在數(shù)字化變革時代，擁有龐雜、高價值數(shù)據(jù)資源的金融機構(gòu)，面臨數(shù)據(jù)安全挑戰(zhàn)。

券商中國記者粗略統(tǒng)計，一年半以來，已有數(shù)十家銀行收到有關(guān)數(shù)據(jù)安全管理不規(guī)范、侵犯客戶個人隱私方面的通報和罰單，且多以區(qū)域銀行為主。

明顯的趨勢是，監(jiān)管“指揮棒”在逐年加力。近兩年，從大眾最為關(guān)注的銀行APP過度搜集個人隱私信息，到銀行數(shù)據(jù)運營管理不規(guī)范，銀行在前述方面領(lǐng)罰單的數(shù)量逐漸增多，呈現(xiàn)嚴(yán)監(jiān)管趨勢。此外，有關(guān)數(shù)據(jù)安全的法律法規(guī)，以及監(jiān)管規(guī)范文件逐步出臺，形成了對金融機構(gòu)數(shù)據(jù)安全規(guī)范管理的層層“緊箍咒”。

一方面，金融機構(gòu)加強數(shù)據(jù)安全管理體系建設(shè)，適應(yīng)被動合規(guī)；另一方面，隨著，AI大模型在金融領(lǐng)域的應(yīng)用，數(shù)據(jù)規(guī)模和使用場景的增多，數(shù)據(jù)安全保障體系更需進一步升級。

法律法規(guī)持續(xù)健全

近期，央行發(fā)布了《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》（以下簡稱《辦法》），自2025年6月30日起施行。

此次《辦法》全面銜接了《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等，細化明確了中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全合規(guī)底線要求，督促指導(dǎo)金融機構(gòu)等合規(guī)開展數(shù)據(jù)處理活動、履行數(shù)據(jù)安全保護義務(wù)，保障個人、組織合法權(quán)益。

可以觀察到，近兩三年，數(shù)據(jù)安全領(lǐng)域法律法規(guī)在持續(xù)健全。就在上述《辦法》發(fā)布前幾個月，國家金融監(jiān)督管理總局于2024年12月27日發(fā)布了《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》（以下簡稱《數(shù)據(jù)安全管理辦法》），從數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)保護、個人信息保護、數(shù)據(jù)安全風(fēng)險監(jiān)測與處置等方面提出了多項要求。

《數(shù)據(jù)安全管理辦法》明確數(shù)據(jù)安全歸口管理部門，將數(shù)據(jù)安全風(fēng)險納入全面風(fēng)險管理體系，要求銀行保險機構(gòu)開展相關(guān)數(shù)據(jù)處理活動時，應(yīng)事先開展安全評估，建立數(shù)據(jù)安全保護基線等。

拉長時間線，2021年以來《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)陸續(xù)發(fā)布。此外，2020年以來，央行也陸續(xù)發(fā)布了《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》等監(jiān)管規(guī)范文件，要求各機構(gòu)做好數(shù)據(jù)安全分類分級和安全防護工作。

在此背景下，金杜律師事務(wù)所合規(guī)業(yè)務(wù)部管理合伙人寧宣鳳等撰文認(rèn)為，落入國家金融監(jiān)督管理總局監(jiān)管范疇的相關(guān)主體（如商業(yè)銀行等），涉及開展銀行間市場業(yè)務(wù)、金融業(yè)綜合統(tǒng)計業(yè)務(wù)、支付清算業(yè)務(wù)、征信業(yè)務(wù)、反洗錢業(yè)務(wù)等中國人民銀行業(yè)務(wù)領(lǐng)域業(yè)務(wù)并開展數(shù)據(jù)處理活動的，或?qū)⒚媾R交叉監(jiān)管態(tài)勢。

