强化金融数据安全治理 夯实金融行业发展基础
发布时间:2022-08-19 | 发布者: 东东工作室 | 浏览次数: 次(原标题:强化金融数据安全治理 夯实金融行业发展基础)
文/周道许 清华大学金融科技研究院金融安全研究中心主任
第一、什么是金融数据安全及其重要性
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保证持续安全状态的能力。而金融数据不仅具备数据的一般特性,更是包含了国民个人信息、企业资金流转、社会经济活动动态等重要内容。正是由于其特殊性,在金融数据安全方面,我们不仅要求数据在输入时应当经过严格审核和频繁的维护,在传输和使用的过程中,更应采取相应的管理措施和技术手段加以保护,使金融数据避免产生被非法访问、窃取、篡改、和损毁的风险。金融数据安全的重要性不仅得到了各行业广泛的认同,更是在法律和监管中有所体现。
首先,高标准带来严要求。根据金融标准全文公开系统记录,现行有效的数据相关标准79条,其中2020年和2021年发布了23条,如《金融业数据能力建设指引》《金融数据安全数据生命周期安全规范》《金融数据安全数据安全分级指南》《金融大数据平台总体技术要求》《个人金融信息保护技术规范》和《证券期货业数据分类分级指引》等,涵盖了金融数据分类分级、金融数据生命周期安全评估、个人金融信息保护、金融数据安全体系建设等方面。这些标准细化了执行的细节,有效完善了整个安全保障体系,筑牢了数据安全屏障。
其次,严法律带来强要求。包括《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》在内的“三法一条例”共同构筑了中国数据保护的基础法律框架。随着重磅政策和法律的陆续落地与实施,网络安全法律体系日趋完善,为技术创新和应用落地提供了根本依据,体现了我国对信息安全的重视,彰显了我国保护数据安全的决心。在这种条件下,法律向金融数据安全提出了严格的要求,要求我们高度重视金融数据安全,保障国家金融体系稳定。
再次,强监管带来高要求。当前,各个监管部门均认识到了数据安全的复杂性、广泛性、共生性。因此,各部门进一步加强了彼此间的统筹协调,避免出现安全漏洞和死角。这一改变,在收集、存储、使用、 加工、传输、提供、公开等等方面有所体现。监管部门通过加强对数据安全各阶段的监管力度,形成数据安全监管上的闭环。不仅如此,监管部门在把握尺度上更加严格,对违反数据安全的行为零容忍。根据央行2019年数据显示,央行征信系统收录10.2亿自然人、2834.1万户企业和其他组织信息,规模已位居世界前列。2021年9月,我国颁布了《征信业务管理办法》,《办法》中明确规定,“采集个人信用信息,应当采取合法、正当的方式,遵循最小、必要的原则,不得过度采集”。自2022年《办法》施行以来,中国人民银行及各地分行对违反数据安全监管规定的3家金融主体、1家支付机构开出千万级罚单,这些行动不仅体现出我国对个人信息保护的重视,更体现了我国对金融数据安全维护的决心。
然而,无论是“合规化”、“标准化”及”严监管“,都是外部力量的要求,真正的内在驱动力是:金融机构业务稳定运行和创新发展离不开”安全用数“。
当前金融数字化转型已经进入关键阶段,银行业金融机构的业务数据已成为最本质、最核心、最关键的生产要素,银行业金融机构应当通过对业务数据的汇集、分析与挖掘,不断提高经营效率,提升客户服务水平,实现业务创新、产品创新和服务创新。银行业金融机构的数据安全关系到金融行业的资金安全以及大数据时代来临对数据的增值分析、利用而带来的衍生价值。“安全用数“是银行当前业务稳定运行和创新发展的最迫切需要。
以上种种,都说明金融数据安全的重要性。金融数据安全已不再是行业内部的自律性要求,而是全方位、多层次、立体化的数据安全建设体系。
第二、当前金融数据安全治理的突出问题
(一)数字信息技术日新月异,数字金融迅猛发展,金融数据由于其蕴含的巨大价值而成为网络攻击的首选目标
著名的云基础架构厂商VMware在2022年2月对全球130名金融部门首席信息安全官和安全领导者进行的调查显示,过去的一年中,66%的金融机构经历过以商业机密窃取为目的的攻击,74%的受访金融机构在过去一年中至少经历过一次勒索软件攻击,30%的机构经历了多次勒索攻击,其中超过六成选择支付赎金。
我国互联网络信息中心数据显示,截至2021年6月,我国网络支付用户规模达8.72亿,占整体网民数量的86.3%。数字身份信息是数字金融产业发展的基础元素,此类数据包含大量用户个人信息和交易数据等敏感信息。数字金融业务量的上升进一步加快了金融数据的产生和积累。在金融数据安全法律法规尚不健全的情况下,数据窃取、篡改、勒索事件频发,催生庞大的数据非法贩卖产业链。
