文 / 中国人民银行衡阳市中心支行  李苏

党的十九届四中全会明确将“数据”列为重要生产要素。数据作为重要价值资产,是金融机构的经营的命脉。随着金融科技技术的不断发展,金融机构的关键信息和关键业务数据不断向上集中,数据泄露、个人信息滥用等问题逐步显现。如何建立长效的数据治理方法及制度,在保障数据安全的前提下,引导金融机构对数据进行分级分类,加强数据能力建设和数据融合应用,促进多主体间数据规范共享,从而不断提升金融数字风控水平,充分激活数据要素潜能,是基层央行履职中面临的一个重要课题。

数据安全相关的法律、标准和规范

国家顶层规划设计上,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确要加快推进和完善在数据安全、个人信息保护等领域的立法,强化数据全生命周期安全管理和保护,建立和完善数据分类分级保护制度,持续加强数据安全评估,推动数据跨领域、跨行业的安全有序流动。

国家立法层面上,《中华人民共和国网络安全法》在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益提出了基本要求,对于完善我国在网络空间的规范治理体系具有基础性意义。《中华人民共和国数据安全法》围绕“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”4个方面,明确了相关主体的数据安全保护责任和义务,对规范数据处理活动,保障数据安全,促进数据开发利用具有指导意义。《中华人民共和国个人信息保护法》的出台,弥补了传统网络安全措施不足以保护个人信息的缺陷,明确了个人信息处理原则、规则、种类,以及个人权利、处理者义务,有利于保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。

行业标准方面,《金融行业网络安全等级保护测评指南》是网络安全等级保护制度的细化;《金融业数据能力建设指引》划分了数据战略、数据治理、数据架构等8个能力域和29个对应能力项,明确了每个能力项的建设目标和思路;《银行业金融机构数据治理指引》为银行业金融机构加强数据治理,提高数据管理和数据质量质效提供路径参考;《金融数据安全数据安全分级指南》明确了数据安全定级的原则、范围、要素、规则和定级过程,为金融业机构典型数据定级规则提供实践参考;《金融数据安全数据生命周期安全规范》在数据分级的基础上,建立了覆盖数据采集、传输、存储、使用、删除及销毁过程的安全体系和框架;《个人金融信息保护技术规范》是《个人信息保护法》在个人金融数据保护上的补丁,从安全技术和安全管理两方面对个人金融信息保护提出了规范性要求;《多方安全计算金融应用技术规范》规定了多方安全计算技术金融应用的基础要求、安全要求、性能要求,有助于在不改变数据主体属性和保障数据安全的前提下推动多个主体间的数据共享与融合应用,为数据开放共享奠定了技术基础;《数字函证金融应用安全规范》提出了金融机构数字函证业务系统和数字函证基础设施的安全技术要求、安全管理要求和业务运营安全要求,明确了数字函证流转全生命周期安全防护措施,有利于增强数字函证业务风险抵御能力。

金融行业数据安全管理面临的问题和挑战

1.数据安全管理体系不健全。随着金融机构的关键信息和关键业务数据不断集中,敏感数据泄露、个人信息不正当利用、数据欺诈等问题逐步显现,但金融机构数据安全管理体系、技术体系和运维体系都还不够健全,特别是基层的法人金融机构,数据安全管理机制缺失,在数据安全上的技术和资金投入很少,数据安全整体监控和防护能力薄弱,与国家整体数据安全战略要求和金融监管要求有很大差距。

2.数据治理能力参差不齐。由于机构规模和经营目标差异,各金融机构的数据治理能力参差不齐,部分金融机构的数据安全管理措施还停留在网络边界防护、终端设备防护和应用系统防护上。此外,部分金融机构业务系统分散,采用的技术架构和技术标准没有统一,数据多头管理、数据管理职责分散、数据权责不明确等情况严重制约和阻碍了金融机构的数据治理进程。