一系列有關(guān)數(shù)據(jù)安全法律法規(guī)的發(fā)布，緣于銀行等金融機構(gòu)的數(shù)據(jù)安全管理面臨新形勢挑戰(zhàn)。畢馬威發(fā)布的《2025年中國銀行業(yè)展望報告》提到，金融機構(gòu)面臨日益嚴(yán)重的網(wǎng)絡(luò)威脅，如勒索軟件、網(wǎng)絡(luò)釣魚攻擊、數(shù)據(jù)泄露等，金融數(shù)據(jù)安全成為國家安全的新戰(zhàn)場，金融機構(gòu)需體系化、綜合化強化自身的網(wǎng)絡(luò)安全與數(shù)據(jù)安全。

銀行APP頻因隱私違規(guī)被點名

個人信息保護是銀行數(shù)據(jù)安全領(lǐng)域重要的一部分。前述《數(shù)據(jù)安全管理辦法》單獨設(shè)置了“個人信息保護”章節(jié)，以進一步落實《數(shù)據(jù)安全法》《個人信息保護法》等上位法要求，體現(xiàn)保護消費者信息和權(quán)益的政策導(dǎo)向。

而過度收集個人信息，一直以來都是銀行APP被通報最多的違規(guī)情況。

今年4月中旬，國家網(wǎng)絡(luò)與信息安全信息通報中心通報，經(jīng)檢測，有67款移動應(yīng)用存在違法違規(guī)收集使用個人信息情況，其中就包括了《蘭州銀行企業(yè)版》《甘肅銀行》《張家口銀行》，以及《武清村鎮(zhèn)銀行》《村鎮(zhèn)銀行（福建農(nóng)商）》《陽光村鎮(zhèn)銀行》《云端金融》等銀行APP。此外，上述通報中還有捷信消費金融有限公司旗下的APP《捷信金融》，山西證券旗下的APP《匯通啟富》等其他金融消費類和證券類金融APP。

另外，國家計算機病毒應(yīng)急處理中心還在2025年1月、2月份的通報中，提及了天水秦州村鎮(zhèn)銀行APP、樂山商業(yè)銀行APP存在隱私不合規(guī)行為等。

實際上，2024年已有至少30家銀行的APP被通報或因違反信用信息采集等問題被監(jiān)管部門罰款。

一部分是江蘇、河北、內(nèi)蒙古、湖北、廣東等地區(qū)的通信管理局對區(qū)域內(nèi)的銀行APP進行通報，涉及銀行包括江陰銀行、昆山農(nóng)商行、蘇農(nóng)商行、長江商業(yè)銀行、無錫銀行、唐山銀行、湖北銀行、湖北省農(nóng)村信用社聯(lián)合社、東莞農(nóng)商行以及喀喇沁玉龍村鎮(zhèn)銀行等。

另外，去年國家計算機病毒應(yīng)急處理中心通報了《甘肅農(nóng)信》《中德銀行》《天津農(nóng)商銀行》等銀行APP。

除此之外，四川地區(qū)的自貢農(nóng)商行、達州銀行、成都雙流誠民村鎮(zhèn)銀行、隆昌農(nóng)商行，以及吉林省的農(nóng)安農(nóng)商行、北銀村鎮(zhèn)銀行等銀行，因違反信用信息采集等相關(guān)管理規(guī)定而被央行罰款。

總結(jié)而言，上述銀行APP隱私侵權(quán)常見于存在超范圍或違規(guī)收集個人信息的情況，以及強制、頻繁、過度索取權(quán)限等問題。如上述通報中常見的描述：“APP在未經(jīng)用戶同意且無合理使用場景下，存在頻繁自啟動或關(guān)聯(lián)啟動的行為?！?/p>

個人信息在金融機構(gòu)數(shù)據(jù)中屬于敏感信息，針對個人信息保護，《數(shù)據(jù)安全管理辦法》規(guī)定銀行保險機構(gòu)處理個人信息應(yīng)按照“明確告知、授權(quán)同意”的原則實施，并限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍，不得過度收集個人信息。處理、共享和對外提供個人信息時，應(yīng)當(dāng)履行必要的告知義務(wù)，并取得必要同意。委托第三方處理個人信息時，應(yīng)明確受托人對個人信息保護義務(wù)、保護措施和期限等。

