在数字化变革时代，具有庞杂、低代价数据资本的金融机构，面临数据安全挑衅。

券商中国记者大略统计，一年半以来，已稀有十家银行收到有关数据安全经管没有规范、侵占客户小我私家隐私方面的转达和罚单，且多以地区银行为主。

明显的趋势是，监管“批示棒”在逐年加力。近两年，从大众最为关注的银行APP过度搜集小我私家隐私信息，到银行数据运营经管没有规范，银行在前述方面领罚单的数量渐渐增加，浮现严监管趋势。此外，有关数据安全的法律法规，以及监管规范文件逐步出台，构成了对金融机构数据安全规范经管的层层“紧箍咒”。

一方面，金融机构增强数据安全经管体系建设，适应主动合规；另外一方面，随着，AI大模子在金融领域的应用，数据范围和使用处景的增加，数据安全保证体系更需进一步升级。

法律法规持续健全

近期，央行公布了《中国人民银行业务领域数据安全经管办法》（以下简称《办法》），自2025年6月30日起施行。

此次《办法》周全衔接了《中华人民共和国数据安全法》《网络数据安全经管条例》等，细化明确了中国人民银行业务领域数据安全合规底线要求，督促引导金融机构等合规开展数据处理流动、履行数据安全珍爱义务，保证小我私家、组织合法权益。

展开剩余 83 %

可以观察到，近两三年，数据安全领域法律法规在持续健全。就在上述《办法》公布前几个月，国度金融监督经管总局于2024年12月27日公布了《银行保险机构数据安全经管办法》（以下简称《数据安全经管办法》），从数据安全治理、数据分类分级、数据安全经管、数据安全技术珍爱、小我私家信息珍爱、数据安全风险监测与处置等方面提出了多项要求。

《数据安全经管办法》明确数据安全归口经管部门，将数据安全风险纳入周全风险经管体系，要求银行保险机构开展相关数据处理流动时，应事先开展安全评估，建立数据安全珍爱基线等。

拉长时候线，2021年以来《中华人民共和国数据安全法》《中华人民共和国小我私家信息珍爱法》等法律法规连续公布。此外，2020年以来，央行也连续公布了《金融数据安全数据安全分级指南》《金融数据安全 数据生命周期安全规范》等监管规范文件，要求各机构做好数据安全分类分级和安全防护工作。

在此背景下，金杜状师事件所合规业务部经管合伙人宁宣凤等撰文以为，落入国度金融监督经管总局监管领域的相关主体（如贸易银行等），涉及开展银行间市场业务、金融业综合统计业务、支付清算业务、征信业务、反洗钱业务等中国人民银行业务领域业务并开展数据处理流动的，或将面临交叉监管态势。

一系列有关数据安全法律法规的公布，缘于银行等金融机构的数据安全经管面临新形势挑衅。毕马威公布的《2025年中国银行业预测报告》提到，金融机构面临日趋严重的网络威胁，如打单软件、网络钓鱼攻击、数据泄露等，金融数据安全成为国度安全的新战场，金融机构需体系化、综合化强化自身的网络安全与数据安全。

银行APP频因隐私违规被点名

小我私家信息珍爱是银行数据安全领域重要的一部分。前述《数据安全经管办法》零丁设置了“小我私家信息珍爱”章节，以进一步落实《数据安全法》《小我私家信息珍爱法》等上位法要求，体现珍爱消耗者信息和权益的政策导向。

而过度收集小我私家信息，一直以来都是银行APP被转达最多的违规情况。

今年4月中旬，国度网络与信息安全信息转达中心转达，经检测，有67款挪动应用存在守法违规收集使用小我私家信息情况，个中就包含了《兰州银行企业版》《甘肃银行》《张家口银行》，以及《武清村镇银行》《村镇银行（福建农商）》《阳光村镇银行》《云端金融》等银行APP。此外，上述转达中另有捷信消耗金融有限公司旗下的APP《捷信金融》，山西证券旗下的APP《汇通启富》等其他金融消耗类和证券类金融APP。

别的，国度计算机病毒应急处理中心还在2025年1月、2月份的转达中，提及了天水秦州村镇银行APP、乐山贸易银行APP存在隐私没有合规行为等。

实际上，2024年已有至少30家银行的APP被转达或因违反信用信息采集等成绩被监管部门罚款。

一部分是江苏、河北、内蒙古、湖北、广东等地区的通讯经管局对地区内的银行APP进行转达，涉及银行包含江阴银行、昆山农商行、苏农商行、长江贸易银行、无锡银行、唐山银行、湖北银行、湖北省农村信用社联合社、东莞农商行以及喀喇沁玉龙村镇银行等。

