探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

从2025年中报看上市银行数据安全治理

时值2025年半年度报告披露季，各家上市银行的期中"成绩单"进入集中披露期。纵观今年银行业的中报披露，可以看出一个明显的趋势是：数据安全治理正在成为很多金融机构报告中的重要组成部分。这既是银行业对《银行保险机构数据安全管理办法》（以下简称总局《办法》）等监管要求的积极响应，也体现了银行业对数据安全治理能力的战略重视和持续投入。

从行业整体来看，当前银行业数据安全治理呈现出几个特点：监管要求更加具体明确；风险管理范围持续扩大；数据安全治理体系与现有风控体系加速融合。在这个过程中，各家银行的实践路径和重点也展现出不同的特色。

8月28日，具有“同业之光”荣光、资产破规模突破10.61万亿元的兴业银行发布了2025年半年报。上半年，兴业银行实现营业收入1104.58亿元。

今天我们通过兴业银行发布的2025年半年度报告，来看看这家银行在数据安全方面的实践。从其披露内容来看，兴业银行建立了一套包括治理架构、制度规范、操作流程在内的数据安全管理体系。

接下来，我们将从披露的报告出发，梳理兴业银行在数据安全管理方面的具体做法，看看哪些经验值得借鉴，又反映了哪些行业共性的发展趋势。

1.数据安全责任制落实

总局《办法》要求：明确银行保险机构党委（党组）、董（理）事会对本单位数据安全工作负主体责任，机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。

兴业银行2025年半年度报告：

公司已建立覆盖董事会、高管层、数据安全统筹、数据安全技术保护等部门的隐私与数据安全管理组织架构，负责审议和批准全行隐私与数据安全相关事项重大决策，统筹协调公司重大隐私与数据安全事件处置工作。董事会及董事会风险管理与消费者权益保护委员会切实统筹和监督个人信息保护工作的开展，每年专题审议全行个人信息保护工作报告，及时审查督促隐私与数据安全工作进展成效。

公司设立数字化转型委员会作为数字化转型、金融科技重大事项的议事决策机构，负责审议数字化风险防范管控重要机制与策略方案，听取网络与信息安全、数据安全等重大事项报告。委员会设主任委员一名，由公司党委书记、董事长担任；设副主任委员若干名，由总行行长、副行长及首席信息官担任；设委员若干名，由总行各相关部门负责人担任。委员会下设网络与信息安全工作领导小组、数据安全工作领导小组等专项领导小组，负责审议和批准全行网络与数据安全战略、规划和重大决策，组织重大网络安全、数据安全事件处置，推动各项党委网络安全、数据安全工作职责的落实，每年召开领导小组会议审议和部署公司网络与数据安全工作，推动公司隐私与数据保护各项工作有效落实。

公司建立党委网络安全与数据安全工作责任制，明确公司各级党委对本单位网络安全与数据安全工作负主体责任，党委领导班子主要负责人是本单位网络安全与数据安全工作第一责任人，党委主管网络安全与数据安全的领导班子成员是本单位网络安全与数据安全工作直接责任人。

简评：

兴业银行在组织架构上进行了明确分工：通过党委责任制明确了党组织在数据安全工作中的领导主体责任，确立了“主体责任-第一责任人-直接责任人”的问责机制；同时通过公司治理架构（董事会、数字化转型委员会及下设专项领导小组）建立起由董事长、行长等高管直接负责的战略决策体系。遵循监管对党委责任的要求，同时有助于数据安全治理与银行现有的公司治理和战略决策体系有效融合。

2.数据安全风险纳入全面风险管理体系

总局《办法》要求：银行保险机构风险管理、内控合规和审计部门负责将数据安全纳入全面风险管理体系、内控评价体系，定期开展审计、监督检查与评价，督促问题整改和开展问责。

兴业银行2025年半年度报告：

公司……将各类业务、各种客户承担的信用风险、……信息科技风险、洗钱风险等纳入全面风险管理范畴，进一步明确了董事会、监事会、高级管理层、操作执行层在风险管理上的具体职责，形成了明确、清晰、有效的全面风险管理体系……

