数据安全榜：谁在尽心倾力守护您的金融隐私？

在数字化的今天，金融隐私安全正极大地考验着每一家金融机构，也牵动着每个人最敏感的神经。

但偶发事件常常产生超乎寻常的恐慌和联想。2023年11月，部分金融机构在境内外接连发生风险事件，甚至遭遇黑客入侵，核心数据外泄或被劫持。事件引发金融界和科技界深思，如何尽心倾力守护用户金融隐私？

事实上，监管层高度重视国家金融数据安全和个人金融信息安全，并陆续出台了一系列监管规范，旨在建立覆盖金融数据全生命周期的安全管理体制机制。其中，个人金融信息保护成为金融数据生命周期安全管理工作的重要组成部分。

为客观评估银行业和寿险行业的数据安全实力，南方周末新金融研究中心对20家系统重要性商业银行和9家主流寿险公司进行系统性测评。与财富管理榜、绿色金融榜、数字金融榜的指标评价体系构建逻辑一致，数据安全榜的定量定性指标占权重70%，外部专家评审和媒体因子各占15%权重。鉴于银行和保险做公司信息披露相关规则及信披实际情况存在差异，南方周末新金融研究中心依据银保各自信披重点，分别构建了银行业和寿险业的数据安全定量定性指标体系。

基于被测评的各银保机构数据安全标准颇为严格，且迄今罕见数据安全恶性事故，此榜单重点体现上述银保机构对数据安全的战略级重视度、信息披露的透明度和数据安全工作的实效。

银行榜指标体系：四个维度最重成效

银行业数据安全榜评价指标体系定量定性指标分为组织建设、制度流程、技术工具和成效四个维度，内含五项二级指标。

数据安全榜之银行榜指标体系（梁淑怡、刘宇宇/图）

现对银行业数据安全榜指标体系定量定性指标说明如下：

组织建设是指商业银行在数据安全方面的组织架构情况。南方周末新金融研究中心调研团队通过商业银行披露的相关负责部门数量来考量。该项指标权重占比10%，反映了商业银行对数据安全和信息保护的重视程度。

制度流程是指商业银行在构建数据安全体系过程的规范程度。规范的制度流程是商业银行构建数据安全体系的重要基石和保障。在该维度下，我们主要考察商业银行数据安全方面相关制度和规范文件的数量，分为自身相关制度数量和供应商管理相关规范文件数量两项二级指标，权重合计20%。

其中，供应商管理是指商业银行对属于该行所有的数据进行采集、传输、存储、筛选、分析、交换、共享等操作时，对相关外部合作伙伴进行有效风险识别、评估和有效管控的管理机制。目前大多数商业银行在对各类供应商进行年审时，并未对数据安全给予足够重视。而对于能够接触到银行敏感数据的供应商，一旦供应商存在安全漏洞或行为不端，很可能导致商业银行的信息安全数据安全受到威胁。

为鼓励商业银行加强对供应商在数据安全方面的管理重视程度，南方周末新金融研究中心将商业银行披露的供应商管理相关制度文件的数量纳入到指标体系，所占权重10%。

技术工具是网络安全体系的核心部分。该指标直接反映商业银行对数据和隐私的保护能力及数据安全保护的有效性和可靠性。鉴于数据行业对于相关技术工具的研究和评价已非常体系化，我们通过各商业银行公开信息披露的认证体系数量来判定该银行在数据安全方面的技术实力。该指标所占权重10%。

成效指标独占30%权重，是单一权重最大的指标维度，且是唯一的定性指标，以充分体现以成果为导向的数据安全榜测评逻辑。该指标对各商业银行数据安全评价结果构成重大影响。对于2023年发生信息安全事件、客户个人信息泄露、较大IT系统故障等事故的商业银行，我们通过减分对相关商业银行进行警示。

需要强调的是，为鼓励商业银行加大在数据安全领域的信息披露透明度，减少信息不对称性，我们对部分银行没有披露相关指标数据的情况，均给予相关指标最低得分处理。

银行数据安全榜：大行包揽前三

银行数据安全榜显示，农业银行位列榜首，工商银行和中国银行紧随其后。三大行综合得分均超过70分，优势显著。

农业银行获得数据安全相关的各类认证数量多达51个，远超其它各家银行。该行在国有大行中率先发布《数据安全管理办法（试行）》，并以此为基础建立了全面的数据安全管理体系。同时，该行坚持“最小必要”原则，在数据合理使用范围和权限内开展挖掘与应用，对客户的敏感信息均进行加密处理，最大化保护数据安全隐私，避免泄露和滥用。

