强化金融数据安全治理夯实金融行业发展基础-全讯新

文/周道旭清华大学金融科技学院金融安全研究中心主任

一，什么是金融数据安全及其重要性。

数据安全是指采取必要措施确保数据处于有效保护和合法利用的状态，以及保证持续安全的能力金融数据不仅具有数据的一般特征，还包含国家个人信息，企业资金流转，社会经济活动等重要内容由于其特殊性，在金融数据安全方面，我们不仅要求数据在输入时要进行严格的审核和频繁的维护，而且在传输和使用过程中要采取相应的管理措施和技术手段进行保护，避免金融数据被非法访问，窃取，篡改和破坏的风险金融安全的重要性不仅得到了各行业的广泛认同，也体现在法律法规中

首先，高标准带来严要求根据金融标准全文披露系统的记录，目前生效的数据相关标准共有79项，其中23项发布于2020年和2021年，如《金融行业数据能力建设指南》，《金融数据安全全生命周期安全指南》，《金融数据安全分类分级指南》，《金融大数据平台通用技术要求》，《个人金融信息保护技术规范》和《证券期货行业分类分级指南》等，涵盖了财务数据的分类和分级这些标准细化了实施细节，有效提升了整个安全体系，构筑了数据安全屏障

其次，严格的法律带来了强烈的要求《中华人民共和国网络安全法》，《中华人民共和国个人信息保护法》，《中华人民共和国数据安全法》，《关键信息基础设施安全保护条例》等三法一规共同构成了我国数据保护的基本法律框架伴随着重磅政策和法律的实施，网络安全法律体系日趋完善，为技术创新和应用提供了根本基础，体现了中国对信息安全的重视，展示了中国保护数据安全的决心在这种条件下，法律对金融数据安全提出了严格的要求，要求我们高度重视金融数据安全，确保国家金融体系的稳定

第三，强监管带来高要求目前，各监管部门已经认识到数据安全的复杂性，普遍性和共生性因此，各部门之间进一步加强了整体协调，以避免安全漏洞和死角这种变化体现在采集，存储，使用，加工，传输，提供，披露等方面监管部门通过加强对数据安全各个阶段的监管，形成数据安全监管闭环不仅如此，监管部门对尺度的把握更加严格，对数据安全违规行为零容忍根据央行2019年的数据，央行征信系统包括10.2亿自然人，2834.1万企业和其他组织的信息，规模已位居世界前列2021年9月，我国颁布《征信业务管理办法》，明确规定个人信用信息的采集应当采取合法，正当的方式，遵循最低限度和必要的原则，不得过度采集自2022年《办法》实施以来，中国人民银行和地方分支机构已对违反数据安全规定的三家金融机构和一家支付机构开出了数千万元的罚单这些举动不仅体现了我国对个人信息保护的重视，也体现了我国维护金融数据安全的决心

但是，合规，规范和严格监管都是外力的要求，真正的内在驱动力是:金融机构的稳健经营和创新发展离不开安全使用。

当前，金融数字化转型进入关键阶段，银行业金融机构的业务数据成为最本质，最核心，最关键的生产要素银行业金融机构应通过对业务数据的收集，分析和挖掘，不断提高经营效率，客户服务水平，实现业务创新，产品创新和服务创新银行机构的数据安全关系到金融业的金融安全，关系到大数据时代到来时，数据的增值分析和利用所带来的衍生价值安全使用是银行当前业务稳健经营和创新发展的最迫切需求

以上都说明了金融数据安全的重要性金融安全不再是行业内的自律要求，而是全方位，多层次，立体化的数据安全建设体系

第二，当前金融数据安全治理的突出问题。

伴随着数字信息技术和数字金融的快速发展，金融数据因其巨大的价值成为网络攻击的首选目标。

2022年2月，知名云基础设施厂商vmware对全球130名金融领域首席信息安全官和安全负责人进行的调查显示，在过去一年中，66%的金融机构经历了旨在窃取商业机密的攻击，74%的受访金融机构在过去一年中经历了至少一次勒索病毒攻击，30%的金融机构经历了多次勒索病毒攻击，其中超过60%的金融机构选择支付赎金。

中国互联网络信息中心数据显示，截至2021年6月，我国网络支付用户规模达8.72亿，占网民总数的86.3%数字身份信息是数字金融业发展的基本要素这类数据包含了用户的个人信息，交易数据等大量敏感信息数字金融业务的兴起，进一步加速了金融数据的生成和积累在金融数据安全法律法规不健全的条件下，数据窃取，篡改，勒索事件频发，催生了一条庞大的非法数据贩卖产业链