网络与信息科技风险管理

信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险……公司形成以科技条线部门、法律与合规部、审计部及其他相关部门组成的信息科技风险管理“三道防线”组织架构，建立并完善信息科技风险管理程序和机制，强化信息科技风险有效管控，不断推动业务发展和创新，提高信息技术应用水平。

……

网络安全与数据安全风险已纳入公司全面风险管理体系及内控评价体系。

简评：

从报告披露来看，兴业银行通过明确的组织架构和流程设计，将数据安全风险纳入全面风险管理体系。具体表现为：一是将网络安全与数据安全风险正式纳入全面风险管理及内控评价体系；二是形成了由科技条线部门（一道防线）、法律与合规部（二道防线）、审计部（三道防线）组成的信息科技风险管理"三道防线"组织架构；三是通过定期开展风险检查和风险评估，建立整改跟踪机制。兴业将数据安全风险与传统风险类型统筹管理，借助成熟的风险管理框架实现协同效应。

3.数据安制度建设

总局《办法》要求：银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系，建立健全数据安全管理制度。

兴业银行2025年半年度报告：

公司持续完善数据安全相关政策和制度，已制定数据安全制度、数据安全管理办法、数据安全风险管理办法、数据安全事件管理办法、数据外部交换安全管理办法、数据安全分类分级细则、数据出境安全管理细则、数据安全评估要求标准文件等系列政策制度，并发布信息安全事件应急处置规程、个人客户数据泄露事件应急处置预案等相关管理制度，从应急准备、事件监测、事件遏制及根除、事件恢复和跟踪等方面规范信息安全事件的处置流程。

公司严格遵守国家法律法规及相关监管要求，秉承系统化、精细化管理理念，构建完善的个人信息保护制度体系，通过专门的纲领性总规，确立了权责明晰的个人信息保护核心原则，将合规要求贯穿于个人信息采集、传输、使用、存储等每个环节，成为业务开展的“基准线”；建设个人信息保护影响评估实施指引，明确要求业务开展、系统建设前应评估个人信息的处理目的、处理方式等是否合法、正当、必要，保障所采取的保护措施合法、有效，推动个人信息保护从“被动合规”向“主动发现”升级；针对数据安全、研发管理、业务流程等关键领域量身定制多项专业化制度和标准化操作流程，紧密贴合各业务条线日常工作，将制度总规转化为可操作的“防护动作”，让每一项个人信息处理活动都有章可循、有规可依；制定隐私政策、个人信息授权书等参考合同文本，通过法律合规审查机制，确保全行按照统一规范和标准定制清晰、合规的隐私保护文本。

简评：

从报告披露来看，兴业银行在数据安全制度建设方面展现出系统化与精细化的特点。其制度体系不仅包含《数据安全管理办法》等基础制度，还制定了《数据安全分类分级细则》《数据出境安全管理细则》等具体操作规范，形成层次分明的制度架构。

同时，兴业银行特别注重制度的可执行性：一方面制定了《数据外部交换安全管理办法》，并配套提供《数据外部共享补充协议》《数据委托处理补充协议》等标准化参考合同文本；另一方面建立了涵盖应急准备、事件监测、处置恢复等全流程的应急预案体系，包括《信息安全事件应急处置规程》和《个人客户数据泄露事件应急处置预案》。个人信息保护方面，制定了《个人信息保护影响评估实施指引》制定隐私政策、个人信息授权书等参考合同文本。

4.数据安全技术保障、评估与审计机制

总局《办法》要求：银行保险机构应当建立数据安全技术架构，明确数据保护策略方法，采取技术措施，保障数据安全。开展数据安全风险评估、监测与处置。在处理敏感级及以上数据的业务活动时，或者对数据主体有较大影响的活动时，应当事先开展数据安全评估。应当定期开展审计、监督检查与评价，督促问题整改和开展问责。

