Pertanyaan Keamanan di Era AI: Logika Perlindungan Data Bank Berubah

郭建杭，《经贸记者》北京报道

随着AI时代对海量数据的收集与使用，数据安全的重要性日益凸显。

AI技术发展迅速，人工智能将以比预想更快的速度渗透到银行的业务决策和经营活动中。此前，多家银行已公开宣布将持续推进数字化转型建设，推动工作模式向数据驱动转变。同时，市场与监管也在拷问：银行的数据安全防护能力能否同步跟进？银行的数据安全保护将直接影响银行的合规经营水平。

《China Business News》（中国经营报）的记者注意到，截至3月26日，央行及其分支机构已公示的行政处罚中，明确涉及“数据安全管理”或“网络安全管理”违规的案例已超过30起。

神州信息数据资产交付部总经理张琨指出：“在AI时代，银行的数据安全管理需要在传统数据治理的基础上，针对AI应用的特点进行创新与升级。关键是建立‘从数据生成的那一刻起就标记清楚用途、权限和生命周期’的精细化管理体系，通过技术手段与制度约束的有机结合，既确保数据安全与合规，又支持AI技术的健康发展。”

开年处罚案例超30起

在“十五五”开局之年，银行业面临的安全环境愈发复杂。无论是从被动合规到主动防御，从单点治理到体系化运营，围绕数据安全的博弈，从监管开年处罚即可见一斑。

根据前述央行公布的因数据安全、网络安全违规而发布的处罚公告，国有大型银行部分省份分行、股份制银行以及城农商行均收到了罚单。

从部分处罚情况看，瑞丰农商行被罚316.8万元；在2026年第一季度的处罚金额中，这一数额较高。央行发布的行政处罚信息显示，瑞丰银行因涉及违反金融统计管理规定、账户管理规定、数据安全与网络安全管理规定，以及未按规定开展客户尽职调查和报告大额交易等多项违法违规行为而被处罚。针对该罚单情况，瑞丰银行方面对记者表示：“此次处罚属于早期（前两年）的处罚，目前已整改到位。主要涉及数据应用不规范的问题。对于细节性问题，后续将结合技术升级与行业变化制定相关计划，并对安全防护系统增加升级投入。”

此外，贵州两家银行因“违反信用信息采集、提供、查询及相关管理规定”而遭到处罚；这两家银行表示目前尚无可公布的整改举措。贵州省内某农商行人士告诉记者：“目前农商行在执行数据安全、网络安全等操作准则时，普遍依据省联社方面制定的规范行为进行管理。银行因违规被处罚后，未来的具体整改措施也是由省联社制定。”

梳理罚单中涉及的处罚事由可知，违反网络安全管理规定、数据安全管理规定的情况出现频率最高；其次是违反信用信息采集、提供、查询及相关管理规定。未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，也存在违规情形。

监管连开罚单背后，是金融数据安全监管体系的快速成型。自2024年以来，国家金融监督管理总局与中国人民银行形成了“双线监管”的格局。

公开信息显示，2024年12月，国家金融监督管理总局发布《银行保险机构数据安全管理办法》，针对银行保险机构引入了“数据安全评估”；2025年5月，中国人民银行发布《中国人民银行业务领域数据安全管理办法》，细化并明确中国人民银行业务领域数据安全合规底线要求，明确“谁管业务，谁管业务数据，谁管数据安全”的原则。

进入2026年，政策发布节奏稳步推进。国家金融监督管理总局办公厅印发《关于开展金融机构数据安全管理能力提升专项行动的通知》，明确提出“发现一批、整改一批、通报一批、处罚一批”的总体要求。此外，国家网信办就《金融信息服务数据分类分级指南》公开征求意见，进一步细化核心数据、重要数据、敏感一般数据的分级规则。

业内人士认为，监管的核心导向在于推动银行将数据安全与网络安全嵌入公司治理和日常经营管理之中，实现从阶段性、被动式合规，向长期、持续性治理的转变。

“砌墙思维”转向“管流思维”

