引言:監管利劍出鞘,數據安全治理從“選擇題”變為“必答題”
2025年底,國家金融監督管理總局辦公廳一紙《關于開展金融機構數據安全管理能力提升專項行動的通知》(金辦發〔2025〕93號),猶如一道驚雷,在金融行業數據安全領域劃定了清晰的時間線與高壓線。通知明確,2026年監管將圍繞數據安全“發現一批、整改一批、通報一批、處罰一批!”,標志著金融數據安全監管已從定性的原則指導,全面轉向定量的精細化考核與閉環問責。
此次專項行動并非空穴來風,其核心依據正是2024年底發布的《銀行保險機構數據安全管理辦法》(金規〔2024〕24號)。《辦法》與《專項行動通知》共同構成了當前金融機構數據安全建設的“根本大法”與“行動指南”,設定了涵蓋治理架構、數據分類分級、全生命周期管控、技術防護、個人信息保護及風險監測等六大維度、百余項具體考核指標。合規,已成為金融機構生存與發展的生命線。
核心解讀:93號文與《辦法》勾勒的六大維度、百余項考核指標全景圖
本次專項行動的考核范圍,深度融合了《銀行保險機構數據安全管理辦法》的核心要求,聚焦六大能力維度,下設百余項具體檢查指標,構成了一個立體、嚴密的考核網絡:
數據安全治理架構:核心是“責任到人”。要求建立覆蓋黨委(黨組)、董事會、高管層至各業務條線的全層級責任體系,明確“誰管業務、誰管業務數據、誰管數據安全”,并設立專職歸口管理部門。自查要點中明確要求檢查是否設立數據安全管理委員會、明確第一與直接責任人。
數據分類分級管理:要求從“有制度”到“能運營”。不僅需要制定數據分類分級標準,更關鍵的是建立動態更新的數據資產目錄,并根據核心、重要、一般(含敏感)不同級別,落地差異化的安全保護措施,且需建立動態調整審批機制。
數據全生命周期安全管理:覆蓋內部管控與外部交互。從數據收集的“合法、正當、必要”,到加工處理時的脫敏、去標識化,再到外部合作、數據共享、數據出境的全鏈條合同與安全評估要求,強調建立閉環管理流程。
數據安全技術保護:強調縱深防御與精準防護。這是檢查的重點與難點,要求技術措施必須覆蓋數據全生命周期及多元技術環境(如數據湖、大數據平臺)。特別強化對核心、重要、敏感數據的訪問控制、傳輸存儲加密、操作審計(日志保存不少于3年),以及對開發測試環境隔離脫敏、API接口安全、新技術(如AI)應用治理的要求。
個人信息保護:作為專項檢查重點,監管緊盯“告知-同意”原則的實質落地。要求嚴格履行處理前告知義務,執行最小范圍收集,對自動化決策等重大處理活動進行保護影響評估(報告保存至少3年),并嚴格規范個人信息出境與共享流程。
數據安全風險監測與處置:要求建立主動防御體系。將數據安全風險納入全面風險管理,建立常態化的監測預警機制(覆蓋內部異常訪問、第三方泄露等九大類威脅),并制定專項應急預案,定期演練。事件報告時限極為嚴格,特別重大事件需立即報告。
現實挑戰:金融機構在落實中普遍面臨的“三重門”
面對如此系統、深入且緊迫的監管要求,金融機構在內部落地時普遍遭遇嚴峻挑戰:
昂楷方案:體系化“自查-整改-提升”服務,賦能金融機構打贏合規攻堅戰
昂楷科技深刻理解監管導向與機構痛點,基于服務眾多金融機構的實踐經驗,推出體系化的 “金融機構數據安全管理能力提升”專項服務方案,以此幫助客戶不僅通過檢查,更構建長遠的安全能力。
圖 1 能力提升自查與整改服務框架
第一階段:精準自查,全面“體檢”
我們依據93號文附件自查要點,融合《辦法》、相關國家標準及行業標準(如JR/T 0223、JR/T 0171等)進行深度解讀,形成專屬《數據安全管理自查表》。通過“文檔查驗、人員訪談、安全核查、技術測試”四位一體的方法,幫助機構系統性地完成信息調研與問題識別,產出清晰的《數據安全管理自查報告》與《問題清單》,精準定位合規差距,風險等級與整改優先級。
圖 2 《數據安全管理自查報告》
第二階段:科學整改,規劃“路徑”
針對發現的問題,我們從治理、管理、技術、人員等多維度進行根因分析與風險評估,協助機構制定《數據安全管理自查問題整改方案》與分階段實施路線圖。方案不僅聚焦具體問題點的修補,更注重幫助機構構建或優化四大核心體系:
圖 3 數據安全治理體系框架
治理與制度體系:協助設計分層分級的制度框架(從總方針到操作指南),明確常態化工作機制。
數據分類分級運營體系:運用AI數據分類分級系統,提升資產梳理與定級準確性,并確保結果動態更新,為差異化防護奠定基礎。
技術防護體系:對包括但不限于開發測試數據脫敏、API接口安全、供應鏈人員管控、敏感數據加密審計等典型場景,提供從管理制度到技術工具(靜態/動態脫敏、數據庫審計、防火墻、水印等)的閉環解決方案。
監測運營體系:通過數據安全運營駕駛艙,整合各類安全能力,實現資產態勢可視化、風險聯防聯控,并協助建立周期性風險評估機制。
第三階段:長效提升,夯實“能力”
我們的服務不止于整改。通過協助開展周期性風險評估、應急演練、全員培訓、制度宣貫,我們將幫助機構將數據安全要求融入業務流程與文化,最終實現從“被動合規”到“主動防控”,從“項目化建設”到“常態化運營”的根本轉變。
當前我們已為銀行、證券、財務公司等眾多金融機構提供專業服務,在數據分類分級、管理體系建設、風險評估、數據安全治理體系整體建設等核心場景積累了大量成熟落地案例,深刻理解并擅長將監管合規要求與業務實際場景深度融合,為客戶提供安全、高效、可落地的數據安全治理解決方案。
結語
金管局93號文專項行動,是挑戰,更是金融機構系統性夯實數據安全底座、化數據風險為競爭優勢的戰略機遇。面對百日攻堅,昂楷科技愿以深厚的行業認知、成熟的方法論與領先的技術產品,成為您最可靠的合作伙伴,共同筑牢金融數據安全防線,穩健邁向數字化未來。