兴业银行2025年半年度报告：

公司全面引入并落实ISO27001信息安全管理体系，每年邀请外部第三方机构对公司ISO27001信息安全管理体系认证进行验证和复查。每年邀请外部独立测评机构（福建闽盾网络安全有限公司（福建省网络与信息安全测评中心））对关键信息系统开展网络与信息安全风险测评；同时，公司作为重要网络与信息系统运营者，委托商用密码检测机构每年至少对公司重要系统开展一次商用密码应用安全性评估（简称密评）。报告期内，已委托中互金认证有限公司、北京银联金卡科技有限公司完成12套等保三级信息系统密评测评和监管备案工作。

公司积极开展信息系统外部和内部审计。在外部审计方面，每年由外部第三方会计师事务所对公司信息系统开展IT控制审计，审计覆盖内容主要包括信息系统访问管理、系统开发变更管理、系统运维管理、网络安全、系统间接口逻辑等，此外，审计也涉及数据安全、个人信息保护等关键领域。在内部审计方面，由公司内部审计部门独立开展信息科技风险和网络安全专题审计。报告期内，公司完成集团部分下属机构信息科技风险管理专项审计，对14家一级分行开展审计检查，实现对一级分支机构每三年一覆盖的管理要求；围绕数据安全管理方面，重点关注日常数据安全检查范围、数据安全培训覆盖面，以及机构公用终端、员工办公终端敏感信息管理等。完成业务连续性专项审计，对公司业务连续性管理情况开展审计，实现定期开展的管理要求，围绕业务连续性管理要求，关注数据备份策略对数据安全的影响。

简评：

从报告披露来看，兴业银行建立了多层次的数据安全技术保障与审计机制。在技术层面，通过落实国际ISO27001信息安全标准、开展年度密码应用安全性评估和等级保护测评，构建了完整的技术防护体系。在审计监督方面，采用内部审计与外部审计相结合的方式，既委托第三方机构进行专业审计，也由内部审计部门开展专项检查，审计内容涵盖系统安全管理、数据保护措施落实等关键环节，并对分支机构实施定期审计。

5.第三方数据安全管理

总局《办法》要求：银行保险机构与第三方机构进行数据共同处理时，应当按照“业务必要授权”原则制定方案并采取有效管理和技术保护措施确保数据安全，并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。与第三方数据合作时，要实现自身与外部的安全风险隔离。建立第三方合作机构数据安全事件的报告机制。

兴业银行2025年半年度报告：

公司在科技外包风险管理开展过程中履行监管机构科技外包风险管理要求，评估科技外包准入风险，实施供应商尽职调查，在合同中明确供应商网络安全和数据安全义务与责任，实施定期外包效能和质量监控、风险检查和供应商评价，执行实地检查工作，跟踪外包问题及整改事项，加强驻场外包人员准入、权限申请等流程控制，开展外包人员安全培训。

公司发布《兴业银行数据外部交换安全管理办法》，规范开展数据外部交换活动情景下的数据安全要求，包括应与第三方机构采用合同协议形式约定数据安全责任义务，明确数据范围和目的用途，要求第三方采取有效措施确保公司数据安全，委托处理或者数据外部共享终止时根据约定及时删除公司数据。同时，通过发布《数据外部共享补充协议参考合同文本》《数据委托处理补充协议参考合同文本》《数据安全评估报告模版》等规范模板，提升公司三方数据交互活动的安全性及合规性，确保客户信息和金融交易数据的安全。

公司严格限制授权第三方处置客户信息的目的和用途，不会在未经客户授权的前提下将客户信息共享给公司的金融合作伙伴、关联公司和业务合作伙伴。公司在获得客户同意的前提下，在向第三方提供客户个人信息时，会与第三方签署数据安全相关合同协议，并要求其严格按照公司要求的保密和安全措施处理个人信息，并要求其不得将共享的个人信息用于其他用途。公司不会出于完成交易/服务以外的目的向第三方出租、售卖或提供客户个人信息，但法律法规另有规定的除外。

