1.银行保险数据安全挑战加大

数字经济的不断发展，催生出海量数据。据国际数据公司IDC预测，2025年全球数据量将高达175ZB，其中中国数据量预计将达48.6ZB，占比27.8%。数据量的爆炸式增长，使其与银行保险业务深度耦合，银行保险数据保护的广度、深度和难度与日俱增，对合规与监管带来了极大挑战。

2024年5月国家金融监督管理总局发布《关于银行业保险业做好金融“五篇大文章”的指导意见》，银行保险业要把握机遇、重视安全，提高金融服务便利性和竞争力；加强数据安全等风险管理，防范新技术应用带来的风险。

2.银行保险数据安全复杂性加深

由于“科技赋能金融”的金融科技发展迅速，不论新技术还是新场景都催生出新的安全风险。区块链、人工智能等新兴技术在金融科技领域的快速应用及内嵌新兴技术的创新应用场景增大了数据安全风险的识别难度，对银行保险机构数据保护提出更高要求。

此外，银行保险机构数据安全概念范畴广泛，既有私密性又有公共性，例如个人金融信息带有私密属性；相较而言，银行保险机构监管过程中收集的数据又具有公共属性。因此，银行保险数据特有的多重概念属性增大了银行保险数据安全管理的复杂度。

3.银行保险数据安全危害程度提升

从业务的形态、逻辑和内涵审视，当下银行保险业务具有交错关联、复杂深厚的特性，各类数据在业务内外部交互多、交互过程复杂，数据流转的管控难度增大。因此，银行保险业务的融合创新客观上可能提升银行保险数据安全风险的危害程度。

综上，银行保险数据生命周期链条串起的数据流转节点上，每一位个体、每一家银行保险机构、每一个监管实体既是数字金融的受益者，也是应对挑战的参战方和金融风险的责任人。随着数字化转型的推进，如何筑牢数据安全屏障是银行保险机构必须面对的紧迫课题。

4.银行保险数据安全管理现存问题

结合我们了解的近期监管机构开展数据现场检查要点及检查意见，银行保险机构在数据安全合规中普遍存在以下问题：

（一）数据安全管理意识淡薄

部分银行保险机构对数据安全与合规管理的重要性认识不足，缺乏从战略高度谋划和部署数据安全管理的意识，导致缺乏主动性和积极性，难以有效落实各项要求。

（二）数据安全管理制度不完善

部分银行保险机构未充分发挥合规、审计的二、三道防线作用，未建立健全完善的数据管理制度，对不同类别数据收集、存储、使用、传输等不同处理环节均缺乏针对性规范。即使制定相关制度也存在执行不力、流于形式的问题，难以对数据全生命周期进行有效监督。

（三）数据安全技术保障不足

部分机构在数据安全技术投入方面相对滞后，缺乏先进的加密、存储、备份、访问控制等技术手段，难以有效抵御外部攻击和防范内部数据泄露。

（四）数据安全人员责任落实不足

数据安全管理需要具备专业知识和技能的人员来执行并承担相应责任。然而部分机构未吃透“规范精神”，未将数据安全责任压实到具体业务部门及人员，机构内部相应管理委员会职责落实不到位，未明确各部门层级负责人对数据安全应负责任，导致数据安全问题缺乏科学的管理体系和严格的问责体系。

1．数据定位为生产要素

国家对数据在我国经济社会发展中的作用和意义有着高瞻远瞩的认识。早在2017年12月中共中央政治局就实施国家大数据战略进行的第二次集体学习中首次提出“构建以数据为关键要素的数字经济。”2020年4月印发的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》首次将数据定义成为同土地、劳动力、资本和技术同等重要的五大生产要素。

2．数据安全顶层法律设计

《中华人民共和国数据安全法》（以下简称《数据安全法》）《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》相继发布，共同构筑成我国整体数据保护体系顶层设计，成为我国数据安全领域立法的“三驾马车”。

3．银行保险数据安全监管要求

在国家总体部署下，金融监管部门对金融数据保护守土有责。为此，央行、金监总局等先后出台系列银行保险机构数据安全相关规章、规范性文件及行业标准，加强银行保险机构数据保护制度建设。

