等保资讯

文 | 中国信息通信研究院云计算与大数据研究所 何阳 马聪 徐秀 武昱

金融业作为数字化转型的重点领域，正面临数据要素价值释放与安全治理的双重挑战。在数据安全法律制度体系不断完善的背景下，人工智能（AI）等新技术的深度应用既催生了新型数据安全风险，也推动了金融行业构建动态化、智能化的数据安全治理体系。这种技术演进与制度创新的协同发展，正持续强化着金融领域数据管理的规范性和有效性。

一、金融机构数据安全建设现状分析

金融数据已成为关乎金融稳定与国家经济安全核心战略资源，但随着数字化与业务创新纵深推进，金融机构数据安全风险呈交织叠加态势，监管部门持续强化处罚力度，行业合规压力与安全挑战同步攀升。

（一）金融领域数据安全风险隐患加剧

当前，数据安全风险已渗透金融业务全链条，安全隐患尤为突出。在个人用户侧，不法分子通过诱导过度授权、伪装公权机构诈骗等新手段套取支付信息，成为侵害用户财产权益的高频风险。在企业用户侧，征信授权弱验证易被破解、自建证书尚未达到国家密码算法标准要求、第三方服务商接入显著增加了风险暴露面。在此背景下，强化外包服务商合规管理已成为防范数据泄露的关键环节。与此同时，AI等新技术使匿名化处理难度加大，跨境数据流动中敏感信息泄露风险也随地缘政治博弈加剧而上升。此外，金融数据兼具私密与公共属性，传统架构与新系统兼容漏洞等进一步增加了安全管理难度。

2025年，金融行业罚单呈现频次高、覆盖广等特征，监管部门强化惩戒力度倒逼合规建设。同年，6家民营银行合计被罚超1140万元，上海某民营银行因生产环境数据管控不足等多次被罚，累计达780万元。10月以来，包含股份制银行地方分行、城市商业银行等8家不同类型银行，均因违反数据安全相关规定被罚，单张罚单达260余万元。此外，包括消费金融公司、小贷公司在内的机构也因信用信息管理违规遭处罚，超20家金融相关机构App因违规收集信息被通报。罚单不仅涉及机构，更追责至工作直接负责人，凸显监管“零容忍”态度。

（二）金融机构数据安全治理面临新挑战

随着数字化、智能化的持续深入，金融从业机构的数据安全面临来自内外部、管理与技术等多方面的复杂挑战，各类潜在威胁交织并存。

1. 内部数据安全管理体系亟待完善

金融机构在安全管理上的不足，进一步放大了技术缺陷和人为因素带来的风险。主要表现在以下方面：一是安全策略执行效能不足。突出表现为定期安全审计缺失、数据分类不明确（如未区分敏感数据与普通数据）、核心数据加密措施覆盖率不足（如客户证件影像未加密存储）等问题。二是应急响应机制薄弱。对数据泄露事件缺乏快速检测和处置能力，导致风险敞口持续扩大。三是保护目标模糊。由于数据分类分级标准缺失或执行偏差，敏感数据识别不准，致使安全防护资源错配，防护效果大打折扣。

2. 数据安全能力体系化布局不足

当前，多数金融机构已具备一定的数据安全能力，但整体上仍缺乏系统化布局。尽管不少金融机构已制定基本的数据安全管理制度，并部署了部分安全防护技术工具，各项能力之间尚未形成有机联动的体系化防护与管控机制。具体表现在以下方面：一是组织体系方面，数据安全组织依赖或复用已有的信息技术治理委员会，但随着信息技术的不断发展和变化，导致信息技术治理委员会需要决策的事项日益增多，职责泛化导致难以实现专事专责、重点决策，进而影响安全决策的及时性，可能拖累业务发展节奏。二是岗位与人员方面，数据安全岗位职责不够清晰，专职人员配备不足，且专业能力普遍有待提升，制约了安全制度的有效落地。三是技术防护方面，防护手段仍较多依赖单一的网络安全工具，缺乏覆盖数据全生命周期的多层次、联动式技术防护体系，整体防护手段健全性不足。