金融数据风险具有较高的复杂性、隐蔽性、和易扩散性。为了严防新技术所带来的数据泄露、数据污染、数据投毒攻击等一系列潜在风险,金融机构应在进行数据收集、存储、使用、加工、传输、提供、公开等方面提高安全防范意识,依靠安全管理与技术手段来降低各类风险。
(二)金融机构在个人信息保护与网络安全方面因自身管理不到位而受监管部门处罚的案例屡见不鲜
例如:2021年全年,在央行、银保监会、外管局发布的行政处罚名单中,涉及信息处理等违规问题的罚单共计119张,罚款金额合计约4654万元。
金融机构发生的违规行为集中于个人信息保护与信息网络安全两大类,主要涉及“未按规定收集使用个人信息”、“未经同意查询个人信息或企业信贷信息”、“提供部分个人不良信息时未事先告知信息主体”、“泄露客户信息”、“网络授权访问控制不到位,存在信息科技风险隐患”、“重要岗位及外包机构管理存在缺陷”、“发生重要信息系统突发事件未向监管报告”等。
(三)金融数据跨境流动日益频繁,带来越来越大的潜在安全隐患,而我国在跨境数据安全评估、认证及保护方面的法律法规细则还有待完善
随着全球贸易往来、金融投资和技术交流日益频繁,跨境流动数据的种类和数量不断增加,涉及个人隐私、企业商业机密、 社会治理、国防安全等方方面面,海量数据跨境流动给国家安全带来隐患。如果商业机密信息、经济运行状况、金融科技发展水平、金融创新产品等高度敏感数据若被外国政府获取并恶意利用,将削弱我国金融业核心竞争力,严重破坏我国金融市场稳定,威胁国家和人民财产安全。
我国现有法律法规虽已经形成了基本的数据跨境流动的制度框架,但数据跨境相关的法律细则还在研究制定过程中,个人信息安全及金融数据安全的认证机制还未建立起来,数据出境和入境安全评估还未真正实施,数据出境管理的具体模式、审查机构和配套保障机制等关键问题还有待解决,这对于日益频繁的跨境数据流动提出更高的挑战。
(四)监管政策不完善加剧数据和资金向互联网寡头企业集聚,数据垄断风险愈发凸显
目前,针对以银行为主体的传统金融行业监管体系较为完善,面向金融科技企业的监管力度相对薄弱。特别是在疫情时代,个人身份信息被进一步收集整理,大型科技公司凭借显著的网络外溢效应形成规模经济,使用前沿科技手段拓展消费者群体,将业务范围从构建互联网商务平台逐渐拓展到身份信息服务、移动支付业务、投资理财、保险销售等领域,积累了大量个人信息和金融交易数据,逐渐形成数据垄断的趋势,容易引发数据安全风险。而数据的高度集中不仅会使大型科技公司的安全防卫压力增加,也会使其容易成为不法分子的攻击对象,增大了数据泄露风险。金融数据的流失将严重侵害用户个人隐私,为非法数据贩卖实现商业变现。
在防卫外部风险的同时,也应注意内部的数据管理使用。数据寡头企业一旦滥用市场支配地位,可以通过限制数据访问和共享、限制用户转移、大数据杀熟、数据服务搭售等算法合谋的方式谋取利益,损害消费者合法权益。如果其利用数据垄断优势维持行业地位,阻碍竞争对手收集和购买数据,增加竞争对手进入市场的门槛,将会破坏数字经济市场公平竞争秩序。
由此可见,当下的金融数据被占市场优势地位的平台滥用的问题突出、潜在风险大,与之相匹配的金融数据的反垄断立法与监管机制建设刻不容缓。
国务院反垄断委员会于2021年2月7日发布了《关于平台经济领域的反垄断指南》,重新修订的《中华人民共和国反垄断法》将于2022年8月1日起正式实施。这些法律法规对反垄断领域的合规和执法都提出了更为具体明确的要求。例如,新版反垄断法第九条规定:”经营者不得利用数据和算法、技术、资本优势以及平台规则等从事本法禁止的垄断行为”。已发布的反垄断基础法律法规还有待于通过规范细则及监管措施尽快落实到具体实践之中,以确保金融市场健康公平竞争机制的建立。
第三、强化金融数据安全治理的思考和建议
(一)对金融机构在加强数据安全治理方面的建议
1.开展数据安全顶层设计
金融数据安全的重要性促使金融机构要开展数据安全的顶层设计,构建全方位的数据安全管控体系,并有机地嵌入到组织的总体网络安全规划之中,保障数据的安全有序流动,在数据全生命周期过程中确保数据不丢失、不泄露、不被篡改、业务永远在线、可追溯和隐私合规。
2.完善数据安全治理机制
通过不断完善金融主体高管层、安全专业部门、全辖机构共同参与的组织体系,实施数据安全全辖全员群防责任制;通过建立健全数据安全管理制度与流程,形成数据安全使用与管理的基本规范;建立常态化安全内控督查、年度安全合规内控考核、员工安全违规问责等机制;不断强化数据安全责任,明确人员角色和权限,压实岗位职责;健全数据安全文化,将自觉保护数据安全作为全行员工的基本安全意识与行为规范。
