大数跨境

数据安全新规施行近一年:银行消保与科技还要对的三张表

数据安全新规施行近一年:银行消保与科技还要对的三张表 观行咨询
2026-05-16
2
导读:《中国人民银行业务领域数据安全管理办法》已施行近一年。「谁管业务、谁管数据、谁管安全」落地后,银行消保、合规与科技条线最容易卡在哪?观行梳理三张对表清单,供自查。



数据安全新规施行近一年:银行消保与科技还要对的三张表

西安个人信息案、OpenClaw 泄露等事件一再说明:客户信息一旦失守,业务再漂亮也扛不住声誉与监管问责。与此同时,不少机构对《中国人民银行业务领域数据安全管理办法》(下称《办法》)的理解仍停在「科技部门的事」——分类分级做了、等保上了,但营销名单怎么收、委外催收数据怎么传、柜面能不能导出客户手机号,一线和合作方仍在灰色地带试探。

《办法》自 2025 年 6 月 30 日起施行,至今已近一年。观行在服务银行消保与合规培训时发现:最难的不是背条文,而是把「谁管业务、谁管业务数据、谁管数据安全」写进日常流程。 本文用三张「对表清单」,帮助消保、合规、科技条线快速自查。


一、先厘清:这部《办法》管什么、不管什么

适用范围:在境内开展与中国人民银行业务领域相关的数据处理活动——覆盖央行监管下的金融机构及经批准的其他机构。存款、贷款、支付、征信、外汇等日常业务产生的网络数据(不含国家秘密),都在范围内。

核心原则(《办法》第三条):谁管业务,谁管业务数据,谁管数据安全。 央行负指导监管责任;机构负保护义务,防范篡改、破坏、泄露或非法获取、利用。

与《个人信息保护法》的关系:个人信息保护仍是底线;《办法》在此基础上,把业务数据按敏感性可用性再细分,并对高敏感性数据项的收集、存储、使用、传输、提供设了更硬的「原则上禁止、例外须统一管理」规则——这是银行一线最容易踩雷的地方。

核心原则:三道责任链

二、第一张表:业务数据「家底」有没有摸清

《办法》要求建立业务数据资源目录,每年至少更新一次;对结构化数据项逐一标识敏感性,非结构化数据按可拆分部分的最高敏感性标识。

自查项
合规要点
常见缺口
资源目录
列清各信息系统数据项、是否个人信息、是否外部收集、关联业务类别
只有系统台账,没有到「数据项」粒度
敏感性分类
客户经营信息、应严格控制知悉范围的业务信息等标为高敏感性
一律标「一般」,导出、展示无差别
重要/核心数据
按国家规定识别、申报重要数据目录
未与网信办、央行重要数据目录衔接
责任人
重要数据处理者须明确安全负责人和管理机构
挂在科技部门,业务部门不参与

实务提示:消保部门应参与「哪些客户信息属于高敏感性」的认定——投诉处理、营销、外包催收涉及的字段,往往比科技部门的抽象分类更贴近真实风险。

第一张表:业务数据家底

三、第二张表:高敏感性数据「四条红线」一线是否遵守

《办法》对高敏感性数据项形成一套「默认从严」规则,机构若例外处理,须走统一规范管理(制度中集中列举例外情形、必要性、保护措施和内部审批)。

1. 收集

  • 除法定公开等情形外,须取得个人同意或组织授权并履行告知。

  • 从合作方(社区、企业、渠道)批量获取名单时,须核验来源合法、真实;不能要来的授权,不能要的名单(与近期西安案教训同构)。

2. 存储与使用

  • 高敏感性数据项原则上不在终端、移动介质存储;确需存储须统一规范管理。

  • 使用高敏感性数据原则上不导出;身份鉴别类数据原则上仅核验;对外展示原则上脱敏

3. 传输与提供

  • 原则上不用邮件、即时通讯、网盘传输高敏感性数据项。

  • 向其他机构提供时,合同须约定目的、范围、时限、安全义务;重要数据提供前须风险评估;不得拆分、转换规避出境评估等义务。

4. 委托与外包

  • 委托处理须纳入业务或信息科技外包管理体系;核心数据委托前须对受托人尽职调查。

  • 央行明确要求不得以外包形式开展的业务,相关业务数据不得委托处理——消保委外催收、营销导流等协议须逐条对照。

场景
风险动作
《办法》导向
客户经理用个人微信传客户资料
高敏数据非法传输
禁止或纳入统一例外审批
委外催收公司批量下载欠款明细
导出式提供高敏数据
原则上禁止导出,须核验或脱敏
营销部门从合作方拿「白名单」开户
收集环节授权缺失
核验来源合法性,留痕
开发测试用生产数据
未脱敏进测试环境
须审批并脱敏,除非保护措施完全一致
第二张表:高敏数据四条红线

四、第三张表:技术与管理措施是否「能证明、能追溯」

监管检查越来越看证据链,而不只看制度有没有。

领域
要求摘要
建议动作
账号与权限
特权账号使用场景明确,人工增删改须事前审批、事后审查;高敏账号宜多因素认证
季度权限复核,离职当日回收
日志留存
一般日志至少 6 个月;重要数据相关至少 1 年;核心数据相关至少 3 年
与等保、消保可回溯要求一并规划存储
存储与传输
高敏数据原则上加密存储、加密传输
与商用密码、等保三级/四级要求对齐
事件响应
发现风险须立即补救;发生安全事件须处置、告知、报告
与消保投诉、声誉预案联动演练
培训
每年组织参与数据处理人员培训
内容纳入消保、营销、外包管理岗必修

《办法》第五十二条明确:已按规定采取保护措施并立即补救的,可从轻或减轻处罚;积极提供风险情报、协助发现重大风险的,亦可从轻。这说明:合规投入是免责垫,不是成本黑洞。

第三张表:能证明能追溯

五、给管理层的三个落地建议

1. 消保与科技「双牵头」
数据安全不再是科技单线作战。消保负责客户信息场景识别、投诉与授权规则;科技负责系统控制;合规负责外包协议与风险评估——至少季度开一次「数据项级」联席会议。

2. 外包协议补一课
对照《办法》第二十一条至第二十八条,检查与催收、营销、技术服务商的合同:是否约定数据安全义务、是否禁止变相导出高敏数据、是否保留监督与终止权。

3. 用「统一规范管理」管住例外
一线确有导出、不脱敏展示等刚需的,不要默许「先干再说」,而应集中审批、留痕、定期评估——既满足业务,又经得起检查。


结语

个人信息保护与业务数据安全,已是银行消保的基础设施,而不是「出事后补救」的补丁。《办法》施行近一年,正是从「建制度」转向「查执行、堵漏洞」的窗口期。把上面三张表对一遍,往往比再开一场泛泛的培训更能发现问题。


互动:你们行业务数据资源目录做到数据项级了吗?高敏感性数据在营销、催收、客服三条线上,有没有仍在用导出或私人渠道传输的情况?欢迎分享落地经验或困惑。

观行咨询专注银行业管理培训与合规辅导,在消保体系建设、投诉处理、数据与个人信息合规、员工专项培训等方面为多家机构提供支持。若您需要《办法》宣贯、场景化演练或制度对标服务,欢迎与我们交流。

标签:#数据安全 #个人信息保护 #银行合规 #消保 #业务数据分类分级 #观行咨询 #外包管理

【声明】内容源于网络
0
0
观行咨询
内容 56
粉丝 0
观行咨询
总阅读169
粉丝0
内容56