随着银行业数字化的快速发展，新技术与新业态层出不穷，金融领域的数据安全风险日益严峻，给银行金融机构的信息数据安全管理带来了前所未有的挑战。在此背景下，2024年12月27日，国家金融监督管理总局正式发布了《银行保险机构数据安全管理办法》（以下简称《办法》），旨在通过一系列管理和技术措施，强化银行金融机构的数据安全保护，确保客户信息和金融交易数据的安全。

《办法》的出台，不仅体现了监管部门对金融机构信息数据安全的高度重视，也反映了当前金融消费者权益保护中“个人信息保护”的紧迫性。近年来，多家银行金融机构因数据安全管理问题被罚，问题主要集中在信息收集和信息管理两大方面。其中，信息数据管理可通过制度建设和内控机制等加以解决，但过度收集客户信息却成为银行金融机构难以逾越的障碍。

针对这一“雷区”，《办法》明确要求银行保险机构在处理个人信息时，应遵循“明确告知、授权同意”的原则，并仅限于实现金融业务处理目的的最小范围，严禁过度收集个人信息。例如，客户的姓名、指纹、脸部图像等基本信息属于办理业务所必需，而年龄、学历、地理位置等信息则可能不属于处理业务目的的范围。

然而，在信息化时代，银行风控作为业务的重要一环，需要借助大模型进行客户精准画像。客户画像的精准度取决于客户所提供的信息量，但信息数据安全保护又要求最大程度限制信息收集范围，这在一定程度上产生了矛盾。因此，银行内部正在完善机制，防止过度收集客户信息，并通过做减法的方式解决问题。同时，《办法》还提出，国家金融监督管理总局将制定银行业保险业重要数据目录，监督指导银行保险机构开展数据分类分级管理和数据保护。

此外，《办法》相比此前规定更加细化，并落实了权责分明。新规要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。随着数据加工、数据转移、数据跨境等场景的增多，保障数据安全面临新的要求。《办法》还提出，银行保险机构应建立数据安全隔离的“防火墙”，构建覆盖数据全生命周期和应用场景的安全保护机制，并开展数据安全风险评估、监测与处置。

值得注意的是，近一年来，多家银行因收集客户信息问题被罚或被点名整改。例如，江苏省通信管理局发布的通报中，涉及多家农商银行存在“违规收集个人信息；超范围收集个人信息；App强制、频繁、过度索取权限”等问题。此外，国家计算机病毒应急处理中心也通报了多款违规移动应用，其中涉及甘肃农信App等存在隐私政策难以访问、处理敏感个人信息未取得个人单独同意等问题。

国家金融监督管理总局有关负责人表示，《办法》的主要特点包括落实数据安全责任制、明确数据安全归口管理部门、将数据安全风险纳入全面风险管理体系、强化数据安全评估、建立数据安全保护基线等。这些举措旨在通过有效的管理和技术措施，加强数据安全保护，确保客户信息和金融交易数据的安全。