3. 数据安全的精细化建设不足

在金融业务场景持续精细化建设与运营过程中，现有数据安全机制在适配性、运行效能及系统化建构方面面临明显挑战，安全运营体系的动态化治理也难以有效落地。具体表现在以下方面：一是敏感数据识别难度大。金融数据类型多样且持续动态变化，不同业务场景下的数据敏感度界定标准不一，加之异构系统间的技术壁垒，导致敏感数据难以及时、准确识别。二是统一保护策略实施困难。金融业务场景众多，不同场景对数据安全的需求差异显著。例如，支付清算场景中数据呈现高频、实时流转的特性，保护重点在于保障数据传输过程的加密性与完整性，防止交易信息被窃取或篡改；而在信贷审批场景中，涉及客户财务状况、信用记录等核心敏感信息，则需建立严格的访问权限控制机制。三是全链路监测与风险评估能力不足。当前，对敏感数据访问行为的全程监测覆盖不完整，难以及时发现数据恶意泄露、违规使用等安全风险，在数据安全事件溯源与合规风险研判方面也存在短板。四是应急响应机制尚不健全。金融数据安全事件影响面广、危害性大，对事件的快速响应与处置能力提出了更高要求，目前相应的极速响应与恢复机制仍较为欠缺。

4. 新兴技术应用带来新的数据安全挑战

随着云计算、大数据、AI等新兴技术在金融机构持续深化与规模化应用，传统数据存储与传输边界被不断打破，数据流动的频率和范围显著提升，给安全管控带来更大难度。新技术与业务系统的深度融合，催生出接口调用、算法模型训练等复杂数据处理链路，使得传统安全防护体系难以实现全面覆盖。此外，部分机构存在技术应用与安全管理不同步的问题，数据脱敏、访问控制等防护措施滞后于技术迭代的速度。同时，新兴技术自身存在的漏洞风险，叠加外部攻击手段的升级，进一步增加了数据泄露、篡改等安全事件发生的可能性，给金融机构数据安全管理带来严峻考验。

二、金融机构数据安全建设要求解读

面对以上严峻形势，金融行业管理部门审时度势，陆续出台多份数据安全建设规范，为从业机构提供了明确的方向指引。

（一）上位法律框架持续完善，行业专项要求精准落地

我国数据安全法治体系日益健全，《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称“数据安全法”）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）构成的“三驾马车”，从国家层面确立了数据安全保护的基本原则、责任体系和惩戒机制，为金融行业数据安全管理提供了根本遵循。在此基础上，金融监管部门结合行业特性，逐步出台细化行政管理办法及配套标准规范，形成“上位法律+专项规制”的立体化监管格局（如表1所示）。

表1 部分金融业数据安全相关政策文件汇总

（二）国家与金融领域数据安全标准建设成效显著

在法律框架指引下，国家与金融领域数据安全标准建设同步推进，形成了“国家标准打底、行业标准细化、团体标准补充”的多层次标准体系。

在国家层面，《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）、《数据安全技术数据安全风险评估方法》（GB/T 45577-2025）等国家标准先后发布，明确了数据安全能力建设的通用要求和重要数据识别的统一方法，为金融机构数据安全工作奠定了标准化基准。

在金融行业层面，监管部门针对行业数据密集、风险传导性强等特点，组织制定了一系列专项标准规范。在数据分类分级方面，形成了适配银行、保险以及支付等细分领域的分级指南，如《金融数据安全数据安全分级指南》（JR/T 0197-2020）、《证券期货业数据安全风险防控数据分类分级指引》（GB/T 42775-2023）等标准，明确了核心数据（如大额交易数据、关键客户信息）、重要数据（如行业统计数据、信贷审批数据）的具体界定。在技术防护方面，出台了数据脱敏、访问控制、加密存储等关键技术的实施规范，要求与业务系统深度融合，如《金融数据安全数据生命周期安全规范》（JR/T 0223—2021）等文件。在合规管理方面，制定了数据安全评估、审计监督、应急处置的操作流程，确保标准可落地、可校验，如《金融数据安全数据安全评估规范》等文件。同时，金融行业协会积极发挥自律作用，推动团体标准建设，推广先进经验，形成了监管标准与自律标准协同发力的良好局面。

