央行于2022年发布《金融领域科技伦理指引》（JR/T 0258-2022）推荐性行业标准（下称“标准”）。

针对数据安全，标准从6个方面划定了相关规范，包括充分获取用户授权、最小必要采集数据、专事专用使用数据、严格采取防护措施、依法合规共享数据、主动清理留存数据。

（1）充分获取用户授权

在采集、处理用户数据前以显著方式真实、准确、完整地向用户明示采集、处理相关数据的目的、方式、范围及期限。基于用户个人同意处理个人信息的，提前取得用户明确授权，并为用户修改授权、撤回授权等提供便捷有效的途径。涉及向其他处理者提供个人信息、公开处理个人信息、处理敏感个人信息等情况的，取得用户的单独同意。不通过误导、欺诈、胁迫等方式采集、处理用户数据，不隐瞒产品服务所具有的处理用户数据的功能，避免因用户不同意采集非必要的数据而拒绝提供相应的产品和服务。

（2）最小必要采集数据

采取合法、正当的方式采集用户数据，确保采集目的明确、合理。将采集内容、频率和数量控制在实现处理目的的最小范围，使采集信息的方式对用户权益影响最小，防止过度采集数据。加强数据来源管理，确保数据的合法性、完整性、真实性、准确性，避免通过非正当手段获取、使用数据。

（3）专事专用使用数据

秉持“专事专用”原则，履行与数据主体的约定义务，遵循既定目的、范围、处理方式处理个人信息和重要数据，避免数据超范围使用。当数据的处理目的、处理方式和种类发生变更时，通过重新明示相关信息、取得用户明确同意等方式，做到“用途明确，范围可控”。

（4）严格采取防护措施

建立健全数据安全防护长效机制，做好数据分类分级管理并采取常态化防护措施，提升数据保密性、完整性、准确性，严防隐私泄露、数据逆向追踪、数据篡改等，切实保护数据主体权利不受侵害。

（5）依法合规共享数据

在依法合规的前提下稳妥有序推动数据资源安全共享，不设置不合理的限制，不阻碍其他市场主体公平获取数据。在共享数据过程中充分尊重并保障数据主体知情权等合法权益，采取有效措施确保数据接收方按照约定目的、范围、处理方式处理个人信息和重要数据，防止不当使用数据。

（6）主动清理留存数据

建立健全数据清理机制，明确清理的对象、流程、方式和要求。对于已实现处理目的或达到存储期限的个人信息，及时、妥善进行销毁或匿名化处理，并确保不能通过直接或间接的方式被非法识别获取。

点击下载《金融领域科技伦理指引》全文