93号文数据安全要求怎么落地?金融机构最难啃的骨头,有解了
金融机构的数据分类分级现在做到哪一步了是还在讨论标准还是标准有了但字段还没打完标或者——打完了但用在哪儿、怎么管完全是两回事我问过好几家金融机构的数据负责人十个里面有八个给我的答案是“做了但没做完做完了但没落地。”说实话这不是态度问 题是难度问题。2025年底金融监管总局下发了93号文——《关于开展金融机构数据安全管理能力提升专项行动的通知》明确在2026年要“发现一批、整改一批、通报一批、处罚一批”。六大维度、百余项考核指标往下一拆解每一条落到实处都不轻松。问题来了从文件到执行中间那条沟怎么跨一、分类分级为什么是最难啃的那块骨头93号文的六大维度里数据分类分级是基础也是最容易卡住的地方。不是机构不重视是确实有几道坎在那儿。第一道坎制度是别人家的标准没结合自己。很多机构参照国标《数据安全技术 数据分类分级规则》GB/T 43697-2024以及《金融数据安全 数据安全分级指南》JR/T 0197-2020直接往自己身上套场景覆盖不全字段识别对不上最后做出来的分级方案合规部门觉得勉强能交差业务部门看都不看。第二道坎数据目录是死的业务是活的。系统上线、字段新增、应用迭代——每一次变更都可能改变数据的敏感程度。但绝大多数机构的分类分级结果打完标就锁进文档里了没有人盯着动态更新。等下次检查的时候拿出来和实际情况对不上解释起来比没做还难受。第三道坎分了级但没用起来。这是最可惜的情况。花了大量时间做分级结果分级结果跟后续的脱敏、审计、访问控制完全脱节各用各的策略根本没有打通。说白了分级成了一张纸安全防护还是老一套。第四道坎技术跟不上靠人工盯不住。系统里有多少张表、多少个字段、哪些字段涉及客户个人信息、哪些涉及账户资金——你让人手动盘盘到猴年马月我见过一家农商行光核心系统就几百张表靠人工识别敏感字段盘了三个月还没盘完。你说这能怪谁不是人不努力是这件事本来就不该靠人扛。二、六部委指南给了方向但执行还差三步六部门联合印发的《金融信息服务数据分类分级指南》国家互联网信息办公室、中国人民银行、金融监管总局、证监会、国家统计局、外汇局把数据分类分级的框架说得很清楚了——分什么类、定什么级、用什么维度判断。需要说明的是这个指南主要针对金融信息服务机构但其数据分类分级的框架思路对银行保险机构同样有重要参考价值。但问题是有了方向落地还差执行链路。根据我的观察从指南到真正落地需要踏实做好三步第一步字段打标——把分级结果从文档变成系统里的标签分级不能停留在“这类数据属于三级”这种描述上要落到字段级别——每一张表、每一个字段都要有对应的安全标签。如果你们机构现在的分级结果还是一份Excel没有落到系统里的字段标签那第一步就是要解决这个问题。这一步的核心问题不是标准是识别准不准、覆盖全不全。传统方法靠正则匹配识别“手机号”“身份证”没问题但遇到机构自定义的字段名比如叫“cust_id_no”的字段就容易漏。这时候就需要AI辅助——结合字段名、注释、数据样本多维度判断识别准确率才能真正上去。打完标之后这套标签还要以标准接口的形式共享出去给脱敏、审计、访问控制等工具提供策略依据。分级结果没有被用起来等于白做。第二步元数据管理——让数据资产“看得见、管得住”字段打完标还要知道这个字段从哪来、存在哪、被谁用过——这就是元数据管理要解决的问题。如果你们机构现在还说不清楚某个敏感字段经过了哪些系统、有没有传到第三方那这一步就还没做到位。用过来人的经验告诉你这一步很多机构都轻视了。数据资产不清分级结果就没有根。打了标的字段在哪个系统里用着、经过了哪些加工流程、有没有传到第三方——这些如果说不清楚合规检查的时候一样答不上来。