3.加强数据应用生命周期中的安全管控
组织根据自身的业务特点及合规要求,梳理业务数据应用生命周期过程的收集、存储、使用、加工、传输、提供等环节中的数据资产、应用场景和操作过程;对数据资产进行分类分级,形成数据保护目录,并持续地对数据资产及资产应用场景开展风险评估;对风险较大的数据资产制定数据安全保护计划,通过采用适宜的安全策略和管理流程,综合采用身份认证、访问控制、数据加密、数据防泄露、数据脱敏、数据备份、安全存储、数据销毁、安全审计等数据安全技术,对不同安全等级的数据资产实施差异化管控,并保留数据操作的审计追溯记录。
4.优化数据安全运营体系
数据安全管理和技术体系的落地,离不开数据安全运营。首先应当把数据安全纳入组织的网络安全体系中,然后可从数据处理的风险监测、数据安全事件管理、数据安全应急管理、数据安全审计等方面来建设运营体系。金融机构在进行数据安全管理体系建设时,要确保与现有安全管理体系的融合,并把数据安全管理体系的运营纳入到现有的安全体系运营中来。
5.加强金融科技安全人才培养及员工安全意识教育
长期以来网络安全人才市场一直处于供不应求的状态,据工业和信息化部人才交流中心的估计,我国网络安全专业人才累计缺口在140万以上,而每年网络安全相关专业的高校毕业生规模仅2万余人,金融科技安全人才供给也同样存在“青黄不接”的情况,因此,加强金融科技安全人才的培养迫在眉睫;另一方面,要加强金融从业人员的安全技能培训,增强从业人员认知水平,强化从业人员风险防范意识。特别是对于员工的安全意识教育可以通过多媒体开展宣传活动,结合线上线下媒体宣传,不断提升企业金融数据安全意识,将金融科技形势下的数据安全纳入全员教育,成为一种企业文化。
(二)对国家与金融行业在加强数据安全治理方面的建议
1.加快配套标准规范建设
当前随着各项金融数据监管新规的落地,标志着金融数据安全管理开始“有法可依”,但金融数据的利用涉及到工作生活中的方方面面,还有大量的具体细节和执行标准仍有待进一步丰富。特别是加快强制性国家标准的制定和发布,更细致地明确数据生命周期各阶段的保护要求、安全管理策略和数据生命周期防护机制。
2.开展数据安全认证与针对数据安全的IT审计工作
2022年6月9日,国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”,表明了国家主管部门将加强对数据安全的规范化管理,开展统一的认证工作,并发布了《数据安全管理认证实施规则》来明确对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。金融机构由于其数据的敏感性和管理的复杂性,建议带头响应国家主管部门的号召,尽快开展金融数据安全的认证工作,以促进金融数据安全管理体系的建立与健全。
同时,建议金融机构除了按照信息系统审计的规范与要求,阶段性开展数据安全的内部IT审计工作,也应当常态化地聘请独立的第三方机构对组织的数据安全进行IT审计。根据内外部相结合的IT审计结论,管理层可以了解组织当前数据安全管控状态,对于重大风险领域与环节及时进行整改。
3.加快数据安全产业生态建设
数据安全治理是一个体系化的工程,需要所有的参与者共同努力、共建生态、共同协作,才能更加有力地夯实数据安全。在国家层面,要加强各部门间的工作协调,建立更加完善的横向联系联动的共享和治理体制,充分调动各部门的优势资源,形成多方联动,齐抓共管的安全格局。就金融行业层面而言,依据金融行业数据应用的特点,制定增加全面详细的数据安全标准,以填补相应的监管空白,加快监管技术发展和应用,不断提升监管的穿透性和智能化,以适应快速变化的监管制度,为日趋复杂的数据安全形势做好充足的准备。
4.推动建立跨境监管国际合作机制,提高国际话语权
在金融数据安全监管领域,需要各国从国际秩序大局出发,建立国际合作机制,共同应对金融数据跨境流动新挑战。积极参与并推动跨境数据流动监管规则体系的制定与完善, 开展政府间、行业间、技术群体间多线条国际谈判与合作,推动制定符合国家利益和经济发展需求的政策体系。加强跨境监管执法国际合作,夯实域外管辖和跨境适用法律基础,提高跨境监管能力和执法水平,推动构建良好的国际金融数据要素市场秩序。
本文系未央网专栏作者:清华大学金融科技研究院 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!转载请标注:我爱技术网——强化金融数据安全治理 夯实金融行业发展基础