數據原則上不應用于匯聚融合，因業務需要確需匯聚融合的，應建立審批授權機制并具備數據跟蹤溯源能力后方可匯聚融合。

e)應對脫敏后的數據集或其他數據集匯聚后重新識別出個人金融信息主體的風險進行識別和評價，并對數據集采取相應的保護措施。

f)匯聚融合后產生的數據以及原始數據的衍生數據，應重新明確數據所屬單位和安全保護責任部門，并確定相應數據的安全級別。

7.4.8公開披露

公開披露是指金融業機構在提供金融產品或服務的過程中，因國家有關規定、行業主管部門規章，以及金融產品或服務業務需要，在其指定渠道公開數據的行為。數據公開披露安全要求如下：

a)應依據國家有關規定與行業主管部門規章，在金融業機構官方渠道披露數據。

b)數據公開披露前，應依據金融業機構有關制度要求，對擬披露數據審核與審批，具體要求如

1)數據安全管理部門會同有關業務部門，對擬披露數據的合規性、業務需求、數據脫敏方案進行審核。

2)機構業務部門對披露渠道、披露時間、擬公開數據的真實性，以及數據脫敏效果進行確認，披露時間指永久或固定時間段。

3)依據機構有關程序執行數據公開披露審批程序，其審批過程和記錄留檔。

c)應采取技術措施對金融業機構公開披露數據的真實性與完整性進行安全防護，具體要求如下：

1)通過金融業機構官方網站披露數據時，采取包括網頁防篡改等技術措施，防范披露數據篡改風險。

2)通過金融業機構客戶端應用軟件披露數據時，按照JR/T 0092-2019相關要求執行。

d)3級及以上數據原則上不應公開披露，國家及行業主管部門另有規定的除外。

e)應準確記錄和保存數據的公開披露情況，包括公開披露的日期、規模、目的、范圍等。

7.4.9數據轉讓

數據轉讓指金融業機構將數據移交至外部機構，不再享受該數據相關權利和不再承擔該數據相關義務的過程。數據轉讓安全要求如下：

a)除以下情況外，原則上不應轉讓數據：

1)滿足國家與行業主管部門要求。

2)已通過合同協議等有關約定獲得數據轉讓相關授權的。

3)在金融業機構出現收購、兼并、重組等情形時，依照國家及行業有關規定履行義務。

b)因機構收購、兼并、重組等情況，金融業機構主體變更而發生數據轉讓時，具體安全要求如下：

1)金融業機構將其提供的金融產品或服務移交至其他金融業機構時，應通過逐一傳達或公告的方式向個人金融信息主體等履行告知義務。

2)承接其金融產品或服務的金融業機構，應對其承接運營的金融產品或服務繼續履行數據安全保護責任；如變更其在收購、兼并、重組過程中獲取的數據使用目的，應重新獲得個人金融信息主體的明示同意或授權。

3)對于機構破產且無承接方的情況，金融業機構應將其情況及時報送行業主管部門，將數據移交至行業主管部門指定的機構進行繼續保存，或依據行業主管部門的要求，對數據進行銷毀處理，并將處理結果通過逐一傳達或公告的方式向個人金融信息主體等履行告知義務。

7.4.10委托處理

委托處理指金融業機構因金融產品或服務的需要，在不改變該數據相關權利和義務的前提下，將數據委托給第三方機構進行處理， 并獲取處理結果的過程。此處委托處理也包括紙質單據OCR作業、

a)應依據本文件8.4節，落實委托處理活動中的第三方開展數據安全管理工作要求。

b)受委托的第三方機構應滿足國家及行業主管部門的相關要求，金融業機構應對第三方機構開展事前盡職調查。

c)委托行為不應超出事前已獲得授權及合同協議約定的數據使用范圍。

d)應根據委托處理的數據內容、范圍、目的等，對數據委托處理行為進行數據安全影響評估，涉及個人金融信息的，應進行個人金融信息安全影響評估，并采取相應的有效保護措施。

