一 什么是金融數(shù)據(jù)安全及其重要性
數(shù)據(jù)安全,是指通過采取必要措施,,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),,以及具備保證持續(xù)安全狀態(tài)的能力,。而金融數(shù)據(jù)不僅具備數(shù)據(jù)的一般特性,,更是包含了國民個人信息、企業(yè)資金流轉(zhuǎn)、社會經(jīng)濟活動等重要內(nèi)容。正是由于其特殊性,,在金融數(shù)據(jù)安全方面,我們不僅要求數(shù)據(jù)在輸入時應(yīng)當(dāng)經(jīng)過嚴(yán)格審核和持續(xù)維護,,在傳輸和使用的過程中,更應(yīng)采取相應(yīng)的管理措施和技術(shù)手段加以保護,,使金融數(shù)據(jù)避免產(chǎn)生被非法訪問,、竊取、篡改和損毀的風(fēng)險,。金融數(shù)據(jù)安全的重要性不僅得到了各行業(yè)廣泛的認(rèn)同,,更是在法律和監(jiān)管中有所體現(xiàn)。
首先,,高標(biāo)準(zhǔn)帶來嚴(yán)要求,。根據(jù)金融標(biāo)準(zhǔn)全文公開系統(tǒng)記錄,現(xiàn)行有效的數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)79條,,其中2020年和2021年發(fā)布了23條,,如《金融業(yè)數(shù)據(jù)能力建設(shè)指引》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《金融大數(shù)據(jù)平臺總體技術(shù)要求》《個人金融信息保護技術(shù)規(guī)范》和《證券期貨業(yè)數(shù)據(jù)分類分級指引》等,涵蓋了金融數(shù)據(jù)分類分級,、金融數(shù)據(jù)生命周期安全評估,、個人金融信息保護、金融數(shù)據(jù)安全體系建設(shè)等方面,。這些標(biāo)準(zhǔn)細(xì)化了執(zhí)行的細(xì)節(jié),,有效完善了整個安全保障體系,筑牢了數(shù)據(jù)安全屏障,。
其次,,嚴(yán)法律帶來強要求。包括《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》在內(nèi)的“三法一條例”共同構(gòu)筑了中國數(shù)據(jù)保護的基礎(chǔ)法律框架,。隨著重磅政策和法律的陸續(xù)落地與實施,,網(wǎng)絡(luò)安全法律體系日趨完善,為技術(shù)創(chuàng)新和應(yīng)用落地提供了根本依據(jù),,體現(xiàn)了我國對信息安全的重視,,彰顯了我國保護數(shù)據(jù)安全的決心。在這種條件下,,法律向金融數(shù)據(jù)安全提出了嚴(yán)格的要求,,要求我們高度重視金融數(shù)據(jù)安全,保障國家金融體系穩(wěn)定,。
再次,,強監(jiān)管帶來高要求。當(dāng)前,,各個監(jiān)管部門均認(rèn)識到了數(shù)據(jù)安全的復(fù)雜性,、廣泛性,、共生性。因此,,各部門進一步加強了彼此間的統(tǒng)籌協(xié)調(diào),,避免出現(xiàn)安全漏洞和死角。這一改變,,在收集,、存儲、使用,、加工,、傳輸、提供,、公開等等方面有所體現(xiàn),。監(jiān)管部門通過加強對數(shù)據(jù)安全各階段的監(jiān)管力度,形成數(shù)據(jù)安全監(jiān)管上的閉環(huán),。
