网络安全与金融业数字化转型：从风险管理到“安全设计”

吴沈括

北京师范大学网络法治国际中心执行主任、博导

中国互联网协会研究中心秘书长

本文载于《中国信息安全》杂志2020年第11期，是国家社会科学基金项目（批准号：15CFX035）的阶段性成果。

一、前言

数字化浪潮正重塑国际金融生态，数字技术变革带动全球金融创新不断迈上新台阶，大数据、云计算以及人工智能等数字技术改变了金融服务触达终端用户的范围、成本和效率，引领金融行业整体走向高度智能化发展，也昭示新型智能金融的时代正在全球范围内加速到来。这一事实决定了在此形势下需要顺势革新监管执法与合规风控理念，推动从传统的风险管理模式过渡到更注重安全关口前移和全流程风险动态治理的“安全设计”逻辑，强调通过各类数字技术的创新应用融入金融产品和服务的研发及运营全生命周期，以此满足金融业数字化转型过程中的网络安全需求并实现各项金融监管要求在业务操作层面的全面内嵌，这是中国金融市场和金融业提升安全保障水平并赢得全球竞争力的必然选择。

在此意义上，引导、支持和激励金融科技企业通过自身的数字化转型研发为金融机构赋能，带动全行业创新企业共同推动行业数字化转型与商业模式创新具有重大的现实意义。与此同时，金融监管机构也致力建设更加透明的交流沟通机制，为相关监管规范的制定获取与时俱进的市场参考，完善面向未来金融的战略与决策，更加有效地推动金融科技发展与金融业数字化。事实上，这一风险治理新思维已经成为当下中国金融监管机构常态化工作机制的有机组成部分：

2018年12月，中国人民银行、发展改革委、科技部等六部委联合印发了《关于开展金融科技应用试点工作的通知》，在北京等10个省市组织开展金融科技应用试点工作，探索运用云计算、人工智能、移动互联网、大数据、物联网等新一代信息技术，推动金融与科技深度融合，提升金融服务能力和水平。

尤其是2019年12月5日，中国人民银行发布《中国人民银行启动金融科技创新监管试点工作》，在北京市率先开展金融科技创新监管试点，探索设计包容审慎、富有弹性的创新试错容错机制，划定刚性底线、设置柔性边界、预留充足发展空间，努力打造符合中国国情、与国际接轨的金融科技创新监管工具，由此开启了中国版“监管沙盒”的新阶段。

而2020年4月2日，中国人民银行发布《关于开展金融科技应用风险专项摸排工作的通知》（银办发﹝2020﹞45号），并组织开展金融科技应用风险专项摸排工作，以贯彻2020年人民银行工作会议精神，落实《金融科技（FinTech）发展规划（2019-2021年）》（银发﹝2019﹞209号），加强金融科技应用风险防控。

总体而言，中国金融业数字化转型的加速推进以及监管合规安全理念的升级迭代，有助于提升中国金融市场和各类市场主体的全球竞争力，同时也正催生更为广泛和包容的创新应用和监管治理新生态。

二、金融业数字化转型的安全保障与云计算的正向效益

数字经济浪潮下，利率市场化、金融脱媒和互联网公司的竞争是金融业面对的三大难题，在这种背景下，数字化转型就成为了金融业发展的必然趋势。尤其是此次疫情期间，金融业加快数字化转型步伐，纷纷实行“非接触”式营业，服务场景由线下转为线上，这既能避免人群聚集带来的风险，又能提供便捷精准的金融服务，还能助力金融业自身发展。数字化转型的背后是业态环境的变化，必然会为金融机构带来新的风险，针对数字化转型可能衍生出技术、系统、数据、合规等新的风险，金融业应积极借力金融科技赋能数字化转型，应用云计算技术为数字化转型提供强力支撑。正如中国人民银行在《中国金融业信息技术“十三五”发展规划》中明确指出，促进金融业合理利用新技术，建设云计算基础平台，实现新技术对金融业务创新有力支撑和持续驱动。具体而言，云计算在金融业数字化转型中的安全保障作用主要体现在以下三个方面：

1、为金融业数字化转型提供技术支撑

在新兴互联网技术的冲击下，传统金融业加快数字化转型步伐，从外部的服务场景到内部的经营管理等方面都进行了重要调整，行业已迎来了新一轮的金融科技革命。新兴互联网技术的兴起不仅给金融业带来了转型的契机，也给不法分子带来了可乘之机，不法分子利用新兴互联网技术实施高科技、智能化犯罪。在数字化转型的背景之下，原有的老旧技术已经无法满足金融业的安全保障需求。新的犯罪手法层出不穷，数字化时代的安全保障技术风险日益加大，这就对我们数字化时代的安全保障技术提出了更高的要求。安全保障技术也要跟上金融业数字化的步伐，转变传统的技术保障观念，针对新的业态环境加快技术升级脚步，为金融业的未来发展创造安全、可靠的环境。

