2版 要闻  查看版面PDF

2026年

7月11日

查看其他日期

金融监管总局拟加强银行业保险业网络安全管理 金融机构应建立新技术应用安全评估机制

2026-07-11 来源:上海证券报

◎记者 张琼斯

金融监管总局7月10日就《银行业保险业网络安全管理办法(征求意见稿)》(下称“办法”)公开征求意见。针对新技术安全,办法要求,金融机构应当建立新技术应用安全评估机制,新技术引入前应当开展安全评估,不得因引入新技术而降低网络安全防护水平。

招联首席经济学家董希淼表示,办法与不久前发布的《金融业网络安全管理办法(征求意见稿)》相衔接。二者将共同构建起金融业网络安全的制度框架,对于防范化解网络安全风险向金融风险演变、保障金融体系安全稳健运行具有重要意义。办法对于引入新技术的要求,意味着金融机构在追求技术赋能的同时,必须守住安全合规的刚性底线,即“先评估、后使用、保底线”。

办法共八章七十二条,围绕网络安全治理、网络安全建设和运行管理、网络安全风险监测、网络安全事件响应与处置、关键信息基础设施管理、监督管理等核心领域提出明确要求。

金融监管总局表示:办法考虑银行业保险业金融机构的业务特点,推动落实网络安全保护责任,体现大网络安全的概念,强调全集团统一管理、科技与业务协同、三道防线协同共治的网络安全治理理念;体现分级分类管理,在对银行业保险业金融机构提出网络安全整体管理要求的基础上,针对关键信息基础设施管理提出更高要求。

根据办法,金融机构应当建立网络安全责任制。其中,党委(党组)、董(理)事会对网络安全管理工作负主体责任。金融机构主要负责人为网络安全第一责任人。

在网络安全建设和运行管理方面,办法要求:金融机构应制定符合业务和科技发展需要的网络安全建设规划;建立与自身业务规模、复杂程度和风险水平相适配的网络安全管理制度体系;建立信息科技供应链安全风险管理制度,选用符合国家有关规定的信息技术产品及服务等。

近年来,人工智能等新技术在银行业保险业得到广泛应用。针对新技术,办法明确,金融机构应当建立新技术应用安全评估机制,新技术引入前应当开展安全评估,不得因引入新技术而降低网络安全防护水平。

“这意味着金融机构引入人工智能新技术时不能盲目跟风,必须与自身风险管理能力相匹配。”董希淼建议,新技术应用安全评估需覆盖模型、数据、业务等全流程,对信贷审批等高风险场景要严格准入。

关于科技外包,办法提出,金融机构应当按照信息科技外包监管要求,开展外包准入、服务提供商管理、外包人员管理、外包风险评估检查等相关工作。

为做好数据安全管理,办法要求,金融机构应当建立健全数据安全管理制度,明确数据安全主体责任及牵头部门,开展数据分类分级,依法合规使用数据。

为保护个人信息安全,办法明确:金融机构应当按照法律法规和监管要求履行个人信息保护义务,采取技术和管理措施对个人信息进行保护;鼓励金融机构接入国家网络身份认证公共服务,开展用户真实身份核验、认证。