在监管政策的倒逼下，银行业数据安全建设中的薄弱环节也愈发清晰。目前，银行在数据安全建设中存在哪些明显的薄弱环节？

张琨认为，第一是数据资产的全面盘点能力不足。许多银行并不完全清楚自身的数据家底，尤其是对分散在各业务系统、测试环境、个人电脑以及历史遗留系统中的“暗数据”缺乏有效统一管理。不知道数据在哪里，自然就谈不上有效保护。第二是数据流转过程中的可见性与控制能力不足。业内经常提到的痛点是“数据可见却不可控”，即数据在核心系统里是安全的，但一旦通过各种方式导出到Excel、测试库或第三方系统，就进入了“监管盲区”。传统的数据防泄露（DLP）系统更多关注文件流转，但对于通过API调用、数据库查询等方式的数据访问行为，监控与控制能力相对薄弱。第三是内部人员的数据安全意识和操作规范性问题。技术手段再先进，如果人员的安全意识跟不上，仍会产生很大的风险敞口，尤其是在业务部门为了提高工作效率而绕过安全流程，或在数据共享协作中出现违规操作的情况下时有发生。

张琨认为，在政策法规出台的背景下，银行数据安全建设正处于从“合规驱动”向“风险管控”转变的关键时期。但在当前监管环境下，银行数据安全建设在具体落地实践中仍面临多项挑战。例如，银行建立了数据分类分级体系，但在实际执行中面临“落地难”。又例如，随着银行业务国际化提速，数据出境场景日益增多，跨境数据流动的合规要求趋严，银行需要构建数据出境安全评估机制。目前，数据流动依赖API接口、数据库直连等“新型数据通道”，这也带来了新的风险敞口等问题。

事实上，在人工智能（AI）等新技术的深度应用背景下，金融行业的数据安全保护逻辑已发生根本性转变。

云计算管理与智算调度运营公司佳杰云星技术负责人向记者表示：“AI时代对银行数据安全建设最大的影响是安全策略必须伴随数据的每一次调用与每一个路径实现动态部署。在由‘用户—应用系统—数据库’构成的传统数据访问路径下，安全策略主要围绕网络边界与单一应用构建。AI时代，以AI智能体为核心的访问路径变得高度动态：用户通过AI智能体调用各类工具与API，跨系统访问企业数据资源，路径由系统自主规划并跨域流转，使传统基于边界与应用的访问控制难以奏效。同时，数据泄露风险从单一场景扩展为多路径并发。此外，为保障智能体任务完成而授予宽泛权限，非常容易引发越权访问等风险。以上因素都在影响AI时代的数据保护策略的转变。”

在AI时代，银行的数据安全管理如何覆盖数据的全生命周期？张琨认为，银行需要构建以数据为中心的AI治理框架，从多个维度提升数据全生命周期管理能力。在采集阶段，需要建立AI应用的数据采集专项评估机制。对于AI项目的数据需求，要逐字段说明用途与必要性，坚持“目的限定+最小必要”的原则。同时，要引入自动化合规检测工具，对入库数据进行隐私合规扫描，并建立数据来源的可追溯机制，确保训练数据的“清洁”与合法。在存储与使用阶段，应广泛应用隐私增强技术。特别是差分隐私技术的应用，通过向数据添加数学噪声，使攻击者无法从模型输出中反推具体个体的隐私信息。在共享环节，应建立基于场景的精细化数据共享管理机制。针对AI应用的特点，明确不同场景下的数据共享范围、共享方式和安全要求。可以采用联邦学习之类的技术，在保护数据隐私的前提下实现数据价值共享。在销毁环节，需要建立智能化的生命周期自动化运营机制。利用自动化工具对数据进行全链路标记与管理，当数据完成AI训练任务或超过合规保留期限后，系统自动触发安全销毁流程，并生成不可篡改的销毁凭证。

海量资讯、精准解读，尽在新浪财经APP