不僅如此,,監(jiān)管部門在把握尺度上更加嚴(yán)格,對違反數(shù)據(jù)安全的行為零容忍,。根據(jù)央行2019年數(shù)據(jù)顯示,,央行征信系統(tǒng)收錄10.2億自然人、2834.1萬戶企業(yè)和其他組織信息,,規(guī)模已位居世界前列,。2021年9月,我國頒布了《征信業(yè)務(wù)管理辦法》,,《辦法》中明確規(guī)定,,“采集個人信用信息,應(yīng)當(dāng)采取合法,、正當(dāng)?shù)姆绞?,遵循最小、必要的原則,,不得過度采集”,。自2022年《辦法》施行以來,中國人民銀行及各地分行對違反數(shù)據(jù)安全監(jiān)管規(guī)定的3家金融主體,、1家支付機構(gòu)開出千萬級罰單,,這些行動不僅體現(xiàn)出我國對個人信息保護的重視,更體現(xiàn)了我國對金融數(shù)據(jù)安全維護的決心,。
然而,,無論是“合規(guī)化”、“標(biāo)準(zhǔn)化”及“嚴(yán)監(jiān)管”,都是外部力量的要求,,真正的內(nèi)在驅(qū)動力是:金融機構(gòu)業(yè)務(wù)穩(wěn)定運行和創(chuàng)新發(fā)展離不開“安全用數(shù)”,。
當(dāng)前金融數(shù)字化轉(zhuǎn)型已經(jīng)進入關(guān)鍵階段,銀行業(yè)金融機構(gòu)的業(yè)務(wù)數(shù)據(jù)已成為本質(zhì),、核心,、關(guān)鍵的生產(chǎn)要素,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)通過對業(yè)務(wù)數(shù)據(jù)的匯集,、分析與挖掘,,不斷提高經(jīng)營效率,提升客戶服務(wù)水平,,實現(xiàn)業(yè)務(wù)創(chuàng)新、產(chǎn)品創(chuàng)新和服務(wù)創(chuàng)新,。銀行業(yè)金融機構(gòu)的數(shù)據(jù)安全關(guān)系到金融行業(yè)的資金安全以及大數(shù)據(jù)時代來臨對數(shù)據(jù)的增值分析,、利用而帶來的衍生價值?!鞍踩脭?shù)”是銀行當(dāng)前業(yè)務(wù)穩(wěn)定運行和創(chuàng)新發(fā)展的迫切需要,。
以上種種,都說明金融數(shù)據(jù)安全的重要性,。金融數(shù)據(jù)安全已不再是行業(yè)內(nèi)部的自律性要求,,而是全方位、多層次,、立體化的數(shù)據(jù)安全建設(shè)體系,。
二 當(dāng)前金融數(shù)據(jù)安全治理的突出問題
(一)數(shù)字信息技術(shù)日新月異,,數(shù)字金融迅猛發(fā)展,,金融數(shù)據(jù)由于其蘊含的巨大價值而成為網(wǎng)絡(luò)攻擊的首選目標(biāo)
著名的云基礎(chǔ)架構(gòu)廠商VMware在2022年2月對全球130名金融部門首席信息安全官和安全領(lǐng)導(dǎo)者進行的調(diào)查顯示,過去的一年中,,66%的金融機構(gòu)經(jīng)歷過以商業(yè)機密竊取為目的的攻擊,,74%的受訪金融機構(gòu)在過去一年中至少經(jīng)歷過一次勒索軟件攻擊,30%的機構(gòu)經(jīng)歷了多次勒索攻擊,,其中超過六成選擇支付贖金,。
我國互聯(lián)網(wǎng)絡(luò)信息中心數(shù)據(jù)顯示,截至2021年6月,,我國網(wǎng)絡(luò)支付用戶規(guī)模達(dá)8.72億,,占整體網(wǎng)民數(shù)量的86.3%。數(shù)字身份信息是數(shù)字金融產(chǎn)業(yè)發(fā)展的基礎(chǔ)元素,,此類數(shù)據(jù)包含大量用戶個人信息和交易數(shù)據(jù)等敏感信息,。數(shù)字金融業(yè)務(wù)量的上升進一步加快了金融數(shù)據(jù)的產(chǎn)生和積累。在金融數(shù)據(jù)安全法律法規(guī)尚不健全的情況下,數(shù)據(jù)竊取,、篡改,、勒索事件頻發(fā),催生龐大的數(shù)據(jù)非法販賣產(chǎn)業(yè)鏈,。