e)應對被委托方數據安全防護能力進行數據安全評估，并確保被委托方具備足夠的數據安全防護能力，提供了足夠的安全保護措施。

注：數據安全評估(data security assessment) ：針對數據處理活動， 檢驗其安全及合法合規程度， 評估數據安全保護措施有效性的過程。

f)不應對4級數據進行委托處理。

g)對委托處理的金融數據，安全要求如下：

1)個人金融信息應事先采用數據脫敏(見附錄C)等技術防止個人金融信息泄露，因業務確需，以及國家及行業主管部門另有規定的除外。

2)涉及2級、3級數據的，應對數據進行加密處理，并采取數據標記、數據水印(見附錄D)等技術，降低數據被泄露、誤用、濫用的風險。

3)因業務確需無法對數據進行脫敏或加密處理的，應明確相應授權審批機制，事前對委托處理的內容通過專項審批，并采取技術措施防止數據被泄露、誤用和濫用。

h)對委托處理的數據進行安全審計，要求如下：

1)數據通過信息系統與委托方進行傳遞時，則應在相應的控制節點設置安全審計功能，對數據的外發與回傳進行審計， 其中信息系統包括API、擺渡服務器， 控制節點包括信息系統業務功能、API、服務器用戶。

2)數據以紙質介質或磁盤等存儲介質與委托方進行傳遞時，則應執行相應的內部授權審批程序，對傳遞數據的內容、用途、量級，數據接收方情況、使用時長、數據是否收回或由對方進行銷毀等情況進行說明與審批，有關記錄留檔備查，其中數據接收方細化至法人機構數據安全負責人。

i)應保存委托處理過程記錄與有關數據的處理情況，以留檔備查。

7.4.11數據共享

數據共享是指金融數據在不同部門或機構之間進行分享，包含與行業主管部門的數據分享，各方均承擔該數據相關權利和義務的過程。數據共享安全要求如下：

a)數據內部共享是指發生在金融業機構內部，在本部門職能需要之外進行的數據共享，安全要求如下：

1)應梳理數據共享的各類場景，明確各類場景的安全要求和責任部門，并建立相應的審核批準機制，對數據使用目的、內容、使用時間、技術防護措施、數據使用后的處置方式等進行審批，并留存相關記錄。

2)在數據共享前，應開展數據安全影響評估，對共享的數據內容、數據范圍、時間周期、傳輸方式、用途、安全管控手段等要素進行評估，涉及個人金融信息的不應超出其授權范圍，數據安全保護強度不因數據共享而降低。

3)應對2級以及上的數據共享過程留存日志記錄，記錄內容包括但不限于共享內容、共享時間、防護技術措施等。

4)采取以下措施確保3級及以上數據共享的安全性：

–原則上應對3級及以上數據進行脫敏；

–若因業務確需，無法對數據進行脫敏的，應對共享內容通過專項審批，并對數據進行加密、選用安全可靠的傳輸協議或在安全可控的環境中進行共享；

–脫敏方式的選取宜充分結合數據共享場景、業務需要和安全風險評估結果，選擇被猜解或碰撞風險相對較低的脫敏技術；

–一脫敏措施的部署應盡可能靠近數據源頭， 如數據庫視圖、應用系統底層API接口等。

5)不應共享4級數據。

6)利用自動化工具如代碼、腳本、接口、算法模型、軟件開發工具包等進行數據共享時，應通過身份認證、數據加密、反爬蟲機制、攻擊防護和流量監控等手段，有效防范網絡監聽、接口濫用等網絡攻擊，并定期檢查和評估自動化工具安全性和可靠性。

7)數據使用部門應根據共享前約定的數據使用期限，對數據進行安全處置，數據共享方應對處置結果進行確認。

b)數據外部共享指金融業機構在經營過程中，在本機構職能需要之外與外部機構進行的數據共享，安全要求如下：

1)應滿足7.4.1a)所述安全要求。

2)應與數據接收方通過合同協議等方式，明確雙方在數據安全方面的責任及義務，并約定共享數據的內容和用途、使用范圍等。

3)應定期對數據接收方的數據安全保護能力進行評估，確保數據接收方具備足夠的數據安全保護能力，當數據接收方喪失數據安全保護能力時，應啟動應急響應程序。

4)應向個人金融信息主體等告知共享數據的目的、數據接收方的類型，并事先征得相應授權。

5)應幫助個人金融信息主體等了解數據接收方數據的存儲、使用等情況。

–共享數據涉及2級、3級數據時，應對數據進行加密處理，并采取數據標記、數據水印等技術，降低數據被泄露、誤用、濫用的風險；

–應定期對共享的數據進行安全審計；

–應配套建立應急響應機制，必要時應及時切斷數據共享。

7)按照國家及行業主管部門有關要求，向行業主管和監管部門等有關機構履行數據報送義務時，應采取有效措施確保數據接收方的身份真實性、數據的保密性、真實性與完整性。