本文共字，预计阅读时间。

近年来，银行APP违规收集客户信息现象频发，引起了社会层面的关注。2024年12月27日，国家金融监督管理总局制定并发布了《银行保险机构数据安全管理办法》（以下简称《办法》），旨在通过强化管理和技术措施，确保客户信息和金融交易数据的安全。《办法》的发布不仅为银行业金融机构的数据安全管理提供了明确指导，也为整个行业的健康发展奠定了基础。

一、《办法》的出台背景

（一）数字化变革与数据合作共享

随着银行业和保险业的数字化进程加快，数据合作共享变得日益频繁。金融数据因其高度的价值和敏感性，直接关联着国家安全及金融消费者的切身利益。面对复杂严峻的数据安全风险形势，如何有效保护金融交易数据和金融交易者的信息成为重要课题。

（二）数据安全挑战与监管需求

据不完全统计，在2024年就有超过25家银行因移动应用违规收集个人信息等问题被通报，这表明即使在高度规范化的金融市场中，仍存在机构未能充分遵守数据保护规定的情况。这不仅损害了消费者的信任，也威胁到了金融系统的稳定性。因此，强化政策要求以引导银行保险机构落实主体责任，采取有效的管理和技术措施加强数据安全保护显得尤为迫切。

（三）政策指导思想与目标

在推进金融工作的进程中，必须坚持其政治性和人民性两大基本原则。通过强化监管、防范风险以及促进高质量发展作为核心策略，旨在充分发挥保险业在经济中的减震作用和社会稳定器的功能。

具体来说，到2029年，我们期望构建一个覆盖面逐渐扩大、保障机制全面且服务质量持续优化的保险业高质量发展模式。这意味着保险服务将更加普及，能够覆盖更广泛的社会群体；同时，保障措施也将更为完善，确保每一位公民都能享受到应有的权益保护。

（四）监管体系的完善与发展

《办法》作为国家金融监督管理总局成立后的第一部数据安全立法，旨在与《数据安全法》等法律法规相衔接，体现了"金融等主管部门承担本行业、本领域数据安全监管职责"的上位要求。同时，《办法》相较于之前的相关法规，展示了监管要求及方式上的差异性，并采取了"主体监管"的监管方式，对所有类型的金融机构采用统一的监管标准，确保监管全覆盖、无例外，牢牢守住不发生系统性风险的底线。

二、解读《办法》主要内容

（一）落实数据安全责任制

《办法》划分了银行保险机构内部各级管理层的数据安全管理职责。高层领导（党委或董（理）事会）承担主体责任，负责整体策略和资源配置；主要负责人作为第一责任人，制定数据安全战略并审批重大决策；分管领导直接负责执行和监督政策实施。这种分层管理增强了数据安全意识，并促进了部门间的协作。

（二）明确数据安全归口管理部门

《办法》要求，各银行保险机构需指定专门部门负责数据安全事务。该部门不仅制定管理制度标准，确保操作规范，还建立和维护数据目录，推动数据分类分级保护，并组织风险监测、预警及处置活动。此外，它与其他业务部门紧密合作，促进信息共享和技术交流，提升整体数据安全保障能力。

（三）将数据安全风险纳入全面风险管理体系

《办法》强调，数据安全风险管理应融入金融机构的整体风险管理体系。定期进行数据安全评估，识别威胁并制定防范措施。内控合规和审计部门需对数据安全状况进行检查和审计，提出改进建议并跟踪整改情况，以预防数据破坏、泄露等事件，保障数据安全。

（四）强化数据安全评估

《办法》指出，对涉及敏感信息的数据处理活动，须事先进行安全评估。评估涵盖数据处理目的、性质和范围，分析风险及其对个人权益的影响，评价数据处理的必要性、合规性和防控措施的有效性。此前瞻性管理方式有助于提前化解潜在风险，增强数据处理的安全性和可靠性。

（五）建立数据安全保护基线

《办法》规定，将数据纳入网络安全等级保护，特别针对存放或传输敏感级及以上数据的机房设施实行重点防护。采用加密技术和严格的访问控制规则，在数据全生命周期中采取有效措施，确保数据的完整性、保密性和可用性。

