文 | 中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所 何陽(yáng) 馬聰 徐秀 武昱

金融業(yè)作為數(shù)字化轉(zhuǎn)型的重點(diǎn)領(lǐng)域，正面臨數(shù)據(jù)要素價(jià)值釋放與安全治理的雙重挑戰(zhàn)。在數(shù)據(jù)安全法律制度體系不斷完善的背景下，人工智能（AI）等新技術(shù)的深度應(yīng)用既催生了新型數(shù)據(jù)安全風(fēng)險(xiǎn)，也推動(dòng)了金融行業(yè)構(gòu)建動(dòng)態(tài)化、智能化的數(shù)據(jù)安全治理體系。這種技術(shù)演進(jìn)與制度創(chuàng)新的協(xié)同發(fā)展，正持續(xù)強(qiáng)化著金融領(lǐng)域數(shù)據(jù)管理的規(guī)范性和有效性。

一、金融機(jī)構(gòu)數(shù)據(jù)安全建設(shè)現(xiàn)狀分析

金融數(shù)據(jù)已成為關(guān)乎金融穩(wěn)定與國(guó)家經(jīng)濟(jì)安全核心戰(zhàn)略資源，但隨著數(shù)字化與業(yè)務(wù)創(chuàng)新縱深推進(jìn)，金融機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)呈交織疊加態(tài)勢(shì)，監(jiān)管部門(mén)持續(xù)強(qiáng)化處罰力度，行業(yè)合規(guī)壓力與安全挑戰(zhàn)同步攀升。

（一）金融領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)隱患加劇

當(dāng)前，數(shù)據(jù)安全風(fēng)險(xiǎn)已滲透金融業(yè)務(wù)全鏈條，安全隱患尤為突出。在個(gè)人用戶側(cè)，不法分子通過(guò)誘導(dǎo)過(guò)度授權(quán)、偽裝公權(quán)機(jī)構(gòu)詐騙等新手段套取支付信息，成為侵害用戶財(cái)產(chǎn)權(quán)益的高頻風(fēng)險(xiǎn)。在企業(yè)用戶側(cè)，征信授權(quán)弱驗(yàn)證易被破解、自建證書(shū)尚未達(dá)到國(guó)家密碼算法標(biāo)準(zhǔn)要求、第三方服務(wù)商接入顯著增加了風(fēng)險(xiǎn)暴露面。在此背景下，強(qiáng)化外包服務(wù)商合規(guī)管理已成為防范數(shù)據(jù)泄露的關(guān)鍵環(huán)節(jié)。與此同時(shí)，AI等新技術(shù)使匿名化處理難度加大，跨境數(shù)據(jù)流動(dòng)中敏感信息泄露風(fēng)險(xiǎn)也隨地緣政治博弈加劇而上升。此外，金融數(shù)據(jù)兼具私密與公共屬性，傳統(tǒng)架構(gòu)與新系統(tǒng)兼容漏洞等進(jìn)一步增加了安全管理難度。

2025年，金融行業(yè)罰單呈現(xiàn)頻次高、覆蓋廣等特征，監(jiān)管部門(mén)強(qiáng)化懲戒力度倒逼合規(guī)建設(shè)。同年，6家民營(yíng)銀行合計(jì)被罰超1140萬(wàn)元，上海某民營(yíng)銀行因生產(chǎn)環(huán)境數(shù)據(jù)管控不足等多次被罰，累計(jì)達(dá)780萬(wàn)元。10月以來(lái)，包含股份制銀行地方分行、城市商業(yè)銀行等8家不同類(lèi)型銀行，均因違反數(shù)據(jù)安全相關(guān)規(guī)定被罰，單張罰單達(dá)260余萬(wàn)元。此外，包括消費(fèi)金融公司、小貸公司在內(nèi)的機(jī)構(gòu)也因信用信息管理違規(guī)遭處罰，超20家金融相關(guān)機(jī)構(gòu)App因違規(guī)收集信息被通報(bào)。罰單不僅涉及機(jī)構(gòu)，更追責(zé)至工作直接負(fù)責(zé)人，凸顯監(jiān)管“零容忍”態(tài)度。

