中国人民银行、国家金融监督管理总局等四部门于2026年7月3日联合发布了《金融业网络安全管理办法(征求意见稿)》。该《办法》旨在建立金融业跨部门综合监管制度,全面规范金融机构的网络运行、数据保护、个人信息安全及供应链管理。
核心内容概览
核心合规要求包括以下几个方面:
主体责任落实:金融机构须对本机构网络安全负主体责任,明确专门的管理架构和议事决策机制,保障资金和人员投入。
等级保护与密码应用:强制要求按照国家网络安全等级保护制度开展定级、备案和测评,并严格使用商用密码保护网络安全。
数据与个人信息保护:要求金融从业机构进行网络数据分类分级管理,严防数据遭篡改、破坏、泄露或非法利用。
应用软件与供应链安全:向公众提供App下载的机构需履行恶意程序检测义务;运营者需按规报送服务采购清单并定期进行风险评估。
中安云科小编总结
第一章 明确适用边界与主体责任
适用对象:不只是持牌金融机构,而是"金融从业机构",即金融机构 + 经国务院金融管理部门批准设立或认定的其他机构。
上位法:网络安全法、数据安全法、个人信息保护法、关基保护条例、网络数据安全管理条例。
责任归属:机构对自身网络安全负主体责任。
第二章 普遍要求与关基运营者加重义务并行
(一)普遍性义务
建责任制、定安全负责人
建组织架构和内部制度
网络运行监测、应急预案
等级保护定级备案 + 测评整改
商用密码使用
数据分类分级保护
个人信息保护,鼓励用"国家网络身份认证"核验用户
信息技术应用创新的风险管理
违法信息发现即停传、处置、报告
App下载服务的恶意程序检测义务
(二)关键信息基础设施运营者的加重义务
认定机制:由国务院金融管理部门识别认定,通报公安、抄送网信办
组织架构:主要负责人负总责 + 设首席网络安全官 + 安全管理责任人 + 专门安全管理机构 + 关键岗位背景审查
供应链安全:网络安全审查申报 + 年度采购清单报送
风险评估:每年至少一次全面检测评估,六项内容都列明了应急预案 + 定期演练
关键线索:这个"普遍义务 vs 关基加重义务"的两层结构,是理解全文最关键的一条线。
第三章 解决跨部门监管统筹问题
明确其规范对象主要是四家国务院金融管理部门之间的职责分工,而非直接约束金融从业机构。内容包括:
协同监管原则的确立
专项任务牵头负责机制的落实
部门间信息共享与风险会商安排
要求金融从业机构配合监督检查、不得拒绝阻碍依法实施的检查工作
第四章 法律责任
办法本身并未新设罚则,而是普遍采取"移送同级有关部门依法处理"的方式:
《办法》本身更像"义务清单 + 协同机制",具体处罚力度还是要看被援引的上位法。