金融數(shù)據(jù)風(fēng)險具有較高的復(fù)雜性,、隱蔽性和易擴散性。為了嚴(yán)防新技術(shù)所帶來的數(shù)據(jù)泄露,、數(shù)據(jù)污染,、數(shù)據(jù)投毒攻擊等一系列潛在風(fēng)險,金融機構(gòu)應(yīng)在進行數(shù)據(jù)收集,、存儲,、使用、加工,、傳輸,、提供、公開等方面提高安全防范意識,,依靠安全管理與技術(shù)手段來降低各類風(fēng)險,。
(二)金融機構(gòu)在個人信息保護與網(wǎng)絡(luò)安全方面因自身管理不到位而受監(jiān)管部門處罰的案例屢見不鮮
例如:2021年全年,,在央行,、銀保監(jiān)會、外管局發(fā)布的行政處罰名單中,,涉及信息處理等違規(guī)問題的罰單共計119張,,罰款金額合計約4654萬元。
金融機構(gòu)發(fā)生的違規(guī)行為集中于個人信息保護與信息網(wǎng)絡(luò)安全兩大類,,主要涉及“未按規(guī)定收集使用個人信息”,、“未經(jīng)同意查詢個人信息或企業(yè)信貸信息”、“提供部分個人不良信息時未事先告知信息主體”,、“泄露客戶信息”,、“網(wǎng)絡(luò)授權(quán)訪問控制不到位,存在信息科技風(fēng)險隱患”,、“重要崗位及外包機構(gòu)管理存在缺陷”,、“發(fā)生重要信息系統(tǒng)突發(fā)事件未向監(jiān)管報告”等,。
?。ㄈ┙鹑跀?shù)據(jù)跨境流動日益頻繁,帶來越來越大的潛在安全隱患,,而我國在跨境數(shù)據(jù)安全評估,、認(rèn)證及保護方面的法律法規(guī)細(xì)則還有待完善
隨著全球貿(mào)易往來,、金融投資和技術(shù)交流日益頻繁,跨境流動數(shù)據(jù)的種類和數(shù)量不斷增加,,涉及個人隱私,、企業(yè)商業(yè)機密、社會治理,、國防安全等方方面面,,海量數(shù)據(jù)跨境流動給國家安全帶來隱患。如果商業(yè)機密信息,、經(jīng)濟運行狀況,、金融科技發(fā)展水平、金融創(chuàng)新產(chǎn)品等高度敏感數(shù)據(jù)被外國政府獲取并惡意利用,,將削弱我國金融業(yè)核心競爭力,,嚴(yán)重破壞我國金融市場穩(wěn)定,威脅國家和人民財產(chǎn)安全,。
我國現(xiàn)有法律法規(guī)雖已經(jīng)形成了基本的數(shù)據(jù)跨境流動的制度框架,,但數(shù)據(jù)跨境相關(guān)的法律細(xì)則還在研究制定過程中,個人信息安全及金融數(shù)據(jù)安全的認(rèn)證機制還未建立起來,,數(shù)據(jù)出境和入境安全評估還未真正實施,數(shù)據(jù)出境管理的具體模式,、審查機構(gòu)和配套保障機制等關(guān)鍵問題還有待解決,,這對于日益頻繁的跨境數(shù)據(jù)流動提出更高的挑戰(zhàn)。
?。ㄋ模┍O(jiān)管政策不完善加劇數(shù)據(jù)和資金向互聯(lián)網(wǎng)寡頭企業(yè)集聚,,數(shù)據(jù)壟斷風(fēng)險愈發(fā)凸顯
