行业现状 - 网络安全行业面临下游需求疲软和市场竞争加剧的态势 [1] 公司应对策略与举措 - 为应对行业调整，公司在技术创新、营销、产品研发、组织等多方面积极实施举措 [1] - 公司ASIC芯片的研发与量产，为其提供了核心竞争优势 [1] - 公司积极打造数据安全治理、安全运营及安全服务业务 [1] - 公司拓展出海业务，已经取得一定成效 [1] 公司当前工作重点与目标 - 公司目前正全力推进ASIC安全产品营销工作，将前期投入逐渐转化为商业价值 [1] - 公司后续将重点聚焦盈利改善，努力缩小与行业优秀企业的差距 [1] - 公司致力于切实维护股东权益 [1]

全球数据泄露态势与行业风险 - 2025年全球数据泄露事件总量达41644起，较2024年上升10.83% [1] - 金融行业是数据泄露的集中行业，银行业风险连续三年位居行业榜首，消费金融、支付、证券等泛金融板块在前五高风险行业中占据四席 [1] - 消费金融申请泄漏数据时效已发展至隔夜（次日）更新 [5] 非法数据交易市场特征 - 2025年监测覆盖1209个活跃数据交易群组，捕获近3.6万条数据交易相关情报 [2] - 非法数据交易中，金融类交易数据占比超50% [2] - 金融贷款类数据（如“贷款”、“公积金”）已连续两年位居交易需求首位，贷款类用户信息需求最为旺盛 [2] - 金融类用户数据凭借其高变现价值，保持黑灰产市场的“硬通货”地位 [2] 黑产技术演进与运作模式 - 黑产中介引入AI大数据识别，从单纯数据售卖转向“数据清洗+质量控制”，以维持高转化率 [3] - 黑产针对持牌消金机构、银行系贷款等不同平台进行划分拆解，涉及平台高达60家，以满足下游不同贷款中介的用户画像需求 [3] - 黑产运作“精准化”推高了下游诈骗的成功率 [3] - 黑产呈现“联邦化”趋势，团伙分工细化，但当前罪名适用较为单一，难以全面覆盖全链条，导致上下游次要参与者可能规避刑事追责 [3] - 电子证据的海量性、跨地域性与黑产的快速变异性，给侦查取证带来很大挑战 [3] 金融机构面临的挑战与监管要求 - 行业内存在“敌暗我明”的监管难点，非法机构通过诱导用户填写信息、伪装成合法公司等手段实施诈骗，违规链接隐蔽且易失效 [1] - 以静态合规为主的数据安全防护体系在面对动态犯罪时存在滞后性，传统标准着眼于单一机构防护，但黑产已延伸至整个合作生态 [6] - 金融机构作为个人信息处理者负有严格的数据安全保障义务，若因自身或第三方合作方（如扫码工具、营销工具）导致信息泄露，需承担民事赔偿和行政处罚等责任 [6] - 需要对第三方营销合作伙伴实行更严格的“穿透式”数据审计，这是一种持续性的、技术层面的持续监督义务 [6] 司法实践与打击案例 - 2026年1月，山东东营侦破一起金融借贷领域非法获取公民个人信息案，犯罪团伙以10—15元/条的价格大量购买上游非法获取的公民个人信息用于精准推销贷款 [8] - 该团伙以制定贷款方案为名，盘问借贷人家庭、婚姻等全面情况，实则为筛选“易操控、难维权”的目标群体，以牟取更大利益 [8] - 当前《刑法》在打击数据黑产方面存在短板，包括罪名适用局限、执法协同不足、缺乏对“数据清洗”技术的专项立法等 [7] - 在个人信息侵权案件中，法院倾向于运用过错推定和举证责任倒置规则，受害者无需精确证明信息从某平台流出，只需证明在特定平台处理过相关信息并随后遭受高度关联的精准诈骗即可 [9][10]