（二）金融機(jī)構(gòu)數(shù)據(jù)安全治理面臨新挑戰(zhàn)

隨著數(shù)字化、智能化的持續(xù)深入，金融從業(yè)機(jī)構(gòu)的數(shù)據(jù)安全面臨來(lái)自內(nèi)外部、管理與技術(shù)等多方面的復(fù)雜挑戰(zhàn)，各類(lèi)潛在威脅交織并存。

1. 內(nèi)部數(shù)據(jù)安全管理體系亟待完善

金融機(jī)構(gòu)在安全管理上的不足，進(jìn)一步放大了技術(shù)缺陷和人為因素帶來(lái)的風(fēng)險(xiǎn)。主要表現(xiàn)在以下方面：一是安全策略執(zhí)行效能不足。突出表現(xiàn)為定期安全審計(jì)缺失、數(shù)據(jù)分類(lèi)不明確（如未區(qū)分敏感數(shù)據(jù)與普通數(shù)據(jù)）、核心數(shù)據(jù)加密措施覆蓋率不足（如客戶證件影像未加密存儲(chǔ)）等問(wèn)題。二是應(yīng)急響應(yīng)機(jī)制薄弱。對(duì)數(shù)據(jù)泄露事件缺乏快速檢測(cè)和處置能力，導(dǎo)致風(fēng)險(xiǎn)敞口持續(xù)擴(kuò)大。三是保護(hù)目標(biāo)模糊。由于數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)缺失或執(zhí)行偏差，敏感數(shù)據(jù)識(shí)別不準(zhǔn)，致使安全防護(hù)資源錯(cuò)配，防護(hù)效果大打折扣。

2. 數(shù)據(jù)安全能力體系化布局不足

當(dāng)前，多數(shù)金融機(jī)構(gòu)已具備一定的數(shù)據(jù)安全能力，但整體上仍缺乏系統(tǒng)化布局。盡管不少金融機(jī)構(gòu)已制定基本的數(shù)據(jù)安全管理制度，并部署了部分安全防護(hù)技術(shù)工具，各項(xiàng)能力之間尚未形成有機(jī)聯(lián)動(dòng)的體系化防護(hù)與管控機(jī)制。具體表現(xiàn)在以下方面：一是組織體系方面，數(shù)據(jù)安全組織依賴或復(fù)用已有的信息技術(shù)治理委員會(huì)，但隨著信息技術(shù)的不斷發(fā)展和變化，導(dǎo)致信息技術(shù)治理委員會(huì)需要決策的事項(xiàng)日益增多，職責(zé)泛化導(dǎo)致難以實(shí)現(xiàn)專(zhuān)事專(zhuān)責(zé)、重點(diǎn)決策，進(jìn)而影響安全決策的及時(shí)性，可能拖累業(yè)務(wù)發(fā)展節(jié)奏。二是崗位與人員方面，數(shù)據(jù)安全崗位職責(zé)不夠清晰，專(zhuān)職人員配備不足，且專(zhuān)業(yè)能力普遍有待提升，制約了安全制度的有效落地。三是技術(shù)防護(hù)方面，防護(hù)手段仍較多依賴單一的網(wǎng)絡(luò)安全工具，缺乏覆蓋數(shù)據(jù)全生命周期的多層次、聯(lián)動(dòng)式技術(shù)防護(hù)體系，整體防護(hù)手段健全性不足。

