數據安全,是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保證持續安全狀態的能力。而金融數據不僅具備數據的一般特性,更是包含了國民個人信息、企業資金流轉、社會經濟活動等重要內容。正是由于其特殊性,在金融數據安全方面,我們不僅要求數據在輸入時應當經過嚴格審核和持續維護,在傳輸和使用的過程中,更應采取相應的管理措施和技術手段加以保護,使金融數據避免產生被非法訪問、竊取、篡改和損毀的風險。金融數據安全的重要性不僅得到了各行業廣泛的認同,更是在法律和監管中有所體現。
首先,高標準帶來嚴要求。根據金融標準全文公開系統記錄,現行有效的數據相關標準79條,其中2020年和2021年發布了23條,如《金融業數據能力建設指引》《金融數據安全數據生命周期安全規范》《金融數據安全數據安全分級指南》《金融大數據平臺總體技術要求》《個人金融信息保護技術規范》和《證券期貨業數據分類分級指引》等,涵蓋了金融數據分類分級、金融數據生命周期安全評估、個人金融信息保護、金融數據安全體系建設等方面。這些標準細化了執行的細節,有效完善了整個安全保障體系,筑牢了數據安全屏障。
其次,嚴法律帶來強要求。包括《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》在內的“三法一條例”共同構筑了中國數據保護的基礎法律框架。隨著重磅政策和法律的陸續落地與實施,網絡安全法律體系日趨完善,為技術創新和應用落地提供了根本依據,體現了我國對信息安全的重視,彰顯了我國保護數據安全的決心。在這種條件下,法律向金融數據安全提出了嚴格的要求,要求我們高度重視金融數據安全,保障國家金融體系穩定。
再次,強監管帶來高要求。當前,各個監管部門均認識到了數據安全的復雜性、廣泛性、共生性。因此,各部門進一步加強了彼此間的統籌協調,避免出現安全漏洞和死角。這一改變,在收集、存儲、使用、加工、傳輸、提供、公開等等方面有所體現。監管部門通過加強對數據安全各階段的監管力度,形成數據安全監管上的閉環。
不僅如此,監管部門在把握尺度上更加嚴格,對違反數據安全的行為零容忍。根據央行2019年數據顯示,央行征信系統收錄10.2億自然人、2834.1萬戶企業和其他組織信息,規模已位居世界前列。2021年9月,我國頒布了《征信業務管理辦法》,《辦法》中明確規定,“采集個人信用信息,應當采取合法、正當的方式,遵循最小、必要的原則,不得過度采集”。自2022年《辦法》施行以來,中國人民銀行及各地分行對違反數據安全監管規定的3家金融主體、1家支付機構開出千萬級罰單,這些行動不僅體現出我國對個人信息保護的重視,更體現了我國對金融數據安全維護的決心。
然而,無論是“合規化”、“標準化”及“嚴監管”,都是外部力量的要求,真正的內在驅動力是:金融機構業務穩定運行和創新發展離不開“安全用數”。
當前金融數字化轉型已經進入關鍵階段,銀行業金融機構的業務數據已成為本質、核心、關鍵的生產要素,銀行業金融機構應當通過對業務數據的匯集、分析與挖掘,不斷提高經營效率,提升客戶服務水平,實現業務創新、產品創新和服務創新。銀行業金融機構的數據安全關系到金融行業的資金安全以及大數據時代來臨對數據的增值分析、利用而帶來的衍生價值。“安全用數”是銀行當前業務穩定運行和創新發展的迫切需要。
以上種種,都說明金融數據安全的重要性。金融數據安全已不再是行業內部的自律性要求,而是全方位、多層次、立體化的數據安全建設體系。
二 當前金融數據安全治理的突出問題
(一)數字信息技術日新月異,數字金融迅猛發展,金融數據由于其蘊含的巨大價值而成為網絡攻擊的首選目標
著名的云基礎架構廠商VMware在2022年2月對全球130名金融部門首席信息安全官和安全領導者進行的調查顯示,過去的一年中,66%的金融機構經歷過以商業機密竊取為目的的攻擊,74%的受訪金融機構在過去一年中至少經歷過一次勒索軟件攻擊,30%的機構經歷了多次勒索攻擊,其中超過六成選擇支付贖金。
我國互聯網絡信息中心數據顯示,截至2021年6月,我國網絡支付用戶規模達8.72億,占整體網民數量的86.3%。數字身份信息是數字金融產業發展的基礎元素,此類數據包含大量用戶個人信息和交易數據等敏感信息。數字金融業務量的上升進一步加快了金融數據的產生和積累。在金融數據安全法律法規尚不健全的情況下,數據竊取、篡改、勒索事件頻發,催生龐大的數據非法販賣產業鏈。