金融风险具有高度的复杂性，隐蔽性和易扩散性为防范新技术带来的数据泄露，数据污染，数据中毒攻击等一系列潜在风险，金融机构应提高数据采集，存储，使用，处理，传输，提供，披露等环节的安全意识，依靠安全管理和技术手段降低各种风险

金融机构因在个人信息保护和网络安全方面管理不到位而受到监管部门处罚的情况并不少见。

例如，2021年全年，央行，银监会，外管局发布的行政处罚清单中，信息处理等违规行为罚单119张，合计罚款约4654万元。

金融机构的违法行为集中在个人信息保护和信息网络安全两大类，主要涉及未按规定收集和使用个人信息，未经同意查询个人信息或企业信用信息，提供部分不良个人信息时未提前告知信息主体，泄露客户信息，网络授权访问控制不完善，潜在信息科技风险，重要岗位和外包机构管理缺陷，重要信息系统发生

日益频繁的跨境金融数据流动带来了越来越多的潜在安全风险可是，中国在跨境数据安全评估，认证和保护方面的法律法规有待完善

伴随着全球贸易，金融投资和技术交流的日益频繁，跨境移动数据的种类和数量不断增加，涉及个人隐私，商业秘密，社会治理，国防安全等多个方面海量的跨境数据流动给国家安全带来隐患如商业机密信息，经济运行，金融科技发展水平，金融创新产品等高度敏感数据被外国政府获取并恶意利用，将削弱我国金融业的核心竞争力，严重破坏我国金融市场的稳定，威胁国家和人民的财产安全

虽然我国现有法律法规已形成数据跨境流动的基本制度框架，但数据跨境流动的相关法律规则仍在研究制定中，个人信息安全和金融数据安全的认证机制尚未建立，数据出入境安全评估尚未真正落实，数据出境管理，审查机构和配套保障机制等关键问题尚待解决，这对日益频繁的数据跨境流动提出了更高的挑战。

政策不完善加剧了数据和资金向互联网寡头的聚集，数据垄断的风险越来越突出。

目前，以银行为主体的传统金融业监管体系相对完善，但对金融科技企业的监管相对薄弱尤其是在疫情时代，个人身份信息被进一步收集和整理大型科技公司凭借显著的网络溢出效应形成规模经济，利用前沿技术手段扩大消费群体，7003全讯入口的业务范围从搭建互联网业务平台逐步扩展到身份信息服务，移动支付服务，投资理财，保险销售等领域他们积累了大量的个人信息和金融交易数据，逐渐形成了数据垄断的趋势，容易导致数据安全隐患可是，数据的高度集中不仅会增加大型科技公司的安全和防御压力，还会使其容易受到犯罪分子的攻击，从而增加数据泄露的风险金融数据的丢失会严重侵犯用户的个人隐私，为非法数据销售实现商业变现

在防范外部风险的同时，也要注意内部的数据管理和使用数据寡头一旦滥用市场支配地位，就可以通过限制数据访问和共享，限制用户转移，扼杀大数据，搭售数据服务等算法谋取利益，损害消费者合法权益如果它利用数据垄断来维持行业地位，阻碍竞争对手收集和购买数据，提高竞争对手进入市场的门槛，就会破坏数字经济市场的公平竞争秩序

可见，占据市场主导地位的平台滥用金融数据是一个潜在风险巨大的突出问题，亟待构建与之相匹配的金融数据反垄断立法和监管机制。

日前，国务院反垄断委员会发布《平台经济反垄断指南》，新修订的《中华人民共和国反垄断法》将于2022年8月1日正式实施这些法律法规对反垄断领域的合规和执法提出了更加具体和明确的要求比如新《反垄断法》第九条规定:经营者不得利用数据和算法，技术，资金优势，平台规则从事本法禁止的垄断行为已经公布的反垄断基本法律法规需要通过规范性规则和监管措施尽快付诸实施，确保金融市场建立健康公平的竞争机制

第三，关于加强金融数据安全治理的思考和建议。

对金融机构加强数据安全治理的建议

1.进行数据安全的顶层设计。

金融安全的重要性促使金融机构进行数据安全的顶层设计，构建全方位的数据安全管控体系，并将其有机嵌入到机构的整体网络安全规划中，以确保数据的安全有序流动，确保数据不会丢失，泄露，篡改，在数据的整个生命周期内业务始终在线，可追溯，隐私合规。