3. 數(shù)據(jù)安全的精細(xì)化建設(shè)不足

在金融業(yè)務(wù)場(chǎng)景持續(xù)精細(xì)化建設(shè)與運(yùn)營(yíng)過(guò)程中，現(xiàn)有數(shù)據(jù)安全機(jī)制在適配性、運(yùn)行效能及系統(tǒng)化建構(gòu)方面面臨明顯挑戰(zhàn)，安全運(yùn)營(yíng)體系的動(dòng)態(tài)化治理也難以有效落地。具體表現(xiàn)在以下方面：一是敏感數(shù)據(jù)識(shí)別難度大。金融數(shù)據(jù)類(lèi)型多樣且持續(xù)動(dòng)態(tài)變化，不同業(yè)務(wù)場(chǎng)景下的數(shù)據(jù)敏感度界定標(biāo)準(zhǔn)不一，加之異構(gòu)系統(tǒng)間的技術(shù)壁壘，導(dǎo)致敏感數(shù)據(jù)難以及時(shí)、準(zhǔn)確識(shí)別。二是統(tǒng)一保護(hù)策略實(shí)施困難。金融業(yè)務(wù)場(chǎng)景眾多，不同場(chǎng)景對(duì)數(shù)據(jù)安全的需求差異顯著。例如，支付清算場(chǎng)景中數(shù)據(jù)呈現(xiàn)高頻、實(shí)時(shí)流轉(zhuǎn)的特性，保護(hù)重點(diǎn)在于保障數(shù)據(jù)傳輸過(guò)程的加密性與完整性，防止交易信息被竊取或篡改；而在信貸審批場(chǎng)景中，涉及客戶財(cái)務(wù)狀況、信用記錄等核心敏感信息，則需建立嚴(yán)格的訪問(wèn)權(quán)限控制機(jī)制。三是全鏈路監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估能力不足。當(dāng)前，對(duì)敏感數(shù)據(jù)訪問(wèn)行為的全程監(jiān)測(cè)覆蓋不完整，難以及時(shí)發(fā)現(xiàn)數(shù)據(jù)惡意泄露、違規(guī)使用等安全風(fēng)險(xiǎn)，在數(shù)據(jù)安全事件溯源與合規(guī)風(fēng)險(xiǎn)研判方面也存在短板。四是應(yīng)急響應(yīng)機(jī)制尚不健全。金融數(shù)據(jù)安全事件影響面廣、危害性大，對(duì)事件的快速響應(yīng)與處置能力提出了更高要求，目前相應(yīng)的極速響應(yīng)與恢復(fù)機(jī)制仍較為欠缺。

4. 新興技術(shù)應(yīng)用帶來(lái)新的數(shù)據(jù)安全挑戰(zhàn)

隨著云計(jì)算、大數(shù)據(jù)、AI等新興技術(shù)在金融機(jī)構(gòu)持續(xù)深化與規(guī)模化應(yīng)用，傳統(tǒng)數(shù)據(jù)存儲(chǔ)與傳輸邊界被不斷打破，數(shù)據(jù)流動(dòng)的頻率和范圍顯著提升，給安全管控帶來(lái)更大難度。新技術(shù)與業(yè)務(wù)系統(tǒng)的深度融合，催生出接口調(diào)用、算法模型訓(xùn)練等復(fù)雜數(shù)據(jù)處理鏈路，使得傳統(tǒng)安全防護(hù)體系難以實(shí)現(xiàn)全面覆蓋。此外，部分機(jī)構(gòu)存在技術(shù)應(yīng)用與安全管理不同步的問(wèn)題，數(shù)據(jù)脫敏、訪問(wèn)控制等防護(hù)措施滯后于技術(shù)迭代的速度。同時(shí)，新興技術(shù)自身存在的漏洞風(fēng)險(xiǎn)，疊加外部攻擊手段的升級(jí)，進(jìn)一步增加了數(shù)據(jù)泄露、篡改等安全事件發(fā)生的可能性，給金融機(jī)構(gòu)數(shù)據(jù)安全管理帶來(lái)嚴(yán)峻考驗(yàn)。

