《数据安全法》对金融业的影响与启示

作者：中国工商银行业务研发中心专家 苏建明

中国工商银行业务研发中心专家 苏建明

为了方便您的阅读，《中国信用卡》制作了文章的思维导图

以下为正文

日前，《中华人民共和国数据安全法》(以下简称《数据安全法》)正式通过并公布，自2021年9月1日起施行。这是我国第一部有关数据安全的专门法律，也是国家安全领域的一部重要法律，它的出台将给金融业数据安全工作带来重要影响。

一、背景和现状

近年来，随着业务快速发展，金融机构积累了大量的数据，其中包含大量的客户信息等敏感数据，数据信息一旦泄露，不仅会给客户造成直接经济损失，也会给金融业的声誉带来负面影响，甚至会导致金融机构承担相关的法律责任，支付巨额罚款。大数据时代，数据资产逐渐成为金融机构的核心竞争力，对助力金融机构的数字化转型发挥着显著作用。

然而，随着外部安全态势愈发严峻，由于缺乏完备的管理机制、规范的流程，或由于管理人员的麻痹大意，全球范围内数据安全事件频发，数据安全保护面临严峻挑战。据报道，2019年6月，金融巨头加鼎银行290万名用户（270万名家庭用户和17.3万企业客户及相关联系人）个人可识别信息数据遭内部员工窃取；2019年7月，美国第一资本银行遭黑客攻击，超过1亿条客户敏感信息遭到泄露；2020年8月，新西兰证交所连续一周遭受DDoS攻击，导致交易中断；2021年6月，亚马逊公司因违规收集和使用个人数据，被欧盟隐私监管机构罚款4.25亿美元。

二、什么是数据安全

过去，数据安全通常指的是信息安全，更多强调的是承载数据的信息系统的安全，注重的是边界的防护和黑客入侵的防范，侧重于系统和数据库的加固。

在我们身处的时代，数据的特点并不是“静态”存储在数据库或系统中，而是会随着正常的业务开展在互联网中整体地流动，计算存储一体化是大数据时代数据的特点，大量的数据在生命周期中流动、交互和碰撞，并在存储、分享、加工等处理过程中创造巨大的价值；同时，由于数据的海量爆发式增长、多样化的形态、不断增强的流动性、多归属性和多种场景模式应用等不同于传统信息的特性，决定了数据本身存在着被越权访问、被泄露、被篡改等风险。随着数字经济和产业动态的运行，数据的安全风险被不断放大，牵涉的主体范围也不断扩大，不仅关系到个人、企业和其他组织的权益，更关系到国家和社会的公共利益。因此，数据安全不单是某一主体的事务，而是多方主体共同牵涉的事务，数据安全也绝不是仅采用一系列安全防控产品技术就能一蹴而就的，而是更强调体系化的安全防控，不再局限于数据层面，而是扩展到承载数据的平台、应用、基础设施甚至更大的范围，上升到制度规范、方针政策、组织架构、管理和技术相结合的综合治理层面，由此业界出现了“数据安全治理”的概念。

三、数据安全治理落地的难点

数据安全并非将数据全面物理隔绝来保证数据的绝对安全，这样的数据不能产生价值，即使是绝对的安全也没有任何意义；同时，如果仅仅侧重数据的使用价值，不能保障数据的安全可控，那数据的使用价值越高，损失的价值可能就越大。因此，数据安全治理的主旨是实现数据使用产生的价值和风险安全可控之间的平衡，即安全地使用数据。业界如Gartner出台了数据安全治理框架（如图1所示）。