2.完善数据安全治理机制

通过不断完善金融实体高管层，安全专业部门和所辖各机构共同参与的组织体系，落实数据安全所辖全体员工群防群治责任制，通过建立和完善数据安全管理制度和流程，形成数据安全使用和管理的基本规范，建立常态化安全内控监管，年度安全合规内控考核，员工安全违规问责等机制，不断强化数据安全责任，明确人员角色和权限，压实岗位职责，完善数据安全文化，将自觉保护数据安全作为全行员工的基本安全意识和行为准则。

3.加强数据应用生命周期的安全控制。

根据组织自身的业务特点和合规要求，梳理业务数据应用生命周期的采集，存储，使用，处理，传输和提供过程中的数据资产，应用场景和操作流程，对数据资产进行分类分级，形成数据保护目录，持续对数据资产和资产应用场景进行风险评估，对高风险的数据资产制定数据安全保护计划，采取适当的安全策略和管理流程，综合采用身份认证，访问控制，数据加密，数据防泄露，数据脱敏，数据备份，安全存储，数据销毁，安全审计等数据安全技术，对不同安全级别的数据资产实施差异化控制，并保留数据操作的审计追踪记录

4.优化数据安全运营体系

数据安全管理和技术体系的落地离不开数据安全运营首先将数据安全纳入组织的网络安全体系，然后从数据处理风险监控，数据安全事件管理，数据安全应急管理，数据安全审计等方面构建运行体系金融机构建设数据安全管理系统时，应当确保与现有安全管理系统的集成，将数据安全管理系统的运行纳入现有安全系统的运行

5.加强金融科技安全人才培养和从业人员安全意识教育。

长期以来，网络安全人才市场一直供不应求据工信部人才交流中心估算，我国网络安全专业人才累计缺口140多万，而网络安全相关专业的高校毕业生每年只有2万多人金融科技安全人才的供给也是供不应求因此，加强金融科技安全人才的培养迫在眉睫另一方面，要加强金融从业人员的安全技能培训，提升其认知水平，强化其风险防范意识特别是对于员工的安全意识教育，可以通过多媒体开展宣传活动，线上线下媒体宣传相结合，不断提高企业财务数据安全意识，将金融科技情境下的数据安全纳入全员教育，从而成为全讯新的文化

关于加强国家和金融行业数据安全治理的建议

1.加快配套标准规范建设。

目前，伴随着金融数据监管各项新规的实施，标志着金融数据安全管理开始有法可依但是，财务数据的使用涉及到工作生活的方方面面，大量的具体细节和执行标准仍需进一步丰富特别是要加快强制性国家标准的制定和发布，更加详细地界定数据生命周期各阶段的保护要求，安全管理策略和保护机制

2.进行数据安全认证和数据安全的it审计。

日前，国家市场监督管理总局，国家互联网信息办公室联合发布《关于开展数据安全管理认证的公告》，表示国家主管部门将加强数据安全规范管理，开展统一认证，并发布《数据安全管理认证实施细则》，明确网络运营者开展网络数据采集，存储，使用，加工，传输，提供，公开等处理活动的基本原则和要求由于金融数据的敏感性和管理的复杂性，建议金融机构率先响应国家主管部门的号召，尽快开展金融数据安全认证，促进金融数据安全管理体系的建立和完善

同时，建议金融机构不仅要按照信息系统审计的标准和要求分阶段开展数据安全的内部it审计，还应正常聘请独立的第三方机构对本机构的数据安全进行it审计根据内部和外部it审计的结论，管理层可以了解组织当前的数据安全控制状况，并针对重大风险领域和环节及时进行整改

3.加快数据安全产业生态建设。

数据安全治理是一个系统工程，需要所有参与者共同努力，构建生态系统，共同协作，才能更有效地巩固数据安全在国家层面，要加强各部门之间的工作协调，建立更加完善的横向联动的共享治理体系，充分调动各部门的优势资源，形成多方联动，齐抓共管的安全格局就金融行业而言，应根据金融行业数据应用的特点，制定全面详细的数据安全标准，填补相应的监管空白，加快监管技术的开发和应用，不断提高监管的渗透力和智能化程度，以适应快速变化的监管体系，为日益复杂的数据安全形势做好充分准备

4.推动建立跨境监管国际合作机制，提高国际话语权。

在金融数据安全监管领域，需要各国从国际秩序大局出发，建立国际合作机制，共同应对金融数据跨境流动的新挑战积极参与和推动跨境数据流动监管规则体系的制定和完善，开展政府，行业和技术团体多线国际谈判与合作，推动制定符合国家利益和经济发展需求的政策体系加强跨境监管执法国际合作，夯实域外管辖和跨境适用法律基础，提高跨境监管能力和执法水平，推动构建良好的国际金融数据要素市场秩序