《网络安全法》实施一周年，四大行如何思考数据安全战略要点

随着经济全球化深入发展，农业银行稳步推进海外发展战略，拓展全球化经营服务，数据跨境流动需求增加，跨境数据保护压力持续增加。在对全球主要经济体信息安全法规的核心要义深入研究基础上，如何在法律允许的范围内，以更优质安全的金融服务为导向，重新审视银行系统架构，明确技术改进策略，提升数据跨境流动安全保护能力，成为摆在农业银行科技部门面前的重要课题。

1. 我国主要信息安全法规的解读。我国积极开展跨境数据流动管理的政策法规建设，2017年6月正式生效的《中华人民共和国网络安全法》明确实施跨境数据流动监管：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制订的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

《网络安全法》一方面，明确规定在境内运营中收集和产生的个人信息和重要数据应当在境内存储，限制跨境流出；另一方面，明确向境外的机构、组织、个人提供电子或其他形式的数据即为数据出境。若因业务需要确需数据出境的，应征得个人信息主体的同意，同时要进行安全评估，并对评估结果负责，这又为合理安全的数据跨境流出预留了空间。

2. 境外各国信息安全的法规解读。以欧盟和美国为代表的境外监管机构已将信息安全上升到宏观审慎性政策高度，纷纷出台相关的法律法规要求。全球已有40多个国家制订了网络信息安全方面的法规。

美国是数据跨境流动的倡导者，数据政策相对宽泛和自由，但对金融服务、信用报告等特定领域的数据存储和流动有着极为严格的要求，对隐私数据限制或有条件允许数据跨境流动，将国家经济数据、政府管理数据、公共信息数据、敏感技术数据等视为“重要数据”进行严格出境管理。2016年9月更是发布了包含农业、受控技术信息、关键基础设施、应急管理、出口控制、金融等共计23类信息的受控非秘信息列表。

欧盟围绕个人隐私和数据保护制订了严格的法规，2018年5月25日起实施的《一般数据保护条例》（GDPR）是最重要的立法。一方面，明确个人作为数据主体的一系列权利，明确企业作为数据控制者、处理者的法定责任、数据保护原则和措施要求；另一方面，明确了数据跨境流动需要获得个人同意，建立了可信国家地区、评估认证、有约束力公司规则、同等保护水平的合同条款等合法通道，在确保境内外个人数据保护水平的基础上，为有序安全的数据跨境流动提供空间。

俄罗斯、印度、印尼、尼日利亚、委内瑞拉等一些国家要求数据中心本地化，有20多个国家要求数据在境内存储。其中，俄罗斯、印度、印尼要求数据本地存储，不得转移至境外，限制跨境数据流动。

3. 监管趋势分析。通过对全球主要国家网络信息安全法规的分析，数据跨境流动监管有以下四大趋势：

一是“数据自由流动”需求和“数据跨境流动”监管的冲突将长期并存。金融行业作为关键基础设施必是各国监管的重点，跨境经营的银行首当其冲面临各国不同标准的监管要求。

二是个人数据、非公开信息等数据保护要求和监管措施将进一步增强。企业作为数据控制者、处理者的责任与日俱增，数据分级保护、匿名化、存储加密等保护措施要求日趋细化。

三是数据出境概念存在逐渐拓宽的趋势，从采取数据存储国家地理边域为标准，向以数据主体国籍、数据处理者所有者国籍为标准延伸。例如GDPR明确保护对象是欧盟公民个人数据。

四是数据跨境流动限制规则标准不一，存在禁止数据离境、有条件解除数据流动禁止、数据本地备份基础上支持数据流动等不同规制模式。但在中国和俄罗斯的示范效应下，数据本地化存储的要求可能会成为一种趋势。

农业银行科技部门按照集中化和本地化相结合的思路，制订了“坚守安全底线，构筑安全边界，数据分离协同再造，全方位完善技防体系，高标准规范技术管理”的技术策略，开展了如下实践探索：

严标准高要求构筑安全边界。从物理机房、网络区域、应用部署等方面，以从严标准构建物理边界、网络边界和应用边界，形成企业内数据境内外部署的有效隔离。一是通过划定独立境外机房区、单独部署境外机构核心应用、与境内系统完全物理隔离等方式，建立物理安全边界；二是通过设立境外访问境内网络隔离区，建立网络安全边界；三是通过境外可访问应用实行白名单控制，所有可访问应用均在境外隔离区内落地，以权限最小化为原则，控制境外隔离区内应用向外的网络访问权限，建立应用安全边界。

全方位完善技防体系。境外区部署双层异构防火墙，区分境外机构访问入口和境内业务互联入口，配置IPS、IPSEC等网络安全防护工具，部署防APT及流量回溯等系统，并进一步加强终端安全、用户认证、桌面安全防护、统一存储管理等信息安全手段。按等保三级的标准进行应用安全设计和建设，数据传输进行传输加密，对关键数据进行数据加密，信息访问上采取两重用户访问权限控制和操作留痕的设计，强化应用安全防控。

围绕重点开展“数据分离、应用协同”再造。在客户信息管理、客户评级、客户授信等重点应用领域，按照“技术架构统一、境内外数据分离、优化数据访问控制”的原则进行系统架构再造，基于统一的技术平台，进一步改进松耦合的应用架构体系，境内外应用分离部署，支持境外数据本地化存放；基于业务流程优化和跨系统流程调用，增加数据访问控制，实现安全控制下的数据透明互访；采用数据库透明加密、关键数据应用加密等技术，实现数据存储加密要求，全面灵活地应对境内、境外各种监管要求。

