金融监管总局 93 号文解读——从专项行动要求，看金融机构数据安全能力建设的落地路径2025 年底，国家金融监督管理总局

2025 年底，国家金融监督管理总局办公厅正式印发《关于开展金融机构数据安全管理能力提升专项行动的通知》（金办发〔2025〕93 号）。

这份文件并不是一项孤立的监管动作，而是在《数据安全法》《个人信息保护法》以及金融行业既有监管要求基础上，对金融机构数据安全治理能力的一次系统性“体检 + 补课”。

从文件措辞和任务设置来看，93 号文的核心并非“新增合规义务”，而是明确提出：数据安全能力已经成为金融机构基础治理能力的一部分，且必须具备可检查、可量化、可持续运行的特征。

一、93 号文传递出的几个关键信号

1. 数据安全从“制度合规”走向“能力合规”

93 号文多次强调“管理能力提升”“持续整改”“形成长效机制”，这背后隐含的监管逻辑已经非常清晰：
仅有制度、流程和纸面方案，已经无法满足监管要求，监管关注点正在转向能力是否真实存在、是否能长期运行。

这意味着：

都会成为检查重点。

2. 数据分类分级被明确为“后续工作的基础”

在专项行动的整体安排中，数据分类分级被反复强调，并被明确为后续安全管理和技术保护措施的前提条件。

监管并非要求“一次性完成分类分级”，而是更关注：

这也意味着，静态台账式的分类分级成果，很难通过长期监管审视。

3. 数据安全治理对象从“数据库”扩展到“数据流动过程”

93 号文不再仅关注“数据存在哪里”，而是开始强调数据使用、共享、调用、对外提供等过程中的安全管理。

在金融机构实际环境中，这些风险点往往集中在：

这标志着监管视角已经从“静态存储安全”，进一步延伸到数据访问与流转安全。

将 93 号文要求映射到金融机构真实环境，往往会遇到几个典型问题：

1. 数据资产分散，难以形成统一视图

核心系统、外围系统、数据仓库、大数据平台并存，数据类型复杂、来源多样，依靠人工盘点或单点工具，很难形成完整、持续更新的数据资产视图。

2. 分类分级结果难以真正“用起来”

不少机构已完成分类分级工作，但结果停留在文档或表格中，未能与数据库访问控制、应用访问策略、API 调用策略等形成联动，导致“分了级，但没管住”。

3. 数据访问行为缺乏统一管控与审计能力

数据库访问、应用访问、接口调用往往分散在不同系统中，安全策略割裂，难以从整体视角识别异常行为和合规风险。

4. 改造成本高，影响业务稳定性

金融系统历史包袱重，监管要求又强调“持续运行能力”，大量改造业务系统来满足数据安全要求，现实中可行性有限。

结合监管导向与现实约束，越来越多金融机构开始采用**“数据访问安全层”**的建设思路：

其核心目标是：
让监管要求转化为“可持续运行”的技术能力，而不是一次性整改工程。

围绕 93 号文提出的能力要求，原点安全的一体化数据安全平台（uDSP）从数据访问视角出发，构建了一套可落地、可持续的数据安全治理体系，重点体现在以下几个方面：

1. 以数据资产发现为基础，支撑持续分类分级

平台通过自动化方式识别数据库、数据平台、API 等数据资产，对敏感数据进行持续发现与识别，支撑分类分级结果的动态维护，避免“建完即过期”。

2. 让分类分级结果直接参与安全控制

分类分级不再停留在台账层面，而是与访问控制、动态脱敏、风险监测策略直接关联，实现“分级即管控”。

3. 覆盖数据库与 API 的统一访问安全管控

平台在数据库访问、应用调用、接口访问等关键路径上实现统一的策略控制与行为审计，帮助金融机构满足监管对数据使用全过程管理的要求。

4. 无需大规模业务改造，降低合规落地成本

通过旁路监测、代理接入等方式，在不影响业务稳定性的前提下，快速构建数据访问安全能力，符合金融机构对稳定性与合规性的双重要求。

金融监管总局 93 号文并不是一次“短期整改通知”，而是对金融机构数据安全治理能力的一次系统性升级要求。
真正的挑战不在于“是否理解文件”，而在于是否具备长期运行、持续改进的数据安全能力体系。

在监管要求持续趋严、数据应用不断深化的背景下，以一体化、平台化方式建设数据安全能力，正在成为越来越多金融机构的现实选择。