行业趋势 - 金融科技正从“工具应用”向“生产力革新”的关键阶段跨越 [1] - 数据安全已从单一技术保障，跃升为关乎企业存续与竞争优势的核心议题 [1] - 前瞻性、体系化的数据治理已成为企业驾驭智能浪潮、赢得未来竞争的关键工具，而不再是一个可选项 [7] - 随着AI智能体更深度融入核心流程，对数据质量、安全与伦理框架的要求将呈指数级增长 [8] 公司战略与核心理念 - 公司在推进技术应用拓展的同时，强调必须建立完善的数据治理与合规框架，以确保技术应用的稳健与可持续 [1] - 公司以科技破题，积极探索可持续的数据安全路径 [1] - 公司的数据安全运营实践致力于构建一套“人机共治”的数据安全新生态，推动安全防护从被动响应转向智能协同 [6] - 该实践强调“人智驱动智能”的深度融合，由安全专家定义技术规则与决策边界，技术作为高效执行工具 [6] - 公司愿将实践沉淀的经验与方法论与行业共享，共同探索完善行业标准，共筑安全、可信的数字金融新生态 [8] 数据安全运营体系架构 - 体系以沃土大数据平台为核心底座，贯穿数据运营周期 [3] - **第一阶段：数据梳理与基础筑牢** [3] - 全景梳理数据资产，按客户、业务、经营、系统四大维度进行分类分级管理与标签化治理 [3] - 为每类数据建立清晰安全画像，绘制完整数据资产地图，明确权限配置 [3] - **第二阶段：强化管控与搭建防线** [3] - 建立包含关键要素的多维度数据目录，实现数据可识别、可追溯、可管控 [3] - 对敏感数据实施“入库即加密”保护措施 [3] - 精细权限管理，通过元数据规范化管理夯实访问控制，重点防范敏感级以上数据访问风险 [3] - 实施严格授权审批，所有数据访问行为均被记录与审计，形成可追溯、可问责的安全闭环 [3] - **第三阶段：审计监督与安全自治** [4] - 系统留存所有操作的关键信息（如操作主体、时间节点、执行指令等），确保数据流动全程可管、可查、可控、合规 [4] - 依托自研工具定期扫描数据库，及时执行信息屏蔽与权限收敛，实现风险“发现即处置” [4] - 不断扩大扫描范围、完善扫描规则，形成“发现—处置—闭环”的治理机制 [4] 技术创新与应用成效 - **核心自研技术**：采用的统计学抽样算法已获国家发明专利，敏感字段识别准确率超过95%，处理时间从人工的“小时级”压缩至“秒级” [6] - **前沿技术引入**：持续引入AI异常检测、隐私计算（如联邦学习）等技术，推动安全防护向主动风险感知升级 [6] - **体系为业务智能化提供可靠引擎**：以智能风控系统为例，其运行所依赖的海量数据可通过该体系合规、高质量地获取，保障了风控决策的精准与可靠 [4] - **实践价值得到规模化验证**，并转化为切实的综合效益 [7] 实践产生的综合效益 - **经济效益**：通过风险防控、效率提升与价值挖掘三大路径创造显著经济价值 [7] - 借助技术工具提升了数据利用效率与合规管理能效 [7] - 依托安全可信的数据环境增强了市场信任，为智能风控、精准核保等业务提供高质量数据支撑，赋能业务持续增长 [7] - **社会效益**：切实保护个人数据权益，助力维护社会公平与国家安全 [7] - 通过抑制数据黑产、净化数字生态，构建了可靠的数据安全信任基石 [7] - 为行业营造更稳健、可持续的发展环境提供了支持 [7]

文章核心观点 - 近期上饶银行和邢台银行因信息安全管理不到位被处以罚款 反映出中小银行在信息安全领域面临外部环境复杂、监管趋严与自身技术能力、管理水平和资源投入有限之间的根本矛盾[1] - 数据安全已从单一技术问题上升为银行业公司治理和全面风险管理的重要组成部分 成为监管持续关注的重点领域[1] - 银行面临从传统网络安全管理向数据安全治理视角转变的突出挑战 需要构建“网络为盾、数据为核”的纵深防御体系以实现安全与业务发展的平衡[3] 信息安全短板集中暴露 - 邢台银行因信息安全管理不到位 被国家金融监督管理总局河北监管分局处以30万元罚款[2] - 上饶银行因信息安全管理不足 被国家金融监督管理总局上饶监管分局处以30万元罚款[2] - 此前也有银行因违反信用信息安全管理要求收到中国人民银行开出的罚单[3] 中小银行信息安全面临的根本矛盾与挑战 - 外部威胁环境快速演变、监管要求持续提高 与自身技术、管理和资源能力之间存在明显落差[1][3] - **技术架构层面制约**：核心系统建设较早 IT环境呈烟囱式、碎片化 统一安全策略难以落地 传统依赖设备堆叠的防护模式效果下降[4] - **组织管理层面错位**：信息安全常被视为合规成本而非核心能力 存在“先上线、后补安全”的情况 安全职责过度集中于信息科技部门 业务部门参与不足 外包运维和第三方系统引入后责任边界模糊[4] - **安全运营能力不足**：存在“重建设、轻运营”问题 安全设备缺乏统一联动和持续运营机制 告警分散难以及时处置风险 移动银行、开放银行发展导致接口数量激增 但接口鉴权和行为监测能力不足[4] 监管政策导向与行业转变要求 - 2024年12月国家金融监督管理总局发布《银行保险机构数据安全管理办法》 2025年5月中国人民银行印发《中国人民银行业务领域数据安全管理办法》[1] - 监管核心导向是推动银行将数据安全和网络安全嵌入公司治理和日常经营管理 实现从阶段性、被动式合规向长期、持续性治理的转变 强调“谁使用数据 谁对安全负责”[6] - 信息安全保护对银行提出三方面更高要求：治理理念从被动合规转向主动管理 管理颗粒度显著下沉需进行数据分类分级和事件分级管理 安全运营要求明显提升需建立统一、智能化的安全运营体系[6] 加强体系化安全治理的建议 - 银行需在组织、流程和系统层面形成协同运行的治理体系[6] - 对于自身人才和资源相对有限的中小银行 可通过引入安全托管服务或与成熟的SOC服务机构合作 弥补持续监控和应急响应能力短板 将有限资源集中用于核心风险管理[6]

