引言:监管利剑出鞘,数据安全治理从“选择题”变为“必答题”
2025年底,国家金融监督管理总局办公厅一纸《关于开展金融机构数据安全管理能力提升专项行动的通知》(金办发〔2025〕93号),犹如一道惊雷,在金融行业数据安全领域划定了清晰的时间线与高压线。通知明确,2026年监管将围绕数据安全“发现一批、整改一批、通报一批、处罚一批!”,标志着金融数据安全监管已从定性的原则指导,全面转向定量的精细化考核与闭环问责。
此次专项行动并非空穴来风,其核心依据正是2024年底发布的《银行保险机构数据安全管理办法》(金规〔2024〕24号)。《办法》与《专项行动通知》共同构成了当前金融机构数据安全建设的“根本大法”与“行动指南”,设定了涵盖治理架构、数据分类分级、全生命周期管控、技术防护、个人信息保护及风险监测等六大维度、百余项具体考核指标。合规,已成为金融机构生存与发展的生命线。
核心解读:93号文与《办法》勾勒的六大维度、百余项考核指标全景图
本次专项行动的考核范围,深度融合了《银行保险机构数据安全管理办法》的核心要求,聚焦六大能力维度,下设百余项具体检查指标,构成了一个立体、严密的考核网络:
数据安全治理架构:核心是“责任到人”。要求建立覆盖党委(党组)、董事会、高管层至各业务条线的全层级责任体系,明确“谁管业务、谁管业务数据、谁管数据安全”,并设立专职归口管理部门。自查要点中明确要求检查是否设立数据安全管理委员会、明确第一与直接责任人。
数据分类分级管理:要求从“有制度”到“能运营”。不仅需要制定数据分类分级标准,更关键的是建立动态更新的数据资产目录,并根据核心、重要、一般(含敏感)不同级别,落地差异化的安全保护措施,且需建立动态调整审批机制。
数据全生命周期安全管理:覆盖内部管控与外部交互。从数据收集的“合法、正当、必要”,到加工处理时的脱敏、去标识化,再到外部合作、数据共享、数据出境的全链条合同与安全评估要求,强调建立闭环管理流程。
数据安全技术保护:强调纵深防御与精准防护。这是检查的重点与难点,要求技术措施必须覆盖数据全生命周期及多元技术环境(如数据湖、大数据平台)。特别强化对核心、重要、敏感数据的访问控制、传输存储加密、操作审计(日志保存不少于3年),以及对开发测试环境隔离脱敏、API接口安全、新技术(如AI)应用治理的要求。
个人信息保护:作为专项检查重点,监管紧盯“告知-同意”原则的实质落地。要求严格履行处理前告知义务,执行最小范围收集,对自动化决策等重大处理活动进行保护影响评估(报告保存至少3年),并严格规范个人信息出境与共享流程。
数据安全风险监测与处置:要求建立主动防御体系。将数据安全风险纳入全面风险管理,建立常态化的监测预警机制(覆盖内部异常访问、第三方泄露等九大类威胁),并制定专项应急预案,定期演练。事件报告时限极为严格,特别重大事件需立即报告。
现实挑战:金融机构在落实中普遍面临的“三重门”
面对如此系统、深入且紧迫的监管要求,金融机构在内部落地时普遍遭遇严峻挑战:
昂楷方案:体系化“自查-整改-提升”服务,赋能金融机构打赢合规攻坚战
昂楷科技深刻理解监管导向与机构痛点,基于服务众多金融机构的实践经验,推出体系化的 “金融机构数据安全管理能力提升”专项服务方案,以此帮助客户不仅通过检查,更构建长远的安全能力。
图 1 能力提升自查与整改服务框架
第一阶段:精准自查,全面“体检”
我们依据93号文附件自查要点,融合《办法》、相关国家标准及行业标准(如JR/T 0223、JR/T 0171等)进行深度解读,形成专属《数据安全管理自查表》。通过“文档查验、人员访谈、安全核查、技术测试”四位一体的方法,帮助机构系统性地完成信息调研与问题识别,产出清晰的《数据安全管理自查报告》与《问题清单》,精准定位合规差距,风险等级与整改优先级。
图 2 《数据安全管理自查报告》
第二阶段:科学整改,规划“路径”
针对发现的问题,我们从治理、管理、技术、人员等多维度进行根因分析与风险评估,协助机构制定《数据安全管理自查问题整改方案》与分阶段实施路线图。方案不仅聚焦具体问题点的修补,更注重帮助机构构建或优化四大核心体系:
图 3 数据安全治理体系框架
治理与制度体系:协助设计分层分级的制度框架(从总方针到操作指南),明确常态化工作机制。
数据分类分级运营体系:运用AI数据分类分级系统,提升资产梳理与定级准确性,并确保结果动态更新,为差异化防护奠定基础。
技术防护体系:对包括但不限于开发测试数据脱敏、API接口安全、供应链人员管控、敏感数据加密审计等典型场景,提供从管理制度到技术工具(静态/动态脱敏、数据库审计、防火墙、水印等)的闭环解决方案。
监测运营体系:通过数据安全运营驾驶舱,整合各类安全能力,实现资产态势可视化、风险联防联控,并协助建立周期性风险评估机制。
第三阶段:长效提升,夯实“能力”
我们的服务不止于整改。通过协助开展周期性风险评估、应急演练、全员培训、制度宣贯,我们将帮助机构将数据安全要求融入业务流程与文化,最终实现从“被动合规”到“主动防控”,从“项目化建设”到“常态化运营”的根本转变。
当前我们已为银行、证券、财务公司等众多金融机构提供专业服务,在数据分类分级、管理体系建设、风险评估、数据安全治理体系整体建设等核心场景积累了大量成熟落地案例,深刻理解并擅长将监管合规要求与业务实际场景深度融合,为客户提供安全、高效、可落地的数据安全治理解决方案。
结语
金管局93号文专项行动,是挑战,更是金融机构系统性夯实数据安全底座、化数据风险为竞争优势的战略机遇。面对百日攻坚,昂楷科技愿以深厚的行业认知、成熟的方法论与领先的技术产品,成为您最可靠的合作伙伴,共同筑牢金融数据安全防线,稳健迈向数字化未来。