二、金融機(jī)構(gòu)數(shù)據(jù)安全建設(shè)要求解讀

面對(duì)以上嚴(yán)峻形勢(shì)，金融行業(yè)管理部門(mén)審時(shí)度勢(shì)，陸續(xù)出臺(tái)多份數(shù)據(jù)安全建設(shè)規(guī)范，為從業(yè)機(jī)構(gòu)提供了明確的方向指引。

（一）上位法律框架持續(xù)完善，行業(yè)專(zhuān)項(xiàng)要求精準(zhǔn)落地

我國(guó)數(shù)據(jù)安全法治體系日益健全，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱“數(shù)據(jù)安全法”）、《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）構(gòu)成的“三駕馬車(chē)”，從國(guó)家層面確立了數(shù)據(jù)安全保護(hù)的基本原則、責(zé)任體系和懲戒機(jī)制，為金融行業(yè)數(shù)據(jù)安全管理提供了根本遵循。在此基礎(chǔ)上，金融監(jiān)管部門(mén)結(jié)合行業(yè)特性，逐步出臺(tái)細(xì)化行政管理辦法及配套標(biāo)準(zhǔn)規(guī)范，形成“上位法律+專(zhuān)項(xiàng)規(guī)制”的立體化監(jiān)管格局（如表1所示）。

表1 部分金融業(yè)數(shù)據(jù)安全相關(guān)政策文件匯總

（二）國(guó)家與金融領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)建設(shè)成效顯著

在法律框架指引下，國(guó)家與金融領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)建設(shè)同步推進(jìn)，形成了“國(guó)家標(biāo)準(zhǔn)打底、行業(yè)標(biāo)準(zhǔn)細(xì)化、團(tuán)體標(biāo)準(zhǔn)補(bǔ)充”的多層次標(biāo)準(zhǔn)體系。

在國(guó)家層面，《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）、《數(shù)據(jù)安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》（GB/T 45577-2025）等國(guó)家標(biāo)準(zhǔn)先后發(fā)布，明確了數(shù)據(jù)安全能力建設(shè)的通用要求和重要數(shù)據(jù)識(shí)別的統(tǒng)一方法，為金融機(jī)構(gòu)數(shù)據(jù)安全工作奠定了標(biāo)準(zhǔn)化基準(zhǔn)。

在金融行業(yè)層面，監(jiān)管部門(mén)針對(duì)行業(yè)數(shù)據(jù)密集、風(fēng)險(xiǎn)傳導(dǎo)性強(qiáng)等特點(diǎn)，組織制定了一系列專(zhuān)項(xiàng)標(biāo)準(zhǔn)規(guī)范。在數(shù)據(jù)分類(lèi)分級(jí)方面，形成了適配銀行、保險(xiǎn)以及支付等細(xì)分領(lǐng)域的分級(jí)指南，如《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》（JR/T 0197-2020）、《證券期貨業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)防控?cái)?shù)據(jù)分類(lèi)分級(jí)指引》（GB/T 42775-2023）等標(biāo)準(zhǔn)，明確了核心數(shù)據(jù)（如大額交易數(shù)據(jù)、關(guān)鍵客戶信息）、重要數(shù)據(jù)（如行業(yè)統(tǒng)計(jì)數(shù)據(jù)、信貸審批數(shù)據(jù)）的具體界定。在技術(shù)防護(hù)方面，出臺(tái)了數(shù)據(jù)脫敏、訪問(wèn)控制、加密存儲(chǔ)等關(guān)鍵技術(shù)的實(shí)施規(guī)范，要求與業(yè)務(wù)系統(tǒng)深度融合，如《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》（JR/T 0223—2021）等文件。在合規(guī)管理方面，制定了數(shù)據(jù)安全評(píng)估、審計(jì)監(jiān)督、應(yīng)急處置的操作流程，確保標(biāo)準(zhǔn)可落地、可校驗(yàn)，如《金融數(shù)據(jù)安全數(shù)據(jù)安全評(píng)估規(guī)范》等文件。同時(shí)，金融行業(yè)協(xié)會(huì)積極發(fā)揮自律作用，推動(dòng)團(tuán)體標(biāo)準(zhǔn)建設(shè)，推廣先進(jìn)經(jīng)驗(yàn)，形成了監(jiān)管標(biāo)準(zhǔn)與自律標(biāo)準(zhǔn)協(xié)同發(fā)力的良好局面。

