一、政策背景
近期,国家金融监督管理总局办公厅印发专项行动通知,深入贯彻落实数据安全工作重要指示精神,旨在全面提升金融机构数据安全管理水平与风险防控能力。这一专项行动不仅是金融机构合规审慎经营的内在要求,更是保护消费者权益、维护金融安全、促进行业高质量发展的关键举措。本文将从政策核心导向、实施推进要求、合规自查重点等维度,为金融机构梳理专项行动核心要求,助力精准落实相关工作。
二、专项行动核心目的
工作目标:根据数据安全相关政策法规要求,对金融机构在数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置等方面的问题开展集中排查整治,通过“发现一批、整改一批、通报一批、处罚一批”,推动金融机构深入学习贯彻数据安全相关政策法规要求,建立与本机构业务发展目标相适应的数据安全治理体系,健全数据安全管理制度,提高数据安全技术防护能力,保障数据处理活动规范安全稳健,到2026年底金融机构数据安全管理水平实现显著提升。
**覆盖范围:**各金融监管局监管的金融机构。
**行动时间:**2025 年 12 月至 2026 年底。
三、行动牵头与责任主体
由审计部门牵头,制定自查自评工作方案
组织数据安全归口管理部门、信息科技、风险管理及相关业务部门基于职责分工落实各项工作
同步覆盖分支附属机构和第三方合作机构
四、专项行动重点检查内容
(一)数据安全治理架构
· 明确数据安全第一责任人和直接责任人,设立管理委员会
· 明确数据安全归口管理部门、技术保护主责部门、专职团队及相应分工
· 明确各业务领域数据安全管理责任,落实保护管理要求
· 将数据安全纳入机构全面风险管理体系与内控评价体系
· 定期开展审计、监督检查与评价工作
· 建立数据安全相关教育与培训机制,建立数据安全文化
(二)数据分级分类管理
· 制定数据分类分级标准或规范
· 建立数据目录的动态管理与维护机制
· 按照数据分类分级结果采取差异化安全保护措施
· 对所有业务及经营管理过程中获取、产生的数据进行分类管理
· 对数据分类分级采用时效管理,建立动态调整和审批机制
(三)数据安全管理
- 数据安全保护策略
· 制定数据安全管理办法、明确管理责任分工
· 建立企业级数据架构、统筹开展全域数据资产登记
· 建立数据处理全生命周期管控机制,落实相关保护措施
· 对数据的外部引入、合作共享、以及数据出境等,制定安全管理实施细则
2. 敏感级及以上数据安全管理
· 明确数据收集和处理目的、方式、范围、规则
· 对数据主体有较大影响的活动前,开展数据安全评估
· 数据加工采用匿名化、去标识化或者其他必要安全措施保障数据主体权益
· 对敏感级及以上数据严格实施授权管理、制定数据访问闭环管理机制
· 实施数据访问行为审计,建立严格的审批程序
3. 外部数据安全管理
· 制定外部数据采购、合作引入的集中审批管理制度
· 将数据外部采购与合作纳入机构外包风险管理体系
4. 数据共享安全管理
· 进行集中安全管控,明确数据共享策略
· 对共享使用的必要性、合规性、安全性及道德伦理规范的符合度开展评估
· 采取有效管理和技术保护措施,以合同或协议等形式明确数据共享安全责任与义务
5. 数据委托安全管理
· 明确委托处理所涉及数据外部使用和处理的条件、场景和方式
· 以合同或协议等形式约定委托处理数据的数据安全责任和义务
· 将委托数据处理纳入信息科技外包管理范畴
(四)数据安全技术保护
- 数据安全技术保护体系
· 将数据纳入等保范畴、定期开展商密评估、建立数据备份体系
· 将数据安全保护纳入信息系统开发生命周期框架
· 通过集中管理平台或应用程序接口实现外部数据安全交换
2. 大数据安全技术防护
· 建立多元异构环境下的数据安全保护体系
· 对大数据平台采取高可用、安全加固、数据备份等保护措施
· 建立大数据服务访问授权机制,动态监测与审计访问行为
3. 敏感级及以上数据安全技术保护
· 对敏感级及以上数据加强重点防护
· 制定用户对数据的访问策略,采取有效的用户认证和访问控制技术措施
· 对敏感级及以上数据的操作进行日志记录
· 对敏感级及以上数据的传输采用安全保护、存储保护措施
· 对敏感级及以上数据开展容灾备份,定期开展恢复验证
4. 开发测试数据保护与数据销毁。
· 将测试环境与生产环境隔离,建立测试数据脱敏技术措施与管理规范
· 明确系统拟处理数据及其安全级别、访问规则、保护需求并实施安全控制
· 投产后开展安全测试
· 建立数据销毁管理制度
5. 新技术和新场景下数据保护
