2025年12月,国家金融监督管理总局正式印发金办发〔2025〕93号《关于开展金融机构数据安全管理能力提升专项行动的通知》(简称“93号文”),配套118项自查要点,启动为期一年(2025.12—2026.12)的专项整治,标志着金融数据安全监管从“制度建设”全面转向“能力验证”,从“纸面合规”迈入“实战落地”的新阶段,为全行业数据安全建设划定清晰路径。个人隐私数据销毁也是法律的强制要求。
一、发布背景:风险倒逼+政策承接,监管进入“抓落实”攻坚期
93号文的出台,并非偶然的监管动作,而是多重因素叠加的必然结果,核心源于风险防控、政策落地与行业发展的三重需求,构建起“法律-部门规章-专项行动”的三级合规体系。
其一,风险倒逼态势凸显。金融数据承载着客户隐私、交易流水、核心业务机密等高价值信息,当前行业普遍存在权限管控形同虚设、数据脱敏流于形式、第三方合作管控缺失等问题,内部越权、数据泄露、跨境违规等风险频发,既损害消费者权益,也威胁金融体系稳定,亟需专项行动破解治理乱象。
其二,政策体系持续落地。作为《数据安全法》《个人信息保护法》《网络安全法》的行业细化,93号文承接2024年底《银行保险机构数据安全管理办法》(金规〔2024〕24号)的顶层要求,将原则性法律条款转化为可自查、可检查、可问责的实操标准,推动上位法要求在金融行业落地生根。
其三,监管逻辑全面升级。近年来,数据安全类罚单数量和金额呈爆发式增长,监管重心从“结果合规”转向“过程合规”,不再满足于“有制度”,更聚焦“制度有执行、能力有提升”。93号文以“发现一批、整改一批、通报一批、处罚一批”为总基调,采用穿透式监管,覆盖全金融机构及第三方合作服务商,严厉打击形式主义合规,推动机构从被动整改转向主动建设。
二、核心内容
93号文以“压实责任、摸清家底、管控全流程”为核心,明确了专项行动的实施路径、覆盖范围与核心整治方向,形成全周期、全主体、全维度的监管闭环。
(一)四阶段推进,实现合规闭环管理
专项行动为期一年,分四个阶段有序推进,确保整治工作落地见效:
1.宣传部署(2025.12):各金融机构成立专项专班,开展全员数据安全培训,明确责任分工,结合自身业务制定针对性落地方案,筑牢合规思想防线。
2.自查整改(2025.12—2026.3):对照118项自查要点全面排查,重点梳理数据安全管理漏洞,建立问题清单、整改清单、责任清单,3月底前提交自查报告,完成立行立改。
3.检查通报(2026.4—2026.10):监管部门开展现场检查、交叉核验、渗透测试,深入核查系统日志、权限配置、数据流转台账等实际证据,对整改不力、存在重大隐患的机构从严处罚、公开通报。
4.总结长效(2026.10—2026.12):开展验收评估,固化整改成果,将数据安全管理纳入常态化运营体系,建立长效机制,实现从“专项整治”到“常态防控”的转变。
(二)六大核心领域,118项要点明确整治方向
93号文聚焦数据安全全流程,明确六大核心自查整治领域,118项要点覆盖从治理到应急的全环节,直指行业痛点:
1.数据安全治理架构:落实“一把手负责制”,建立决策、管理、执行、监督四级责任闭环,将数据安全纳入全面风险管理、绩效考核与内部审计,设立专职部门与岗位,保障资源投入。
2.数据分类分级与资产治理:全量梳理数据资产,建立动态数据目录与资产地图,精准识别核心、重要、一般三级数据,实现敏感数据自动标记、分级管控,解决“家底不清”的核心痛点。
3.数据全生命周期安全:覆盖采集、传输、存储、使用、共享/出境、销毁全环节,重点管控第三方合作、数据跨境、API接口调用等高风险场景,确保数据流转可审批、可追溯、可审计。
4.个人信息保护:严格落实告知-同意、最小必要原则,开展个人信息保护影响评估(PIA),规范自动化决策、AI训练数据使用,保障数据主体权益,符合《个人信息保护法》相关要求。