（三）金融機(jī)構(gòu)數(shù)據(jù)安全能力體系建設(shè)緊迫性凸顯

當(dāng)前，多層次、多維度的法規(guī)標(biāo)準(zhǔn)體系已基本形成，但不同規(guī)制之間的銜接交叉，也對(duì)金融機(jī)構(gòu)的合規(guī)管理提出了更高要求。一方面，上層法律與行業(yè)辦法在責(zé)任劃分、處罰標(biāo)準(zhǔn)等方面需要進(jìn)一步銜接明確，跨境數(shù)據(jù)流動(dòng)、金融科技等新興業(yè)務(wù)場(chǎng)景的規(guī)則適用仍有待細(xì)化；另一方面，國(guó)家通用標(biāo)準(zhǔn)與行業(yè)專(zhuān)項(xiàng)標(biāo)準(zhǔn)的技術(shù)要求需要統(tǒng)籌落地，避免出現(xiàn)重復(fù)建設(shè)或合規(guī)缺口。在此背景下，金融機(jī)構(gòu)亟須加快構(gòu)建系統(tǒng)化、協(xié)同高效的數(shù)據(jù)安全能力體系，以應(yīng)對(duì)日趨復(fù)雜的多方監(jiān)管要求，實(shí)現(xiàn)合規(guī)與安全的有機(jī)統(tǒng)一。

三、金融機(jī)構(gòu)數(shù)據(jù)安全能力體系建設(shè)思路

金融業(yè)監(jiān)督管理部門(mén)高度重視數(shù)字化轉(zhuǎn)型工作，持續(xù)從管理體系、業(yè)務(wù)能力、數(shù)據(jù)能力、科技能力、風(fēng)險(xiǎn)防范能力提升等方面提出深化轉(zhuǎn)型的指導(dǎo)要求。基于現(xiàn)行法律法規(guī)、金融機(jī)構(gòu)數(shù)據(jù)安全建設(shè)實(shí)際，并參考國(guó)際研究經(jīng)驗(yàn)，信通院金融科技研究團(tuán)隊(duì)提出了“八維一體”的數(shù)據(jù)安全能力體系建設(shè)框架，即“定架構(gòu)—明職責(zé)—強(qiáng)能力—建制度—增防護(hù)—強(qiáng)運(yùn)營(yíng)—守合規(guī)—AI賦能”，旨在幫助金融機(jī)構(gòu)系統(tǒng)化解決當(dāng)前建設(shè)中存在的“梳理不全面、大而同、華而不實(shí)、難落地”等痛點(diǎn)。

（一）定架構(gòu)：重構(gòu)數(shù)據(jù)安全治理組織架構(gòu)

針對(duì)當(dāng)前各類(lèi)金融機(jī)構(gòu)在數(shù)據(jù)安全治理組織架構(gòu)方面存在的共性問(wèn)題，建議構(gòu)建“精致而簡(jiǎn)潔的數(shù)據(jù)安全治理組織”。該組織可由決策層、管理層、執(zhí)行層和監(jiān)督層四個(gè)層級(jí)構(gòu)成，各層級(jí)職責(zé)清晰、銜接順暢，并可適當(dāng)引入業(yè)務(wù)人員共同參與數(shù)據(jù)安全治理任務(wù)，實(shí)現(xiàn)協(xié)同管理與責(zé)任分擔(dān)。

（二）明職責(zé)：明確數(shù)據(jù)安全人員崗位職責(zé)

