4006-555-883
2025-08-06

金融行业 | 央行、证监会发布《金融基础设施监督管理办法》,强调数据安全保护

03.png

《金融基础设施监督管理办法》2025年5月23日经中国人民银行第9次行务会议审议通过,并经中国证券监督管理委员会同意于2025年8月1日公布,自2025年10月1日起施行。

《金融基础设施监督管理办法》与数据安全相关内容


《金融基础设施监督管理办法》(以下简称《办法》)聚焦金融基础设施业务监管,健全金融基础设施运营、风险管理、公司治理等制度规则,明确系统重要性金融基础设施认定标准和宏观审慎管理要求,完善金融基础设施检查、处罚、恢复处置、退出等监管规定,实现金融基础设施监管标准统一,为金融市场安全稳健高效运行提供基础保障。
《办法》共六章三十七条,包括总则、设立、运营要求、监督管理、法律责任、附则。
《办法》与数据安全相关的主要内容包括:
1.数据安全管理责任

《办法》第十八条 金融基础设施运营机构应当加强数据安全管理,承担数据安全管理主体责任,建立和完善有效的内部数据安全管理制度和问责办法,对金融基础设施参与者的业务数据、相关资料,以及提供服务过程中产生的其他数据进行保护,确保数据不被损毁、非法窃取及非法使用,不得侵害个人信息权益。法律、行政法规或相关金融基础设施管理部门对数据处理有明确规定的,从其规定。

2.客户权益保护
《办法》第十八条 金融基础设施运营机构应当建立完备的差错争议和客户投诉处理机制,及时、妥善解决差错争议和客户投诉,切实维护客户合法权益。
3.数据存储与备份

境内存储要求《办法》第十五条(四)金融基础设施运营机构应当建立完善的技术系统及管理机制,包括:完备的数据存储管理机制,在中华人民共和国境内运营过程中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当符合国家有关规定。

数据存储期限要求《办法》第十七条  金融基础设施运营机构应当妥善保存金融基础设施服务的原始凭证和重要数据,以及与内部管理、业务经营有关的重要信息,保存期限应当不少于20年,法律、行政法规另有规定的除外。

数据备份措施要求:《办法》第十五条(二)系统故障应急处理机制和灾难备份机制,具备完善的数据安全保护和数据备份措施,灾难备份中心应当位于中华人民共和国境内。

4.网络安全与技术系统

《办法》第十五条  金融基础设施运营机构应当建立完善的技术系统及管理机制,包括:符合必要的技术规范、通信程序与标准;系统故障应急处理机制和灾难备份机制,具备完善的数据安全保护和数据备份措施; 有效的网络安全管理制度,系统重要性金融基础设施还应当落实关键信息基础设施安全保护相关法律、行政法规要求。

5.应急处置预案要求
《办法》第二十二条  金融基础设施运营机构应当建立健全应急预案,涵盖重大疫情、自然灾害、金融市场异常波动、外部冲击、网络安全事件、数据安全事件等可能影响持续稳健经营的极端情形,以及相应情形下拟采取的应急处置措施,并与建立系统连接的其他金融基础设施应急处置预案有效衔接,维护金融市场安全平稳运行。