目前,針對以銀行為主體的傳統(tǒng)金融行業(yè)監(jiān)管體系較為完善,,面向金融科技企業(yè)的監(jiān)管力度相對薄弱,。特別是在疫情時代,個人身份信息被進一步收集整理,,大型科技公司憑借顯著的網(wǎng)絡(luò)外溢效應(yīng)形成規(guī)模經(jīng)濟,,使用前沿科技手段拓展消費者群體,將業(yè)務(wù)范圍從構(gòu)建互聯(lián)網(wǎng)商務(wù)平臺逐漸拓展到身份信息服務(wù),、移動支付業(yè)務(wù),、投資理財、保險銷售等領(lǐng)域,,積累了大量個人信息和金融交易數(shù)據(jù),,逐漸形成數(shù)據(jù)壟斷的趨勢,容易引發(fā)數(shù)據(jù)安全風(fēng)險,。而數(shù)據(jù)的高度集中不僅會使大型科技公司的安全防衛(wèi)壓力增加,,也會使其容易成為不法分子的攻擊對象,,增大了數(shù)據(jù)泄露風(fēng)險。金融數(shù)據(jù)的流失將嚴(yán)重侵害用戶個人隱私,,為非法販賣數(shù)據(jù)實現(xiàn)商業(yè)變現(xiàn),。
在防衛(wèi)外部風(fēng)險的同時,也應(yīng)注意內(nèi)部的數(shù)據(jù)管理使用,。數(shù)據(jù)寡頭企業(yè)一旦濫用市場支配地位,,可以通過限制數(shù)據(jù)訪問和共享、限制用戶轉(zhuǎn)移,、大數(shù)據(jù)殺熟,、數(shù)據(jù)服務(wù)搭售等算法合謀的方式謀取利益,損害消費者合法權(quán)益,。如果其利用數(shù)據(jù)壟斷優(yōu)勢維持行業(yè)地位,,阻礙競爭對手收集和購買數(shù)據(jù),增加競爭對手進入市場的門檻,,將會破壞數(shù)字經(jīng)濟市場公平競爭秩序,。
由此可見,當(dāng)下的金融數(shù)據(jù)被占市場優(yōu)勢地位的平臺濫用的問題突出,、潛在風(fēng)險大,,與之相匹配的金融數(shù)據(jù)的反壟斷立法與監(jiān)管機制建設(shè)刻不容緩。
國務(wù)院反壟斷委員會于2021年2月7日發(fā)布了《關(guān)于平臺經(jīng)濟領(lǐng)域的反壟斷指南》,,重新修訂的《中華人民共和國反壟斷法》將于2022年8月1日起正式實施,。這些法律法規(guī)對反壟斷領(lǐng)域的合規(guī)和執(zhí)法都提出了更為具體明確的要求。例如,,新版反壟斷法第九條規(guī)定:“經(jīng)營者不得利用數(shù)據(jù)和算法,、技術(shù)、資本優(yōu)勢以及平臺規(guī)則等從事本法禁止的壟斷行為”,。已發(fā)布的反壟斷基礎(chǔ)法律法規(guī)還有待于通過規(guī)范細(xì)則及監(jiān)管措施盡快落實到具體實踐之中,,以確保金融市場健康公平競爭機制的建立。
三 強化金融數(shù)據(jù)安全治理的思考和建議
?。ㄒ唬鹑跈C構(gòu)在加強數(shù)據(jù)安全治理方面的建議
1.開展數(shù)據(jù)安全頂層設(shè)計
金融數(shù)據(jù)安全的重要性促使金融機構(gòu)要開展數(shù)據(jù)安全的頂層設(shè)計,,構(gòu)建全方位的數(shù)據(jù)安全管控體系,并有機地嵌入到組織的總體網(wǎng)絡(luò)安全規(guī)劃之中,,保障數(shù)據(jù)的安全有序流動,,在數(shù)據(jù)全生命周期過程中確保數(shù)據(jù)不丟失、不泄露,、不被篡改,、業(yè)務(wù)永遠(yuǎn)在線、可追溯和隱私合規(guī),。
2.完善數(shù)據(jù)安全治理機制
通過不斷完善金融主體高管層,、安全專業(yè)部門,、全轄機構(gòu)共同參與的組織體系,實施數(shù)據(jù)安全全轄全員群防責(zé)任制,;通過建立健全數(shù)據(jù)安全管理制度與流程,,形成數(shù)據(jù)安全使用與管理的基本規(guī)范;建立常態(tài)化安全內(nèi)控督查,、年度安全合規(guī)內(nèi)控考核,、員工安全違規(guī)問責(zé)等機制;不斷強化數(shù)據(jù)安全責(zé)任,,明確人員角色和權(quán)限,,壓實崗位職責(zé);健全數(shù)據(jù)安全文化,,將自覺保護數(shù)據(jù)安全作為全行員工的基本安全意識與行為規(guī)范,。