金融數據風險具有較高的復雜性、隱蔽性和易擴散性。為了嚴防新技術所帶來的數據泄露、數據污染、數據投毒攻擊等一系列潛在風險,金融機構應在進行數據收集、存儲、使用、加工、傳輸、提供、公開等方面提高安全防范意識,依靠安全管理與技術手段來降低各類風險。
(二)金融機構在個人信息保護與網絡安全方面因自身管理不到位而受監管部門處罰的案例屢見不鮮
例如:2021年全年,在央行、銀保監會、外管局發布的行政處罰名單中,涉及信息處理等違規問題的罰單共計119張,罰款金額合計約4654萬元。
金融機構發生的違規行為集中于個人信息保護與信息網絡安全兩大類,主要涉及“未按規定收集使用個人信息”、“未經同意查詢個人信息或企業信貸信息”、“提供部分個人不良信息時未事先告知信息主體”、“泄露客戶信息”、“網絡授權訪問控制不到位,存在信息科技風險隱患”、“重要崗位及外包機構管理存在缺陷”、“發生重要信息系統突發事件未向監管報告”等。
(三)金融數據跨境流動日益頻繁,帶來越來越大的潛在安全隱患,而我國在跨境數據安全評估、認證及保護方面的法律法規細則還有待完善
隨著全球貿易往來、金融投資和技術交流日益頻繁,跨境流動數據的種類和數量不斷增加,涉及個人隱私、企業商業機密、社會治理、國防安全等方方面面,海量數據跨境流動給國家安全帶來隱患。如果商業機密信息、經濟運行狀況、金融科技發展水平、金融創新產品等高度敏感數據被外國政府獲取并惡意利用,將削弱我國金融業核心競爭力,嚴重破壞我國金融市場穩定,威脅國家和人民財產安全。
我國現有法律法規雖已經形成了基本的數據跨境流動的制度框架,但數據跨境相關的法律細則還在研究制定過程中,個人信息安全及金融數據安全的認證機制還未建立起來,數據出境和入境安全評估還未真正實施,數據出境管理的具體模式、審查機構和配套保障機制等關鍵問題還有待解決,這對于日益頻繁的跨境數據流動提出更高的挑戰。
(四)監管政策不完善加劇數據和資金向互聯網寡頭企業集聚,數據壟斷風險愈發凸顯
目前,針對以銀行為主體的傳統金融行業監管體系較為完善,面向金融科技企業的監管力度相對薄弱。特別是在疫情時代,個人身份信息被進一步收集整理,大型科技公司憑借顯著的網絡外溢效應形成規模經濟,使用前沿科技手段拓展消費者群體,將業務范圍從構建互聯網商務平臺逐漸拓展到身份信息服務、移動支付業務、投資理財、保險銷售等領域,積累了大量個人信息和金融交易數據,逐漸形成數據壟斷的趨勢,容易引發數據安全風險。而數據的高度集中不僅會使大型科技公司的安全防衛壓力增加,也會使其容易成為不法分子的攻擊對象,增大了數據泄露風險。金融數據的流失將嚴重侵害用戶個人隱私,為非法販賣數據實現商業變現。
在防衛外部風險的同時,也應注意內部的數據管理使用。數據寡頭企業一旦濫用市場支配地位,可以通過限制數據訪問和共享、限制用戶轉移、大數據殺熟、數據服務搭售等算法合謀的方式謀取利益,損害消費者合法權益。如果其利用數據壟斷優勢維持行業地位,阻礙競爭對手收集和購買數據,增加競爭對手進入市場的門檻,將會破壞數字經濟市場公平競爭秩序。
由此可見,當下的金融數據被占市場優勢地位的平臺濫用的問題突出、潛在風險大,與之相匹配的金融數據的反壟斷立法與監管機制建設刻不容緩。
國務院反壟斷委員會于2021年2月7日發布了《關于平臺經濟領域的反壟斷指南》,重新修訂的《中華人民共和國反壟斷法》將于2022年8月1日起正式實施。這些法律法規對反壟斷領域的合規和執法都提出了更為具體明確的要求。例如,新版反壟斷法第九條規定:“經營者不得利用數據和算法、技術、資本優勢以及平臺規則等從事本法禁止的壟斷行為”。已發布的反壟斷基礎法律法規還有待于通過規范細則及監管措施盡快落實到具體實踐之中,以確保金融市場健康公平競爭機制的建立。
三 強化金融數據安全治理的思考和建議
(一)對金融機構在加強數據安全治理方面的建議
1.開展數據安全頂層設計
金融數據安全的重要性促使金融機構要開展數據安全的頂層設計,構建全方位的數據安全管控體系,并有機地嵌入到組織的總體網絡安全規劃之中,保障數據的安全有序流動,在數據全生命周期過程中確保數據不丟失、不泄露、不被篡改、業務永遠在線、可追溯和隱私合規。
2.完善數據安全治理機制
通過不斷完善金融主體高管層、安全專業部門、全轄機構共同參與的組織體系,實施數據安全全轄全員群防責任制;通過建立健全數據安全管理制度與流程,形成數據安全使用與管理的基本規范;建立常態化安全內控督查、年度安全合規內控考核、員工安全違規問責等機制;不斷強化數據安全責任,明確人員角色和權限,壓實崗位職責;健全數據安全文化,將自覺保護數據安全作為全行員工的基本安全意識與行為規范。
