当下,随着大数据和人工智能技术的发展,我国数据体量迅速增长,安全风险日益突出。金融数字化转型加速发展,在弥补传统金融供给不足、提供金融服务便捷性的同时,也给金融数据安全治理带来了一系列风险。
10月25日,在中国互联网金融协会主办、奇富科技承办的“做好新时代的金融数据安全治理暨金融数据安全系列标准发布会”上,《金融数据安全治理实施指南》(以下简称《指南》)正式发布。该文件适用于金融机构开展数据安全治理使用,并为数据安全治理工作的开展提供了参考和指引。
发布会上,奇富科技、上海浦发银行、蚂蚁集团和奇安信等与会代表围绕标准解读和金融数据安全治理实践经验进行了主题分享。
中国互联网金融协会副秘书长杨农表示,金融是典型的科技驱动型和数据密集型行业,如何平衡好金融数据创新应用和安全治理,充分发挥金融数据要素潜能,已经成为摆在行业各方面前的一项重要而紧迫的课题。
《指南》正是在这一背景下应运而生。消金界了解到,《指南》的发布,不仅为金融机构提供了一套全面的数据安全治理框架,而且为金融行业的数据安全管理提供了标准化的指导。它不仅填补了金融行业在数据安全治理领域的空白,还为金融机构提供了一套科学、系统、可操作的数据安全治理方案,显著提升了整个行业的数据安全防护能力。
01
金融数据安全治理成为焦点
2023年底,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》,明确提出在依法安全合规前提下,推动金融信用数据和公共信用数据、商业信用数据共享共用和高效流通。
在此背景下,作为数据密集型行业,金融机构亟待深入研究数据要素资产化的实现路径与关键工作,以充分发挥数据要素价值和乘数效应,更好地巩固和拓展数字经济优势。
然而,金融机构对于数据业务有着极低的风险容忍度。由于涉及客户数据、交易数据、资金流动等敏感信息,场景化和生态化趋势给金融数据安全和隐私保护带来挑战,甚至已上升至国家安全等重大课题。正如奇富科技CEO吴海生在大会上发言提到的,金融数据安全与国家安全紧密相连,是国家安全的重要组成部分。
人民银行宏审局互联网金融监管处副处长雷昭明也在大会上表示,金融数据安全治理工作非常重要。数据用好了,能提升行业的数字科技能力,特别是做好普惠金融;用不好,也会影响单个机构的风险,甚至是整个行业的声誉。
事实上,监管治理已在路上。公开数据显示,2023年,42家A股上市银行与数据治理相关的罚金约2.54亿元,占银行数据治理相关处罚总额的54%,金额同比增长约72%。今年以来,关于数据安全的大额罚单明显增多,检查频度和处罚力度越来越大,今年以来多家银行的手机银行APP因涉个人信息等问题遭到通报。
中国互联网金融协会于今年3月发布的《2023年金融APP市场治理与发展报告》也指出,部分从业机构对网络安全、个人信息保护等领域法律制度和标准规范的理解存在一定偏差且贯彻落实不到位的情况,有的金融APP集成开源组件,面临开源许可证兼容性、合规性等风险。
国家与行业已认识到金融数据安全的严重性,正在从顶层设计和战略规划上构建监管构架。其中,《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》在内的“三法一条例”共同构筑了中国金融行业数据保护的基础法律框架。
另外,2024年3月22日,国家金融监督管理总局发布的《银行保险机构数据安全管理办法(征求意见稿)》,也针对数据安全管理问题提出多项要求。
可以说,金融行业的数据安全治理问题已成为监管部门、行业协会、一线机构等共同关注的焦点。因此,关于金融数据安全治理的标准亟待出炉。建立团体标准、形成一套完整的风险管理和制度体系,也已迫在眉睫。
此次中国互联网金融协会联合奇富科技、平安银行、京东科技、马上消费等机构单位起草《指南》,可谓顺应行业趋势与发展要求,受到了行业广泛关注和支持。
02
推动金融数据安全治理体系建设
整体而言,区别于一般的数据安全治理方案与条款,《指南》搭建了金融数据安全治理的完整框架,是以法律法规、政策指引及公司战略为指导思想,以数据安全组织建设、数据分类分级管理为基础,以制度体系、技术体系、风险管理为治理核心,完整的、可实施的、可运营的、可追责的治理方案。