在数字化安全技术方面，既要继承原有安全防护策略，又要结合数字化特点，利用云计算技术实现安全防护策略的跨越式升级。云计算技术具有弹性资源分配与访问管控的特点，为金融业数字化转型提供可伸缩、高可用的分布式金融技术。相较于传统非云环境，云计算采用多租户安全隔离、软件定义网络技术、分布式虚拟防火墙技术、无代理式防病毒解决方案等专用技术加强云环境下的安全防护。云计算通过密钥技术、新算法和加密算法等新技术来保护数据隐私，同时对数据本身增强了保护，传输、存储及处理的各个阶段都对数据进行加密。利用云计算技术对信息进行处理，可以实现数字化信息隐蔽，为金融业数字化转型提供技术保障。

2、为数字化金融中的数据安全提供保障

金融业的数字化转型就是利用新兴技术将客户、企业、资金等相关因素连接在数字环境中，例如客户信息数字化、货币数字化、银行产品数字化、营销数字化、服务数字化等，概言之，万物皆以数据的方式存在，实现数据决策和智慧交互，达到最大程度的资源优化配置。但是相较于实体而言，不论从硬件还是软件方面来看，数据化的形式会面临更大的安全风险，鉴于金融业的特殊性，其所掌握的数据一旦无法有效避免安全问题，那么不论是对个人还是对社会而言，造成的损失都将是十分巨大的，在数字化时代如何保障数据安全就成为了一个金融业绕不开的问题。数字化转型是金融业未来发展优劣的分水岭，而数据安全保障问题又是数字化转型能否成功的关键，如果不能有效的解决数据安全保障问题，就难以获得客户的信任和青睐，会使金融业面临生存危机，如此还不如维持原有的传统运营发展模式。因此，在数字化转型过程中务必要解决数据安全题。

借助云计算实现数据分析与挖掘，数据安全保护水平高。数据在云上，就规避了安全风险，降低了泄漏用户的隐私概率。云端存储的数据，大量丢失和被篡改的可能性更低，在数据传输、存储的过程中，云计算能确保数据不被未授权的用户篡改、或在篡改后被系统迅速发现。云计算通过安全技术为数据传输提供了安全保证，使数据在发送过程中未作任何修改或变动，同时，也可以确认数据传输的发送方与接收方身份。云计算平台资源层面具备软硬件、网络、数据中心等各层面的保障能力，架构层面具有先进的质量保证技术和安全维护措施，在遇到较为严重的故障中能够快速恢复，维护数据全生命周期的可用性和完整性，避免数据的丢失和损坏。

3、为金融业数字化转型提供动态风控

面对数字化转型，金融业多年积累起来的海量金融业务数据将首先得到充分整合利用。数字化最典型的特点就是可视化、直观化和低门槛，可以便捷地将大数据变成对决策者、管理者乃至一线员工有用的信息和知识，进而提炼成具有指导作用的智慧，寻求到新的价值增长点，增强业务创新能力。数字化转型能够使金融业充分发挥数据资产价值，结合业务发展战略，选择适当的业务应用场景，配套进行业务流程变革，从而带来数据价值的全面发挥和提升。由于数据的价值就体现在应用，而资本具有天生的逐利性，尤其是金融业本身就是经营资金的行业，必然会最大限度的利用数据的价值，导致金融衍生品的过度创新，而金融衍生品的过度创新会使金融机构本身面临着不小的业务合规风险。

云计算能够提供包括信息核验、黑名单验证、反欺诈识别、资信报告、信用评估、风险预警等业务风控服务，创新性地为金融机构贷前调查、贷中审批、贷后管理信贷业务全周期风控管理，以及客户信息管理、关联交易防范、人力资源招聘、员工行为排查等大数据服务，提升金融机构内部运营管理水平。风险职能部门可利用云计算技术，对大量的结构和非结构性客户数据进行处理，在大型数据集里识别复杂的非线性规律，提升风险模型的准确度，更好地作出信贷风险决策，监控投资组合，从而尽早发现问题，预防金融犯罪和合规风险。

综上所述，云计算技术在金融业数字化转型的道路上正扮演着重要的安全保障角色，可以预见未来，以云计算为依托，通过金融云生态的建设，金融业必将在基础架构、运营模式、服务场景等领域创造出更优质、更便捷的金融产品和服务，驱动数字化转型向更纵深的方向拓展。

三、金融业数字化转型的安全保障与人工智能的正向效益

金融业数字化转型不仅是社会科技进步的必然产物，更是金融业自身在互联网线上市场、业务空间谋求进一步发展的迫切需求。时代的发展迹象表明，当今社会已经逐步进入德国社会学家乌尔里希·贝克所提及的“风险社会”，社会各行业的发展过程中无不充斥着各式各样的风险，尤其是金融业。金融业是巨额资金的集散中心，高风险性是其基本属性之一，其任何经营决策的失误都可能导致"多米诺骨牌效应"，关系到公民的个人财产利益甚至是国家的经济命脉。因此，在金融业数字化转型过程中的风险防控与安全保障显得尤为重要。

