四部门一起管网络安全了——征求意见稿来了,消保先搞懂三件事
说明:本文依据 2026 年 7 月 3 日人民银行、金融监管总局、证监会、国家外汇管理局联合发布的《金融业网络安全管理办法(征求意见稿)》及起草说明整理,目前是征求意见稿,最终以正式文本为准;不构成法律意见。
7 月 3 日晚,上面四家一起发了《金融业网络安全管理办法(征求意见稿)》。
五章三十三条,不算厚。起草说明里有一句大白话值得贴墙:
别让网络安全的事,最后演变成金融风险。
翻译一下:系统被黑、App 带毒、核心网络停摆——客户取不了钱、买不了理财、登不上网银,最后投诉电话还是打到消保这里。网安不是科技部的「后台作业」,是全员相关。
观行 5 月写过数据安全新规施行近一年:银行消保与科技还要对的三张表,7 月初写过AI 不能「为新而新」了——金监总局 32 条,消保条线先抓哪几件事?。同事最常问:又来一部,重复吗?消保还要干啥?
不重复。这篇帮你把三件事捋清楚,再附三张表自查。
一、三部文件,别搞混
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
大模型、智能客服
|
|
|
|
|
整套网络、系统、App
|
|
打个比方:
-
数据安全办法管「资料柜里的文件怎么管」;
-
AI 文件管「新来的实习生(模型)能不能上岗」;
-
网络安全办法管「整栋楼的水电网、大门、消防」——楼塌了,柜子和实习生一起完。
不是新文件取代旧文件,是叠图层。
二、为啥四家联合发?三个信号
|
|
|
|---|---|
| 核心系统要盯死 |
|
| 检查可能「组团来」 |
|
| 出事按「大案」算 |
|
7 月初的 AI 文件管「应用层」;这份管「地基」。地基不稳,模型再聪明也白搭。
三、33 条怎么读?按章节分工,别硬背
|
|
|
|
|---|---|---|
|
|
|
|
| 保护义务 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
重点看第二章。 普通银行、保险公司:第五条到第十四条都要对;如果被认定属于「金融业关键信息基础设施运营者」(下文简称「重点设施运营机构」,名单由四部门认定),还要再加第十五条到第十九条——多扛一截。
四、所有机构都要做的十件事
「金融从业机构」= 银行、保险、证券等机构,以及监管部门批准的其他机构。十条里和消保最近的:
|
|
|
|
|---|---|---|
| 谁负责 |
|
|
| 怎么管 |
|
手机银行、网银、客服系统
|
| 出事了咋办 |
|
|
| 等保 |
|
|
| 密码 |
|
|
| 网络数据 |
|
|
| 个人信息 |
|
|
| 信创 |
|
|
| 违法内容 |
|
|
| App 下载 |
|
手机银行在应用商店的包
|
第十四条很多人第一次注意到:你自己提供 App 下载链接或商店页,就要做安全检测;发现问题要马上停下载、报主管部门。
——所以:App 不只是产品体验,也是网络安全检查项。
五、「重点设施运营机构」——多扛什么?
文件里的正式叫法是金融业关键信息基础设施运营者。简单说:被认定「一停就影响一大片」的核心金融系统,例如大型支付清算、核心交易类系统——具体名单四部门认定后通知机构。
如果你家不在名单上,这一节标「不适用」就行;如果在,除了上面十条,还要:
|
|
|
|---|---|
| 一把手 + 首席网络安全官 |
|
| 专门安全管理机构 |
|
| 供应链 |
|
| 每年至少评估一次 |
|
| 专项应急预案 |
|
别问科技「我们算重点设施吗」——名单下来之前就要有预案;等通知到了再立项,往往又排进「三年规划」队尾了。
六、检查会更「组团」
以后可能出现:金融监管部门来看资料,网信、公安、密码管理各管一摊;部门之间还共享安全事件、风险情报。
机构要配合检查、如实提供材料,不能拒绝、不能糊弄(第二十三条)。不配合,可能按《商业银行法》《保险法》《网络安全法》等多条法律追责——不只罚科技条线。
消保要有的心理准备:客户信息泄露、App 违规、拒不提供检查资料,合规和消保负责人也可能被问「履职到位没有」。
七、三张自查表(可转发行内)
表 1 · 治理与责任
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表 2 · 数据、个保与 App(消保重点)
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
| App 下载页 |
|
|
|
|
|
|
表 3 · 重点设施运营机构(不适用就整表跳过)
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
八、跟手头工作怎么接?
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
接下来 90 天,建议这么排:
-
前 30 天:问清楚是不是重点设施机构;网络安全负责人和牵头部门写实;查手机银行 App 下载渠道
-
中间 30 天:数据、个保制度跟第十条、第十一条对一遍;外包和云服务摸家底
-
后 30 天:该立项的评估、演练拉时间表;科技 + 消保 + 合规联合练一次「系统进不去、电话爆了」
九、写在最后
文件不长,信号不小:金融网络安全从「各家散规」变成「四部门一条线」。
消保不必变成安全工程师,但有三句要会跟业务、科技对齐:
-
数据、AI、网络安全不是三张皮——对表时要叠在一起看;
-
手机银行 App 也是网络安全范围——不只是 UI 好不好看;
-
核心系统机构要设首席网络安全官——网安已经写到「一把手」层面了。
还在征求意见,现在改制度比正式施行后再补作业便宜。
今日互动:你们手机银行 App 的下载页,做过恶意程序检测吗?知道自己家是不是「重点设施」名单里的吗?欢迎聊聊(可脱敏)。
观行咨询 · 银行保险消保与合规培训
参考与免责
-
中国人民银行等四部门:《金融业网络安全管理办法(征求意见稿)》及起草说明(2026-07-03)。
-
本文不构成法律意见;条文以正式发布稿及贵机构合规部门解释为准。