别的，去年国度计算机病毒应急处理中心转达了《甘肃农信》《中德银行》《天津农商银行》等银行APP。

除此之外，四川地区的自贡农商行、达州银行、成都双流诚民村镇银行、隆昌农商行，以及吉林省的农安农商行、北银村镇银行等银行，因违反信用信息采集等相关经管规定而被央行罚款。

总结而言，上述银行APP隐私侵权常见于存在超范围或违规收集小我私家信息的情况，以及强制、频繁、过度索取权限等成绩。如上述转达中常见的描述：“APP在未经用户同意且无公道使用处景下，存在频繁自启动或关联启动的行为。”

小我私家信息在金融机构数据中属于敏感信息，针对小我私家信息珍爱，《数据安全经管办法》规定银行保险机构处理小我私家信息应按照“明确示知、受权同意”的准绳实行，并限于实现金融业务处理目的的最小范围，没有得过度收集小我私家信息。处理、同享和对外供应小我私家信息时，应当履行必要的示知义务，并获得必要同意。委托第三方处理小我私家信息时，应明确受托人对小我私家信息珍爱义务、珍爱步伐和期限等。

监管“批示棒”加力

凭据央行行政惩罚信息，券商中国记者大略梳理，2025年以来，已有湖南平江农商行、国泰世华银行（中国）、高平市太行村镇银行、慷慨富民村镇银行、乾县中银富登村镇银行、中信银行日照分行以及江苏涟水农商行等银行，因数据安全管控没有敷等多项守法行为而“吃罚单”。

上述银行涉及数据安全的守法行为包含：敏感数据安全经管没有到位、数据处理流动风险监测没有到位、数据安全保证步伐没有到位，或是未实时处置数据安全漏洞风险、未制定网络安全事件应急预案，或是存在网络安全技术步伐没有到位，未采取必要的防计算机病毒技术步伐等。

如央行毕节市分行于3月中旬公布的行政惩罚信息显示，慷慨富民村镇银行因“向金融信用信息基础数据库供应小我私家没有良信息，未事先示知信息主体本人；未制定内部安全操作规程；未采取有效步伐防范计算机病毒、网络攻击和网络侵入；未明确数据安全担任人和经管机构，未落实数据安全珍爱责任；未实时处置数据安全漏洞风险；未向有关主管部门报送风险评估报告且数据安全经管风险评估报告要素没有全”等多项守法行为，被警告并被罚款近60万元。

与全国性银行比拟，以地区银行为代表的中小银行仍在数据安部分系建设、经管运营和人材贮备方面存在较大的差距。进而，在组织架构和战略意识方面落后于大中型银行，好比数据治理和数据安全工作的牵头部门并未明确，或级别较低。

“众多小范围的贸易银行数据安全经管仍停留在原有信息安全的经管思路上，数据安全职责合作没有清晰，主动按照监管要求，硬性制定数据分级标准，但缺乏落地性，基于生命周期的数据安全管控严重落地没有充足。”毕马威公布的《2025年中国银行业预测报告》显示。

与此比拟，上述报告显示，大型国有贸易银行大多现在已经具备较为体系化的数据安全经管模式，行内相关部门各司其职，在原有较好的数据治理以及风险经管的基础上，构成了业务参与，三道防线各司其职的经管模式。部分城商行已经着手从数据安全的体系化建设的角度开展数据安全工作。

券商中国记者注重到，没有少的银行在调解组织架构，适应新的数据安全经管规范。如浦发银行于2024年调解公司组织架构，在总行设立一级部门数据经管部，牵头企业级数据经管，统筹数据安全，并将信息科技部改为科技发展部。

此外，已有中小银行最先采取举措，提高相关战略职位，并建立专属部门。如兰州银行于2024年11月中旬，其董事会审议经过了《关于设立金融科技和数字化经管委员会的议案》。2024年年报显示，兰州银行美满了组织架构，建立了网络和数据安全领导小组。

责编：杨喻程

排版：刘珺宇‍‍‍‍‍‍‍‍‍

校对：姚远‍‍‍

公布于：广东省