分类分级指南来了 银行业迎数据安全合规大考

2026-06-20 · 嘉汇优配

步入2026年， 数据安全 监管的态势明显升级。 6月13日，根据中国网信网披露，国家互联网信息办公室、中国人民 银行 、国家金融监督管理总局等六部门联合印发《金融 信息服务 数据分类分级指南》，指导金融机构开展数据分类分级和重要数据识别工作。 随着金融行业数字化转型进一步深化，数据已然成为 银行 业发展的关键要素，而数据分类分级则是 数据安全 工作的基础。

步入2026年， 数据安全 监管的态势明显升级。

6月13日，根据中国网信网披露，国家互联网信息办公室、中国人民 银行 、国家金融监督管理总局等六部门联合印发《金融 信息服务 数据分类分级指南》，指导金融机构开展数据分类分级和重要数据识别工作。

随着金融行业数字化转型进一步深化，数据已然成为 银行 业发展的关键要素，而数据分类分级则是 数据安全 工作的基础。“如果要让数据发挥作用，就不能忽视 数据安全 。”某城商行数据管理部门一位业务人士表示。

客户数据违规流转、泄露出域，始终是 银行 业数据安全治理的高频痛点。

5月11日，鸡西金融监管分局披露的一则罚单显示， 农业银行 密山市支行因“违规泄露客户信息”等两项事实被罚款50万元，两名相关负责人因“违规泄露客户信息”被警告。

证券时报记者观察到，过去多年，银行客户信息泄露事件不时发生，特别是客户经理利用职务之便，违规查询、倒卖客户信息的行为屡禁不止。

掌握海量个人和企业数据的银行，数据安全无疑是其合规管理的重要部分。目前，银行已普遍落地数据最小权限使用、分级查询等基础管控机制，但在实际业务场景中，数据不合规出域的风险隐患依然难以杜绝。

对于银行而言，数据安全管理主要是对数据收集、使用、传输、共享等多个数据处理活动和数据应用场景进行管理与控制。银行客户数据的泄露，还会存在于数据开发加工环节、第三方端口共享环节等。

上述城商行数据管理部门的业务人士认为，数据在各种不合规的情况下出域，仍是数据安全工作的重要难点。

业内观点认为，数据分类分级是数据安全管理的第一步。

口径不统一、散落于多部门、碎片化……不少银行尤其是中小银行的数据分类分级工作存在粗放情形，导致最终难以有效落地。

这一问题也频繁在监管的处罚结果中得到体现。在2024年及此前的监管罚单中，“未建立以分级授权为核心的消费者金融信息使用管理制度”是银行业高频违规的事由。

对于数据分类分级的重要性，翰纬科技数据安全咨询服务负责人张兵告诉证券时报记者，数据分类分级是数据安全建设的基础工作。数据安全管理的基础理论是依据数据的安全级别开展差异化管控，而确定数据的安全级别是通过数据分类分级来实现的。

“未落实分类分级是因为这项工作比较复杂。”张兵认为，这主要存在三个方面的痛点，即数据分类分级的标准不明确、数据量过大、需要多部门协调跟进。

“通常银行的数据库都超过100个，需要技术工具支持。”张兵表示，数据分类分级需要数据安全管理、数据治理、科技部门、业务部门等多方协同，因此内部的有效协调显得非常重要。

2021年9月，《数据安全法》正式施行，明确要建立数据分类分级保护制度，为数据安全治理提供了基本遵循。

当前，在上位法方面，我国出台了《 网络安全 法》《数据安全法》《个人信息保护法》等，在不同程度上对数据分类分级进行了表述。

近两年，中国人民银行、国家金融监督管理总局出台了专项管理办法，规范金融领域的数据安全管理工作。其中，《银行保险机构数据安全管理办法》明确要求制定数据分类分级保护制度，银行保险机构应根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其他一般数据。

在新技术与新场景驱动下， 数据要素 成为金融机构发展的重要 驱动力 。数据流通共享的活跃，也带来了金融数据安全的更多威胁，金融机构的数据安全防护体系与治理能力正面临着前所未有的考验。

上述大势带来的转变是，数字化转型大潮下，基于数据治理、数据安全相关科技类罚单逐渐增多，越来越多的银行开始认识到，数据工作已不单是技术部门的事情。

在数据安全领域，以罚促合规的监管导向非常明显，直接体现在行政处罚力度的大幅提升方面。据证券时报记者梳理，2026年以来，包含“数据安全”违规项的百万元罚单多达20余张，超过了去年的个位数水平。截至5月末，涉及“数据安全”违规的相关罚单已有55张，超过2025年全年。