3.加強數據應用生命周期中的安全管控
組織根據自身的業務特點及合規要求,梳理業務數據應用生命周期過程的收集、存儲、使用、加工、傳輸、提供等環節中的數據資產、應用場景和操作過程;對數據資產進行分類分級,形成數據保護目錄,并持續地對數據資產及資產應用場景開展風險評估;對風險較大的數據資產制定數據安全保護計劃,通過采用適宜的安全策略和管理流程,綜合采用身份認證、訪問控制、數據加密、數據防泄露、數據脫敏、數據備份、安全存儲、數據銷毀、安全審計等數據安全技術,對不同安全等級的數據資產實施差異化管控,并保留數據操作的審計追溯記錄。
4.優化數據安全運營體系
數據安全管理和技術體系的落地,離不開數據安全運營。首先應當把數據安全納入組織的網絡安全體系中,然后可從數據處理的風險監測、數據安全事件管理、數據安全應急管理、數據安全審計等方面來建設運營體系。金融機構在進行數據安全管理體系建設時,要確保與現有安全管理體系的融合,并把數據安全管理體系的運營納入到現有的安全體系運營中來。
5.加強金融科技安全人才培養及員工安全意識教育
長期以來網絡安全人才市場一直處于供不應求的狀態,據工業和信息化部人才交流中心的估計,我國網絡安全專業人才累計缺口在140萬以上,而每年網絡安全相關專業的高校畢業生規模僅2萬余人,金融科技安全人才供給也同樣存在“青黃不接”的情況,因此,加強金融科技安全人才的培養迫在眉睫;另一方面,要加強金融從業人員的安全技能培訓,增強從業人員認知水平,強化從業人員風險防范意識。特別是對于員工的安全意識教育可以通過多媒體開展宣傳活動,結合線上線下媒體宣傳,不斷提升企業金融數據安全意識,將金融科技形勢下的數據安全納入全員教育,成為一種企業文化。
(二)對國家與金融行業在加強數據安全治理方面的建議
1.加快配套標準規范建設
當前隨著各項金融數據監管新規的落地,標志著金融數據安全管理開始“有法可依”,但金融數據的利用涉及到工作生活中的方方面面,還有大量的具體細節和執行標準有待于進一步豐富。特別是加快強制性國家標準的制定和發布,更細致地明確數據生命周期各階段的保護要求、安全管理策略和數據生命周期防護機制。
2.開展數據安全認證與針對數據安全的IT審計工作
2022年6月9日,國家市場監督管理總局和國家互聯網信息辦公室聯合發布了“關于開展數據安全管理認證工作的公告”,表明了國家主管部門將加強對數據安全的規范化管理,開展統一的認證工作,并發布了《數據安全管理認證實施規則》來明確對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求。金融機構由于其數據的敏感性和管理的復雜性,建議帶頭響應國家主管部門的號召,盡快開展金融數據安全的認證工作,以促進金融數據安全管理體系的建立與健全。
同時,建議金融機構除了按照信息系統審計的規范與要求,階段性開展數據安全的內部IT審計工作,也應當常態化地聘請獨立的第三方機構對組織的數據安全進行IT審計。根據內外部相結合的IT審計結論,管理層可以了解組織當前數據安全管控狀態,對于重大風險領域與環節及時進行整改。
3.加快數據安全產業生態建設
數據安全治理是一個體系化的工程,需要所有的參與者共同努力、共建生態、共同協作,才能更加有力地夯實數據安全。在國家層面,要加強各部門間的工作協調,建立更加完善的橫向聯系聯動的共享和治理體制,充分調動各部門的優勢資源,形成多方聯動,齊抓共管的安全格局。就金融行業層面而言,依據金融行業數據應用的特點,制定增加全面詳細的數據安全標準,以填補相應的監管空白,加快監管技術發展和應用,不斷提升監管的穿透性和智能化,以適應快速變化的監管制度,為日趨復雜的數據安全形勢做好充足的準備。
4.推動建立跨境監管國際合作機制,提高國際話語權
在金融數據安全監管領域,需要各國從國際秩序大局出發,建立國際合作機制,共同應對金融數據跨境流動新挑戰。積極參與并推動跨境數據流動監管規則體系的制定與完善,開展政府間、行業間、技術群體間多線條國際談判與合作,推動制定符合國家利益和經濟發展需求的政策體系。加強跨境監管執法國際合作,夯實域外管轄和跨境適用法律基礎,提高跨境監管能力和執法水平,推動構建良好的國際金融數據要素市場秩序。
更多信息可以來這里獲取==>>電子技術應用-AET<<