《金融基础设施监督管理办法》全文


第一章  总则
第一条  为加强金融基础设施统筹监管与建设规划,保障金融体系安全高效运行,根据《中华人民共和国中国人民银行法》、《中华人民共和国证券法》、《中华人民共和国期货和衍生品法》、《中华人民共和国公司法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《期货交易管理条例》、《征信业管理条例》、《关键信息基础设施安全保护条例》等法律、行政法规,制定本办法。
第二条  经国务院或金融基础设施管理部门批准设立的金融基础设施,其建设、运营、维护和监督管理,适用本办法。法律、行政法规、国务院及金融基础设施管理部门另有规定的,从其规定。
第三条  本办法所称金融基础设施,是指金融资产登记存管系统、清算结算系统(含开展集中清算业务的中央对手方)、交易设施、交易报告库,重要支付系统,基础征信系统。
本办法所称金融基础设施管理部门,是指中国人民银行、中国证券监督管理委员会。
第四条  以习近平新时代中国特色社会主义思想为指导,坚持党中央对金融工作的集中统一领导。金融基础设施运营机构应当按照党章、党规要求设立党组织,加强党的建设,确保党的路线方针和国家重大战略部署在金融基础设施运营机构得到贯彻执行。
本办法所称金融基础设施运营机构,是指根据法律、行政法规、国务院相关决定及本办法规定,经批准负责建设、运营和维护金融基础设施的企业法人或事业单位法人。
第五条  金融基础设施管理部门要加强规划引领,按照构建现代化基础设施体系的统一部署,促进金融基础设施之间有序互联互通,按照安全、高效原则,不断优化金融基础设施布局,增强整体性,加强金融基础设施治理体系建设,促使金融基础设施运营机构服从大局、优先维护公共利益,进一步完善治理,提高运行效率与服务水平,防止过度追求利润和承担风险,促进服务市场与支持监管并重。根据统一大市场建设要求,审慎开展新设金融基础设施工作,对于涉及国家金融安全、外溢性强的金融基础设施,保持国家绝对控制力。
第六条  金融基础设施的准入和监督管理,应当遵循“谁审批、谁监管、谁负责”的原则,符合国家战略和规划,符合国家经济社会发展需要,维护国家金融安全。
第七条  金融基础设施的建设、运营、维护和监管,应当立足我国实际情况,与《金融市场基础设施原则(PFMI)》等国际准则相接轨。
第二章  设立
第八条  在中华人民共和国境内设立金融基础设施,依照《中华人民共和国中国人民银行法》、《中华人民共和国证券法》、《中华人民共和国期货和衍生品法》、《期货交易管理条例》、《征信业管理条例》等法律、行政法规,以及国务院相关规定进行管理,并与市场准入负面清单制度做好衔接。
中国证券监督管理委员会负责涉及证券、期货及其相关活动的新设金融基础设施的准入管理;中国人民银行负责新设支付系统、基础征信系统以及银行间市场金融基础设施的准入管理;其他新设金融基础设施由中国人民银行会同其他相关部门负责准入管理。涉及或可能涉及对金融体系产生重大影响或相关部门认为确有必要的金融基础设施,应当报经国务院同意后批准。对于其中影响或可能影响中华人民共和国国家安全的外商投资,依法进行外商投资安全审查。
任何单位或个人不得非法设立运营金融基础设施,不得非法提供或变相提供金融基础设施相关服务,不得非法使用“交易所”、“交易中心”、“登记”、“清算”、“结算”、“支付”、“托管”、“存管”、“交易报告”等涉及金融基础设施服务或近似的名称。
第九条  金融基础设施的运营机构应当具备下列条件:
(一)具有在中华人民共和国境内合法成立的法人实体;
(二)具有清晰、透明的组织结构和治理安排,不违反中华人民共和国国家利益及社会公共利益;
(三)具有符合规定的注册资本和实缴资本;
(四)具有必要的营业场所和支持业务开展的、安全且合规的系统与设施;
(五)具有与拟开展业务相适应的风险管理制度、内控制度、业务规则等制度安排;
(六)拟任董事(理事)、监事和高级管理人员符合本办法规定的任职条件;