多层次健全管理机制。对开发、测试、运维有严格的信息安全管控机制。与各境外机构签署规范统一的服务协议，构建同等保护水平的合同条款等数据跨境流动合法通道。

中国建设银行信息技术管理部副总经理 郭汉利

商业银行既是《网络安全法》的获益者，也是《网络安全法》的坚定贯彻者和实践者，建设银行作为国有大型商业银行，始终坚持安全与发展并重，在贯彻落实《网络安全法》的过程中，夯基础、上水平，以保护客户数据安全和资金账户安全为中心，构建全面的网络安全保障体系，同时积极思考、主动迎接金融科技浪潮带来的新挑战，按照“穿透式原则”聚焦客户数据安全保护本身，推动建立更加智能、灵活、高效的网络安全保障体系，全力保障业务平衡健康发展。

管理与技术并重，强化数据全生命周期保护

建设银行坚持管理和技术并重，已建立了覆盖数据全生命周期的安全管理体系、安全技术保障机制、网络防欺诈机制，切实保护客户数据安全和资金账户安全。

完善制度体系，优化内控环境：建设银行建立了信息安全制度重检机制，每年跟踪学习国家网络安全最新制度标准，对照修订行内信息安全管理制度标准，不断细化自身信息安全管理制度，进一步强化全行在信息安全管理体系、数据安全、运维安全、终端安全、风险通报信息排查与应对等管理要求。在金融数据安全保护方面，遵照国家网络安全等级保护要求，按照信息资产损失、差错或失效对企业、客户及社会的影响，将数据划分为高、中、低三个安全等级，并明确不同安全等级数据的产生、存储、使用、传输、备份、销毁等全生命周期安全保护要求。通过明确责任主体、优化工作流程、加强系统机控等措施将制度要求内嵌到全行日常经营活动中，形成了“人人知晓安全、人人重视合规”的企业内控环境。

明示用户告知，透明增进互信：建设银行秉持“诚实、公正、稳健、创造”核心价值观，按照合法、正当、必要原则, 厘清了收集个人信息的界限,并明示用户个人信息收集使用规则，努力做到公开透明。在实名制方面，严格按照实名制原则审核用户身份证件、做好身份信息联网核查，确保客户身份与系统数据一致性。在用户注册使用电子渠道时，以简单明了的方式告知用户收集的数据范围、使用方式等，征得用户同意后方可办理业务。在运用大数据时，严格设计数据使用场景和控制数据访问权限，避免数据使用超出用户授权。

加强技术应用，构建安全屏障：依托新一代安全架构建设，建设银行大力应用国产化技术，已形成相对完备的数据安全技术保障体系。在网络边界防护上，实现全行办公网与互联网隔离，完成全行邮件和互联网出口敏感信息防护系统部署。在内部网络保护上，根据系统重要性划分不同安全域，不同域之间进行有效隔离。在数据安全环境建设上，为全行数据应用提供在线安全访问、安全传输、访问控制、数据防泄漏、安全清理销毁等功能。通过不断强化系统“机控”措施，实现从源头上防控外部网络攻击和内部员工有意或无意泄露数据的风险。

建立防欺诈体系，保护客户资金安全：面对愈演愈烈的外部数据泄露和网络欺诈风险，建行率先提出“安全即服务”理念，打造融合业务和技术,平衡安全和客户体验的网络防欺诈体系。目前建行反欺诈平台共涵盖涉及欺诈账户、高危欺诈终端、高危欺诈位置信息5万余个，保护疑似信息泄露账户300余万个。2017年，建行主动识别并拦截欺诈事件近2万起，避免客户资金损失1.38亿元。为打造网络安全交易环境、保障客户资金账户安全发挥了显著作用。

针对数据开放共享、云技术应用、数据跨境需求增长给数据安全保护带来风险和挑战，建设银行将以《网络安全法》及配套法律法规为指引，坚持“穿透性原则”，聚焦数据安全保护本质，持续加大客户个人隐私保护和云安全技术应用，建立更加智能灵活的数据安全保障体系，全面履行保障客户数据安全社会责任。

强化客户隐私保护机制：参考《信息安全技术个人信息安全规范》（GB/T35273—2017）以及国内外最佳实践，不断完善客户隐私保护机制，实现对个人客户信息采集、存储、使用等提供更加动态、灵活的安全技术支撑。重视加强第三方业务合作管理，动态评估衡量第三方数据安全保障水平，明确保护标准，防范潜在客户信息泄露风险。推进应用生物特征识别、人工智能技术，不断完善电子银行智能风控体系，保障只有合法用户才能正常使用业务。

加强公有云数据安全保护设计与实现：建设银行在推出住房租赁等基于云计算的公有云项目之初，即将数据安全作为首要考虑纳入规划，已有成功应用经验。目前建设银行正在推进公有云平台技术输出，依托国内顶级金融数据中心和新一代安全架构，构建关键核心应用等级保护四级的云安全服务平台，打造金融级、智慧型、主动型的云安全保障体系。

积极开展跨境数据保护安全实践：建设银行坚持数据主权原则，兼顾数据自由流动与安全保护，参考借鉴国内外最佳实践，根据数据的不同类型、性质制定差异化管理要求，明确数据本地化存储使用范围，限定数据跨境传输条件。对涉及社会公共利益和国家安全等特定种类的关键敏感数据必须境内存储，严禁跨境传输；对商用数据进行安全评估后再行决定是否对外传输；对个人数据境内留存，经数据主体同意后方对外传输。在定期开展的系统风险评估中，加强跨境数据分析评估和落实，保障关键数据安全，维护数据主权。