该方案汇集了200多家机构的研究成果和经验,经过3年多的深入探讨和实践,以及1年多的稳定运营,已在PB级别的数据安全管理中取得了显著成效。
消金界了解到,包括奇富科技在内的多家《指南》起草单位,已在公司内部实施了完整方案,成功识别并治理了百余项数据安全风险,健全了数据安全管理体系,建立了强大的技术防护能力,并完善了数据安全运营体系,从而实现了数据的合理开发和利用。
《指南》主要包括金融数据安全治理框架、实施以及成果评估等几大部分内容。
其中,金融数据安全治理框架中,制度体系、技术体系与风险管理是治理核心。奇富科技信息安全总监吴业超在介绍该公司的经验时提到,这三者紧密协作,为保障数据安全提供了全方位的保护和管理。
《指南》在具体实施这一层面,也提出了详细的组织与人员安排。特别提出要成立数据安全治理工作组,专项负责治理工作。数据安全治理领导小组,一般由机构负责人及各参与部门负责人共同组成。
对此蚂蚁集团数据安全专家李亮表示,蚂蚁集团内部在数据安全治理方面实施专职负责,建立了数据安全事件应急响应机制建设。
另外,在实施过程中,《指南》着重强调了数据的分类分级管理。建设银行、中国银行等国有大行代表在分享时均提到,数据分类分级管理是数据安全治理工作的着力点。因此,《指南》在此多有着墨,体现其贴合业务实际的特点。
而在效果评估方面,根据《指南》,金融数据安全治理成果可从安全管理、安全保护技术和风险运营三个维度、14个指标进行评估。机构可根据内部情况对各个指标分值进行分配,并制定相应评级标准。
纵观《指南》,这几大部分为金融机构数据治理规范化、标准化做出进一步指引,不仅为金融数据安全治理合规指明了方向,更是一套科学、系统、可操作的整体解决方案。
03
强化金融数据资产管理
除了确保数据安全之外,在金融数据安全治理工作中,《指南》还特别提出强化数据资产管理的重要性。
2019年11月出台的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大的决议》,首次将数据列为生产要素。之后《关于构建更加完善的要素市场化配置体制机制的意见》中,数据成为土地、劳动力、资本、技术之后的第五大生产要素。
大连理工大学教授李立立在大会上表示,数据作为新型生产要素,已融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。
在金融行业,在数据的加持下,机构通过产品、技术、服务创新来实现对用户的精准画像,减少期限错配风险和流动性错配风险。数据已成为金融的“金矿”,而金融数据安全治理则是挖掘数据“金矿”不可缺失的重要环节。也可以说,金融数据治理的目标之一就是做好金融数据资产化。
根据东方财富choice金融终端统计数据显示,2024年半年报,最终数据资产入表上市公司数量为40家。其中,中国移动、中国联通、中国电信三大通讯运行商加入数据资产“入表”的行列,引起了业界的广泛关注。而在金融业中,仅有恒丰银行等少数几家银行实现了数据资产入表,未来还有较大的增长空间。
浦发银行数据管理部资深专家张晓力表示,浦发银行通过《指南》已经落地了数据资产管理体系,在业内率先提出以价值创造为导向的数据资产管理新模式。
具体来看,《指南》在强化数据资产管理方面,提出了三点原则:
一是规范数据分类分级管理要求,完成数据资产盘点,形成数据资产清单,并对其进行分类分级,确保数据资产的清晰和准确;二是制定数据分类分级标准,划分数据安全等级,并根据数据的敏感程度和重要性采取相应的安全保护措施;三是定期评估和更新数据分类分级方案,确保数据资产的变化及时更新,并适应业务需求和风险的变化。
总结来看,金融数据安全治理对国家而言,是国家总体安全观的重要组成部分,也是国家金融业做大做强的保障;对行业而言,数据安全工作是行业转型升级的动能与抓手,也是普惠金融等战略成功实施的保障;对机构而言,数据是与土地、劳动力、资本、技术等并列重要的商业资源和生产要素,数据安全是经营的底线又是增量资产的来源;对个人而言,金融数据安全关系到每个人的隐私,也是服务体验满意与否的重要内容。
正是看到这一业务的重要性,《指南》此时推出,既响应了监管部门的关切,又给行业数据安全管理工作提供了标准化指导,对于促进金融业数字化转型和高质量发展具有积极意义。
热门跟贴