为规范数字资产交易平台数据安全管理,保护用户个人信息及交易数据安全,维护用户合法权益,制定本办法。本办法适用于币安、欧易、火币等交易平台的数据收集、存储、使用、加工、传输、提供、公开及删除等全生命周期安全管理。
本办法涵盖交易平台在提供服务的全过程中处理的所有数据,包括用户完成交易所注册、软件下载、交易执行及客户服务各环节产生的数据。
重要数据:指一旦泄露可能直接影响国家安全、经济运行、社会稳定、公共健康和安全的数据,包括交易统计数据、大额交易信息、关键系统配置等。
个人信息:指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
用户数据:用户注册信息、身份认证信息、账户信息、交易记录; 业务数据:行情数据、订单数据、清算数据、资金流水; 系统数据:系统日志、配置信息、操作记录、安全审计数据; 管理数据:员工信息、财务数据、合规报告、战略规划。
一级(公开):已公开的行情信息、公告信息等; 二级(内部):一般业务数据、脱敏后的统计数据; 三级(敏感):用户个人信息、详细交易记录、资产信息; 四级(核心):系统密钥、核心算法、未公开的重大事项。
三级及以上数据:加密存储、访问审批、操作审计、脱敏展示; 四级数据:物理隔离、多人授权、全程监控、最小知情。
收集数据应具有明确、合理的目的,不得过度收集。用户完成币安交易所注册、欧易交易所注册或火币交易所注册时,平台应明确告知收集信息的种类、目的及使用方式,征得用户同意。
收集的个人信息应限于实现处理目的的最小范围,不得收集与提供服务无关的个人信息。
加密存储:敏感数据采用国密或国际通用算法加密; 访问控制:基于角色和属性的细粒度访问控制; 备份恢复:定期备份,异地存放,恢复演练; 存储介质:核心数据使用专用存储设备,物理安全管控。
交易记录:自交易完成之日起不少于五年; 日志数据:自生成之日起不少于六个月; 用户注销后:个人信息保存期限不超过实现处理目的所必要的最短时间。
数据内部使用应遵循授权审批原则,建立数据使用登记制度,记录使用人、使用目的、使用范围及使用时间。
进行用户画像、风险评估等数据分析时,应使用脱敏或匿名化数据,避免直接识别特定个人。
利用个人信息进行自动化决策,包括算法推荐、信用评估等,应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
加密传输:使用TLS 1.3及以上版本,保障传输通道安全; 完整性校验:防止数据在传输过程中被篡改; 身份认证:双向认证,确保通信双方身份真实。
用户进行交易所下载及后续数据传输时,平台应确保传输通道安全,防止中间人攻击。
向境外提供数据的,应进行安全评估,符合法律法规要求,保障境外接收方达到同等安全保护水平。
向第三方提供数据,应征得用户单独同意,签订数据处理协议,明确双方权利义务,监督第三方履行安全保护责任。
公开数据应进行脱敏处理,不得公开用户个人信息及敏感业务数据。公开重要数据应进行安全评估。
配合监管部门、司法机关依法调取数据的,应严格审核调取手续,留存调取记录,确保数据使用合法合规。
用户有权要求删除其个人信息,平台应在核实身份后及时响应,法律法规另有规定的除外。
交易平台应制定数据安全事件应急预案,明确事件分级、响应流程、处置措施及报告要求。
发生数据安全事件的,应立即启动应急响应,按照规定向监管部门报告,通知受影响用户,采取补救措施。
事件处置完毕后,应进行根因分析,评估影响,完善安全措施,防止类似事件再次发生。
交易平台应定期开展数据安全审计,评估数据安全管理制度执行情况,发现问题及时整改。
违反本办法规定,导致数据泄露、篡改、丢失的,应承担相应法律责任,包括行政处罚、民事赔偿及刑事责任。
币安、欧易、火币等交易平台应切实履行数据安全保护义务,建立健全数据安全管理体系,保障用户数据安全,维护用户合法权益,促进行业健康可持续发展。返回搜狐,查看更多