3.加強數(shù)據(jù)應(yīng)用生命周期中的安全管控
組織根據(jù)自身的業(yè)務(wù)特點及合規(guī)要求,梳理業(yè)務(wù)數(shù)據(jù)應(yīng)用生命周期過程的收集,、存儲,、使用、加工,、傳輸,、提供等環(huán)節(jié)中的數(shù)據(jù)資產(chǎn)、應(yīng)用場景和操作過程,;對數(shù)據(jù)資產(chǎn)進行分類分級,,形成數(shù)據(jù)保護目錄,并持續(xù)地對數(shù)據(jù)資產(chǎn)及資產(chǎn)應(yīng)用場景開展風(fēng)險評估,;對風(fēng)險較大的數(shù)據(jù)資產(chǎn)制定數(shù)據(jù)安全保護計劃,通過采用適宜的安全策略和管理流程,,綜合采用身份認(rèn)證,、訪問控制、數(shù)據(jù)加密,、數(shù)據(jù)防泄露,、數(shù)據(jù)脫敏、數(shù)據(jù)備份,、安全存儲,、數(shù)據(jù)銷毀、安全審計等數(shù)據(jù)安全技術(shù),,對不同安全等級的數(shù)據(jù)資產(chǎn)實施差異化管控,,并保留數(shù)據(jù)操作的審計追溯記錄。
4.優(yōu)化數(shù)據(jù)安全運營體系
數(shù)據(jù)安全管理和技術(shù)體系的落地,,離不開數(shù)據(jù)安全運營,。首先應(yīng)當(dāng)把數(shù)據(jù)安全納入組織的網(wǎng)絡(luò)安全體系中,,然后可從數(shù)據(jù)處理的風(fēng)險監(jiān)測、數(shù)據(jù)安全事件管理,、數(shù)據(jù)安全應(yīng)急管理,、數(shù)據(jù)安全審計等方面來建設(shè)運營體系。金融機構(gòu)在進行數(shù)據(jù)安全管理體系建設(shè)時,,要確保與現(xiàn)有安全管理體系的融合,,并把數(shù)據(jù)安全管理體系的運營納入到現(xiàn)有的安全體系運營中來。
5.加強金融科技安全人才培養(yǎng)及員工安全意識教育
長期以來網(wǎng)絡(luò)安全人才市場一直處于供不應(yīng)求的狀態(tài),,據(jù)工業(yè)和信息化部人才交流中心的估計,,我國網(wǎng)絡(luò)安全專業(yè)人才累計缺口在140萬以上,而每年網(wǎng)絡(luò)安全相關(guān)專業(yè)的高校畢業(yè)生規(guī)模僅2萬余人,,金融科技安全人才供給也同樣存在“青黃不接”的情況,,因此,加強金融科技安全人才的培養(yǎng)迫在眉睫,;另一方面,,要加強金融從業(yè)人員的安全技能培訓(xùn),增強從業(yè)人員認(rèn)知水平,,強化從業(yè)人員風(fēng)險防范意識,。特別是對于員工的安全意識教育可以通過多媒體開展宣傳活動,結(jié)合線上線下媒體宣傳,,不斷提升企業(yè)金融數(shù)據(jù)安全意識,,將金融科技形勢下的數(shù)據(jù)安全納入全員教育,成為一種企業(yè)文化,。
?。ǘ遗c金融行業(yè)在加強數(shù)據(jù)安全治理方面的建議
1.加快配套標(biāo)準(zhǔn)規(guī)范建設(shè)
當(dāng)前隨著各項金融數(shù)據(jù)監(jiān)管新規(guī)的落地,標(biāo)志著金融數(shù)據(jù)安全管理開始“有法可依”,,但金融數(shù)據(jù)的利用涉及到工作生活中的方方面面,,還有大量的具體細(xì)節(jié)和執(zhí)行標(biāo)準(zhǔn)有待于進一步豐富。特別是加快強制性國家標(biāo)準(zhǔn)的制定和發(fā)布,,更細(xì)致地明確數(shù)據(jù)生命周期各階段的保護要求,、安全管理策略和數(shù)據(jù)生命周期防護機制。
2.開展數(shù)據(jù)安全認(rèn)證與針對數(shù)據(jù)安全的IT審計工作