(七)股东与实际控制人具有必要的运营经验,信用记录良好,无故意或重大过失犯罪记录,且3年内无重大违法违规事项或受到重大监管处罚。
事业单位法人运营的金融基础设施原则上参照执行。
第十条  金融基础设施运营机构的董事(理事)、监事和高级管理人员,应当具有大学本科及以上学历,信用记录良好,熟悉与本领域金融基础设施相关的法律法规与国际监管准则,具有5年以上金融领域相关从业经验和履行职责所需的管理能力,最近5年无重大违法违规记录。金融基础设施运营机构采取公司制组织形式的,其董事、监事、高级管理人员应当同时符合《中华人民共和国公司法》第一百七十八条的规定。
第十一条  金融基础设施运营机构有以下事项之一的,应当根据各部门职责分工报相关金融基础设施管理部门批准:
(一)变更自身或所运营金融基础设施的名称;
(二)变更注册资本;
(三)变更住所或营业场所;
(四)调整自身或所运营金融基础设施的业务范围;
(五)变更持有资本总额或股份总额百分之五以上的主要股东、实际控制人、受益所有人;
(六)变更法定代表人、董事长(理事长)、总经理;
(七)修改法人章程;
(八)所运营的金融基础设施与境内外其他金融基础设施建立系统连接,或与境内外其他金融基础设施运营机构开展重大业务合作。
第十二条  金融基础设施管理部门依法公布金融基础设施及运营机构名单。
第三章  运营要求
第十三条  金融基础设施运营机构应当建立健全清晰、透明的治理结构和有效的问责机制,并及时对外披露。
第十四条  金融基础设施运营机构应当参考《金融市场基础设施原则(PFMI)》等相关要求设立风险管理委员会,建立健全稳健的风险管理框架,确保能够识别、度量、监测和管理所涉及的相关风险,包括但不限于:
(一)有效度量、监测和管理来自参与者的信用风险和来自在支付、清算和结算过程中产生的信用风险,并通过高信用等级、低流动性风险和低市场风险的担保品管理自身的信用风险敞口;
(二)有效度量、监测和管理流动性风险。金融基础设施运营机构应当持有足够的流动性资源,包括但不限于现金、存款、商业银行授信额度等;
(三)有效度量、监测和管理整体市场运行风险;
(四)保持不低于六个月当前运营成本的优质流动性资产,以弥补可能发生的经营性亏损,保障持续运营。优质流动性资产范围由相关部门另行规定;
(五)将用于满足六个月经营需要的自有资产和参与者资产保存在经金融基础设施管理部门认可的金融机构或专业机构;
(六)定期监测和评估参与者、参与者客户及其他单位可能对金融基础设施带来的风险。
第十五条  金融基础设施运营机构应当建立完善的技术系统及管理机制,包括:
(一)符合必要的技术规范、通信程序与标准;
(二)系统故障应急处理机制和灾难备份机制,具备完善的数据安全保护和数据备份措施,灾难备份中心应当位于中华人民共和国境内;
(三)有效的网络安全管理制度,系统重要性金融基础设施还应当落实关键信息基础设施安全保护相关法律、行政法规要求;
(四)完备的数据存储管理机制,在中华人民共和国境内运营过程中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当符合国家有关规定。
第十六条  金融基础设施运营机构应当建立完善的内控制度,采取有效措施,防范自身与金融基础设施的参与者之间,以及金融基础设施的不同参与者之间的利益冲突。
第十七条  金融基础设施运营机构应当妥善保存金融基础设施服务的原始凭证和重要数据,以及与内部管理、业务经营有关的重要信息,保存期限应当不少于20年,法律、行政法规另有规定的除外。
第十八条  金融基础设施运营机构应当加强数据安全管理,承担数据安全管理主体责任,建立和完善有效的内部数据安全管理制度和问责办法,对金融基础设施参与者的业务数据、相关资料,以及提供服务过程中产生的其他数据进行保护,确保数据不被损毁、非法窃取及非法使用,不得侵害个人信息权益。法律、行政法规或相关金融基础设施管理部门对数据处理有明确规定的,从其规定。
金融基础设施运营机构应当为参与者及时获得与其相关的数据及资料提供便利。
