大数跨境

四部门一起管网络安全了——征求意见稿来了,消保先搞懂三件事

四部门一起管网络安全了——征求意见稿来了,消保先搞懂三件事 观行咨询
2026-07-07
20
导读:四部门联合发布《金融业网络安全管理办法(征求意见稿)》共33条。观行用白话梳理与数据安全办法、AI指导意见的关系,以及谁该牵头、手机银行App要注意什么、「关键信息基础设施」额外多扛什么,附三张自查表

四部门一起管网络安全了——征求意见稿来了,消保先搞懂三件事


说明:本文依据 2026 年 7 月 3 日人民银行、金融监管总局、证监会、国家外汇管理局联合发布的《金融业网络安全管理办法(征求意见稿)》及起草说明整理,目前是征求意见稿,最终以正式文本为准;不构成法律意见。


7 月 3 日晚,上面四家一起发了《金融业网络安全管理办法(征求意见稿)》。

五章三十三条,不算厚。起草说明里有一句大白话值得贴墙:

别让网络安全的事,最后演变成金融风险。

翻译一下:系统被黑、App 带毒、核心网络停摆——客户取不了钱、买不了理财、登不上网银,最后投诉电话还是打到消保这里。网安不是科技部的「后台作业」,是全员相关。

观行 5 月写过数据安全新规施行近一年:银行消保与科技还要对的三张表,7 月初写过AI 不能「为新而新」了——金监总局 32 条,消保条线先抓哪几件事?。同事最常问:又来一部,重复吗?消保还要干啥?

不重复。这篇帮你把三件事捋清楚,再附三张表自查。


一、三部文件,别搞混

文件
谁发的
主要管啥
消保/一线记这个
央行数据安全办法
人民银行
客户数据能不能这样收、存、传
营销名单、催收导出、客服看手机号
金监AI指导意见
金融监管总局
大模型、智能客服
能不能这样上
生成内容要不要标识、训练能不能用身份证号
四部门网络安全办法(征)
四家联合
整套网络、系统、App
 能不能这样跑
等保、密码、手机银行下载页、核心系统

打个比方:

  • 数据安全办法管「资料柜里的文件怎么管」;

  • AI 文件管「新来的实习生(模型)能不能上岗」;

  • 网络安全办法管「整栋楼的水电网、大门、消防」——楼塌了,柜子和实习生一起完。

不是新文件取代旧文件,是叠图层。

00-TODO/金融服务消保自媒体/20260704_金融业网络安全管理办法/20260704_金融业网络安全管理办法_imgs/01-three-laws-layers-16x9.png

二、为啥四家联合发?三个信号

信号
说人话
核心系统要盯死
支付清算、证券交易这类「一停全停」的系统,要求会更严
检查可能「组团来」
金融监管部门 + 网信、公安、密码管理,别指望各审各的、对表各一套
出事按「大案」算
勒索病毒、供应链断供、长时间宕机——不只是 IT 事故,可能牵动金融稳定

7 月初的 AI 文件管「应用层」;这份管「地基」。地基不稳,模型再聪明也白搭。


三、33 条怎么读?按章节分工,别硬背

章节
讲啥
一般谁牵头
总则
适用范围、机构主体责任
董办、合规
保护义务
责任制、等保、密码、数据与个保、App 安全重点设施额外要求
科技 + 消保
监管协同
四部门怎么配合、信息共享
合规、办公室
法律责任
罚谁、移送谁
合规、法务
附则
名词解释、啥时候施行

重点看第二章。 普通银行、保险公司:第五条到第十四条都要对;如果被认定属于「金融业关键信息基础设施运营者」(下文简称「重点设施运营机构」,名单由四部门认定),还要再加第十五条到第十九条——多扛一截。


四、所有机构都要做的十件事

「金融从业机构」= 银行、保险、证券等机构,以及监管部门批准的其他机构。十条里和消保最近的:

主题
要求(白话)
消保为啥要关心
谁负责
必须明确网络安全负责人
不能墙上挂个人、出事找不到、平时说了不算
怎么管
有牵头部门、有钱有人、总分支职责写清楚
手机银行、网银、客服系统
开会要有消保席位
出事了咋办
监测、报告、应急预案
和投诉激增、客户进不来网点是同一套剧本
等保
定级、备案、测评、整改
网银、App 定级低了,检查会较真
密码
该用商用密码的地方要用
跟等保一起规划,别临时抱佛脚
网络数据
分类分级,防改、防漏、防乱用
跟央行数据安全办法一起查
个人信息
依法处理;鼓励用国家网络身份认证
跟个保专项治理一条线
信创
国产化替代也要管风险
换系统别换到客户办不了业务
违法内容
官网、社区、客服里发现违禁信息:立刻停、删、留记录、报告
公众号留言、App 社区别「发了就不管」
App 下载
提供 App 下载的,要查有没有恶意程序、违法内容
手机银行在应用商店的包
,也是合规对象

第十四条很多人第一次注意到:你自己提供 App 下载链接或商店页,就要做安全检测;发现问题要马上停下载、报主管部门

——所以:App 不只是产品体验,也是网络安全检查项。

00-TODO/金融服务消保自媒体/20260704_金融业网络安全管理办法/20260704_金融业网络安全管理办法_imgs/02-app-and-key-infrastructure-16x9.png

五、「重点设施运营机构」——多扛什么?

