中国民生银行数据删除与数据销毁政策要点

一、指导原则
　　为最大限度降低合规与声誉风险，守护客户资产与股东价值，中国民生银行依据相关国家法律法规、监管规定、行业标准及本行内部制度，制定了《中国民生银行数据删除与数据销毁实施细则》（民银办发〔2025〕821号）, 系统性的规范全行数据删除和数据销毁工作，明确了数据删除与销毁的职责分工、流程与执行要求，落实国家和行业监管对数据删除与数据销毁的要求，防范数据泄露、滥用等风险，保障数据安全和保护客户隐私。
二、数据删除
　　1.数据删除场景（对应细则第十一条）
　　细则规定，在以下情形中，本行将对数据进行删除，确保其不可检索、不可访问：数据保存期限届满；数据处理目的已经实现、无法实现或为实现处理目的不再必要；数据主体撤回同意或主动提出删除请求；以及涉及委托处理、共同处理或共享数据的第三方合作终止时，第三方应按要求删除相关数据。因国家及行业主管部门另有规定允许或要求保留数据的，将按相关要求执行。
　　2.数据删除流程和要求（对应细则第十三条、十四条、十五条、十六条、十七条）
　　本行建立了覆盖识别、评估、执行、验证与记录的完整数据删除流程，防范因数据滞留引发的合规与声誉风险。首先，业务主管部门负责识别本业务领域的数据删除需求，明确删除原因、范围和时限要求，并与科技和数据部门共同开展评估，填写《数据删除评估表》。评估通过后，科技和数据部门制定安全可行的技术方案并组织执行，确保删除操作不影响业务运行及其他数据的完整性与一致性；执行完成后，技术团队从技术层面验证数据已实现不可检索、不可访问，业务主管部门则从业务角度验证删除未对正常运营造成影响。对于技术上难以彻底删除的数据，本行将停止除存储和必要安全保护之外的数据处理活动，并定期进行审查，确保相关数据不可被使用。
　　在涉及委托处理数据等第三方合作的场景中，本行在合同中约定：合作解除时，第三方应按本行要求及时删除数据，不再以任何方式保存从本行获取的数据及相关衍生数据（国家及行业主管部门另有规定或取得数据主体单独授权的除外）；合作结束时，本行会采取检查等监督措施，确保在约定时间内完成删除且不可恢复，避免因延迟删除造成的数据泄露风险。
　　3.数据销毁（对应细则第十八条）
　　在以下场景中，本行将对数据实施销毁，确保数据被完全清除且不可复原：存储介质的存储空间被释放并重新分配；存储介质发生损坏或进入报废阶段；存储介质被重用或离开本行控制范围。因国家及行业主管部门另有规定允许或要求保留数据的，将按相关要求执行。
　　4.数据销毁流程和要求（对应细则第十九条、二十条、二十一条、二十二条、二十三条）
　　本行数据销毁工作遵循“识别需求—执行操作—验证效果—留存记录”的闭环流程。科技部门会先识别本机构需销毁的数据，明确销毁原因、范围与时限，然后选择自行销毁、委托具备国家认定资质的服务商销毁，或送交当地保密局执行。委托服务商时，全过程需录像并由专人现场监督，以确保操作符合安全与保密要求。销毁完成后，本行会对销毁效果进行抽样认定，确保数据不可复原。销毁操作会建立台账，记录销毁日期、内容、方式、审批人、执行人及复核人等信息，其中核心数据的销毁记录至少保存三年，重要数据、敏感数据及一般数据的记录至少保存一年。全流程闭环管控，确保销毁操作合规有效、可追溯。
三、管理机制
　　1.职责分工（对应细则第八条）
　　本行按照“谁管业务、谁管业务数据、谁管数据安全”的原则，由各业务条线作为所辖业务领域数据删除管理的责任主体，负责识别删除需求、进行业务确认并更新删除台账，科技和数据部门负责技术评估、方案制定及执行工作。科技部门同时作为数据销毁的管理主体，承担落实销毁要求与流程、建立并持续更新销毁台账的职责。信息科技部作为归口管理部门，负责组织制定相关制度与流程、指导并监督各机构执行、开展检查与考核评价工作，形成“业务执行—科技支撑—监督落实”的责任闭环。
　　2.监督与考核（对应细则第二十四条）
　　信息科技部会定期对全行数据删除与数据销毁的执行情况进行检查，并依据检查结果为各机构开展考核评价，推动管理工作持续优化。