近日,国家金融监督管理总局办公厅颁发了《关于开展金融机构数据安全管理能力提升专项行动的通知》(金办发〔2025〕93 号)并召开专项部署会议。会议中,刘司长明确指出,2026年数据安全工作将按照“发现一批、整改一批、通报一批、处罚一批”的总体要求推进。
此次专项行动以能力验证为抓手,旨在推动《银行保险机构数据安全管理办法》的落地实施,全面提升金融机构的数据安全治理能力。
要点解读
01 构建数据安全全流程的主体责任机制
金融机构应高度重视数据安全工作,有效落实数据安全工作的一把手责任制;
金融机构高管层、数据安全工作统筹部门应与各专业委员会、风险合规、技术、审计、业务等相关部门密切配合,共同推进数据安全管理。
02 多维度精细化建立数据安全技术体系
金融机构需按照敏感数据、核心数据、重要数据及其他数据进行分类分级管理,明确各级别数据的安全管理要求与保护策略;
明确数据安全技术体系相关要求,涵盖访问控制、传输、系统保护等技术落实要点,推动数据安全技术能力在机构内全面落地;
完善数据流转过程中的技术管控,强调对超范围授权、异常访问、数据异常流动、第三方合作风险等场景的全面监测和防控。
03 强化个人信息风险防控能力
明确个人信息处理规则与边界,落实风险评估与事件上报制度。
落实建议
01 压实数据安全主体责任
压实数据安全责任体系,严格落实第一责任人、直接责任人制度,细化各部门岗位职责。以“谁管业务,谁管业务数据,谁管数据安全”为核心原则,指定能够覆盖各业务条线的数据安全工作牵头部门,建立健全追责机制,构建横向到边,纵向到底的数据安全责任网络。
02 细化数据分类分级管理
全面梳理金融机构内客户数据、业务数据、经营管理数据等各类数据资源,形成资产地图。细化数据定级规则,准确划分核心数据、重要数据、一般数据(含敏感数据)等级,开展覆盖存量、增量数据的数据分类分级工作,针对不同级别数据制定差异化保护措施,建立建立数据安全级别动态调整审批机制,确保分类分级管理精准有效。
03 完善数据生命周期全流程技术管控
针对数据收集、存储、使用、加工、传输、共享、销毁等全生命周期各环节的业务场景,制定数据采集、数据资产、大数据场景、共享、第三方合作等关键场景的管理要求与操作规范并选择性部署技术工具。同步强化信息系统生命周期安全管理,确保数据安全保护措施在系统开发、测试、投产等各阶段无缝衔接,最终推动数据安全技术能力在金融机构内部的全面落地。
04 增强数据安全风险监测与处置能力
聚焦超范围授权或者使用系统特权账号;内部人员异常访问、使用数据、对数据集中共享的系统或者平台的网络安全、数据安全威胁;感级及以上数据在不同区域的异常流动、移动存储介质的异常使用;外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改;客户有关数据安全的投诉;数据泄露、仿冒欺诈等负面舆情等风险场景,建立健全监测与管控基线,推动数据流转的全流程监测与精细化管控。
05 建立健全人工智能安全保护机制
参考国家《人工智能安全开发指导意见》等指导性文件,建立人工智能管理机制,明确人工智能安全的归口管理部门,形成贯穿人工智能数据采集、模型开发、不属于凝、迭代优化全流程的安全管控机制,防范数据泄露、算法偏见、模型攻击、伦理风险等安全隐患,切实保障金融业务的稳健运行与客户的合法权益。
06 数据安全事件应急处置
重点围绕客户个人信息泄露、篡改、滥用等高风险场景,制定针对性的应急处置预案,明确事件分级标准、影响评估流程、分级响应措施以及信息主体告知规范,并定期开展应急演练,以强化事件发生后的快速溯源、风险研判和有效处置能力。一旦发生个人信息安全事件,须立即启动应急预案,采取必要补救措施,并及时向监管部门报告,同时向受影响的个人如实告知事件详情。对于因合作机构引发的数据泄露,应通过合同协议等方式明确双方责任与义务,确保权责清晰,并在第一时间向监管部门上报相关情况。
声明:本文来自数智安全行动计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