· 对人工智能模型开发应用进行统一管理,在信息系统、模型算法投入使用前开展数据安全审查
· 在使用人工智能技术开展业务时,实时监测自动化处理与系统运行结果,建立风险缓释措施
· 在建设开放银行、金融生态或者与第三方数据合作时,实现自身与外部的安全风险隔离
· 通过集中管理的外联平台或者应用程序接口与外部机构实施数据交互,采取有效措施进行集中安全保护管理
(五)个人信息保护
· 按照“明确告知、授权同意”的原则处理个人信息,并在系统中实现相关功能控制
· 在仅限于实现金融业务处理目的的最小范围内收集个人信息
· 在处理个人信息前,真实、准确、完整地向个人告知法律法规规定应当告知的事项
· 制定个人信息处理规则、开展个人信息保护影响评估、向境外提供个人信息的符合相关规定
· 机构在委托第三方处理个人信息时,以合同或协议的形式明确相关要求
· 机构在算法设计、训练数据选择和模型生成时,是否采取有效措施保障个人合法权益
· 发生或者可能发生个人信息泄露、篡改、丢失的,立即采取补救措施,通知个人并报送监管部门
(六)数据安全风险监测与处置
- 数据安全监测机制
· 明确数据安全风险监测、风险评估、应急响应及报告,事件处置的组织架构和管理流程
· 开展对数据安全威胁的有效监测,并实施监督检查和主动评估
2. 数据安全风险评估与审计
· 每年开展一次数据安全风险评估
· 每三年至少开展一次数据安全全面审计
· 在发生重大数据安全事件后开展专项审计
3. 数据安全应急体系
· 建立数据安全事件应急管理体系
· 建立内部协调联动机制,以及服务提供商、第三方合作机构数据安全事件报告机制
· 根据数据安全事件应急预案定期开展应急响应培训与演练
五、专项行动实施路径
阶段一:宣传部署(2025 年 12 月)
· 成立数据安全管理能力提升跨部门工作专班
· 制定数据安全管理能力提升工作方案
· 开展多渠道、多形式数据安全宣传培训
· 组织数据安全知识测评
阶段二:自查整改(2025 年 12 月-2026 年 3 月)
· 审计部门牵头制定自查自评工作方案
· 重点排查数据安全管理突出问题、薄弱环节、突出问题
· 建立数据安全责任追究与考核机制、制度制定
· 制定数据安全事件应急预案、开展网络和数据安全攻防演练
· 分析问题及成因、开展问题整改
阶段三:检查通报(2026 年 4 月-10 月)
· 重点关注金融机构是否按规定认真落实自查自评和整改要求
· 重点关注相关工作是否达到数据安全相关政策法规要求
· 督促金融机构对重大数据安全管理和技术漏洞隐患加强整改
· 总结金融机构数据安全方案突出问题与共性问题,开展监管通报
· 对存在重大数据安全风险的机构实施行政处罚
阶段四:总结交流(2026 年 10 月-12 月)
· 综合自评估发现问题、整改情况等形成专项行动工作总结
· 报送属地监管部门
· 组织召开数据安全管理交流会进行交流
六、专项行动数据安全技术支撑
(一)数据安全分类分级:敏感数据发现与识别
· 技术工具的必要性
· 分类分级行业模板
· 业务部门的工作协同
· 敏感数据目录与更新
· 技术保护措施的衔接
(二)数据安全技术管控:数据权限、访问控制、数据脱敏
· 数据库运维访问场景
· 大数据开发利用场景
· 外部数据共享API场景
· 敏感数据集中的业务应用场景
· 数据跨境业务应用场景
(三)数据安全风险监测:审计日志、风险告警、溯源处置
· 内部人员异常数据访问
· 数据集中共享的系统
· 数据跨域异常流动
· 特权账户数据使用
· 外包与三方合作场景
七:一体化数据安全平台对专项行动的技术支撑
从专项行动的检查重点可以看出,监管关注的并非单一安全工具是否部署,而是金融机构是否具备持续、可执行的数据安全治理能力。在分类分级、访问控制、风险监测等要求同时落地的情况下,依赖分散工具拼接,往往难以形成统一口径和长期有效的管理体系。
在实践中,一体化数据安全平台逐渐成为专项行动的重要技术支撑路径。通过统一承载数据资产发现与分类分级结果,将敏感数据识别、访问授权、动态脱敏、行为审计和风险监测等能力进行集中管理,避免能力割裂和策略不一致问题,有助于专项行动中“差异化保护措施”“闭环管理机制”和“持续风险监测”等要求的落地实施。
原点安全一体化数据安全平台围绕数据资产与数据访问行为构建统一的数据安全治理能力,在不大规模改造业务系统的前提下,支撑数据库、大数据平台及数据接口等典型场景的数据安全管控与风险监测,为金融机构在专项行动期间及后续常态化监管要求下,提供稳定、可持续的数据安全技术底座。