文件里的正式叫法是金融业关键信息基础设施运营者。简单说:被认定「一停就影响一大片」的核心金融系统,例如大型支付清算、核心交易类系统——具体名单四部门认定后通知机构。

如果你家不在名单上,这一节标「不适用」就行;如果在,除了上面十条,还要:

多出来的要求
说人话
一把手 + 首席网络安全官
主要负责人总负责;还要指定一位领导班子成员当首席网络安全官,每个重点设施再设一名安全管理责任人
专门安全管理机构
不是兼职两个人,要有专岗;关键岗位要做安全背景审查
供应链
买的网络产品、云服务,要报年度采购清单;该走网络安全审查的要报
每年至少评估一次
不只等保测评,还要查制度、数据与个保、风险监测、应急改进,整改情况要报
专项应急预案
定期演练;演练里最好有「客户进不来、电话打爆」怎么应对

别问科技「我们算重点设施吗」——名单下来之前就要有预案;等通知到了再立项,往往又排进「三年规划」队尾了。


六、检查会更「组团」

以后可能出现:金融监管部门来看资料,网信、公安、密码管理各管一摊;部门之间还共享安全事件、风险情报。

机构要配合检查、如实提供材料,不能拒绝、不能糊弄(第二十三条)。不配合,可能按《商业银行法》《保险法》《网络安全法》等多条法律追责——不只罚科技条线。

消保要有的心理准备:客户信息泄露、App 违规、拒不提供检查资料,合规和消保负责人也可能被问「履职到位没有」。


七、三张自查表(可转发行内)

表 1 · 治理与责任

序号
检查项
是 / 否
1
网络安全负责人是谁?有没有书面授权、能不能拍板?

2
总分支、子公司的网安职责写进制度了吗?

3
网安预算和人员有没有留痕?

4
手机银行、网银、客服系统安全会议,消保参加了吗?

5
网安应急预案和投诉、声誉预案打通了吗?

表 2 · 数据、个保与 App(消保重点)

场景
文件要求
常见坑
客户数据
分类分级,防泄露篡改
只做了央行数据安全,没对网络安全第十条
个人信息
依法处理
默认勾选、多要权限
官网/App 社区
违禁内容要停、要删、要留痕
用户发帖无人管
App 下载页
查恶意程序、违法信息
只测功能、不测安全
外包与云服务
重点设施机构要报采购清单
催收、营销 SaaS 没进台账

表 3 · 重点设施运营机构(不适用就整表跳过)

序号
检查项
是 / 否 / 不适用
1
是否收到或确认过「关键信息基础设施」认定?

2
首席网络安全官、各设施安全管理责任人是否到位?

3
关键岗位安全背景审查做了吗?

4
年度检测评估和整改报送按计划了吗?

5
网络产品、云服务年度采购清单报了吗?

00-TODO/金融服务消保自媒体/20260704_金融业网络安全管理办法/20260704_金融业网络安全管理办法_imgs/03-three-checklists-16x9.png

八、跟手头工作怎么接?

你已经在做的
这份文件多加什么
央行数据安全资源目录
加上网络安全第十条的数据分类分级
AI 应用清单
模型、云服务并进供应链评估
个保专项治理
第十一条一起推
9 月网络营销办法
App、公众号的违法信息处置(第十三条)
等保测评
重点设施机构:每年评估,范围更宽(第十八条)

接下来 90 天,建议这么排:

  1. 前 30 天:问清楚是不是重点设施机构;网络安全负责人和牵头部门写实;查手机银行 App 下载渠道

  2. 中间 30 天:数据、个保制度跟第十条、第十一条对一遍;外包和云服务摸家底  

  3. 后 30 天:该立项的评估、演练拉时间表;科技 + 消保 + 合规联合练一次「系统进不去、电话爆了」


九、写在最后

文件不长,信号不小:金融网络安全从「各家散规」变成「四部门一条线」。

消保不必变成安全工程师,但有三句要会跟业务、科技对齐:

  1. 数据、AI、网络安全不是三张皮——对表时要叠在一起看;  

  2. 手机银行 App 也是网络安全范围——不只是 UI 好不好看;  

  3. 核心系统机构要设首席网络安全官——网安已经写到「一把手」层面了。

还在征求意见,现在改制度比正式施行后再补作业便宜。


今日互动:你们手机银行 App 的下载页,做过恶意程序检测吗?知道自己家是不是「重点设施」名单里的吗?欢迎聊聊(可脱敏)。


观行咨询 · 银行保险消保与合规培训

#网络安全 #合规 #消保


参考与免责

  • 中国人民银行等四部门:《金融业网络安全管理办法(征求意见稿)》及起草说明(2026-07-03)。

  • 本文不构成法律意见;条文以正式发布稿及贵机构合规部门解释为准。

【声明】内容源于网络
0
0
观行咨询
内容 57
粉丝 0
观行咨询
总阅读240
粉丝0
内容57