文章核心观点 - 近期上饶银行和邢台银行因信息安全管理不到位被处以罚款 反映出中小银行在信息安全领域面临外部环境复杂、监管趋严与自身技术能力、管理水平和资源投入有限之间的根本矛盾[1] - 数据安全已从单一技术问题上升为银行业公司治理和全面风险管理的重要组成部分 成为监管持续关注的重点领域[1] - 银行面临从传统网络安全管理向数据安全治理视角转变的突出挑战 需要构建“网络为盾、数据为核”的纵深防御体系以实现安全与业务发展的平衡[3] 信息安全短板集中暴露 - 邢台银行因信息安全管理不到位 被国家金融监督管理总局河北监管分局处以30万元罚款[2] - 上饶银行因信息安全管理不足 被国家金融监督管理总局上饶监管分局处以30万元罚款[2] - 此前也有银行因违反信用信息安全管理要求收到中国人民银行开出的罚单[3] 中小银行信息安全面临的根本矛盾与挑战 - 外部威胁环境快速演变、监管要求持续提高 与自身技术、管理和资源能力之间存在明显落差[1][3] - **技术架构层面制约**：核心系统建设较早 IT环境呈烟囱式、碎片化 统一安全策略难以落地 传统依赖设备堆叠的防护模式效果下降[4] - **组织管理层面错位**：信息安全常被视为合规成本而非核心能力 存在“先上线、后补安全”的情况 安全职责过度集中于信息科技部门 业务部门参与不足 外包运维和第三方系统引入后责任边界模糊[4] - **安全运营能力不足**：存在“重建设、轻运营”问题 安全设备缺乏统一联动和持续运营机制 告警分散难以及时处置风险 移动银行、开放银行发展导致接口数量激增 但接口鉴权和行为监测能力不足[4] 监管政策导向与行业转变要求 - 2024年12月国家金融监督管理总局发布《银行保险机构数据安全管理办法》 2025年5月中国人民银行印发《中国人民银行业务领域数据安全管理办法》[1] - 监管核心导向是推动银行将数据安全和网络安全嵌入公司治理和日常经营管理 实现从阶段性、被动式合规向长期、持续性治理的转变 强调“谁使用数据 谁对安全负责”[6] - 信息安全保护对银行提出三方面更高要求：治理理念从被动合规转向主动管理 管理颗粒度显著下沉需进行数据分类分级和事件分级管理 安全运营要求明显提升需建立统一、智能化的安全运营体系[6] 加强体系化安全治理的建议 - 银行需在组织、流程和系统层面形成协同运行的治理体系[6] - 对于自身人才和资源相对有限的中小银行 可通过引入安全托管服务或与成熟的SOC服务机构合作 弥补持续监控和应急响应能力短板 将有限资源集中用于核心风险管理[6]

行业背景与市场动态 - 国家数据局成立及基础制度落地推动数据要素市场爆发式增长 [1][2] - 2024年全国数据市场交易规模达1600亿元人民币 同比增长超30% [1][2] - 2024年数据场内市场交易规模实现翻番 [1][2] 当前面临的核心挑战 - 数据流通规模扩大带来复杂化与全局化风险 安全挑战日益严峻 [1][2][3] - 数据安全治理存在“三大短板” [1][3] - 短板一：市场主体多采用孤立防护模式 安全数据沉淀为“信息孤岛” 全局态势感知薄弱 [1][3] - 短板二：各地安全建设与运营标准不统一 重复投入造成资源浪费 [1][3] - 短板三：缺乏跨行业跨地域联动机制 难以应对APT攻击等复合型威胁及协同难题 [1][3] - 上述问题已成为制约数据价值释放、威胁数字经济生态的关键瓶颈 [1][3] 提案建议的解决方案 - 建议一：构建数据流通安全基础设施平台 打破“信息孤岛” 建立全程全链路安全监测机制 形成立体化防护体系 [2][3] - 建议二：建立统一安全标准 规范认证访问、数据脱敏等环节 确保流通全程受控 [2][3] - 建议三：打造多主体联动运营体系 整合监管单位、数据供需方等资源 实现全生命周期动态管控 [2][3]

公司认证与标准 - 平安健康互联网股份有限公司于2025年9月22日成功通过DSMC复评 获得业界首张医疗健康业务领域DSMC二次评估证书[1] - 公司早在2022年已获得该认证体系首评 此次率先完成复评是公司ESG可持续发展的践行里程碑[1] - 复评依据更新后的T/ISC0059—2024《数据安全管理能力评估规范》标准 新标准对管理制度完备性 技术工具有效性及流程执行规范性提出更高要求[3] 数据安全体系建设 - 公司已获得ISO 27001信息安全管理体系 ISO 27701隐私信息管理体系及ISO 27799医疗健康信息安全管理体系认证 认证覆盖100%业务范围[3] - 完成应用防御系统国产化替代 自研业务系统综合安全防御能力实现告警检测能力较原商业产品提升35%[3] - 通过定期开展信息安全应急演练 国家级护网攻防演练及员工安全意识培训确保数据安全防护动态有效性[3] 战略框架与行业影响 - 公司以CARE可持续发展战略为核心 包含系统性构建可持续发展生态 先进科技赋能 数据安全基石及普惠医疗与社会责任担当四大议题[4] - 中国信通院计划将《GB/T 41479-2022信息安全技术网络数据处理安全要求》等最新国家标准融入DSMC评估体系[4] - 呼吁更多企业特别是数据处理前沿领域企业参与评估 将数据安全从成本中心转变为价值中心和信任基石[5]

