近年来，监管重心从“结果合规”转向“过程合规”，聚焦“制度有执行、能力有提升”。93号文以“发现一批、整改一批、通报一批、处罚一批”为总基调，采用穿透式监管，覆盖全金融机构及第三方合作服务商，严厉打击形式主义合规，推动机构从被动整改转向主动建设。强调“压实责任、摸清家底、管控全流程”为核心，明确了专项行动的实施路径、覆盖范围与核心整治方向，形成全周期、全主体、全维度的监管闭环。将数据安全技术要求从“原则性指引”转化为“刚性落地标准”，不再允许“有工具、不使用”“有制度、不执行”的形式主义，要求实现技术与业务的深度融合。

截止3月底，基本完成金融机构的自查整改阶段，接下来将进入第三阶段：检查通报（2026.4—2026.10）：监管部门开展现场检查、交叉核验、渗透测试，深入核查系统日志、权限配置、数据流转台账等实际证据，对整改不力、存在重大隐患的机构从严处罚、公开通报。

检查由金融监管总局统一指导，各监管分局按照属地原则实施。在具体组织上，将结合各地实际情况，采用总局建议的跨省交叉检查形式开展，以保障检查的独立性和公正性。

《银行保险机构数据安全管理办法》共计100余条，本次检查将实现全覆盖。其中，以下环节将被作为重点：

-数据安全治理体系：包括组织架构、制度建设、责任分工等

-数据分类分级管理：分级标准的科学性与落地执行情况

-外部数据合作管理：第三方数据引入、共享、退出机制

-个人信息保护：个人信息收集、使用、存储、删除的全流程合规性

需要特别注意的是，本次检查将聚焦于管理机制层面，重点审视制度设计是否完善、流程执行是否到位。技术层面的深度核验仍需依靠专业机构，是否会邀请行业专家开展上机技术验证目前尚不明确，但从检查整体安排来看，可能性较低。

现场检查将重点覆盖中小金融机构。中小机构在数据安全能力建设上普遍相对薄弱，是本轮检查的主要关注对象。各相关机构应尽早对标自查、补齐短板，不宜存有侥幸心理。

关于检查发现问题后的处罚问题，监管传达了明确的执法导向：

数据安全领域存在一定问题是客观现象，监管执法的关注点并非"是否存在问题"，而是以下两种情形：

-未对发现问题进行有效整改

-问题已造成严重后果或重大不良影响

因此核心思路是：积极配合检查、正视存在问题、切实完成整改。

当前金融机构在数据安全领域面临的主要风险包括：

制度体系缺乏落实：普遍已经建立了相对完善的制度体系，但距离落在实处尚有较大差距

-数据权限管控不严：内部人员越权访问、权限分配不合理等问题突出

-API 接口安全薄弱：接口缺乏有效的身份认证和数据校验机制

-第三方合作数据风险：外部数据引入和共享环节缺乏全生命周期管控

数据安全防护应从三个维度协同推进：

-管理体系：完善制度规范，明确岗位职责，落实安全责任制

-技术体系：覆盖数据采集、传输、存储、使用、销毁全生命周期的技术防护

-运营体系：建立常态化安全运营机制，持续监测、评估和优化

值得注意的是，金融监管总局和人民银行在数据安全执法上存在业务领域划分：

-人民银行：聚焦其主管业务领域，包括支付、清算、反洗钱、征信等场景下的数据安全

-金融监管总局：覆盖银行保险机构数据安全管理的其他方面

各机构在应对检查时，需厘清两个监管体系的执法边界，避免重复应对或遗漏盲区。

从2026年一季度两机构的通报处罚来看，金融监管总局在此阶段更侧重业务领域业务本身的金融风险上，数据安全为代表的金融科技相关处罚占比极小，一季度总数不超过5家。在涉及数据安全以及业务相关的金融科技风险警告处罚等事项，在一季度主要由人民银行做出。大约在100家左右的金融机构收到罚单，其中中小金融机构，城商农信等成为了被处罚主体。