当来到“十四五规划”收官“十五五规划”开局的承上启下的时间节点，银行所面临的环境亦是与以往不尽相同。在网络安全与数据安全的监管上，银行普遍感受到更加趋严的监管态势，不论是从政策要求下发的频次与覆盖广度上，还是由于网络安全与数据安全管理不善导致的监管处罚上。同时，国内银行普遍加大力度推动金融数字化、智能化转型，促进数字技术与实体经济深度融合，在此过程中一些新的金融科技技术的应用（如大数据、人工智能）等，尽管给传统的网络安全管理带来了新的工具与思路，但同时也扩大了整体的网络安全防护边界，并引入了未知不可控的安全风险。

　　与之不谋而合的是毕马威国际每年都会基于不同行业向企业的网络安全管理者（首席安全官）发起关于其最关注的/最棘手的网络安全挑战的调研。在最新的2025的调研1中显示，全球金融行业的首席安全官普遍认为,如何应对日益复杂的网络与数据安全监管环境、如何保护由于新技术应用而不断延展扩大的攻击界面是当前的最主要的挑战。

　　基于毕马威最新发布的《“监”听则明:2025年二、三季度金融业监管数据处罚分析及洞察建议报告》，在近两个季度关于数据安全/合规的监管处罚不论是从涉及机构数量、罚单数量还是金额上相交于以往均有着明显的增长趋势。基于对处罚事由的分析，毕马威发现监管主要关注重点也从原来的治理层面数据安全职责的明晰设置，逐渐转移到现在更加强调数据安全体系及管控事项的更加细化的落实，这也推动着银行去关注如何建立更加务实落地的数据安全管理体系。但基于毕马威团队观察，当前银行业整体的数据安全工作存在如下问题：

　　两级分化严重：部分成熟度较高银行已经具备了体系化的数据安全管理模式，而众多规模较小的金融机构尚处于被动合规的阶段，针对如何开展数据安全工作缺乏自身的资源积累；

　　工作开展思路不同：数据安全的管理尽管与传统的信息安全管控存在关联关系，但实质上更应站在“业务场景中数据安全风险”的角度来管理数据安全风险，较多银行仍停留在传统的信息管理视角，将数据安全管理归结为技术问题。

　　从整体的数据安全管控落地情况来看，众多大型商业银行在总行层面数据安全体系已经相对完善，其挑战更多的是如何将数据安全管控触角延展到其分支行及机构；而对于中小型银行来说，不论是管理思路上，亦或是治理机构及技术应用层面，其数据安全管控仍亟待完善。基于此，我们建议银行应该：

　　建立统分结合的多级数据安全管理体系，明确各层级责任边界，夯实业务部门数据安全主体责任，进而实现数据安全风险在业务前端环节的有效管理。

　　数据安全管理部门应加强与数据安全技术支撑保障部门（信息科技部门）的联动，充分借助现有网络安全风险监控手段，实现日志集中分析与异常行为自动预警。实现常态化数据安全应急演练的开展，充分覆盖数据泄露、非法获取、非法共享等典型场景，优化“隔离-取证-恢复”处置流程。

　　银行业金融机构在构筑数据安全管理体系时，二道防线的风险管理/合规部门以及三道防线的内部审计部门也需要形成协同防御机制，通过三道防线各司其职、动态协作，银行可实现从“被动合规”到“主动防御”的升级，系统性降低数据安全风险。

　　来源：《“监”听则明：2025年二、三季度金融业监管数据处罚分析及洞察建议报告》

　　近年来，随着大数据、人工智能等金融科技的飞速发展，金融业务模式正经历着前所未有的变革，尤其是2025年以来，以国有大行为代表的商业银行都在加快人工智能应用落地，快速拓展应用场景边界。这些新的技术的应用，快速地丰富了银行服务客户的手段，产生了众多的业务创新与场景创新，同时风险排查预警、反欺诈、反洗钱等领域由于新技术的应用亦带来了极大的效率提升。但不可否认的是，这些新技术应用在为金融业务发展注入新动能的同时，亦增加了银行在网络安全与数据安全管理上的难度，传统的安全管理范围进一步蔓延，不可控的技术风险亦随之产生，基于毕马威在为银行提供新技术安全风险咨询过程中的发现，我们认为当前银行普遍存在如下的问题，包括：

　　缺乏从行内整体视角统筹考虑的、针对人工智能等新兴技术的安全治理及安全工作的的职责边界界定以及工作协同机制的设计，导致行内在人工智能等新技术的全面应用过程中，无法有效的统筹管理安全风险，对安全风险底线无法有效把控；

　　尽管银行已经部署了一系列针对大模型的安全检测工具，但工具的应用场景及触发机制尚不明晰，未能与当前的AI应用场景的工作流进行有效的融合，导致存在较多新的AI应用场景在上线部署前缺乏安全检测进而进一步导致潜在的安全风险（如：提示词注入、模型越狱等）。

　　银行在引入第三方大模型时已经有了初步的安全分析与评估，但仍未形成银行内部统一的模型准入评价标准及流程、部署评价标准及流程。

　　在企业人工智能等技术应用的过程中，国家层面的监管亦与之配套为企业的新技术应用保驾护航，如近期修订的《中华人民共和国网络安全法》中亦将人工智能治理纳入法律框架并强化主体责任和处罚力度，其中强调企业需主动合规以应对全链条风险。同时在国家层面亦出台了《人工智能安全治理框架》2.0版、《生成式人工智能服务管理暂行办法》等一系列指导文件，主动合规将帮助银行能够更加体系化地应对新技术相关的风险。

　　强化新技术应用的整体生命周期管控，新技术应用前应做好充分的安全测试、隐私影响评估、漏洞检查等工作，在新技术应用过程中亦应加强整体生命周期的风险监控；另外通过部署数据加密、数据防篡改、安全审计与追溯、内容安全防护的技术手段，充分防范应用过程中的可能存在的数据泄露与篡改风险。

　　在新技术风险防范领域，银行机构普遍面临着专业人才短缺的挑战，银行应考虑有侧重地建立与此相关的人才培养机制，快速的培养相关领域的领军人才，填补由于人才短板而可能造成的管理漏洞空间。同时，在此阶段，充分引入外部咨询机构、监管专家意见，亦是形成良好管理合力的有效补充。

　　2026年作为“十五五”规划开局关键年，银行金融机构面临的安全环境更趋复杂，这也要求银行在网络安全工作上需要紧扣政策导向与金融科技的应用趋势，压实安全合规的责任，聚焦核心风险领域，从被动合规向主动防御转变，在管理上应引入体系化的管理思路，将安全工作做得更加务实，切实地发挥好经济发展过程中的保驾护航的作用。

　　本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。