建立“数据资产一本账”是元数据管理的核心目标库表字段全貌、数据血缘关系、敏感数据分布图谱都要有。第三步质量监控——别让分级结果变成“半年过期”前面说了业务是动的数据字段会新增、会变更。如果你们机构现在还没有周期性的自动检测机制只靠人工发现字段变化那随时可能出现分级结果和实际字段对不上的情况。一旦发现字段变更或新增敏感字段及时触发重新识别和打标流程而不是等到下次合规检查才发现已经对不上了。这三步做下来分类分级才算真正“活”了才能带动后续的脱敏、审计、访问控制形成联动防护。三、工具选不对做了也是白做说实话上面三步听起来清晰但真要靠人工推进大概率会在第一步就卡住。字段识别要效率打标要准确元数据要持续维护质量要周期监控——每一步都需要工具支撑。不少机构的做法是靠Excel梳理字段、靠人工盯着变更、靠临时项目应付检查。这种方式一次两次能撑过去长期根本不可持续。亿信华辰在这条链路上有比较完整的覆盖——字段打标这一步靠人工最容易卡在自定义字段上。字段名叫“cust_id_no”正则匹配根本识别不出来漏标了就可能留下合规隐患。亿信华辰的做法是用大模型结合字段名、注释、数据样本三个维度同时判断支持多种主流大模型接入这类模糊字段的识别准确率可有效提升。打完标之后分级结果以标准接口共享给下游的脱敏、审计、访问控制工具——分级结果不是锁在文档里而是直接被用起来。元数据管理这一步亿信华辰能帮机构建立完整的数据资产目录库表字段全貌、数据血缘关系、敏感数据分布图谱做到“数据资产一本账”。数据从哪来、经过哪些系统、被谁用着可追可查——这是合规检查时候能真正答上来的底气。质量监控这一步支持周期性自动检测字段一旦变更或新增自动触发重新识别和比对保证分级结果和实际字段始终一致。告别“打完标放着不管、半年后对不上”的老问题。这三步打通了分级结果才真正活起来才能驱动后续的脱敏、审计、访问控制形成联动。来看两个实际案例。上面说的是分类分级的链路但这套链路打通之后下游防护能力才能真正发挥作用——某农商行原来开发测试环节生产数据直接流入测试环境敏感字段没有任何保护风险极高。后来基于分类分级结果部署静态脱敏系统自动扫描识别敏感字段脱敏全流程自动化彻底封住了从生产到测试的数据泄露通道。而且脱敏之后的数据还能完整保留原有业务数据关系开发测试该怎么用还是怎么用。某省级城商行生产网、办公网多套系统并行传统方式根本无法对所有数据库访问行为做到全面审计。部署数据库审计方案后按业务区域分别部署审计单元高危操作实时识别、旁路阻断既满足监管合规要求又不影响业务连续性一点都没动业务系统的流量路径。说白了这两个案例说明一件事合规不能只靠文档更要靠技术能力真正运转起来。分级结果是起点脱敏、审计是终点中间那条链路断了哪头都到不了。四、2026年监管检查在即现在动还来得及93号文说得很清楚2026年要“发现一批、整改一批、通报一批、处罚一批”。不是虚的是有时间表的。问题不是要不要做而是现在动还来不来得及以我的经验来看来得及——但有个前提要从正确的切入点开始而不是大而全地铺开做。建议从数据分类分级入手因为它是所有后续防护措施的底座脱敏要基于分级结果审计要基于分级策略访问控制要基于分级权限。分级做扎实了其他的才有依托。具体来说三件事要优先启动梳理现有数据资产确定高价值、高风险的数据范围结合机构自身情况制定符合实际的分类分级标准——而不是照搬国标选好工具建立自动化打标和周期性维护机制别靠人工扛。三件事做完才算真正迈出了第一步才有底气去应对监管检查。说到最后合规不是目的用数据安全能力保住业务平稳运行才是真正的目标。93号文是个推手推着金融机构把数据安全这件事从“写在制度里”变成“跑在系统里”。这条路不好走但有了合适的工具和方法真的没那么难。