首先，数据安全治理最重要的是要把控好业务的发展需求与安全风险之间的平衡，需要综合考虑经营策略、管控、合规、IT战略和风险承受能力五个要素。其次，数据安全治理需要梳理数据资产，即识别数据资产并刻画数据资产的整体画像，明确数据属性类型、价值、分布情况、访问方式、使用频率、脆弱性、威胁、责权限等，形成数据分级分类，对数据资产的安全状况进行整体评估，对不同等级的数据实行相应等级的保护。最后，数据安全治理措施实施主要把握以下两点：一是规范执行相关流程制度，基于不同的业务场景，针对不同的数据集的数据，从数据全生命周期角度制定具有针对性的安全策略，在保障数据安全的同时满足业务需求；二是数据的安全状况在其整个生命周期中是持续变化的，需要集成多种安全工具来支撑安全策略的落地实施，需要部署系统化的安全产品如Crypto（加密）、DCAP（以数据为中心的审计和保护）、DLP（数据防泄漏）、CASB（云访问安全代理）、IAM（身份识别与访问管理）和UEBA（用户行为分析）等六类工具，以支撑数据安全治理的落地实施。

业界在数据安全治理方面已有一定的落地实践，但都尚未成体系化和标准化，其根本原因在于以下四个方面：

一是大数据和人工智能产业的快速发展促使数据产业爆炸式的生长，市场的发展速度快于法律的规范和约束。一直以来，在数据的全生命周期中，收集、传输、存储、使用、共享、展示等活动都缺少基础性法律的约束和规范，急需在法律层面加强数据安全保障，促进数据经济健康稳定发展，提高全社会对数据安全治理的重视程度。

二是数据安全治理需要多方主体共同参与，既需要治理过程中的制度保障，也需要企业、公民等共同参与维护。但多方主体的存在也造成了一定程度上责任的分散，因此需要一个组织机构可以有效地加强不同主体之间的协作，推动每一方主体都参与其中，从而形成合力，共同解决数据安全治理难题。

三是尚未建立数据分类分级保护制度。数据安全治理必然会涉及跨行业的协作，但行业不同，对重要数据的定义也不同，很难在数据分级的边界上达成一致，这导致数据的分级保护与数据的合理应用难以有效落地，因此，需要在顶层制度设计中建立数据分类分级制度、明确重要数据目录。

四是数据在全生命周期面临的威胁和风险因阶段的不同而不同，是一个动态变化的过程，因此必须坚持在整体和宏观上把控，有针对性地防控不同阶段中存在的数据安全风险，这就需要在分类分级的基础上，针对行业数据特点，建立健全覆盖数据全生命周期全过程的、差异化的数据安全保护的制度规范。

四、《数据安全法》主要内容解读

《数据安全法》瞄准了当前数据安全治理的痛点和难点，将数据安全治理的政策要求通过法律文本的形式进行了明确和强化，与已施行的《中华人民共和国网络安全法》（以下简称《网络安全法》）不同之处在于：首先，《网络安全法》数据界定范围为网络中的数据，《数据安全法》中的数据是指所有数据，包括以电子和其他形式存在的数据；其次，《网络安全法》侧重于系统安全，《数据安全法》主要关注数据宏观层面的安全。《数据安全法》将与《网络安全法》以及正在立法进程中的《个人信息保护法》一起，全面构筑中国信息及数据安全领域的法律框架。

《数据安全法》一共七章五十五条，其中，“总则”“法律责任”及“附则”三章属于常规章节，其余四个章节围绕数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放四方面提出要求。其中，数据安全治理体系、国家数据安全工作协调机制、数据分级分类和全流程数据安全管理制度是值得关注的要点与亮点。

解读一：坚持数据安全和数据开发利用并重

《数据安全法》鼓励依法合理有效利用数据，保障数据依法有序地自由流动，促进以数据为关键要素的数字经济发展。这与数据安全治理的主旨是一致的。

解读二：建立健全数据安全治理体系

《数据安全法》明确提出，建立健全数据安全治理体系，提高数据安全保障能力，这给数据安全治理和建设提供了顶层的指导。

解读三：明确数据安全主管机构的监管职责

《数据安全法》明确了中央国家安全领导机构负责决策并建立协调机制，各地区、各部门、行业主管、公安机关还有国家安全机关在各自范围内负责数据安全监管，网信部门负责统筹协调。

解读四：建立数据分类分级保护制度

《数据安全法》明确提出“国家建立数据分类分级保护制度”，并明确要求各地区、各部门和各行业制定各自范围内的“重要数据目录”，同时特别指出：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”

