步入2026年，数据安全监管的态势明显升级。

　　6月13日，根据中国网信网披露，国家互联网信息办公室、中国人民银行、国家金融监督管理总局等六部门联合印发《金融信息服务数据分类分级指南》，指导金融机构开展数据分类分级和重要数据识别工作。

　　随着金融行业数字化转型进一步深化，数据已然成为银行业发展的关键要素，而数据分类分级则是数据安全工作的基础。“如果要让数据发挥作用，就不能忽视数据安全。”某城商行数据管理部门一位业务人士表示。

　　数据违规出域问题频发

　　客户数据违规流转、泄露出域，始终是银行业数据安全治理的高频痛点。

　　5月11日，鸡西金融监管分局披露的一则罚单显示，农业银行密山市支行因“违规泄露客户信息”等两项事实被罚款50万元，两名相关负责人因“违规泄露客户信息”被警告。

　　证券时报记者观察到，过去多年，银行客户信息泄露事件不时发生，特别是客户经理利用职务之便，违规查询、倒卖客户信息的行为屡禁不止。

　　掌握海量个人和企业数据的银行，数据安全无疑是其合规管理的重要部分。目前，银行已普遍落地数据最小权限使用、分级查询等基础管控机制，但在实际业务场景中，数据不合规出域的风险隐患依然难以杜绝。

　　对于银行而言，数据安全管理主要是对数据收集、使用、传输、共享等多个数据处理活动和数据应用场景进行管理与控制。银行客户数据的泄露，还会存在于数据开发加工环节、第三方端口共享环节等。

　　上述城商行数据管理部门的业务人士认为，数据在各种不合规的情况下出域，仍是数据安全工作的重要难点。

　　数据分类分级是起点

　　业内观点认为，数据分类分级是数据安全管理的第一步。

　　口径不统一、散落于多部门、碎片化……不少银行尤其是中小银行的数据分类分级工作存在粗放情形，导致最终难以有效落地。

　　这一问题也频繁在监管的处罚结果中得到体现。在2024年及此前的监管罚单中，“未建立以分级授权为核心的消费者金融信息使用管理制度”是银行业高频违规的事由。

　　对于数据分类分级的重要性，翰纬科技数据安全咨询服务负责人张兵告诉证券时报记者，数据分类分级是数据安全建设的基础工作。数据安全管理的基础理论是依据数据的安全级别开展差异化管控，而确定数据的安全级别是通过数据分类分级来实现的。

　　“未落实分类分级是因为这项工作比较复杂。”张兵认为，这主要存在三个方面的痛点，即数据分类分级的标准不明确、数据量过大、需要多部门协调跟进。

　　“通常银行的数据库都超过100个，需要技术工具支持。”张兵表示，数据分类分级需要数据安全管理、数据治理、科技部门、业务部门等多方协同，因此内部的有效协调显得非常重要。

　　行业合规监管全面趋严

　　2021年9月，《数据安全法》正式施行，明确要建立数据分类分级保护制度，为数据安全治理提供了基本遵循。

　　当前，在上位法方面，我国出台了《网络安全法》《数据安全法》《个人信息保护法》等，在不同程度上对数据分类分级进行了表述。

　　近两年，中国人民银行、国家金融监督管理总局出台了专项管理办法，规范金融领域的数据安全管理工作。其中，《银行保险机构数据安全管理办法》明确要求制定数据分类分级保护制度，银行保险机构应根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其他一般数据。

　　在新技术与新场景驱动下，数据要素成为金融机构发展的重要驱动力。数据流通共享的活跃，也带来了金融数据安全的更多威胁，金融机构的数据安全防护体系与治理能力正面临着前所未有的考验。

　　上述大势带来的转变是，数字化转型大潮下，基于数据治理、数据安全相关科技类罚单逐渐增多，越来越多的银行开始认识到，数据工作已不单是技术部门的事情。

　　在数据安全领域，以罚促合规的监管导向非常明显，直接体现在行政处罚力度的大幅提升方面。据证券时报记者梳理，2026年以来，包含“数据安全”违规项的百万元罚单多达20余张，超过了去年的个位数水平。截至5月末，涉及“数据安全”违规的相关罚单已有55张，超过2025年全年。