針對(duì)金融機(jī)構(gòu)數(shù)據(jù)安全人員職責(zé)不明確、各部門(mén)協(xié)調(diào)不順暢等問(wèn)題（如表2所示），機(jī)構(gòu)應(yīng)結(jié)合決策層、監(jiān)督層、技術(shù)部門(mén)、管理部門(mén)等不同層面的實(shí)際情況，明確各崗位職責(zé)與工作機(jī)制，落實(shí)人員與資源保障，從而降低因職責(zé)模糊帶來(lái)的安全風(fēng)險(xiǎn)。

表2 金融機(jī)構(gòu)數(shù)據(jù)安全人員現(xiàn)狀

（三）強(qiáng)能力：強(qiáng)化各層級(jí)人員數(shù)據(jù)安全相關(guān)能力

金融機(jī)構(gòu)應(yīng)系統(tǒng)加強(qiáng)數(shù)據(jù)安全人員的專(zhuān)業(yè)能力建設(shè)，通過(guò)制定提升計(jì)劃、廣泛開(kāi)展宣傳教育、組織定期培訓(xùn)與知識(shí)競(jìng)賽、鼓勵(lì)人員考取相關(guān)資格證書(shū)等措施，有效提升員工數(shù)據(jù)安全意識(shí)與專(zhuān)業(yè)能力。監(jiān)管部門(mén)近期處罰數(shù)量與金額的增加，也從側(cè)面反映出當(dāng)前部分機(jī)構(gòu)數(shù)據(jù)安全人員能力、意識(shí)及管理等方面仍存在提升空間。

（四）建制度：完善數(shù)據(jù)安全制度和實(shí)施細(xì)則

當(dāng)前，多數(shù)金融機(jī)構(gòu)已初步建立了數(shù)據(jù)安全管理制度，但制度覆蓋尚不完整，未能有效貫穿數(shù)據(jù)全生命周期。特別是在數(shù)據(jù)共享、跨境傳輸、第三方外包等環(huán)節(jié)，仍存在明顯的潛在風(fēng)險(xiǎn)。為此，建議金融機(jī)構(gòu)應(yīng)系統(tǒng)構(gòu)建四層數(shù)據(jù)安全制度文件體系，即一級(jí)文件為總體方針與策略；二級(jí)文件為規(guī)范、程序與管理辦法；三級(jí)文件為實(shí)施細(xì)則、操作手冊(cè)與指南；四級(jí)文件為相關(guān)清單與職責(zé)分工表單。調(diào)研顯示，超過(guò)90%的金融機(jī)構(gòu)已建立了針對(duì)數(shù)據(jù)收集和使用階段的安全管理制度，反映出在數(shù)據(jù)生命周期的早期階段對(duì)數(shù)據(jù)安全管理的高度重視。然而，在數(shù)據(jù)委托處理、共同處理、跨境流動(dòng)、公開(kāi)披露、轉(zhuǎn)移等環(huán)節(jié)，僅有約半數(shù)機(jī)構(gòu)建立了相應(yīng)的制度，表明這些環(huán)節(jié)的安全管理措施仍需進(jìn)一步加強(qiáng)。

（五）增防護(hù)：建設(shè)數(shù)據(jù)安全技術(shù)防護(hù)體系

目前，近四成金融機(jī)構(gòu)已建立內(nèi)部數(shù)據(jù)安全技術(shù)防護(hù)體系，但行業(yè)整體仍普遍面臨防護(hù)手段單一、創(chuàng)新能力不足、需求響應(yīng)不夠精準(zhǔn)等問(wèn)題。金融機(jī)構(gòu)應(yīng)一方面依托現(xiàn)有網(wǎng)絡(luò)安全防護(hù)能力，強(qiáng)化對(duì)數(shù)據(jù)安全的基礎(chǔ)技術(shù)防護(hù)；另一方面需積極擴(kuò)展面向數(shù)據(jù)流動(dòng)和數(shù)據(jù)資產(chǎn)的動(dòng)態(tài)防護(hù)能力，圍繞具體數(shù)據(jù)應(yīng)用場(chǎng)景，構(gòu)建覆蓋全面、響應(yīng)靈活的數(shù)據(jù)安全技術(shù)防護(hù)體系。