公司通过《兴业银行个人信息保护管理办法》等制度明确全行各单位通过合作方采集个人信息或开展涉及个人信息的数据交换前，应对合作方的个人信息来源和数据共享交换服务等开展合规性审查，确保从第三方收集个人信息的合法性和合规性。

简评：

从报告披露来看，兴业银行在第三方数据安全管理方面建立了全流程管控机制。通过制定《兴业银行数据外部交换安全管理办法》及相关合同文本，明确第三方机构的数据安全责任义务，规范数据共享范围和使用目的。兴业银行实施供应商准入评估、尽职调查、合同约束、定期检查等管控措施，并加强对驻场外包人员的权限管理和安全培训。同时，披露将严格执行客户授权要求，在个人信息共享前履行告知同意程序。

6.个人信息保护

总局《办法》要求：《办法》单独设置“个人信息保护”章节。银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息。处理、共享和对外提供个人信息时，应当履行必要的告知义务，并取得必要同意。在开展涉及对个人权益有重大影响的个人信息处理活动时，应当进行个人信息保护影响评估等

兴业银行2025年半年度报告：

客户个人信息控制权

公司始终恪守相关法律法规和监管规定，尊重并全力保护客户获得对个人信息控制的权利，包括：知情权、选择权及查阅、复制、更正及更新权等，以及客户申请注销账户、删除个人信息的权利。

知情权、选择权。公司在客户访问移动APP、使用或办理涉及个人信息采集处理等业务前，均通过隐私政策或签署授权书等方式告知客户，并征得客户明确同意，按“最小必须”原则采集客户个人信息；公司隐私政策和授权书的制定均使用全行统一的模板，并在正式发布前均经过严格的审核审批流程，确保内容的合规性和完整性；公司在涉及处理个人敏感信息、委托外部第三方处理、跨境数据传输等特殊场景时，均有在授权书中单独告知客户本人，并征得客户单独同意。

查阅、复制、更正及更新权。在经过身份验证后，客户可通过公司官方网站、手机银行等线上渠道查询本人在公司登记的个人信息副本，以及交易记录等涉及业务开展所必需的个人信息；在柜面建立标准的个人信息查阅、复制响应流程机制用以满足客户的相关需求；当客户发现个人信息不准确或者不完整时，可在柜面要求公司修改或通过线上渠道自行更正和更新客户个人信息。

数据删除权。客户可通过手机银行或在个人网银“服务管理”-“注销客户号”里注销此前注册的网络金融客户号；亦可通过手机银行或通过公司营业网点注销本人的银行卡或账户；客户可通过公司网点、客服热线（95561）、手机银行“兴业客服”、官方网站“在线客服”等渠道请求删除客户个人信息，公司将在验证客户的用户身份后的15 天内处理客户请求；公司个人信息的保存期限为实现处理目的所必要的最短时间。保存期限届满后，公司将根据隐私政策规定及时删除客户个人信息，或对客户的个人信息进行匿名化处理；当客户删除部分个人信息后，公司不会再处理客户所删除的个人信息。但客户删除个人信息的决定，不会影响此前基于客户的同意而开展的个人信息处理。

公司持续优化个人信息删除机制，细化明确个人信息删除操作规程，在开展业务经营或提供金融服务的过程中，会向个人信息主体提供便捷的个人信息删除方法或渠道，不设置过高成本或显著困难。存在以下情形的，公司将主动及时删除个人客户信息；同时客户有权向公司主动提出删除个人信息的请求，公司将高度重视并迅速响应，切实保障客户的合法权益：

1.处理目的已实现、无法实现或者为实现处理目的不再必要；

2.公司停止提供产品或者服务，或者保存期限已届满；

3.客户撤回同意；

4.公司违反法律法规或者违反约定处理个人信息；

5.客户不再使用公司的产品或服务，或注销了账号；

6.法律法规规定的其他情形。如法律、行政法规规定的保存期限未届满，或者删除信息从技术上难以实现的，公司将停止除存储和采取必要的安全保护措施之外的处理。

简评：