三、金融APP如何避免风险挑战——基于《办法》视角

《办法》强调了数据安全责任制、归口管理、全面风险管理等关键要素，提供了明确的方向和框架。在实际操作中，将这些宏观要求转化为具体的实践措施十分重要。对于问题频出的金融APP，可以从以下三个方面入手，以切实提升数据安全水平，保护用户权益：

（一）加强技术保护

根据《办法》的精神，金融APP开发者应采用先进的加密技术，如SSL/TLS协议和AES加密算法，确保客户数据在传输和存储过程中的安全性。此外，APP也应该定期更新软件版本以修复已知的安全漏洞。除了软件层面的防护外，《办法》还强调了加强IT基础设施的安全防护，例如配置防火墙、入侵检测系统等，并对第三方服务提供商进行严格的安全审查和监管，确保其符合相应的安全标准和要求。

（二）完善管理制度

按照《办法》的规定，金融机构需建立健全的数据安全管理制度和操作规程，明确数据生命周期各个阶段（采集、存储、加工、传输、披露）的安全责任和要求。设立专门的数据安全管理机构或岗位，负责数据安全的日常管理和监督工作。定期对员工进行数据安全培训和教育，提高员工的安全意识和责任感，并掌握必要的安全技能。同时，建立健全的数据安全应急预案，以便在发生数据安全事故时能够迅速有效地应对。

（三）提高员工意识

依据《办法》，金融机构应加强对员工的背景调查和入职审查，确保新进员工具备良好的职业道德和专业技能。定期组织员工进行数据安全培训和教育，持续增强员工对数据安全的认识和重视程度。鼓励员工主动报告数据安全问题和隐患，并对及时报告问题的员工给予奖励，营造积极的安全文化氛围。对于违反数据安全规定的员工，则需要进行严肃处理，以此来警示他人。

四、关于个人信息安全监管的建议——基于《办法》视角

（一）完善法律法规

针对金融APP领域的数据安全保护，《办法》指出有必要制定专门的法律法规或规章制度，明确规定数据处理各个环节的安全责任和要求。加大对违规行为的处罚力度，提高违法成本，形成有效的震慑作用。建立个人信息保护的法律框架，为个人信息保护提供坚实的法律保障，保护消费者权益。

（二）加强监管力度

监管部门应依据《办法》建立健全监管机制，加强对金融APP的日常监管和定期检查。鼓励公众对金融APP进行监督和举报，对举报属实的个人或组织给予奖励。强化对第三方的监管，确保其符合相关安全标准和要求，这也是监管工作的重点之一。

（三）推动行业自律

《办法》提倡金融APP领域的企业加强行业自律，共同维护客户信息安全。应制定行业规范和标准，促进整个行业的健康发展。加强对相关企业的培训和指导，提高其数据安全保护能力和水平，有利于企业自身成长及行业进步。通过行业自律监督机制，对违反行业规范和标准的企业进行公开曝光和处罚，增强行业的透明度和公信力。

（四）提高公众意识

应开展广泛的宣传教育活动：通过多种渠道（如社交媒体、新闻媒体、社区讲座等）向公众普及个人信息保护的重要性及讲解相关法律法规知识，提高公众对个人信息安全的认识和防范意识。教导用户如何识别潜在的风险，比如设置复杂密码、不随意泄露个人信息等。金融机构应及时发布有关个人信息安全的风险提示和预警信息，告知用户当前存在的主要威胁及应对措施。同时，鼓励用户使用官方推荐的安全工具和服务，以增强自我保护能力。

《银行保险机构数据安全管理办法》的发布为银行保险行业的数据安全管理提供了全面且详细的指导框架，旨在通过规范的数据处理活动保障数据安全、促进数据合理开发利用，并维护国家安全和社会公共利益。相关各方需共同努力，才能在享受金融科技带来的便捷性的同时，有效防范潜在风险，实现可持续发展。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。