金融基础设施运营机构应当建立完备的差错争议和客户投诉处理机制,及时、妥善解决差错争议和客户投诉,切实维护客户合法权益。
第十九条  金融基础设施运营机构相关服务涉及外包的,应当明确服务外包不得转移责任,金融基础设施运营机构与金融基础设施参与者之间的法律关系不发生改变,且不得妨碍金融基础设施管理部门履行相关监管职能。
第二十条  金融基础设施运营机构应当承担参与者管理主体责任,切实采取措施强化参与者的监督和管理。金融基础设施运营机构与金融基础设施参与者之间应当通过签订协议、公约或制定业务规则等方式,明确各方权利、义务和责任。
第二十一条  金融基础设施之间通过相关系统连接开展业务合作,其运营机构之间应当通过签订协议或公约等形式,明确各方权利、义务和责任,确保法律关系清晰,并应当有效识别与管理相关风险,包括但不限于:
(一)准确识别所连接金融基础设施的运营机构相关资质,确保对方具备良好的公司治理结构;
(二)有效管理运行、信用、流动性、技术和法律等各类风险,包括建立有效的风险识别和隔离机制,避免与所连接金融基础设施之间的风险传染。
第二十二条  金融基础设施运营机构应当建立健全应急预案,涵盖重大疫情、自然灾害、金融市场异常波动、外部冲击、网络安全事件、数据安全事件等可能影响持续稳健经营的极端情形,以及相应情形下拟采取的应急处置措施,并与建立系统连接的其他金融基础设施应急处置预案有效衔接,维护金融市场安全平稳运行。
第四章  监督管理
第二十三条  金融基础设施运营机构发生下列情形,应当按照部门职责分工及时向相关金融基础设施管理部门备案:
(一)制定并实施恢复计划;
(二)变更其他董事(理事)、监事及高级管理人员。
第二十四条  金融基础设施运营机构应当按照部门职责分工定期向相关金融基础设施管理部门报告自身经营、金融基础设施业务开展及展业合规等相关情况。
金融基础设施及其运营机构发生下列重大事项的,金融基础设施运营机构应当及时向相关金融基础设施管理部门报告:
(一)发生系统故障、人为操作失误、数据泄露等事故,或因自然灾害等其他情形引发核心业务异常并造成实质性影响;
(二)发生对其正常经营有重大影响的诉讼、仲裁,或存在重大或有负债、或有损失的事项;
(三)重要业务系统上线、发生重大变更、下线等。
第二十五条  为境内居民或机构提供跨境交付服务的境外金融基础设施及其运营机构,应当遵守本办法相关管理要求,开展金融基础设施服务3年以上,受到其所在国家或地区相应政府机构的具有可比性且全面的监管与规制,未出现重大风险事故、重大违法违规事项或受到相关监管机构处罚且情节严重的情形。跨境交付服务指境外金融基础设施向境内居民或机构提供金融基础设施服务。
为境内居民或机构提供跨境交付服务的境外金融基础设施所在国家或地区的有关监管机构应当与相关金融基础设施管理部门签署谅解备忘录。我国另有规定的,从其规定。
按照监管对等原则,为境内居民或机构提供跨境交付服务的境外金融基础设施及其运营机构,应当就下列事项,定期向相关金融基础设施管理部门报告:
(一)境外展业合规情况;
(二)在境外取得监管授权与豁免、业务牌照和许可的情况;
(三)基于《金融市场基础设施原则(PFMI)》开展的自评估报告(如适用)。
金融基础设施管理部门可基于监管对等原则,豁免部分提供跨境交付服务的境外金融基础设施及其运营机构上述报告要求,或采取必要的对等限制措施。
第二十六条  金融基础设施运营机构应当按照相关金融基础设施管理部门有关规定,向国家金融基础数据库报送金融业综合统计相关数据。国家金融基础数据库应当按照相关规定,加强制度化信息共享。
第二十七条  金融基础设施运营机构应当于每年四月底前向相关金融基础设施管理部门报告前一年财务情况。
第二十八条  中国人民银行依照法律、行政法规负责对支付系统、基础征信系统以及银行间市场金融基础设施和相关运营机构进行检查;中国证券监督管理委员会依照法律、行政法规负责对涉及证券、期货及其相关活动的金融基础设施和相关运营机构进行检查。
