数据安全新规施行近一年:银行消保与科技还要对的三张表
西安个人信息案、OpenClaw 泄露等事件一再说明:客户信息一旦失守,业务再漂亮也扛不住声誉与监管问责。与此同时,不少机构对《中国人民银行业务领域数据安全管理办法》(下称《办法》)的理解仍停在「科技部门的事」——分类分级做了、等保上了,但营销名单怎么收、委外催收数据怎么传、柜面能不能导出客户手机号,一线和合作方仍在灰色地带试探。
《办法》自 2025 年 6 月 30 日起施行,至今已近一年。观行在服务银行消保与合规培训时发现:最难的不是背条文,而是把「谁管业务、谁管业务数据、谁管数据安全」写进日常流程。 本文用三张「对表清单」,帮助消保、合规、科技条线快速自查。
一、先厘清:这部《办法》管什么、不管什么
适用范围:在境内开展与中国人民银行业务领域相关的数据处理活动——覆盖央行监管下的金融机构及经批准的其他机构。存款、贷款、支付、征信、外汇等日常业务产生的网络数据(不含国家秘密),都在范围内。
核心原则(《办法》第三条):谁管业务,谁管业务数据,谁管数据安全。 央行负指导监管责任;机构负保护义务,防范篡改、破坏、泄露或非法获取、利用。
与《个人信息保护法》的关系:个人信息保护仍是底线;《办法》在此基础上,把业务数据按敏感性和可用性再细分,并对高敏感性数据项的收集、存储、使用、传输、提供设了更硬的「原则上禁止、例外须统一管理」规则——这是银行一线最容易踩雷的地方。
二、第一张表:业务数据「家底」有没有摸清
《办法》要求建立业务数据资源目录,每年至少更新一次;对结构化数据项逐一标识敏感性,非结构化数据按可拆分部分的最高敏感性标识。
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
实务提示:消保部门应参与「哪些客户信息属于高敏感性」的认定——投诉处理、营销、外包催收涉及的字段,往往比科技部门的抽象分类更贴近真实风险。
三、第二张表:高敏感性数据「四条红线」一线是否遵守
《办法》对高敏感性数据项形成一套「默认从严」规则,机构若例外处理,须走统一规范管理(制度中集中列举例外情形、必要性、保护措施和内部审批)。
1. 收集
-
除法定公开等情形外,须取得个人同意或组织授权并履行告知。
-
从合作方(社区、企业、渠道)批量获取名单时,须核验来源合法、真实;不能要来的授权,不能要的名单(与近期西安案教训同构)。
2. 存储与使用
-
高敏感性数据项原则上不在终端、移动介质存储;确需存储须统一规范管理。
-
使用高敏感性数据原则上不导出;身份鉴别类数据原则上仅核验;对外展示原则上脱敏。
3. 传输与提供
-
原则上不用邮件、即时通讯、网盘传输高敏感性数据项。
-
向其他机构提供时,合同须约定目的、范围、时限、安全义务;重要数据提供前须风险评估;不得拆分、转换规避出境评估等义务。
4. 委托与外包
-
委托处理须纳入业务或信息科技外包管理体系;核心数据委托前须对受托人尽职调查。
-
央行明确要求不得以外包形式开展的业务,相关业务数据不得委托处理——消保委外催收、营销导流等协议须逐条对照。
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
四、第三张表:技术与管理措施是否「能证明、能追溯」
监管检查越来越看证据链,而不只看制度有没有。
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
《办法》第五十二条明确:已按规定采取保护措施并立即补救的,可从轻或减轻处罚;积极提供风险情报、协助发现重大风险的,亦可从轻。这说明:合规投入是免责垫,不是成本黑洞。
五、给管理层的三个落地建议
1. 消保与科技「双牵头」
数据安全不再是科技单线作战。消保负责客户信息场景识别、投诉与授权规则;科技负责系统控制;合规负责外包协议与风险评估——至少季度开一次「数据项级」联席会议。
2. 外包协议补一课
对照《办法》第二十一条至第二十八条,检查与催收、营销、技术服务商的合同:是否约定数据安全义务、是否禁止变相导出高敏数据、是否保留监督与终止权。
3. 用「统一规范管理」管住例外
一线确有导出、不脱敏展示等刚需的,不要默许「先干再说」,而应集中审批、留痕、定期评估——既满足业务,又经得起检查。
结语
个人信息保护与业务数据安全,已是银行消保的基础设施,而不是「出事后补救」的补丁。《办法》施行近一年,正是从「建制度」转向「查执行、堵漏洞」的窗口期。把上面三张表对一遍,往往比再开一场泛泛的培训更能发现问题。
互动:你们行业务数据资源目录做到数据项级了吗?高敏感性数据在营销、催收、客服三条线上,有没有仍在用导出或私人渠道传输的情况?欢迎分享落地经验或困惑。
观行咨询专注银行业管理培训与合规辅导,在消保体系建设、投诉处理、数据与个人信息合规、员工专项培训等方面为多家机构提供支持。若您需要《办法》宣贯、场景化演练或制度对标服务,欢迎与我们交流。
标签:#数据安全 #个人信息保护 #银行合规 #消保 #业务数据分类分级 #观行咨询 #外包管理