3.开放融合和新技术应用进一步提高数据安全风险系数。首先,随着开放API、开放银行等概念的出现,跨行业、跨机构、跨部门的数据融合应用场景开始落地,数据交互的类型、渠道,数据的汇聚和关联分析愈发复杂,金融数据泄露风险呈现外溢效应,金融数据安全成为了全局性、系统性的数据安全问题,进一步提高了数据安全风险系数。其次,随着云计算、人工智能、隐私计算等技术的广泛运用,传统的物理隔离模式被打破,数据来源更加复杂,数据投毒、模型逆向攻击等威胁增加了数据安全管理的难度。

图  我国数字安全法律、标准和规范体系

建议和对策

1.构建全局的数据安全风险管理体系。为应对金融数据安全带来的风险挑战,人民银行需着力加强金融数据安全风险管理,构建“事前态势感知、事中分析评估、事后预警处置”的金融数据安全风险管理体系,引导和指导金融机构主动建立健全数据安全管理机制,有效防范化解风险,维护国家金融安全和稳定。一是强化风险识别,做到风险“可感”。建立健全数据安全风险采集识别机制,搭建金融数据安全态势感知平台,采用系统监测、安全检查、机构报送等方式汇总金融数据安全面临的风险和威胁态势。二是深入分析研究,做到风险“可判”。运用大数据、人工智能等技术对风险信息进行分析处理,建立风险评估模型,准确研判金融数据安全风险隐患,加强与网信办、工信部和公安部等部门的合作,实现多方金融数据安全风险信息共享。三是开展联防共治,做到风险“可控”。充分发挥金融业各机构技术、人才、数据等资源优势,形成从日常安全防护到风险应急处置的工作合力,共研共享安全防护管理机制和措施,提升金融数据安全风险整体可控水平。

2.以标准驱动数据能力建设。一是组织开展专题培训。制定《金融业数据能力建设指引》《金融数据安全数据生命周期安全规范》等标准的培训计划,不断提升对相关标准的认知度。邀请标准化管理专家进行标准讲解解读,增强全行业对相关标准的理解;针对具体业务对照标准条款进行讲解,提高标准的可操作性及标准的执行力;加强金融业的横向交流,通过对比学习借鉴其他单位的标准化工作经验,取长补短,提高标准化人员的视野和工作能力。二是强化标准宣贯力度。挑选数家地方法人银行机构为试点单位,对照相关标准要求,推进数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理等方面标准落地,明确不同数据的使用权限、适用范围、应用场景和风控措施。试点过程中,适时开展数据安全自评估工作,及时总结实践经验,不断优化数据分级分类,夯实标准在金融数据治理和金融数据能力建设的基础作用。三是深化标准落地实施。组织金融机构开展数据分级和数据资源目录梳理工作,厘清业务数据的元数据,完成业务数据的统一建模,编制数据资源清单,形成了“以标准促规范、以规范促发展”的良好数据治理格局。

3.打牢数据融合应用的制度和技术基础。为充分发挥数据要素价值,促进各机构数据要素的安全共享,可信的金融数据融合应用势在必行。一是通过制定数据共享的制度和标准规范,实现数据交换流程标准化,数据交换过程“透明”化。二是探索建设省级数据交换平台,同时可引入沙盒监管机制解决因数据融合应用带来的未预测到的风险和不可控因素,实现规范、高效、统一、便于管理、安全可控的数据接入方式,推动省级金融服务系统数据互联互通,为接入全国一体化政务服务平台,加快跨机构、跨地域、跨行业数据资源的共享提供基础支持。三是充分利用多方安全计算、同态加密、差分隐私、联邦学习等技术,实现隐私增强,使用隐私引擎(Privacy Engine)等应用防止用户个人信息的过度采集和使用;通过人工智能技术实现敏感信息的自动识别,利用RPA技术了解用户在个人数据安全管理方面的要求;开发自动化合规检查工具,对企业的数据采集声明、隐私政策和数据保护策略等进行合规完备性审查。四是落实责任加强监督管理。从数据共享技术标准、管理制度、应急保障措施、数据安全保护、责任落实情况等多方面对商业银行进行定期考核,公示考核结果并纳入年终考评,督促数据共享安全化规范化落地。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。