（六）強(qiáng)運(yùn)營(yíng)：構(gòu)建數(shù)據(jù)安全運(yùn)營(yíng)體系

針對(duì)當(dāng)前金融機(jī)構(gòu)數(shù)據(jù)安全運(yùn)營(yíng)平臺(tái)化程度不足、關(guān)鍵環(huán)節(jié)存在監(jiān)控缺失等問(wèn)題，亟須形成數(shù)據(jù)安全閉環(huán)運(yùn)營(yíng)體系。該體系建設(shè)路徑包括：規(guī)劃明確的數(shù)據(jù)安全運(yùn)營(yíng)目標(biāo)與策略，構(gòu)建安全運(yùn)營(yíng)指標(biāo)體系，進(jìn)行數(shù)據(jù)安全運(yùn)營(yíng)監(jiān)測(cè)，實(shí)施績(jī)效管理與持續(xù)改進(jìn)。同時(shí)，應(yīng)通過(guò)定義數(shù)據(jù)泄露率、漏洞修復(fù)率等量化指標(biāo)，設(shè)定監(jiān)測(cè)基線和閾值，建立異常響應(yīng)流程，定期開(kāi)展數(shù)據(jù)審計(jì)與分析，從而保障運(yùn)營(yíng)策略的持續(xù)優(yōu)化與有效落地。

（七）守合規(guī)：開(kāi)展數(shù)據(jù)安全各項(xiàng)合規(guī)評(píng)估

金融機(jī)構(gòu)掌握大量個(gè)人及機(jī)構(gòu)的敏感信息，一旦發(fā)生數(shù)據(jù)泄露，不僅會(huì)對(duì)投資者造成嚴(yán)重的經(jīng)濟(jì)損失，還可能引發(fā)市場(chǎng)波動(dòng)，影響金融穩(wěn)定。為此，人民銀行、國(guó)家金融監(jiān)管總局、證監(jiān)會(huì)等監(jiān)管部門(mén)對(duì)數(shù)據(jù)安全各項(xiàng)評(píng)估提出了明確要求，包括數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、個(gè)人信息保護(hù)影響評(píng)估、商用密碼應(yīng)用安全性評(píng)估等多個(gè)方面。重點(diǎn)金融機(jī)構(gòu)應(yīng)通過(guò)開(kāi)展數(shù)據(jù)安全能力成熟度評(píng)估（DSMM），系統(tǒng)衡量自身數(shù)據(jù)安全能力建設(shè)水平，持續(xù)提升合規(guī)管理與風(fēng)險(xiǎn)防控能力。

（八）AI賦能：人工智能驅(qū)動(dòng)的數(shù)據(jù)安全能力建設(shè)

當(dāng)前，AI在金融領(lǐng)域的深化應(yīng)用備受關(guān)注，其在數(shù)據(jù)安全能力建設(shè)方面可發(fā)揮重要作用。具體體現(xiàn)在以下方面：一是強(qiáng)化智能風(fēng)險(xiǎn)感知。依托智能算法，可對(duì)數(shù)據(jù)流轉(zhuǎn)全鏈路進(jìn)行實(shí)時(shí)監(jiān)測(cè)，通過(guò)多維度特征分析識(shí)別異常訪問(wèn)、數(shù)據(jù)泄露等潛在風(fēng)險(xiǎn)，將預(yù)警響應(yīng)時(shí)效從“事后處置”轉(zhuǎn)向“事前預(yù)判”。二是實(shí)現(xiàn)自適應(yīng)智能防護(hù)。針對(duì)不同級(jí)別數(shù)據(jù)自動(dòng)匹配加密、脫敏策略，實(shí)現(xiàn)攻擊行為的自動(dòng)化攔截與應(yīng)急處置。三是助力合規(guī)精準(zhǔn)管控。運(yùn)用AI技術(shù)，可輔助落實(shí)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律要求，自動(dòng)校驗(yàn)數(shù)據(jù)分類(lèi)分級(jí)合規(guī)性，協(xié)助完成全生命周期安全審計(jì)，降低人工操作偏差。通過(guò)AI與數(shù)據(jù)安全的深度融合，助力安全體系從被動(dòng)防御向主動(dòng)防控升級(jí)。

