在数字化变革时代，拥有庞杂、高价值数据资源的金融机构，面临数据安全挑战。

券商中国记者粗略统计，一年半以来，已有数十家银行收到有关数据安全管理不规范、侵犯客户个人隐私方面的通报和罚单，且多以区域银行为主。

明显的趋势是，监管“指挥棒”在逐年加力。近两年，从大众最为关注的银行APP过度搜集个人隐私信息，到银行数据运营管理不规范，银行在前述方面领罚单的数量逐渐增多，呈现严监管趋势。此外，有关数据安全的法律法规，以及监管规范文件逐步出台，形成了对金融机构数据安全规范管理的层层“紧箍咒”。

一方面，金融机构加强数据安全管理体系建设，适应被动合规；另一方面，随着，AI大模型在金融领域的应用，数据规模和使用场景的增多，数据安全保障体系更需进一步升级。

法律法规持续健全

近期，央行发布了《中国人民银行业务领域数据安全管理办法》（以下简称《办法》），自2025年6月30日起施行。

此次《办法》全面衔接了《中华人民共和国数据安全法》《网络数据安全管理条例》等，细化明确了中国人民银行业务领域数据安全合规底线要求，督促指导金融机构等合规开展数据处理活动、履行数据安全保护义务，保障个人、组织合法权益。

可以观察到，近两三年，数据安全领域法律法规在持续健全。就在上述《办法》发布前几个月，国家金融监督管理总局于2024年12月27日发布了《银行保险机构数据安全管理办法》（以下简称《数据安全管理办法》），从数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置等方面提出了多项要求。

《数据安全管理办法》明确数据安全归口管理部门，将数据安全风险纳入全面风险管理体系，要求银行保险机构开展相关数据处理活动时，应事先开展安全评估，建立数据安全保护基线等。

拉长时间线，2021年以来《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规陆续发布。此外，2020年以来，央行也陆续发布了《金融数据安全数据安全分级指南》《金融数据安全 数据生命周期安全规范》等监管规范文件，要求各机构做好数据安全分类分级和安全防护工作。

在此背景下，金杜律师事务所合规业务部管理合伙人宁宣凤等撰文认为，落入国家金融监督管理总局监管范畴的相关主体（如商业银行等），涉及开展银行间市场业务、金融业综合统计业务、支付清算业务、征信业务、反洗钱业务等中国人民银行业务领域业务并开展数据处理活动的，或将面临交叉监管态势。

一系列有关数据安全法律法规的发布，缘于银行等金融机构的数据安全管理面临新形势挑战。毕马威发布的《2025年中国银行业展望报告》提到，金融机构面临日益严重的网络威胁，如勒索软件、网络钓鱼攻击、数据泄露等，金融数据安全成为国家安全的新战场，金融机构需体系化、综合化强化自身的网络安全与数据安全。

银行APP频因隐私违规被点名

个人信息保护是银行数据安全领域重要的一部分。前述《数据安全管理办法》单独设置了“个人信息保护”章节，以进一步落实《数据安全法》《个人信息保护法》等上位法要求，体现保护消费者信息和权益的政策导向。

而过度收集个人信息，一直以来都是银行APP被通报最多的违规情况。

今年4月中旬，国家网络与信息安全信息通报中心通报，经检测，有67款移动应用存在违法违规收集使用个人信息情况，其中就包括了《兰州银行企业版》《甘肃银行》《张家口银行》，以及《武清村镇银行》《村镇银行（福建农商）》《阳光村镇银行》《云端金融》等银行APP。此外，上述通报中还有捷信消费金融有限公司旗下的APP《捷信金融》，山西证券旗下的APP《汇通启富》等其他金融消费类和证券类金融APP。

另外，国家计算机病毒应急处理中心还在2025年1月、2月份的通报中，提及了天水秦州村镇银行APP、乐山商业银行APP存在隐私不合规行为等。

实际上，2024年已有至少30家银行的APP被通报或因违反信用信息采集等问题被监管部门罚款。

一部分是江苏、河北、内蒙古、湖北、广东等地区的通信管理局对区域内的银行APP进行通报，涉及银行包括江阴银行、昆山农商行、苏农商行、长江商业银行、无锡银行、唐山银行、湖北银行、湖北省农村信用社联合社、东莞农商行以及喀喇沁玉龙村镇银行等。