5.安全技术防护能力:构建纵深防御体系,落实加密、脱敏、访问控制、特权账号管理、数据防泄漏(DLP)、日志审计、漏洞管理、灾备恢复等技术措施,提升技术防护实战能力。
6.风险监测与应急处置:建立7×24小时实时监测机制,开展异常行为分析与预警溯源;制定应急预案,定期开展应急演练,重大数据安全事件需2小时内初报、24小时内书面上报,形成“监测-预警-处置-上报”闭环。
三、核心技术要求:从“有工具”到“能实战”,聚焦全链路落地
93号文的核心突破的是,将数据安全技术要求从“原则性指引”转化为“刚性落地标准”,不再允许“有工具、不使用”“有制度、不执行”的形式主义,聚焦四大技术方向,要求实现技术与业务的深度融合。
1. 数据资产与分类分级技术:摸清家底,精准管控
核心要求:实现全域数据资产自动发现、敏感数据智能识别、动态分级与血缘追踪,建立可视化数据资产地图,彻底解决“数据在哪、是什么、谁在用、流向哪”的核心难题。当前不少机构依赖人工分级,效率低、准确率低,难以实现全域覆盖,93号文明确要求通过技术手段实现自动化、精细化管理。
关键技术:数据资产测绘、敏感数据识别(正则/AI/指纹)、数据分级引擎、数据血缘分析、元数据管理,确保数据分类分级动态更新、精准落地。
2. 全生命周期数据安全防护技术:全环节闭环,无死角防控
围绕数据采集、传输、存储、使用、共享/出境、销毁六大环节,明确刚性技术要求,破解行业普遍存在的防护漏洞:
•采集:坚持最小必要原则,落实授权核验与采集行为审计,限制临时性数据收集,确保数据来源合法、可追溯。
•传输:核心/敏感数据采用国密算法(SM4)加密传输,强化传输通道加密、防篡改、防窃听,杜绝数据传输过程中的泄露风险。
•存储:敏感数据实施数据库透明加密(TDE)、文件加密,建立密钥集中管理(KMS)体系,实现备份数据加密、隔离存储,定期验证备份有效性。
•使用:落实动态脱敏、静态脱敏、水印溯源,严格执行权限最小化与操作留痕,杜绝生产环境与测试环境数据混用,防范内部越权与数据滥用。
•共享/出境:第三方数据共享需履行审批程序,通过API接口管控、数据脱敏/去标识化实现安全共享;数据出境需完成安全评估,落实审计管控,防范跨境泄露风险。
•销毁:敏感数据安全销毁,确保不可恢复,留存销毁过程审计记录,委托处理终止时,需监督受托方删除数据并验证效果。
3. 访问控制与身份安全技术:筑牢身份防线,防范内部风险
针对行业普遍存在的权限过度授予、特权账号滥用等问题,93号文明确要求构建精细化身份安全体系:
核心技术:零信任架构(身份强认证、持续验证、动态授权)、特权账号管理(PAM),实现账号统一管控、操作审计、会话录屏、高危操作阻断,覆盖内部员工、第三方外包人员、API调用主体,落实“业务必要授权”原则。
4. 监测、审计与应急技术:主动预警,快速处置
核心要求:构建“事前预防、事中阻断、事后溯源”的主动防御体系,破解数据安全监测抓手不足、应急处置滞后的痛点:
•全链路监测:整合数据库审计、API流量审计、终端DLP、异常行为分析(UEBA),实时发现批量导出、越权访问、敏感数据外发等风险。
•日志管理:实现日志集中存储、不可篡改、长期留存与关联分析,满足监管溯源与举证要求。
•应急响应:部署安全编排自动化(SOAR)系统,联动威胁情报,实现风险快速隔离、溯源取证与事件上报闭环,确保满足2小时/24小时上报要求。
四、技术解决方案:分阶段、场景化落地,破解合规痛点
结合93号文118项自查要点与行业共性痛点,立足“低成本、高实效、可落地”原则,分三个阶段构建一体化技术解决方案,兼顾合规达标与能力提升,适配不同规模金融机构的需求,尤其为中小机构提供可落地的实施路径。
(一)第一阶段:底数摸清,构建数据资产底座(对应自查整改期)
核心目标:完成数据资产盘点与分类分级,满足自查整改基础要求,破解“家底不清”的核心痛点。