四、金融機(jī)構(gòu)深化數(shù)據(jù)安全能力建設(shè)策略建議

在構(gòu)建數(shù)據(jù)安全能力體系的基礎(chǔ)上，金融機(jī)構(gòu)需進(jìn)一步聚焦關(guān)鍵環(huán)節(jié)，持續(xù)深化數(shù)據(jù)安全工作的落實(shí)與完善。

一是持續(xù)開(kāi)展數(shù)據(jù)安全場(chǎng)景化治理。針對(duì)銀企直連、理財(cái)托管、監(jiān)管報(bào)送、跨境傳輸?shù)鹊湫蛨?chǎng)景，通過(guò)統(tǒng)一交換、標(biāo)簽溯源和加密審計(jì)機(jī)制，金融機(jī)構(gòu)實(shí)現(xiàn)跨系統(tǒng)數(shù)據(jù)共享的全程可控與可追溯，顯著提升數(shù)據(jù)流通安全性與合規(guī)透明度。

二是切實(shí)推進(jìn)數(shù)據(jù)分類(lèi)分級(jí)管控統(tǒng)一。金融數(shù)據(jù)涵蓋客戶資金信息、交易記錄、市場(chǎng)操作信息等多層級(jí)敏感內(nèi)容，類(lèi)型復(fù)雜且受?chē)?yán)格監(jiān)管，目前普遍存在分類(lèi)分級(jí)標(biāo)準(zhǔn)不一、執(zhí)行困難等問(wèn)題。具體包括：歷史系統(tǒng)元數(shù)據(jù)目錄不完整，導(dǎo)致數(shù)據(jù)較難存儲(chǔ)到數(shù)據(jù)庫(kù)中；研報(bào)、錄音與影像等非結(jié)構(gòu)化數(shù)據(jù)難以自動(dòng)識(shí)別；標(biāo)簽口徑不一致影響跨部門(mén)共享與聯(lián)合分析效率。

三是構(gòu)建安全與可追溯協(xié)同機(jī)制。金融數(shù)據(jù)敏感性強(qiáng)、關(guān)聯(lián)度高，需構(gòu)建安全與可追溯的協(xié)同機(jī)制。該機(jī)制應(yīng)覆蓋數(shù)據(jù)采集、存儲(chǔ)、使用、銷(xiāo)毀的全生命周期，以安全防護(hù)筑牢底線，以追溯機(jī)制實(shí)現(xiàn)全程留痕與責(zé)任可究。二者結(jié)合既能精準(zhǔn)滿足監(jiān)管要求，又有助于提升風(fēng)險(xiǎn)預(yù)判與處置能力，為金融數(shù)據(jù)安全合規(guī)與風(fēng)險(xiǎn)可控提供核心支撐。

四是強(qiáng)化非結(jié)構(gòu)化數(shù)據(jù)等“監(jiān)管灰區(qū)”治理。非結(jié)構(gòu)化數(shù)據(jù)廣泛分布于業(yè)務(wù)系統(tǒng)、終端與外包平臺(tái)中，目前普遍缺乏集中治理與分級(jí)保護(hù)。建議通過(guò)建設(shè)統(tǒng)一采集平臺(tái)、部署智能識(shí)別分級(jí)和防篡改歸檔機(jī)制，實(shí)現(xiàn)非結(jié)構(gòu)化數(shù)據(jù)“可識(shí)別、可管控、可追溯”的全周期治理，從而顯著提升此類(lèi)敏感數(shù)據(jù)的安全管理水平與合規(guī)保障能力。

（本文刊登于《中國(guó)信息安全》雜志2025年第12期）