（三）金融机构数据安全能力体系建设紧迫性凸显

当前，多层次、多维度的法规标准体系已基本形成，但不同规制之间的衔接交叉，也对金融机构的合规管理提出了更高要求。一方面，上层法律与行业办法在责任划分、处罚标准等方面需要进一步衔接明确，跨境数据流动、金融科技等新兴业务场景的规则适用仍有待细化；另一方面，国家通用标准与行业专项标准的技术要求需要统筹落地，避免出现重复建设或合规缺口。在此背景下，金融机构亟须加快构建系统化、协同高效的数据安全能力体系，以应对日趋复杂的多方监管要求，实现合规与安全的有机统一。

三、金融机构数据安全能力体系建设思路

金融业监督管理部门高度重视数字化转型工作，持续从管理体系、业务能力、数据能力、科技能力、风险防范能力提升等方面提出深化转型的指导要求。基于现行法律法规、金融机构数据安全建设实际，并参考国际研究经验，信通院金融科技研究团队提出了“八维一体”的数据安全能力体系建设框架，即“定架构—明职责—强能力—建制度—增防护—强运营—守合规—AI赋能”，旨在帮助金融机构系统化解决当前建设中存在的“梳理不全面、大而同、华而不实、难落地”等痛点。

（一）定架构：重构数据安全治理组织架构

针对当前各类金融机构在数据安全治理组织架构方面存在的共性问题，建议构建“精致而简洁的数据安全治理组织”。该组织可由决策层、管理层、执行层和监督层四个层级构成，各层级职责清晰、衔接顺畅，并可适当引入业务人员共同参与数据安全治理任务，实现协同管理与责任分担。

（二）明职责：明确数据安全人员岗位职责

针对金融机构数据安全人员职责不明确、各部门协调不顺畅等问题（如表2所示），机构应结合决策层、监督层、技术部门、管理部门等不同层面的实际情况，明确各岗位职责与工作机制，落实人员与资源保障，从而降低因职责模糊带来的安全风险。

表2 金融机构数据安全人员现状

（三）强能力：强化各层级人员数据安全相关能力

金融机构应系统加强数据安全人员的专业能力建设，通过制定提升计划、广泛开展宣传教育、组织定期培训与知识竞赛、鼓励人员考取相关资格证书等措施，有效提升员工数据安全意识与专业能力。监管部门近期处罚数量与金额的增加，也从侧面反映出当前部分机构数据安全人员能力、意识及管理等方面仍存在提升空间。

（四）建制度：完善数据安全制度和实施细则

当前，多数金融机构已初步建立了数据安全管理制度，但制度覆盖尚不完整，未能有效贯穿数据全生命周期。特别是在数据共享、跨境传输、第三方外包等环节，仍存在明显的潜在风险。为此，建议金融机构应系统构建四层数据安全制度文件体系，即一级文件为总体方针与策略；二级文件为规范、程序与管理办法；三级文件为实施细则、操作手册与指南；四级文件为相关清单与职责分工表单。调研显示，超过90%的金融机构已建立了针对数据收集和使用阶段的安全管理制度，反映出在数据生命周期的早期阶段对数据安全管理的高度重视。然而，在数据委托处理、共同处理、跨境流动、公开披露、转移等环节，仅有约半数机构建立了相应的制度，表明这些环节的安全管理措施仍需进一步加强。