2016年11月中国保监会发布《再保险数据交换规范（JR/T0036－2016）》。2018年5月银保监会发布《银行业金融机构数据治理指引》。2020年至2021年间央行陆续发布《个人金融信息保护技术规范》（以下简称《个金技术规范》）《金融数据安全 数据分级指南》（以下简称《金融数据分级指南》）《多方安全计算金融应用规范》《金融业数据能力建设指引》及《金融数据安全 数据生命周期安全规范》（以下简称《周期安全规范》）多部技术标准。2024年9月国务院发布《网络数据安全管理条例》。2024年11月央行等七部门联合印发《推动数字金融高质量发展行动方案》。2024年12月金监总局发布《银行保险机构数据安全管理办法》（以下简称《数据安全办法》），全面规范银行保险业数据处理活动，细化数据安全管理要求。

监管日渐趋严的环境下，有必要结合最新出台《数据安全办法》梳理金融数据安全管理要求，为管理、维护、使用金融数据的银行保险机构推出符合当前立法、监管要求和应用实际的数据合规策略。

1.银行保险机构数据安全责任制

《数据安全办法》第二章为数据安全治理，强调银行保险机构作为数据安全责任主体，需建立健全数据安全治理体系。第十条明确银行保险机构落实数据安全责任制，党委（党组）、董（理）事会对数据安全工作承担主体责任。主要负责人是数据安全第一责任人，分管数据安全的高级管理层是直接责任人，以此明确各层次负责人在数据安全管理中的责任。

这一规定确立“业务”、“业务数据”、“数据安全”管理责任一致的原则，强调业务条线对其数据处理活动应负责任，旨在从组织架构层面确保数据安全管理责任的有效落实，避免因职责不清导致的管理漏洞。

2.银行保险机构数据分类分级

分类分级是数据安全管理的基础。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出加快数字化发展，强调完善数据分类分级保护制度。《数据安全法》第21条明确规定“国家建立数据分类分级保护制度”，根据数据在经济社会发展中的重要程度以及遭到侵害后的危害程度，对数据实行分类分级保护。可见数据分类分级保护已上升为立法要求，从强调重点管理提升为体系化管理。

《数据安全办法》从双重维度明确了数据安全分类分级管理要求。第十七条明确对机构业务及经营管理过程中获取、产生的数据，按照客户数据、业务数据、经营管理数据、系统运行和安全管理数据等类型管理。第十八条明确根据覆盖度（数据对领域、群体、区域的覆盖度）和影响程度（对国家安全、经济运行、社会稳定、公共利益的影响程度）双重维度，将数据分为核心数据、重要数据、一般数据（细分为敏感数据、其他一般数据）。建立数据目录并规范管理，对不同类别、级别数据采取差异化的安全保护措施，动态管理数据目录。

基于对数据资产的整体盘点，银行保险机构可以先将数据分类，在此过程中科学准确地把握信息类别与信息量；再根据信息主体或服务场景的不同再进行二级子类、三级子类下的细分（如作为一级子类的业务数据可再细分为账户信息、法定数字货币钱包信息、合约协议、金融监管和服务、交易信息等二级子类）。对此，业内已有一些机构可以协助进行云上自动化、日常性数据分类，建议银行保险机构优化自身已有数据管理系统、整理金融数据类别。

梳理分类数据资产的基础上，银行保险机构应在明确颗粒度及关键要素后进行数据定级。横向比较《数据安全办法》《数据分类分级指引》《金融数据分级指南》与《个金技术规范》，在数据分级上具有如下对应关系。

银行保险机构有必要制定数据分级的“内部判定表”。考虑到之后细化数据安全保护流程，我们建议该表以《数据安全办法》《金融数据分级指南》的数据定级为主要参考，此外还要考虑《数据分类分级指引》《个金技术规范》的特殊要求。例如对银行业金融机构而言，业务过程中收集的生物识别信息、特定身份信息（身份证、社保卡等）、身份鉴别信息（登录密码、交易密码、银行卡有效期等）都属于个人敏感信息，定级时不应低于4级（C3级）。

在搭建好数据分类分级框架并备好数据分类分级清单后，由于数据类别、级别可能因时间、政策、业务场景的敏感性变化而发生改变，需要对金融数据分类分级进行定期审核并动态调整。

3.银行保险机构数据生命周期保护

数据分类分级的终极意义在于实现数据安全保护。基于《数据安全办法》《金融数据分级指南》《周期安全规范》通过规定金融数据生命周期安全原则、防护要求、组织保障要求及信息系统运维保障要求，搭建覆盖数据全生命周期的安全保护框架。

