摘要:最新市场信息显示,大部分金融机构已将应对「93号文」列为2026年的工作重点之一,行业紧迫感是肉眼可见的。近期,石犀科技在与多家金融机构的沟通交流中得知,数家银行、保险、信托、金融公司等正为此紧急启动专项行动。其诉求高度聚焦于两点:一是“快”,...
最新市场信息显示,大部分金融机构已将应对「93号文」列为2026年的工作重点之一,行业紧迫感是肉眼可见的。
近期,石犀科技在与多家金融机构的沟通交流中得知,数家银行、保险、信托、金融公司等正为此紧急启动专项行动。
其诉求高度聚焦于两点:一是“快”,必须在3月前完成资产整改等关键动作;二是“实”,整改要真正经得起监管检查,以防被抽中、被通报乃至被处罚 。
2025年底,国家金融监督管理总局办公厅正式发布《关于开展金融机构数据安全管理能力提升专项行动的通知》(金办发〔2025〕93号,以下简称“93号文”),在金融行业投下了一颗“深水炸弹”。
文件核心直指“发现一批、整改一批、通报一批、处罚一批”的“四个一批”总体要求。与过往更多停留在原则宣导和框架指引的文件不同,93号文附带详尽的自查要点、整改报表和不容商榷的时间节点,构成了一份必须严格执行的“行动令”。
93号文的出台并非偶然动作,而是监管逻辑层层深化、要求持续收紧的必然结果。这一进程始于《银行保险机构数据安全管理办法》(金规〔2024〕24号,以下简称“24号文”)确立的总体框架与法定义务,经《中国人民银行业务领域数据安全管理办法》(以下简称“《人行数安新规》”)进一步夯实“谁管业务,谁管业务数据,谁管数据安全”的责任原则。
在此之上,93号文作为关键的“实施方案”与“监督检查行动”推出,与此前法规协同发力,共同构建了“制定法规-明确责任-强制落地”的完整监管链条。
01 看懂要求:核心监管要点拆解
93号文构建了一个立体而严格的检查框架,明确了数据安全治理架构、数据分级分类管理、数据安全管理、数据安全技术保护、个人信息保护及数据安全风险监测与处置六大维度。其覆盖了从顶层治理到技术落地的所有环节,旨在对金融机构的数据安全体系进行全景扫描。
这一框架有其明确的监管渊源。其具体要求,实则是对24号文及《人行数安新规》等既有法规核心义务的分解与强化。
监管期望最终凝结为九项环环相扣的任务:建立责任体系是组织基础,完成分类分级是管理前提,实现全生命周期管控是执行关键,落实技术保护与风险监测是能力保障,而开展评估审计与完善应急处置则构成了管理闭环。
因此,93号文专项行动实质上是对金融机构能否将法规原则转化为实际安全能力的一次全面检验。
02 看清差距:共性落地难点洞察
尽管监管路径清晰可见,但将“纸面规定”转化为“实操能力”,仍是当前横亘在大多数金融机构面前的难关。
► 数据资产底数不清
存在历史遗留系统与新建平台,且数据分散在不同部门或数据库当中。回答“自身有哪些数据、分布在哪里、涉及哪些核心业务系统”等基础问题并非易事。
► 分类分级低效不全
数据分类定级工作依赖人工,导致进度迟缓、主观性强,大量数据长期处于未定级或定级不当状态,难以实现全域覆盖与持续管理。
► 有效技术工具缺失
核心数据安全能力如资产动态盘点与风险实时监测,因缺乏自动化工具而难以构建。对敏感数据的异常访问与流转无法实现即时发现与自动拦截,安全运营陷于被动。
► 跨部门协同低效
业务、科技、安全部门之间权责交叉,对数据安全的责任归属存在认知差异,在需要协作的任务上容易陷入推诿与低效沟通。
► 制度与执行脱节
数据安全相关制度规范多停留在文件层面,在面临业务压力时易被绕过,流于形式,缺乏嵌入业务流程的执行和监督机制。
► 复合型人才短缺
既精通金融业务又具备数据安全技术能力的复合型人才市场稀缺,内部培养缓慢,导致专项工作推进时面临人才瓶颈。
03 搭建体系:安全能力一站交付
面对93号文时间紧、任务重的合规要求,金融机构的数据安全建设,需从单点工具堆砌转向体系化治理。
石犀科技特有的「平台+插件+服务」架构,其设计理念与监管要求深度同频,旨在系统性地帮助机构构建治理闭环。
► 数据资产识别与梳理
基于API聚合算法与DeSSL加密流量解析技术,通过旁路镜像无感部署,实现对应用、API、数据库、文件、数据标签等全域数据资产的自动发现与盘点,构建实时更新的数据资产视图。
► 数据分类分级与敏感数据识别
遵循“以类定级”办法,并依据JR/T 0197-2020《金融数据安全 数据安全分级指南》,结合智能分词技术与垂直小模型,对数据资产进行智能分类与定级,有效识别个人、账户、交易、征信等敏感信息,输出结构化清单。
► 数据流动监测与风险预警
通过旁路镜像、反向代理或Agent等方式采集流量,实时绘制数据流转轨迹。对特权滥用、异常访问、数据异常流转及第三方合作风险等进行实时监测与告警,实现风险主动发现。
► 风险精准管控与处置
支持通过接口封堵、权限控制、频次限制、动态脱敏、访问阻断等策略对风险进行干预。以插件化方式灵活适配业务场景,支持策略自定义与自动化执行,实现毫秒级风险闭环。
► 审计追溯与态势感知
完整记录数据访问与操作行为日志,满足合规审计与事件溯源要求。通过可视化、定制化态势大屏,直观呈现资产分布、数据流向、风险态势与访问趋势,支撑管理决策。
► 全流程数据安全咨询服务
以PDCA循环为方法论,提供全周期咨询与运营服务,协助客户将技术能力融入治理制度与组织流程,确保数据安全体系有效运转并持续改进。
上述能力已在多家金融机构得到印证。以某农商行为例,在石犀科技的支持下,该行仅用两周便完成了API接口清单的全面梳理,识别出近5000个高敏感字段及数百个弱点与风险,并借助ACL访问控制、RL请求频率控制、DM数据脱敏等插件实现了风险的实时处置,有效化解数据泄露与监管检查的双重危机。
此次93号文“大考”,恰是推动金融机构数据安全能力实现实质性跃升的关键契机。选择兼具前瞻架构与实战经验的合作伙伴,是高效合规、化被动为主动的重要一步。
石犀科技期待以一站式能力体系,助力更多机构将监管挑战转化为发展韧性,共同打造面向未来的“识别-监测-处置-溯源”主动式数据安全治理闭环。