行业背景与市场动态 - 国家数据局成立及基础制度落地推动数据要素市场爆发式增长 [1][2] - 2024年全国数据市场交易规模达1600亿元人民币 同比增长超30% [1][2] - 2024年数据场内市场交易规模实现翻番 [1][2] 当前面临的核心挑战 - 数据流通规模扩大带来复杂化与全局化风险 安全挑战日益严峻 [1][2][3] - 数据安全治理存在“三大短板” [1][3] - 短板一：市场主体多采用孤立防护模式 安全数据沉淀为“信息孤岛” 全局态势感知薄弱 [1][3] - 短板二：各地安全建设与运营标准不统一 重复投入造成资源浪费 [1][3] - 短板三：缺乏跨行业跨地域联动机制 难以应对APT攻击等复合型威胁及协同难题 [1][3] - 上述问题已成为制约数据价值释放、威胁数字经济生态的关键瓶颈 [1][3] 提案建议的解决方案 - 建议一：构建数据流通安全基础设施平台 打破“信息孤岛” 建立全程全链路安全监测机制 形成立体化防护体系 [2][3] - 建议二：建立统一安全标准 规范认证访问、数据脱敏等环节 确保流通全程受控 [2][3] - 建议三：打造多主体联动运营体系 整合监管单位、数据供需方等资源 实现全生命周期动态管控 [2][3]

公司认证与标准 - 平安健康互联网股份有限公司于2025年9月22日成功通过DSMC复评 获得业界首张医疗健康业务领域DSMC二次评估证书[1] - 公司早在2022年已获得该认证体系首评 此次率先完成复评是公司ESG可持续发展的践行里程碑[1] - 复评依据更新后的T/ISC0059—2024《数据安全管理能力评估规范》标准 新标准对管理制度完备性 技术工具有效性及流程执行规范性提出更高要求[3] 数据安全体系建设 - 公司已获得ISO 27001信息安全管理体系 ISO 27701隐私信息管理体系及ISO 27799医疗健康信息安全管理体系认证 认证覆盖100%业务范围[3] - 完成应用防御系统国产化替代 自研业务系统综合安全防御能力实现告警检测能力较原商业产品提升35%[3] - 通过定期开展信息安全应急演练 国家级护网攻防演练及员工安全意识培训确保数据安全防护动态有效性[3] 战略框架与行业影响 - 公司以CARE可持续发展战略为核心 包含系统性构建可持续发展生态 先进科技赋能 数据安全基石及普惠医疗与社会责任担当四大议题[4] - 中国信通院计划将《GB/T 41479-2022信息安全技术网络数据处理安全要求》等最新国家标准融入DSMC评估体系[4] - 呼吁更多企业特别是数据处理前沿领域企业参与评估 将数据安全从成本中心转变为价值中心和信任基石[5]