(1)搭建银行保险业数据生命周期保护框架

首先，应当理解“数据生命周期”的概念。根据《数据安全办法》第三条，数据生命周期是指银行保险机构在开展业务和经营管理的过程中，对数据进行收集、存储、使用、加工、传输、提供、共享、转移、公开、删除及销毁的所有环节。

其次，银行保险机构应根据《数据安全办法》第四章规定，在上述环节中细化数据安全保护要求，将其作为数据生命周期安全框架的核心。

(2)理解银行保险业数据安全保护技术要求

《办法》第五章规定银行保险机构采取数据安全技术保护的具体措施要求。第三十九条至第四十一条规定银行保险机构应建立数据安全技术保护体系，明确数据保护策略方法，建立数据安全技术架构，将数据安全保护纳入信息系统开发生命周期框架，将数据纳入网络安全等级保护。

针对敏感级及以上数据，第四十二条至第四十六条规定应纳入信息系统保护，采取用户认证、访问控制等技术措施安全管理其存储、使用、传输及销毁环节；对于敏感级及以上数据的操作，明确通过日志留痕的最低期限要求及最低审计周期要求。

第四十七条至第五十三条规定了银行保险机构应当采取的其他数据安全保护措施，包括数据安全技术基础设施建设，大数据平台数据重点保护措施，应用人工智能开展业务时保证数据处理透明度及结果公平性的措施。

4.银行保险机构个人信息保护

个人信息保护是数据安全管理中老生常谈的话题。《办法》设第六章个人信息保护，要求落实《个人信息保护法》等上位法的基础上，银行保险机构应按“明确告知、授权同意”的原则处理个人信息，并遵循如下规定：

一是信息收集原则。银行保险机构处理个人信息应与处理目的直接相关，且仅在实现金融业务所必需的最小范围内进行，杜绝任何过度的个人信息收集行为。

二是信息处理与共享规范。银行保险机构在处理、共享或对外提供个人信息时，需就处理目的、方式、个人信息种类、保存期限向该个人履行告知义务，并确保获得其明确同意。

三是重大影响评估。开展可能对个人权益产生重大影响的个人信息处理活动前，银行保险机构应进行个人信息保护影响评估，评估项包括个人信息处理合法性、必要性，对个人权益的影响及安全风险，所采取保护措施合法性、有效性及是否与风险程度相适应。

四是第三方委托管理。当委托第三方处理个人信息时，银行保险机构应与受托方明确约定其对个人信息的保护责任、具体保护措施及有效期限，确保受托方处理个人信息限缩于委托方的授权范围内。

五是应急与报告机制。一旦发生或可能发生个人信息泄露、篡改及丢失的安全事件，银行保险机构应迅速采取补救措施，通知个人并向监管机构报告，以降低安全事件对个人信息的潜在影响。

5.银行保险机构数据安全风险监测与处置

《办法》第七章专章规定了银行保险机构的数据安全风险监测、应急响应与处置机制，具体规范内容及重点如下：

一是数据安全事件分级与响应机制。根据数据安全事件的影响范围及程度，分为特别重大、重大、较大和一般四个级别。对应不同级别事件，建立相应的应急响应流程，确保快速、有效地应对各类数据安全事件。

二是数据安全监测机制，明确数据安全监测内容，规定定期开展数据安全风险评估、数据安全全面审计。

三是数据安全应急管理机制，包含内部协调联动机制与外部报告机制。安全事件未发生时，即应制定详细的数据安全事件应急预案及报告机制。安全事件发生后，内部应立即启动应急处置并采取补救措施，防止损害扩大；对外应按照时限要求将数据安全事件、处置进展情况、事件及其处置总体报告报送监管机构。

金融业是最早关注数据安全的行业之一。银行保险机构作为金融业的支柱，其数据安全管理已成为关乎行业健康发展和社会经济稳定的重要议题。

现行金融领域法律法规、监管规定及标准已对金融数据合规提出了诸多要求，但银行保险机构数据合规需进一步依照《数据安全办法》要求，在“三驾马车”驱动的基础上严格落实数据安全责任制，确保从决策层到执行层的责任链条清晰有效，并就数据分类分级、数据全生命周期保护、个人信息安全等方面进行系统化、精细化管理。此外，面对新兴技术和复杂多变的市场环境，还需持续加强技术投入和风险监测能力，以应对潜在的数据安全事件。

银行保险机构应对数据安全监管合规没有标准答案，关键在于理解监管的核心关注点，并据此明确完善方向。面对可能近在咫尺的数据合规监管处罚险境，合理使用、有效管理金融数据刻不容缓。