金融业数字化转型必须通过引入现代科技才能予以实现，其中就包括人工智能技术。一方面，人工智能为金融业的数字化转型的某些环节提供了强有力的技术支持，涉及到移动支付、信息识别、智能理财等方方面面，为各业务主体之间办理相关事项提供了巨大的便利条件，提高了金融资金的周转效率；另一方面，在金融业数字化转型的过程中引入人工智能技术，还可以发现传统条件下单纯靠人力所发现不了的诸多潜在风险和漏洞，对预防和消除金融安全隐患起到了很好的保障作用。具体而言，这种安全保障作用主要体现在两个个方面：

1、保障程序运行，促进金融业务的高效运转

从本质上讲，网络技术核心的工作原理在于其内部基于系统算法而构建起来的程序运行，而金融业数字化转型是将传统金融行业的功能领域、宣传推广、业务开展等大部分转移到网络虚拟空间，通过线上操作来实现传统金融行业在线下的基本或主要功能，从而实现网络领域内大范围的线上链接，在金融业内部的不同金融机构、企业和单位之间甚至是在金融业与其他行业之间建立及时高效的线上业务联系，从而加快资金运转，大大提高经济效益。但是由于网络程序、计算机算法的复杂性、专业化，在某些情况下，普通业务员或技术员往往难以找到最为便捷、有效的运行方式，反而容易造成同种业务之间或不同业务之间的系统运行混乱，甚至最终导致数据丢失、程序紊乱、系统瘫痪等问题的发生。

此时，人工智能技术的普及和应用为我们提供了一种良好有效的解决思路。人工智能技术从本质上将也是主要依靠计算机算法、网络程序而构建起来的一种能够高效运转的信息系统，且人工智能技术更侧重于其最终功能的实现。其中，以稳定计算机系统、提高程序运转效率为目标的智能技术，便为金融业数字化转型过程中寻求最佳算法及实现系统的高效运转提供了现实可能。将人工智能技术嵌入到金融业数字化转型的程序设计中去，形成二者的有机融合，为线上金融、网络账户、云数据输入等功能更为高效、快捷地运行提供程序性设计、系统算法上的优化，从而在整体上促进数字化金融体系的运转效率，进一步加快资金流通、推进业务进程。

2、融合多方知识，构建全面可靠的合规风控体系

无论是传统金融业还是线上金融业，其业务开展、宣传推广、项目研发等事项都需要符合我国法律、行政法规等规章制度的要求，避免在日常运营中出现违法违规问题，不仅给金融市场秩序和社会经济的正常健康发展带来危害，还会因触犯了法律的底线从而收到民事、行政甚至是刑事制裁，造成经济损失。因此，于公于私，法律合规都是金融行业在自身业务运转的过程中所必须严格把关的重要事项。数字化时代，金融业面临着比以往更多、更大的挑战，除了需要解决以往传统金融业所面临的常规性业务竞争、资金周转、投资创收等问题，还需要在实现线上数字化的过程中面临网络技术风险、知识产权风险、信息数据风险等多种挑战，这就为金融业数字化转型提出了更高的法律合规要求。

不仅如此，在传统金融业下，法律合规通常是聘请律师、专家、学者等法律顾问，组成咨询团队集体研究法律合规计划书，从而在日常的业务运行、项目研发、资金创收等环节规避违法违规操作的出现。而在线上的数字金融体系下，实现传统业务的线上化、网络化的同时，也是一个减少人力投入、增加技术支出的过程，这不仅在于线上网络环境、数字金融体系、程序运算机制等的客观要求，也是由于人力已跟不上高速运转的线上业务的现实状况所决定的。一方面，金融业的数字化转型在传统金融行业的基础上，又融合了了计算机技术、网络技术、云计算等多种知识架构，专业化程度大大增强，日常业务所蕴含的专业知识已超出业务人员的知识、能力范围；另一方面，金融业数字化转型的过程本身就是一个传统金融业由线下转移到线上的过程，这就导致了诸多线下岗位的流失，必然降低对人力的天然依赖。因此，在这种情况下，数字金融业的法律合规必然涉及到多方面知识体系，传统的顾问团队、咨询团队等集体研究式合规计划已难以满足日益变化的金融市场。通过人工智能技术建立一个智能化的法律合规体系，纳入到数字金融业的日常运转过程中，也就成了现实中的最佳选择。

综上所述，在信息时代，全面实现数字化转型已然成为传统金融业发展的必然趋势。在金融业数字化转型的过程中，不仅面临着传统金融业所面临的常规性挑战，更有可能遭遇网络信息环境下的多重风险。传统的解决方案已经难以适应新形式下的现实问题。而人工智能技术的引入为解决金融业数字化转型过程中所面临的诸多困境提供了良好思路与技术支持，对今后促进数字金融的未来发展、提高安全保障水平具有不可替代的重要意义。

声明：本文来自网络法治国际中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。