第二十九条  金融基础设施运营机构及其工作人员应当配合检查与评估,并及时提供有关文件材料,保证材料真实、准确、完整,不得拒绝、阻碍和隐瞒。
第三十条  金融基础设施运营机构应当制定发生风险时的恢复计划并定期更新。
金融基础设施管理部门作为金融基础设施风险处置的牵头部门,按职责分工负责对恢复计划失效且难以保证关键性业务连续性的金融基础设施实施处置措施。
金融基础设施及其运营机构难以持续经营,或严重危害金融秩序、损害公众利益的,应当依法实施市场退出。
第三十一条  经认定符合以下部分或全部标准的,属于系统重要性金融基础设施,由金融基础设施管理部门按职责分工负责提出认定意见并监管:
(一)参与者数量大、分布广;
(二)市场占有率较高;
(三)业务复杂,与金融机构关联性强,或与其他系统重要性金融基础设施相互连接;
(四)在金融市场中提供难以替代的关键服务,一旦发生重大风险事件等导致无法持续经营,可能对金融体系和实体经济产生重大不利影响。
第三十二条  系统重要性金融基础设施及其运营机构,在维持由国务院金融管理部门负责监管的现行监管体制不变基础上,由中国人民银行负责宏观审慎管理。其中,涉及证券、期货及其相关活动的金融基础设施及其运营机构,由中国证券监督管理委员会依法进行监管;支付系统、基础征信系统、银行间市场金融基础设施及其运营机构,由中国人民银行负责监管;其他金融基础设施及其运营机构,由中国人民银行会同其他相关部门进行功能监管。
第五章  法律责任
第三十三条  有下列情形之一的,金融基础设施管理部门可以责令限期改正,依照《中华人民共和国中国人民银行法》、《中华人民共和国证券法》、《中华人民共和国期货和衍生品法》、《征信业管理条例》等相关法律、行政法规,对金融基础设施运营机构、直接负责的董事(理事)、监事和高级管理人员或直接责任人员予以处罚;涉嫌构成犯罪的,依法移送司法机关追究刑事责任:
(一)未按照本办法规定报金融基础设施管理部门批准的;
(二)未按照本办法规定向金融基础设施管理部门备案的;
(三)未按照本办法规定向金融基础设施管理部门报告的;
(四)违反本办法规定,拒绝、阻碍金融基础设施管理部门的询问、检查、调查或不如实提供有关文件、资料的;
(五)违反本办法规定,聘任不符合任职条件的董事(理事)、监事和高级管理人员的;
(六)无正当理由限制或拒绝为参与者提供金融基础设施服务,或中断、终止金融基础设施业务的;
(七)存在危害自身或其他金融基础设施稳健运营,以及影响金融市场运行秩序的其他违法违规行为;
(八)违反本办法管理规定的其他情形。
第三十四条  擅自运营金融基础设施、实质性开办金融基础设施业务的,由相关部门或县级以上人民政府根据职责分工依照《中华人民共和国中国人民银行法》、《中华人民共和国证券法》、《中华人民共和国期货和衍生品法》、《征信业管理条例》等相关法律、行政法规予以取缔、没收违法所得、罚款等;涉嫌构成犯罪的,依法移送司法机关追究刑事责任。
第三十五条  金融基础设施运营机构超出原业务范围开办金融基础设施业务,由金融基础设施管理部门根据职责分工责令限期改正,依照《中华人民共和国中国人民银行法》、《中华人民共和国证券法》、《中华人民共和国期货和衍生品法》、《征信业管理条例》等相关法律、行政法规予以处罚;涉嫌构成犯罪的,依法移送司法机关追究刑事责任。
第三十六条  对破坏、危害金融基础设施,影响金融基础设施及其运营机构安全稳定运行的单位与个人,由金融基础设施管理部门依照《中华人民共和国中国人民银行法》、《中华人民共和国证券法》、《中华人民共和国期货和衍生品法》、《征信业管理条例》等相关法律、行政法规予以处罚;构成违反治安管理规定行为的,由有关部门依照《中华人民共和国治安管理处罚法》予以处罚;涉嫌构成犯罪的,依法移送司法机关追究刑事责任。
第六章  附则
第三十七条  本办法自2025年10月1日起施行。


下一篇:密码前沿 | 新一代密码杂凑算法研究的问题与挑战
马上获取网站HTTPS专属解决方案

联系我们