另外，去年国家计算机病毒应急处理中心通报了《甘肃农信》《中德银行》《天津农商银行》等银行APP。

除此之外，四川地区的自贡农商行、达州银行、成都双流诚民村镇银行、隆昌农商行，以及吉林省的农安农商行、北银村镇银行等银行，因违反信用信息采集等相关管理规定而被央行罚款。

总结而言，上述银行APP隐私侵权常见于存在超范围或违规收集个人信息的情况，以及强制、频繁、过度索取权限等问题。如上述通报中常见的描述：“APP在未经用户同意且无合理使用场景下，存在频繁自启动或关联启动的行为。”

个人信息在金融机构数据中属于敏感信息，针对个人信息保护，《数据安全管理办法》规定银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息。处理、共享和对外提供个人信息时，应当履行必要的告知义务，并取得必要同意。委托第三方处理个人信息时，应明确受托人对个人信息保护义务、保护措施和期限等。

监管“指挥棒”加力

根据央行行政处罚信息，券商中国记者粗略梳理，2025年以来，已有湖南平江农商行、国泰世华银行（中国）、高平市太行村镇银行、大方富民村镇银行、乾县中银富登村镇银行、中信银行日照分行以及江苏涟水农商行等银行，因数据安全管控不足等多项违法行为而“吃罚单”。

上述银行涉及数据安全的违法行为包括：敏感数据安全管理不到位、数据处理活动风险监测不到位、数据安全保障措施不到位，或是未及时处置数据安全漏洞风险、未制定网络安全事件应急预案，或是存在网络安全技术措施不到位，未采取必要的防计算机病毒技术措施等。

如央行毕节市分行于3月中旬发布的行政处罚信息显示，大方富民村镇银行因“向金融信用信息基础数据库提供个人不良信息，未事先告知信息主体本人；未制定内部安全操作规程；未采取有效措施防范计算机病毒、网络攻击和网络侵入；未明确数据安全负责人和管理机构，未落实数据安全保护责任；未及时处置数据安全漏洞风险；未向有关主管部门报送风险评估报告且数据安全管理风险评估报告要素不全”等多项违法行为，被警告并被罚款近60万元。

与全国性银行相比，以区域银行为代表的中小银行仍在数据安全体系建设、管理运营和人才储备方面存在较大的差距。进而，在组织架构和战略意识方面落后于大中型银行，比如数据治理和数据安全工作的牵头部门并未明确，或级别较低。

“众多小规模的商业银行数据安全管理仍停留在原有信息安全的管理思路上，数据安全职责分工不清晰，被动按照监管要求，硬性制定数据分级标准，但缺乏落地性，基于生命周期的数据安全管控严重落地不充分。”毕马威发布的《2025年中国银行业展望报告》显示。

与此相比，上述报告显示，大型国有商业银行大多目前已经具备较为体系化的数据安全管理模式，行内相关部门各司其职，在原有较好的数据治理以及风险管理的基础上，形成了业务参与，三道防线各司其职的管理模式。部分城商行已经着手从数据安全的体系化建设的角度开展数据安全工作。

券商中国记者注意到，不少的银行在调整组织架构，适应新的数据安全管理规范。如浦发银行于2024年调整公司组织架构，在总行设立一级部门数据管理部，牵头企业级数据管理，统筹数据安全，并将信息科技部改为科技发展部。

此外，已有中小银行开始采取行动，提高相关战略地位，并成立专属部门。如兰州银行于2024年11月中旬，其董事会审议通过了《关于设立金融科技和数字化管理委员会的议案》。2024年年报显示，兰州银行完善了组织架构，成立了网络和数据安全领导小组。

责编：杨喻程

排版：刘珺宇‍‍‍‍‍‍‍‍‍

校对：姚远‍‍‍

违法和不良信息举报电话：0755-83514034

邮箱：bwb@stcn.com

‍‍‍‍‍