对于掌握庞大数据资源的银行业而言，数据安全不仅是业务稳健运行的基石，更是合规风险管理的核心要素。为规范银行业与保险业的数据处理活动，金融监管总局近期颁布了《银行保险机构数据安全管理办法》（以下简称《办法》），该《办法》详细阐述了数据安全相关部门的职责划分，着重强调了数据分类分级管理以及个人信息保护的重要性。

随着银行业数字化转型的深化，数据已与各项银行业务深度融合。然而，银行在数据使用方面的违规行为也时有发生，多次引发监管机构的处罚。为应对这一挑战，多家银行已采取行动，包括加强数据分类分级管理、提升数据安全风险监测能力等。分析人士认为，《办法》的出台为数据安全管理提供了明确的思路，将引导银行机构进一步完善数据治理，提升数据管理水平。

细化数据分类分级，筑牢安全防线

鉴于金融数据的高价值和高敏感性，为确保客户信息和金融交易数据的安全，《办法》明确了数据安全归口管理部门、数据安全技术保护部门以及风险合规与审计部门的职责分工，并与数据分类分级、数据安全管理、数据安全技术保护、数据安全风险监测与处置等工作紧密对应。

在数据分类分级方面，《办法》要求银行保险机构对业务经营管理中产生的数据进行分类管理，将数据按照重要性和敏感程度分为核心、重要、一般三个级别，并进一步将一般数据细分为敏感数据和其他一般数据，采取差异化的安全保护措施。同时，《办法》还规定，当数据的业务属性、重要程度和可能造成的危害程度发生变化时，机构应及时调整数据的安全级别。

知名经济学者盘和林指出，数据分类分级管理的实施，能够针对不同级别和敏感性的数据采取差异化的安全保护措施，从而提高数据管理的针对性和有效性。为提高数据分类分级的准确性，银行需完善相关标准和流程，加强数据管理使用人员的培训，并定期对分类分级工作进行复核。

在数据使用过程中，个人信息安全保护成为管理的重中之重。近年来，银行App未经用户同意违规或超范围收集个人信息的情况屡见不鲜。为此，《办法》特别设置了“个人信息保护”章节，要求银行保险机构按照“明确告知、授权同意”的原则处理个人信息，以金融业务处理的最小范围收集个人信息，并在共享和向外部提供个人信息时履行告知及取得同意的义务。

盘和林认为，《办法》的出台，首先明确了金融机构数据管理部门的职责分工，将有效提高银行保险机构数据安全管理的质量。其次，通过强化数据分类分级管理，有助于银行建立完善的数据安全体系。最后，加强了个人信息保护，落实了相关法律法规的要求，使法律要求更加具象化、具体化，便于金融机构执行。

探索数据安全自主化管理路径

随着银行业数字化转型的深入推进，数据已与银行业务深度融合。银行深挖数据价值，赋能业务发展。然而，随着行业对数据的依赖不断增加，数据安全风险也日益凸显。

为应对这一挑战，多家银行通过实施数据安全分类分级、加强数据安全风险监测、建立个人信息保护体系等措施，不断强化数据安全管理。例如，工商银行启动集团数据安全分类分级工作，从多个层面实施数据全生命周期安全防护；中国银行在金融行业内首批通过国家数据安全管理认证，持续加强客户信息保护和数据安全风险监测；招商银行则建立了全域个人信息保护体系，确保个人信息采集合法，并采取大量数据脱敏工作，保证内部数据为业务发展所用。

尽管银行在数据安全管理方面取得了积极进展，但仍不乏违规行为。例如，交通银行、湖北银行、山西农村商业联合银行等因数据安全管理不足或存在风险隐患而被监管处罚。盘和林指出，银行数据量大、种类多，管理难度大。同时，基层人员众多，违规操作和滥用较难管控。此外，外部攻击也是不容忽视的潜在风险。因此，银行应完善数据安全技术，以技术围墙保护数据，同时完善数据安全管理制度，如数据调用需权限、数据查询需留痕等。此外，还应定期对数据安全风险进行评估，预判数据风险。

分析人士认为，随着《办法》的印发，银行数据安全管理将更加有章可循。银行机构应对照规则，进一步探索数据安全自主化管理方案。素喜智研高级研究员苏筱芮表示，《办法》为银行保险机构建立健全数据安全管理机制、落实人员职责分工等合规工作提供了有益参考。后续机构将依规完善数据治理，不断提升数据管理水平。

盘和林建议，银行应主动与监管部门合作，建立联合金融数据监管系统，并在实践中不断探索数据安全的自主化方案。同时，将数据安全案例整理成手册，在机构内部进行普及，以提升全员的数据安全意识。

（文章来源：北京商报）