1.部署数据资产测绘与分类分级平台:自动扫描数据库、文件服务器、大数据平台、云存储等全场景,智能识别客户身份证、银行卡、交易流水等敏感数据,自动完成分级分类,生成可视化数据资产目录与血缘图谱,留存分级审批记录。
2.建立数据安全治理平台:打通业务、数据、安全三大体系,固化分级规则、审批流程,将数据安全策略嵌入业务流程,明确各岗位责任,确保“谁管业务、谁管数据、谁管安全”。
(二)第二阶段:全链路防护,补齐技术短板(对应检查整改期)
核心目标:针对自查发现的漏洞,补齐技术防护短板,实现全生命周期安全管控,应对监管现场检查与渗透测试。
1.存储与传输安全加固:对核心/敏感数据实施国密加密(TDE、字段加密),部署密钥管理系统(KMS),实现密钥全生命周期管控;备份数据加密、隔离存储,定期开展备份验证,确保业务可恢复。
2.使用与共享安全管控:内部场景部署动态脱敏系统,按角色/权限返回脱敏数据,终端DLP管控复制、截屏、外发、打印等行为,部署文档水印实现泄露溯源;第三方/API场景通过API网关+数据脱敏,实现接口鉴权、限流、脱敏、审计,第三方访问采用“数据不落地、在线编辑、权限隔离”模式,防范外包失管风险。
3.身份与权限管控:部署零信任访问系统与PAM特权账号管理平台,实现身份唯一、权限最小、操作全审计,覆盖内部员工、外包人员、合作伙伴全访问主体,解决权限过度授予问题。
(三)第三阶段:监测应急,构建主动防御闭环(对应长效运营期)
核心目标:实现风险主动预警、快速处置,建立常态化运营机制,满足93号文长效管理要求。
1.部署数据安全监测与审计平台:汇聚全场景日志,通过UEBA异常行为分析,实时预警批量下载、越权访问、敏感数据外发等风险,形成“监测-预警-处置-溯源”闭环,留存完整审计记录。
2.建设应急响应体系:制定针对性应急预案,明确事件分级标准、处置流程与上报要求,定期开展应急演练并留存记录;配置SOAR自动化响应系统,实现风险快速处置,确保满足事件上报时限要求。
(四)第三方外包穿透管控专项方案
针对93号文“穿透式监管”要求,建立第三方准入评估、权限最小化、操作全审计、数据脱敏/水印、定期安全检查机制,将第三方合作纳入外包风险管理体系,通过合同明确双方数据安全责任,实现“服务外包、责任不外包、数据不泄露”。
五、后续发展规划:从专项合规到长效赋能,实现安全与发展双赢
93号文的专项行动并非终点,而是金融机构数据安全能力升级的起点。结合监管导向与行业发展趋势,金融机构需立足短期合规、中期提升、长期标杆,构建数据安全长效运营体系,实现“合规达标”向“能力赋能”的转变。
1. 短期(2026年底前):合规达标,顺利通过监管验收
核心任务:完成118项自查问题闭环整改,补齐技术与管理短板,通过监管现场检查、渗透测试,避免通报处罚;整理完善合规文档、技术部署记录、审计报告、应急演练报告,形成完整的合规证据链,满足监管举证要求;开展全员数据安全培训,培育良好的数据安全文化。
2. 中期(2027—2028年):能力深化,实现技术与业务融合
核心任务:推动数据安全与业务深度融合,将数据安全策略嵌入开发、测试、生产全流程(DevSecOps),实现“安全左移”,从源头防范风险;推动数据安全智能化升级,引入AI大模型,实现敏感数据智能识别、风险自动研判、异常精准预警、自动化响应,从被动防御走向主动预测;平衡数据安全与数据价值,在合规前提下,支撑数据共享、开放、AI训练等场景,实现安全与发展的统一。
3. 长期:构建标杆,推动行业协同发展
核心任务:建立数据安全常态化运营机制,将数据安全纳入日常风险管理、绩效考核、内审体系,持续迭代优化;结合自身业务特点,形成可复制、可推广的金融数据安全最佳实践,参与行业标准建设;发挥协同效应,推动金融机构与第三方服务商、监管部门的联动,共同提升全行业数据安全能力,护航金融数字化转型行稳致远。