2022年6月9日,,國家市場監(jiān)督管理總局和國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布了“關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告”,,表明了國家主管部門將加強對數(shù)據(jù)安全的規(guī)范化管理,開展統(tǒng)一的認(rèn)證工作,,并發(fā)布了《數(shù)據(jù)安全管理認(rèn)證實施規(guī)則》來明確對網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)數(shù)據(jù)收集,、存儲、使用,、加工,、傳輸,、提供、公開等處理活動進行認(rèn)證的基本原則和要求,。金融機構(gòu)由于其數(shù)據(jù)的敏感性和管理的復(fù)雜性,,建議帶頭響應(yīng)國家主管部門的號召,盡快開展金融數(shù)據(jù)安全的認(rèn)證工作,,以促進金融數(shù)據(jù)安全管理體系的建立與健全,。
同時,建議金融機構(gòu)除了按照信息系統(tǒng)審計的規(guī)范與要求,,階段性開展數(shù)據(jù)安全的內(nèi)部IT審計工作,,也應(yīng)當(dāng)常態(tài)化地聘請獨立的第三方機構(gòu)對組織的數(shù)據(jù)安全進行IT審計。根據(jù)內(nèi)外部相結(jié)合的IT審計結(jié)論,,管理層可以了解組織當(dāng)前數(shù)據(jù)安全管控狀態(tài),,對于重大風(fēng)險領(lǐng)域與環(huán)節(jié)及時進行整改。
3.加快數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)建設(shè)
數(shù)據(jù)安全治理是一個體系化的工程,,需要所有的參與者共同努力,、共建生態(tài)、共同協(xié)作,,才能更加有力地夯實數(shù)據(jù)安全,。在國家層面,要加強各部門間的工作協(xié)調(diào),,建立更加完善的橫向聯(lián)系聯(lián)動的共享和治理體制,,充分調(diào)動各部門的優(yōu)勢資源,形成多方聯(lián)動,,齊抓共管的安全格局,。就金融行業(yè)層面而言,依據(jù)金融行業(yè)數(shù)據(jù)應(yīng)用的特點,,制定增加全面詳細(xì)的數(shù)據(jù)安全標(biāo)準(zhǔn),,以填補相應(yīng)的監(jiān)管空白,加快監(jiān)管技術(shù)發(fā)展和應(yīng)用,,不斷提升監(jiān)管的穿透性和智能化,以適應(yīng)快速變化的監(jiān)管制度,,為日趨復(fù)雜的數(shù)據(jù)安全形勢做好充足的準(zhǔn)備,。
4.推動建立跨境監(jiān)管國際合作機制,提高國際話語權(quán)
在金融數(shù)據(jù)安全監(jiān)管領(lǐng)域,,需要各國從國際秩序大局出發(fā),,建立國際合作機制,共同應(yīng)對金融數(shù)據(jù)跨境流動新挑戰(zhàn),。積極參與并推動跨境數(shù)據(jù)流動監(jiān)管規(guī)則體系的制定與完善,,開展政府間,、行業(yè)間、技術(shù)群體間多線條國際談判與合作,,推動制定符合國家利益和經(jīng)濟發(fā)展需求的政策體系,。加強跨境監(jiān)管執(zhí)法國際合作,夯實域外管轄和跨境適用法律基礎(chǔ),,提高跨境監(jiān)管能力和執(zhí)法水平,,推動構(gòu)建良好的國際金融數(shù)據(jù)要素市場秩序。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<