银行保险网络安全新规:董事长,该你上场了
来源:CFN 大河 2026年07月11日 09时27分

文 | CFN 大河 版权图片 | 微摄
2026年7月10日,金融监管总局丢出了一份八章七十二条的征求意见稿。内容很厚,但最扎眼的一句话藏得不深—— “党委(党组)、董(理)事会对网络安全管理工作负主体责任。金融机构主要负责人为网络安全第一责任人。”
翻译成大白话:以后银行系统瘫了、数据漏了,第一个被问责的不是技术部门,是董事长。
这不是演习。
上半年50多张罚单,1,110万一张——监管已经不耐烦了
先看一组数字。
2026年上半年,银行业数据安全违规罚单超过50张,其中百万元级罚单达20余张。有银行因数据问题单笔被罚1,110万元。2026年1至5月,数据报送与治理违规罚单总数达346张,是去年同期的2.5倍;被罚银行数量达277家,是去年同期的3倍。
翻译一下:罚单数量翻了2.5倍,被罚机构数量翻了3倍。
再往前看,2025年全年数据安全相关百万元以上罚单只有1张。2026年前5个月,同类罚单激增至24张。从1张到24张——这不是渐进式收紧,这是监管在掀桌子。
更扎心的不是罚单数量,是罚单内容。
6月8日,工商银行、建设银行、交通银行三家国有大行同日领罚,合计255万元。工行的罪名是“重要信息系统投产变更风险管控不到位、未按规定报告重要信息系统突发事件”;建行是“重要信息系统投产变更风险管控不到位、重要信息系统应急管理不足”;交行是“灾备恢复能力建设不足、重要信息系统应急管理不足”。
三家国有大行——不是小银行,不是村镇银行——同一天因为同一类问题被罚。在此之前,天津银行也因“重要信息系统对外服务异常事件应报未报”被罚20万元。
这些罚单指向一个共同病灶:系统出了问题,没人及时报告,没人承担责任。
而新规的逻辑很简单:以前罚的是“机构”,现在要罚的是“人”——而且是那个坐在最上面的人。
“谁主管谁负责”——这句话从制度变成了刀子
《办法》确立的原则叫 “谁主管谁负责、谁运营谁负责” 。八个字,拆开看很有意思。
“谁主管”——董事长、行长、党委书记。你们管着这家机构,系统出了事,你们负责。
“谁运营”——分管科技的副行长、CIO。你们运营着这些系统,出了事,你们也跑不掉。
《办法》要求金融机构建立网络安全责任制,明确各层级网络安全责任,明确违规情形和责任追究事项,落实问责处置机制。金融机构还得建立网络安全考核奖惩机制,定期对网络安全责任落实情况进行考核,纳入单位年度考核体系。
以前网络安全是IT部门的事。IT部门出问题,IT部门背锅。现在不一样了—— 网络安全是“一把手”的KPI。
业内人士管这个叫“从被动合规转向主动防御”。说得更直白一点:以前是“出了事再找人负责”,现在是“先定好谁负责,出了事直接找ta”。
出了事怎么分级?瘫痪多久算“重大”?——量化答案来了
新规把网络安全事件分成四个等级:特别重大(一级)、重大(二级)、较大(三级)、一般(四级)。分级依据包括影响范围及持续时间、系统重要程度、资金损失以及对国家安全、社会秩序、经济建设和公众利益造成的影响。
翻译成人话:银行APP崩了多久、影响了多少人、造成了多大损失——决定这件事算几级。
然后关键来了—— 对因管理不当造成较大(三级)及以上网络安全事件,或者瞒报、漏报、谎报、故意迟报较大(三级)及以上网络安全事件的,金融机构应当严肃追责问责 。
也就是说,系统瘫了——不管是被攻击了还是自己出故障了——只要达到三级以上,就要追责。而且是“严肃追责问责”。
追谁?党委、董(理)事会、第一责任人。