数字金融安全重要性 - 数字安全影响国家安全 经济发展和社会稳定 数字化成为各行业高质量发展重要特征 金融领域也不例外[1] - 技术风险可能导致金融安全问题 造成经济损失和社会影响 AI大模型提升用户体验和服务效率 但通用性和高效泛化内容生成特点易导致黑客以更低门槛 更密集频率攻击金融机构系统 窃取敏感数据和隐私数据[1] - 欺诈 仿冒等AIGC衍生问题成为金融机构新痛点[1] 数据安全治理与监管 - 数据安全治理关系到金融机构稳健运营 金融市场健康发展和金融消费者切身利益[2] - 政府部门 金融管理部门 行业自律组织密集出台相关政策 引导数据安全治理工作有序推进 维护并优化数字金融发展环境 严厉打击市场乱象[2] - 2024年9月国务院发布《网络数据安全管理条例》鼓励网络数据在各行业创新应用 加强网络数据安全防护能力建设 支持技术 产品 服务创新[2] - 2024年12月国家金融监督管理总局发布《银行保险机构数据安全管理办法》要求建立与业务发展目标相适应的数据安全治理体系 构建覆盖数据全生命周期和应用场景的安全保护机制[2] 技术保障与算力安全 - 数据和技术是数字金融两大关键生产要素 需构建多层次 全方位技术防护体系 确保数据完整性 保密性和可用性[1] - 提升算力安全是保障数字金融安全关键步骤 2023年《算力基础设施高质量发展行动计划》提出加强数据分类分级保护 对重要和核心数据实行精准严格管理[3] - 需要金融机构建立健全监测机制 加强技术标准化和规范化建设 培养专业人才和加强团队建设[3] 监管协同与风险防控 - 监管部门须加强统筹规划和监管 加强顶层设计 以更高站位 更细管理确保数字金融安全与稳定发展[1] - 科技企业 金融机构要形成合力 强化技术保障[1] - 央地协同合力打击非法金融活动 针对借技术之便 用科技之名 行金融违法之实的问题采取有力举措[3]

全国数据治理体系布局 - 全国数据标准化技术委员会公开征求7项技术文件意见，涉及算力并网、资源调度、多量纲计费等7个方向 [1][2] - 中办、国办印发文件支持深圳深化数据要素市场化配置改革，探索数据交易、可信流通、收益分配机制 [1][2] - 国家发展改革委表示将推进数据要素市场化配置改革，支持深圳综合改革试点落地 [3] 地方数据治理政策动态 - 安徽省明确公共数据资源收费机制，对公益用途免费，产业发展用途收取服务费，实行政府指导价管理 [4][5] - 福建省试行公共数据运营服务费分项收费模式，数据使用量超3000万条时单价降至0.06元/条 [5] - 山西省就数据流通安全治理征求意见，要求建立授权运营管理制度和交易安全管理规范 [6][7] - 武汉市计划2025-2027年打造4-5个数据标注产业园，扶持20家企业，开放30个数据集场景，最高奖励200万元 [7][8] 数据要素市场化改革 - 深圳将推进交通、地理、气象等领域公共数据分级分类开放，探索数据跨境流动机制 [2] - 安徽省准许利润率按10年期国债收益率加不超过6个百分点确定 [4] - 武汉出台数据标注产业方案响应国家政策，旨在培育科技型企业和创新载体 [7][8]

数据安全治理探索 - 北京政数局数据标准与安全处处长刘国伟分享政府部门对个人数据、企业数据和公共数据流通安全治理的探索 [1] - 个人数据匿名化标准不统一导致企业难以确定处理是否符合要求，阻碍数据流通 [3] - 北京与医院合作以胸片影像数据为切入点筛选公共数据集，探讨去除哪些数据可保障患者安全同时满足研发需求 [3] 个人数据治理 - 个人数据涉及隐私、财产和生命安全，合理开发和利用才能更好提供服务 [3] - 北京尝试从胸片逐步扩大到整个影像数据和诊疗数据，提炼可执行规则 [3] 公共数据治理 - 公共数据代表公共利益，平衡公共利益和商业化利用是关键问题 [3] - 目前对公共数据采取分散授权和集中授权形式，是否收费尚无统一规定 [3] - 北京前期主要采取分散授权，在金融领域建立专区，未来研究是否扩大领域或转向集中授权 [3] - 政府不能作为市场主体直接参与公共数据交易，需找到可靠市场主体运营 [3] - 北京市提出充分利用价格政策维护公共利益，公共数据用于公共治理、公益事业可有条件无偿使用 [4] - 用于产业发展、行业发展的公共数据经营性产品和服务确需收费的，执行政府指导定价管理 [4] 企业数据治理 - 企业数据背后是信任关系，价值受外部环境影响大，流通需考虑预期和潜在价值 [5] - 北京利用区块链技术构建增值协作网络，将企业间信任关系绑定以促进数据流通 [5] - 钢铁行业因上下游强关联关系，在协作网络中推进较快 [5] - 第三方提供数据流通安全服务可能成为新趋势，作为信任桥梁促进企业间数据流通 [5]