商业银行数据脱敏管理办法(2023年版)

总则为落实银行（以下简称我行）敏感数据保护工作的各项要求，保障信息系统中敏感数据信息（以下简称敏感数据）在业务、开发、测试、演练、培训、审计等用途中的保密性和可用性，规范总行各部门、各直属单位及各一级分行在数据脱敏过程中的职责，特制定本办法。本办法涉及人员包括数据的使用人员、管理人员以及数据相关系统的开发测试人员、运维人员、数据分析人员和管理人员。我行敏感数据包括但不限于：客户身份认证信息（密码、令牌等）、客户信息、密钥、交易信息、重要业务参数等。其中，敏感数据的定义可参见信息系统敏感信息分类分级保护管理办法。术语定义：数据脱敏是指将一组数据中的特定敏感数据通过恰当的数据屏蔽算法（如随机化、模糊化、置空、变换、替换、保持数据间关联关系的屏蔽、标记化或其他特殊规则）予以转换，使其在满足开发、测试或其他业务需求的同时，对其中的敏感数据予以消除。本办法适用于总行各部门、各直属单位及一级分行。组织和职责总行信息科技部在数据脱敏过程中的主要职责包括：负责制定数据脱敏管理办法。统筹制定数据脱敏原则和要求，明确数据脱敏的工作流程。组织相关部门研究数据脱敏技术手段，统筹负责数据脱敏工具的引进。统筹和组织全行数据脱敏执行情况的监督和检查工作。总行数据中心在数据脱敏过程中的主要职责包括：负责制定生产数据的密码、密钥脱敏策略。配合总行软件研发中心、业务部门确认数据脱敏技术规则。提取生产数据后，执行生产数据的密码、密钥脱敏操作。总行软件研发中心在数据脱敏过程中的主要职责包括：根据业务部门反馈结果制定敏感数据的脱敏技术规则。负责脱敏环境的搭建和维护。执行生产数据的脱敏操作。负责验证脱敏操作结果是否符合脱敏要求。负责脱敏后生产数据的发布工作。总行各部门及各直属单位在数据脱敏过程中的主要职责包括：提出生产数据的脱敏处理要求。协助总行软件研发中心确认生产数据脱敏技术规则。制定本单位内部敏感数据的脱敏策略和要求。一级分行信息科技部门在数据脱敏过程中的主要职责包括：根据总行制定的数据脱敏要求，制定本部门数据脱敏实施细则并加以实施。开展本部门范围内数据脱敏的监督和检查工作。配合总行信息科技部开展全行数据脱敏执行情况的检查工作。脱敏原则和要求数据脱敏应遵循以下原则：全面脱敏原则：原则上所有用于业务、开发、测试、演练、培训、审计等用途的敏感数据，均需要经过脱敏处理。由于特殊原因，必须使用敏感数据时，应满足以下要求：采取严格的控制措施保障敏感数据在使用环境中的安全性。数据使用完成后，应彻底删除敏感数据。应保留对数据使用的日志记录，以便于日常检查与审计。数据脱敏范围应涵盖生产数据和非生产数据，总行部门以及各分支机构应制定本部门数据脱敏细则加以实施。策略统一原则：应采用行内统一的脱敏策略和工具对敏感数据进行脱敏。不可逆原则：脱敏算法应为不可逆算法，即从脱敏后的数据无法推算出原始数据。必须知道和最小授权原则：在敏感数据脱敏前，应严格控制对其的访问权限，仅在工作需要范围内，授予最小访问权限。可审计原则：应对敏感数据的使用、脱敏的实施、数据的清理等关键环节进行完整记录，以便于日常检查与审计。脱敏后的数据应不影响其在业务、开发、测试、演练、培训、审计等场景下的正常使用。在不影响数据使用的前提下，脱敏后的数据应不能识别客户的身份信息（通常是指客户自身的属性信息，包括户名、证件类型及号码、联系方式等）。在不影响数据使用的前提下，脱敏后的数据应无法将相关交易信息、财务信息与具体客户的标识（通常是银行赋予的客户唯一标识信息，如账号、卡号、支付凭证号等）建立关联。脱敏后的敏感信息需保证不可逆。脱敏算法可以包括但不限于：清空：指清空敏感信息字段。屏蔽：指用固定值填充敏感信息字段，如“******”。随机：针对数字字段，用随机数代替原有数字。替换：指经过一定的处理逻辑替换掉敏感信息字段。删除：指直接删除敏感信息字段。组合：对需脱敏字段各个部分分别脱敏，再合成为一个新的字段。敏感数据脱敏工作流程数据脱敏的实施：总行数据中心应由专人根据数据使用申请提取相关的生产数据，数据中心负责执行生产数据的首次脱敏，并将预处理后的数据以安全地方式交付给总行软件研发中心。总行软件研发中心负责搭建生产数据二次脱敏环境，脱敏环境应保持独立性，并为其设置独立网段做脱敏处理。总行软件研发中心根据业务部门所提出的脱敏需求，执行二次脱敏操作。由总行软件研发中心指定人员负责在脱敏环境中对生产数据进行脱敏，应对能够访问脱敏环境的人员进行严格管理，保证“必要且最小授权”的原则。由脱敏操作人填写敏感数据脱敏操作的具体步骤。脱敏后数据的发布：总行软件研发中心负责将脱敏后的生产数据放置到指定路径下，并给数据使用者配置合理的访问权限。当需要使用介质向数据使用者提供数据时，应确保介质传递的安全，由专人负责介质传递，并保证该过程可审计，包括但不限于：记录、交接等环节。数据使用与清理：数据使用者负责保障敏感数据的安全使用以及安全管理。数据使用完毕后，数据使用者负责销毁数据，并对销毁过程进行记录，以便于日常检查与审计。监督检查由总行信息科技部统筹和组织总行信息科技部门对全行数据脱敏情况进行检查，各相关部门及分支机构应配合对检查过程中发现的问题进行及时整改。任何单位和个人发现违规进行敏感数据脱敏