如果你觉得这只是吓唬人,看看2024年的案例。中国银行因“部分重要信息系统识别不全面、灾备建设和灾难恢复能力不符合监管要求”被罚430万元;同月,中信银行因“部分重要信息系统应认定未认定、相关系统未建灾备”被罚400万元。这些罚单开出来的时候,被罚的是“机构”。新规之后,被问责的可能就是“一把手”本人了。
新技术、AI、外包——每一样都是坑
《办法》还堵了几个以前没人管的漏洞。
第一个,新技术。 金融机构应当建立新技术应用安全评估机制,新技术引入前应当开展安全评估,不得因引入新技术而降低网络安全防护水平。招联首席经济学家董希淼的解读很到位:“金融机构引入人工智能新技术时不能盲目跟风,必须与自身风险管理能力匹配。”
第二个,外包。 金融机构应当按照信息科技外包监管要求,开展外包准入、服务提供商管理、外包人员管理、外包风险评估检查。泉州银行今年被罚625万元,罪名之一就是“第三方合作数据安全风险管控不到位”。
第三个,数据安全。 金融机构应当建立健全数据安全管理制度,明确数据安全主体责任及牵头部门,开展数据分类分级。
这三个坑,每一个都埋着大雷。AI用好了是效率,用不好是漏洞;外包省了成本,但第三方出了事银行得兜底;数据管不好,就是下一个1,110万罚单的主角。
从“纸面合规”到“一把手坐不住”
过去很多银行的网络安全工作是这样的:制度写了,挂在墙上;系统装了,没人在意;出了问题,没人负责。
业内人士把这种现象叫 “纸面合规” 。制度写得漂漂亮亮,执行起来马马虎虎。
新规要解决的就是这个问题—— 把网络安全从“技术问题”变成“治理问题” 。技术问题可以推给IT部门,治理问题推给谁?推给董事会。
《办法》的起草说明里有一段话值得反复读:“金融数字化转型进程中,金融服务对网络的依赖日益加深,金融网络彼此互联互通、紧密交织。网络运行维护复杂度高、供应链安全保障涉及面广、有组织高强度网络攻击时有发生、新兴技术与业务融合应用紧密等风险叠加共振,潜在威胁到金融稳定和金融安全。”
这段话翻译成大白话就是:金融系统太复杂了,攻击太多了,技术变化太快了——光靠IT部门扛不住。得让坐在最上面的人来扛。
所以, “一把手负责制”不是一句口号,是一把刀。
董事长,该你上场了
征求意见的截止时间是2026年8月3日。距离现在,不到一个月。
《办法》正式施行之后,网络安全就不再是科技部的事、不再是CIO的事。是党委的事、是董事会的事、是董事长的事。
金融机构需要建立网络安全治理架构,明确网络安全工作职责,构建网络安全保障体系,健全决策、管理、执行和监督考核机制。金融机构的主要负责人——不管你是叫董事长还是叫行长——你是网络安全第一责任人。
系统瘫了,找你。数据漏了,找你。瞒报漏报,找你。
这不是演习。这是监管在告诉你:网络安全这件事,你躲不掉了。
对于那些已经走在合规前面的机构——恒丰银行2026年初新设了首席数据官和首席安全官;江苏银行的党委书记、董事长直接挂帅当网络安全第一责任人——新规不过是把已经在做的事情写进了制度。
但对于那些还在“纸面合规”里打转的机构——10月1日之后(正式施行日期待定),每一次系统宕机、每一次数据泄露,都可能不只是罚款那么简单。
你可能失去的,是一个岗位、一份信任、整个职业生涯。
董事长,该你上场了。
相关资讯
-
2026世界读书日——和讯「和你读本好书」财经思享沙龙圆满落幕
2026年04月24日 13时24分 -
2026年五一租车需求走高 神州租车预订量同比增长超75%,跨城与深度游需求活跃
2026年04月23日 15时05分 -
2026.4.23 | 和讯邀你读本好书——暂停焦虑,升级财富认知!
2026年04月20日 07时47分