（五）增防护：建设数据安全技术防护体系

目前，近四成金融机构已建立内部数据安全技术防护体系，但行业整体仍普遍面临防护手段单一、创新能力不足、需求响应不够精准等问题。金融机构应一方面依托现有网络安全防护能力，强化对数据安全的基础技术防护；另一方面需积极扩展面向数据流动和数据资产的动态防护能力，围绕具体数据应用场景，构建覆盖全面、响应灵活的数据安全技术防护体系。

（六）强运营：构建数据安全运营体系

针对当前金融机构数据安全运营平台化程度不足、关键环节存在监控缺失等问题，亟须形成数据安全闭环运营体系。该体系建设路径包括：规划明确的数据安全运营目标与策略，构建安全运营指标体系，进行数据安全运营监测，实施绩效管理与持续改进。同时，应通过定义数据泄露率、漏洞修复率等量化指标，设定监测基线和阈值，建立异常响应流程，定期开展数据审计与分析，从而保障运营策略的持续优化与有效落地。

（七）守合规：开展数据安全各项合规评估

金融机构掌握大量个人及机构的敏感信息，一旦发生数据泄露，不仅会对投资者造成严重的经济损失，还可能引发市场波动，影响金融稳定。为此，人民银行、国家金融监管总局、证监会等监管部门对数据安全各项评估提出了明确要求，包括数据安全风险评估、个人信息保护影响评估、商用密码应用安全性评估等多个方面。重点金融机构应通过开展数据安全能力成熟度评估（DSMM），系统衡量自身数据安全能力建设水平，持续提升合规管理与风险防控能力。

（八）AI赋能：人工智能驱动的数据安全能力建设

当前，AI在金融领域的深化应用备受关注，其在数据安全能力建设方面可发挥重要作用。具体体现在以下方面：一是强化智能风险感知。依托智能算法，可对数据流转全链路进行实时监测，通过多维度特征分析识别异常访问、数据泄露等潜在风险，将预警响应时效从“事后处置”转向“事前预判”。二是实现自适应智能防护。针对不同级别数据自动匹配加密、脱敏策略，实现攻击行为的自动化拦截与应急处置。三是助力合规精准管控。运用AI技术，可辅助落实《数据安全法》《个人信息保护法》等法律要求，自动校验数据分类分级合规性，协助完成全生命周期安全审计，降低人工操作偏差。通过AI与数据安全的深度融合，助力安全体系从被动防御向主动防控升级。

四、金融机构深化数据安全能力建设策略建议

在构建数据安全能力体系的基础上，金融机构需进一步聚焦关键环节，持续深化数据安全工作的落实与完善。

一是持续开展数据安全场景化治理。针对银企直连、理财托管、监管报送、跨境传输等典型场景，通过统一交换、标签溯源和加密审计机制，金融机构实现跨系统数据共享的全程可控与可追溯，显著提升数据流通安全性与合规透明度。

二是切实推进数据分类分级管控统一。金融数据涵盖客户资金信息、交易记录、市场操作信息等多层级敏感内容，类型复杂且受严格监管，目前普遍存在分类分级标准不一、执行困难等问题。具体包括：历史系统元数据目录不完整，导致数据较难存储到数据库中；研报、录音与影像等非结构化数据难以自动识别；标签口径不一致影响跨部门共享与联合分析效率。

三是构建安全与可追溯协同机制。金融数据敏感性强、关联度高，需构建安全与可追溯的协同机制。该机制应覆盖数据采集、存储、使用、销毁的全生命周期，以安全防护筑牢底线，以追溯机制实现全程留痕与责任可究。二者结合既能精准满足监管要求，又有助于提升风险预判与处置能力，为金融数据安全合规与风险可控提供核心支撑。

四是强化非结构化数据等“监管灰区”治理。非结构化数据广泛分布于业务系统、终端与外包平台中，目前普遍缺乏集中治理与分级保护。建议通过建设统一采集平台、部署智能识别分级和防篡改归档机制，实现非结构化数据“可识别、可管控、可追溯”的全周期治理，从而显著提升此类敏感数据的安全管理水平与合规保障能力。

（本文刊登于《中国信息安全》杂志2025年第12期）