監(jiān)管“指揮棒”加力

根據(jù)央行行政處罰信息，券商中國記者粗略梳理，2025年以來，已有湖南平江農(nóng)商行、國泰世華銀行（中國）、高平市太行村鎮(zhèn)銀行、大方富民村鎮(zhèn)銀行、乾縣中銀富登村鎮(zhèn)銀行、中信銀行日照分行以及江蘇漣水農(nóng)商行等銀行，因數(shù)據(jù)安全管控不足等多項違法行為而“吃罰單”。

上述銀行涉及數(shù)據(jù)安全的違法行為包括：敏感數(shù)據(jù)安全管理不到位、數(shù)據(jù)處理活動風(fēng)險監(jiān)測不到位、數(shù)據(jù)安全保障措施不到位，或是未及時處置數(shù)據(jù)安全漏洞風(fēng)險、未制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，或是存在網(wǎng)絡(luò)安全技術(shù)措施不到位，未采取必要的防計算機病毒技術(shù)措施等。

如央行畢節(jié)市分行于3月中旬發(fā)布的行政處罰信息顯示，大方富民村鎮(zhèn)銀行因“向金融信用信息基礎(chǔ)數(shù)據(jù)庫提供個人不良信息，未事先告知信息主體本人；未制定內(nèi)部安全操作規(guī)程；未采取有效措施防范計算機病毒、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)侵入；未明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)，未落實數(shù)據(jù)安全保護責(zé)任；未及時處置數(shù)據(jù)安全漏洞風(fēng)險；未向有關(guān)主管部門報送風(fēng)險評估報告且數(shù)據(jù)安全管理風(fēng)險評估報告要素不全”等多項違法行為，被警告并被罰款近60萬元。

與全國性銀行相比，以區(qū)域銀行為代表的中小銀行仍在數(shù)據(jù)安全體系建設(shè)、管理運營和人才儲備方面存在較大的差距。進而，在組織架構(gòu)和戰(zhàn)略意識方面落后于大中型銀行，比如數(shù)據(jù)治理和數(shù)據(jù)安全工作的牽頭部門并未明確，或級別較低。

“眾多小規(guī)模的商業(yè)銀行數(shù)據(jù)安全管理仍停留在原有信息安全的管理思路上，數(shù)據(jù)安全職責(zé)分工不清晰，被動按照監(jiān)管要求，硬性制定數(shù)據(jù)分級標(biāo)準(zhǔn)，但缺乏落地性，基于生命周期的數(shù)據(jù)安全管控嚴(yán)重落地不充分?！碑咇R威發(fā)布的《2025年中國銀行業(yè)展望報告》顯示。

與此相比，上述報告顯示，大型國有商業(yè)銀行大多目前已經(jīng)具備較為體系化的數(shù)據(jù)安全管理模式，行內(nèi)相關(guān)部門各司其職，在原有較好的數(shù)據(jù)治理以及風(fēng)險管理的基礎(chǔ)上，形成了業(yè)務(wù)參與，三道防線各司其職的管理模式。部分城商行已經(jīng)著手從數(shù)據(jù)安全的體系化建設(shè)的角度開展數(shù)據(jù)安全工作。

券商中國記者注意到，不少的銀行在調(diào)整組織架構(gòu)，適應(yīng)新的數(shù)據(jù)安全管理規(guī)范。如浦發(fā)銀行于2024年調(diào)整公司組織架構(gòu)，在總行設(shè)立一級部門數(shù)據(jù)管理部，牽頭企業(yè)級數(shù)據(jù)管理，統(tǒng)籌數(shù)據(jù)安全，并將信息科技部改為科技發(fā)展部。

此外，已有中小銀行開始采取行動，提高相關(guān)戰(zhàn)略地位，并成立專屬部門。如蘭州銀行于2024年11月中旬，其董事會審議通過了《關(guān)于設(shè)立金融科技和數(shù)字化管理委員會的議案》。2024年年報顯示，蘭州銀行完善了組織架構(gòu)，成立了網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)導(dǎo)小組。