数字金融安全重要性 - 数字安全影响国家安全 经济发展和社会稳定 数字化成为各行业高质量发展重要特征 金融领域也不例外[1] - 技术风险可能导致金融安全问题 造成经济损失和社会影响 AI大模型提升用户体验和服务效率 但通用性和高效泛化内容生成特点易导致黑客以更低门槛 更密集频率攻击金融机构系统 窃取敏感数据和隐私数据[1] - 欺诈 仿冒等AIGC衍生问题成为金融机构新痛点[1] 数据安全治理与监管 - 数据安全治理关系到金融机构稳健运营 金融市场健康发展和金融消费者切身利益[2] - 政府部门 金融管理部门 行业自律组织密集出台相关政策 引导数据安全治理工作有序推进 维护并优化数字金融发展环境 严厉打击市场乱象[2] - 2024年9月国务院发布《网络数据安全管理条例》鼓励网络数据在各行业创新应用 加强网络数据安全防护能力建设 支持技术 产品 服务创新[2] - 2024年12月国家金融监督管理总局发布《银行保险机构数据安全管理办法》要求建立与业务发展目标相适应的数据安全治理体系 构建覆盖数据全生命周期和应用场景的安全保护机制[2] 技术保障与算力安全 - 数据和技术是数字金融两大关键生产要素 需构建多层次 全方位技术防护体系 确保数据完整性 保密性和可用性[1] - 提升算力安全是保障数字金融安全关键步骤 2023年《算力基础设施高质量发展行动计划》提出加强数据分类分级保护 对重要和核心数据实行精准严格管理[3] - 需要金融机构建立健全监测机制 加强技术标准化和规范化建设 培养专业人才和加强团队建设[3] 监管协同与风险防控 - 监管部门须加强统筹规划和监管 加强顶层设计 以更高站位 更细管理确保数字金融安全与稳定发展[1] - 科技企业 金融机构要形成合力 强化技术保障[1] - 央地协同合力打击非法金融活动 针对借技术之便 用科技之名 行金融违法之实的问题采取有力举措[3]

全国数据治理体系布局 - 全国数据标准化技术委员会公开征求7项技术文件意见，涉及算力并网、资源调度、多量纲计费等7个方向 [1][2] - 中办、国办印发文件支持深圳深化数据要素市场化配置改革，探索数据交易、可信流通、收益分配机制 [1][2] - 国家发展改革委表示将推进数据要素市场化配置改革，支持深圳综合改革试点落地 [3] 地方数据治理政策动态 - 安徽省明确公共数据资源收费机制，对公益用途免费，产业发展用途收取服务费，实行政府指导价管理 [4][5] - 福建省试行公共数据运营服务费分项收费模式，数据使用量超3000万条时单价降至0.06元/条 [5] - 山西省就数据流通安全治理征求意见，要求建立授权运营管理制度和交易安全管理规范 [6][7] - 武汉市计划2025-2027年打造4-5个数据标注产业园，扶持20家企业，开放30个数据集场景，最高奖励200万元 [7][8] 数据要素市场化改革 - 深圳将推进交通、地理、气象等领域公共数据分级分类开放，探索数据跨境流动机制 [2] - 安徽省准许利润率按10年期国债收益率加不超过6个百分点确定 [4] - 武汉出台数据标注产业方案响应国家政策，旨在培育科技型企业和创新载体 [7][8]

数据安全治理探索 - 北京政数局数据标准与安全处处长刘国伟分享政府部门对个人数据、企业数据和公共数据流通安全治理的探索 [1] - 个人数据匿名化标准不统一导致企业难以确定处理是否符合要求，阻碍数据流通 [3] - 北京与医院合作以胸片影像数据为切入点筛选公共数据集，探讨去除哪些数据可保障患者安全同时满足研发需求 [3] 个人数据治理 - 个人数据涉及隐私、财产和生命安全，合理开发和利用才能更好提供服务 [3] - 北京尝试从胸片逐步扩大到整个影像数据和诊疗数据，提炼可执行规则 [3] 公共数据治理 - 公共数据代表公共利益，平衡公共利益和商业化利用是关键问题 [3] - 目前对公共数据采取分散授权和集中授权形式，是否收费尚无统一规定 [3] - 北京前期主要采取分散授权，在金融领域建立专区，未来研究是否扩大领域或转向集中授权 [3] - 政府不能作为市场主体直接参与公共数据交易，需找到可靠市场主体运营 [3] - 北京市提出充分利用价格政策维护公共利益，公共数据用于公共治理、公益事业可有条件无偿使用 [4] - 用于产业发展、行业发展的公共数据经营性产品和服务确需收费的，执行政府指导定价管理 [4] 企业数据治理 - 企业数据背后是信任关系，价值受外部环境影响大，流通需考虑预期和潜在价值 [5] - 北京利用区块链技术构建增值协作网络，将企业间信任关系绑定以促进数据流通 [5] - 钢铁行业因上下游强关联关系，在协作网络中推进较快 [5] - 第三方提供数据流通安全服务可能成为新趋势，作为信任桥梁促进企业间数据流通 [5]