数据安全榜之银行榜（梁淑怡、刘宇宇/图）

在股份制银行中，平安银行和招商银行分列榜单第四和第五名，表现较好。平安银行坚持利用数据集成安全可用的工具技术，包括利用安全保护伞技术对数据自动脱敏和敏感人群自动保护，通过数据安全屋确保分析场景的独立以及安全性。该行信用卡通过自研隐私计算平台实现对外部与借记卡交集客户的精准识别，有效降低了获客成本。

寿险榜指标体系：三个维度 7个子指标

寿险是典型的数据密集型行业，拥有大量的个人信息、市场信息和交易信息。监管层十分重视寿险行业数据安全工作。2023年以来，监管机构先后发布《银行保险机构消费者权益保护管理办法》和《关于加强第三方合作中网络和数据安全管理的通知》等规范文件，要求寿险机构建立消费者个人信息保护机制，并开展数据风险自查整改。

寿险机构执行情况究竟如何？南方周末新金融研究中心以9家寿险公司披露的财报、ESG或CSR报告、官方公告、公开报道等公开信息为基础，从数据安全、内部治理和外部审查三个维度对9家寿险公司进行定量和定性评价，并设置7个子指标，每个指标权重均为10%，定量定性指标总权重为70%。

在此基础上，南方周末新金融研究中心综合专家评审打分和媒体因子（各占15%权重），构建寿险数据安全榜指标体系。

数据安全榜之寿险榜指标体系（梁淑怡、刘宇宇/图）

现对寿险数据安全榜指标体系定量定性指标说明如下：

数据安全维度，以ESG报告中提及“数据安全”或“资料隐私”次数衡量寿险机构对数据安全工作重视程度，以近一年是否发生重大信息安全事件衡量寿险机构数据安全工作实效。该指标的判断依据为年报或ESG报告中关于重大信息安全事件描述。上述两项指标权重合计占20%。

内部治理维度，以是否设置独立数据安全部门，是否制定数据安全防护制度，是否开展年度信息安全审查等3项指标定性评价寿险机构内部数据安全工作落实情况。上述三项指标权重合计占30%。

外部审查维度，以App是否存在侵犯用户隐私问题，是否获得ISO/IEC27001认证两项指标定性评价寿险机构在数据安全专业领域的受认可程度。上述两项指标权重合计占20%。

寿险榜：国寿夺冠，友邦泰康跻身前三

寿险数据安全榜单显示，中国人寿以1.59分的优势领先友邦人寿夺得头名，友邦人寿屈居第二。两家寿险公司综合得分均超过了80分，领先第三名泰康人寿8分。

数据安全榜之寿险榜（梁淑怡、刘宇宇/图）

从定量定性指标得分情况看，中国人寿、太保寿险、友邦人寿和泰康人寿4家机构得分均超60。这显示它们在数据安全、内部治理和外部审查等多维度整体表现较佳。最终，中国人寿由于在外部评委打分和媒体因子得分方面均获得高分而最终夺冠。

中国人寿早在2012年便提出全面打造“科技国寿”战略，11年来持续加大数据安全投入。作为首批试点的金融机构，国寿在业内率先实现重点业务系统信创数据库迁移投产，实现100%重点业务系统分布式架构转型，成功构筑全新自主掌控的分布式云架构数字基座。该公司还提出并建成国内寿险业首个数据中心，并获得T4认证的高标准地下机房。此外，该公司还利用内部私有云和外部公有云资源成功研发安全、绿色和弹性的国寿混合云，集计算、存储和容器于一体，大幅提升数据安全性和计算能力。

南方周末新金融研究中心还发现，排名靠后的寿险机构虽然尚未出现重大信息安全事件，但在内部治理和外部审查方面短板明显。如，4家被测评机构没有设置独立数据安全部门，2家机构没有开展年度信息安全审计，3家机构的App被指存在侵犯用户隐私问题，等等。

南方周末新金融研究中心认为，排名靠后的寿险机构亟需提升对数据安全体系建设完善的重视程度，同时以更加严格、透明的信息披露尺度面对公众关切，通过切实有效的举措增强公众对寿险机构数据安全的信任度。