解读五：深化数据安全体制建设

《数据安全法》提出，国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，加强数据安全风险信息的获取、分析、研判、预警工作，建立数据安全应急处置机制和数据安全审查制度。这些机制深度覆盖数据安全全场景，实现数据安全事前、事中和事后的全流程保障。

《数据安全法》强调了政务数据开放共享中的安全机制，提出建立健全数据安全管理制度，制定政务数据开放目录并建立统一规范、互联互通、安全可控的政务数据开放平台。

解读六：加大违法处罚力度

《数据安全法》对数据安全违法行为给予了多项处罚说明，相对《网络安全法》而言，大幅提高了对违法行为的处罚力度，增加了违法成本，提高了威慑力。

五、《数据安全法》带来的挑战和思考

《数据安全法》的正式出台，标志着国家在数据领域顶层制度上的不断完善。数据安全上升到国家安全层面，数据行业即将进入高速发展期；同时，数据安全规范成为金融业监管的重点工作，数据安全治理工作也将迈入常态化，这对正在积极进行数字化转型的银行业金融机构在数据安全管理上提出了新的挑战。以下是笔者针对《数据安全法》给金融机构带来挑战的一些思考和建议。

一是健全数据安全治理体系。在数据安全体系建设工作中，一个重要的任务就是对数据资产进行识别梳理、实行分类分级、做好数据全生命周期的安全防护，这一直是数据安全治理难以落地的核心痛点。根据《数据安全法》的要求，金融机构应结合发展战略，把数据安全纳入金融机构战略规划目标，构建全面的金融机构数据安全治理体系以及数据全生命周期的风险管理机制。从宏观上制定相关政策或者行动计划，确定数据安全的治理目标、基本原则、行动步骤和具体制度。从方针政策、组织架构、制度规范方面，建立数据安全建设与业务之间的协作机制，横向打通业务、科技、安全、产品、运营、财务、法务、合规等诸多部门，结合业务处理、应用使用、对外数据交换和生产测试运维等业务场景，实施重要数据的打标识别、分类分级工作，落实数据全生命周期安全监控、安全保护和风险审计评估机制，确保数据可视、合规和安全可控，显著提升数据使用价值保障能力。

二是加强数据安全合规。随着法律法规的不断完善，金融机构在数据安全工作的监管合规上将面临巨大的挑战，国家和行业监管部门高度重视违规泄露重要数据和个人隐私信息事件，将加大处罚力度。金融机构应当厘清国家和行业监管的边界范围和权责，严格遵守监管要求，强化组织架构，明确组织内人员分工，从源头上杜绝可能存在的安全合规风险。构建涵盖数据运行全过程的全方位合规审查机制，将安全合规贯穿整体数据安全治理体系。

三是夯实技术能力支撑。数据安全治理的实现，需要构建数据安全关键技术体系，为数据安全管理和运用提供技术支撑。当前的安全产品更侧重于网络或系统安全而非数据安全应用，数据安全应用产品尚未跟上技术创新的脚步，技术产品能力还停留在各自为政、无法协同和联合作战的阶段。金融机构应结合数据安全技术现状，参考国内外优秀技术框架，围绕数据全生命周期梳理各个环节数据安全技术，持续迭代优化关键技术体系，并结合业界前沿技术如机器学习、深度学习、知识图谱等，形成数据安全模型构建、用户行为画像等能力，助力解决数据安全治理技术能力支撑的痛点问题。

《数据安全法》的正式出台，给金融机构的数据安全建设工作带来了机遇与挑战，金融机构应结合自己的行业特点和监管规范进行数据安全建设工作，从健全数据安全治理体系、加强数据安全合规和夯实技术能力支撑三方面，持续地把握好数据使用和安全可控之间的平衡，对金融机构涉及数据活动的业务模式和管理机制等进行相应的梳理和调整，与此同时，优化发展战略规划、方针政策、组织架构、制度规范，完善管理和技术管控手段，全面有效地应对数据安全的风险和挑战。

本文刊于《中国信用卡》2021年第7期

声明：本文来自中国信用卡，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。