一 什么是金融數(shù)據(jù)安全及其重要性

　　數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保證持續(xù)安全狀態(tài)的能力。而金融數(shù)據(jù)不僅具備數(shù)據(jù)的一般特性，更是包含了國民個人信息、企業(yè)資金流轉、社會經濟活動等重要內容。正是由于其特殊性，在金融數(shù)據(jù)安全方面，我們不僅要求數(shù)據(jù)在輸入時應當經過嚴格審核和持續(xù)維護，在傳輸和使用的過程中，更應采取相應的管理措施和技術手段加以保護，使金融數(shù)據(jù)避免產生被非法訪問、竊取、篡改和損毀的風險。金融數(shù)據(jù)安全的重要性不僅得到了各行業(yè)廣泛的認同，更是在法律和監(jiān)管中有所體現(xiàn)。

　　首先，高標準帶來嚴要求。根據(jù)金融標準全文公開系統(tǒng)記錄，現(xiàn)行有效的數(shù)據(jù)相關標準79條，其中2020年和2021年發(fā)布了23條，如《金融業(yè)數(shù)據(jù)能力建設指引》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《金融大數(shù)據(jù)平臺總體技術要求》《個人金融信息保護技術規(guī)范》和《證券期貨業(yè)數(shù)據(jù)分類分級指引》等，涵蓋了金融數(shù)據(jù)分類分級、金融數(shù)據(jù)生命周期安全評估、個人金融信息保護、金融數(shù)據(jù)安全體系建設等方面。這些標準細化了執(zhí)行的細節(jié)，有效完善了整個安全保障體系，筑牢了數(shù)據(jù)安全屏障。

　　其次，嚴法律帶來強要求。包括《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》《關鍵信息基礎設施安全保護條例》在內的“三法一條例”共同構筑了中國數(shù)據(jù)保護的基礎法律框架。隨著重磅政策和法律的陸續(xù)落地與實施，網(wǎng)絡安全法律體系日趨完善，為技術創(chuàng)新和應用落地提供了根本依據(jù)，體現(xiàn)了我國對信息安全的重視，彰顯了我國保護數(shù)據(jù)安全的決心。在這種條件下，法律向金融數(shù)據(jù)安全提出了嚴格的要求，要求我們高度重視金融數(shù)據(jù)安全，保障國家金融體系穩(wěn)定。

　　再次，強監(jiān)管帶來高要求。當前，各個監(jiān)管部門均認識到了數(shù)據(jù)安全的復雜性、廣泛性、共生性。因此，各部門進一步加強了彼此間的統(tǒng)籌協(xié)調，避免出現(xiàn)安全漏洞和死角。這一改變，在收集、存儲、使用、加工、傳輸、提供、公開等等方面有所體現(xiàn)。監(jiān)管部門通過加強對數(shù)據(jù)安全各階段的監(jiān)管力度，形成數(shù)據(jù)安全監(jiān)管上的閉環(huán)。

　　不僅如此，監(jiān)管部門在把握尺度上更加嚴格，對違反數(shù)據(jù)安全的行為零容忍。根據(jù)央行2019年數(shù)據(jù)顯示，央行征信系統(tǒng)收錄10.2億自然人、2834.1萬戶企業(yè)和其他組織信息，規(guī)模已位居世界前列。2021年9月，我國頒布了《征信業(yè)務管理辦法》，《辦法》中明確規(guī)定，“采集個人信用信息，應當采取合法、正當?shù)姆绞?，遵循最小、必要的原則，不得過度采集”。自2022年《辦法》施行以來，中國人民銀行及各地分行對違反數(shù)據(jù)安全監(jiān)管規(guī)定的3家金融主體、1家支付機構開出千萬級罰單，這些行動不僅體現(xiàn)出我國對個人信息保護的重視，更體現(xiàn)了我國對金融數(shù)據(jù)安全維護的決心。

　　然而，無論是“合規(guī)化”、“標準化”及“嚴監(jiān)管”，都是外部力量的要求，真正的內在驅動力是：金融機構業(yè)務穩(wěn)定運行和創(chuàng)新發(fā)展離不開“安全用數(shù)”。

　　當前金融數(shù)字化轉型已經進入關鍵階段，銀行業(yè)金融機構的業(yè)務數(shù)據(jù)已成為本質、核心、關鍵的生產要素，銀行業(yè)金融機構應當通過對業(yè)務數(shù)據(jù)的匯集、分析與挖掘，不斷提高經營效率，提升客戶服務水平，實現(xiàn)業(yè)務創(chuàng)新、產品創(chuàng)新和服務創(chuàng)新。銀行業(yè)金融機構的數(shù)據(jù)安全關系到金融行業(yè)的資金安全以及大數(shù)據(jù)時代來臨對數(shù)據(jù)的增值分析、利用而帶來的衍生價值?！鞍踩脭?shù)”是銀行當前業(yè)務穩(wěn)定運行和創(chuàng)新發(fā)展的迫切需要。

　　以上種種，都說明金融數(shù)據(jù)安全的重要性。金融數(shù)據(jù)安全已不再是行業(yè)內部的自律性要求，而是全方位、多層次、立體化的數(shù)據(jù)安全建設體系。

　　二 當前金融數(shù)據(jù)安全治理的突出問題

　　（一）數(shù)字信息技術日新月異，數(shù)字金融迅猛發(fā)展，金融數(shù)據(jù)由于其蘊含的巨大價值而成為網(wǎng)絡攻擊的首選目標

　　著名的云基礎架構廠商VMware在2022年2月對全球130名金融部門首席信息安全官和安全領導者進行的調查顯示，過去的一年中，66%的金融機構經歷過以商業(yè)機密竊取為目的的攻擊，74%的受訪金融機構在過去一年中至少經歷過一次勒索軟件攻擊，30%的機構經歷了多次勒索攻擊，其中超過六成選擇支付贖金。

　　我國互聯(lián)網(wǎng)絡信息中心數(shù)據(jù)顯示，截至2021年6月，我國網(wǎng)絡支付用戶規(guī)模達8.72億，占整體網(wǎng)民數(shù)量的86.3%。數(shù)字身份信息是數(shù)字金融產業(yè)發(fā)展的基礎元素，此類數(shù)據(jù)包含大量用戶個人信息和交易數(shù)據(jù)等敏感信息。數(shù)字金融業(yè)務量的上升進一步加快了金融數(shù)據(jù)的產生和積累。在金融數(shù)據(jù)安全法律法規(guī)尚不健全的情況下，數(shù)據(jù)竊取、篡改、勒索事件頻發(fā)，催生龐大的數(shù)據(jù)非法販賣產業(yè)鏈。

　　金融數(shù)據(jù)風險具有較高的復雜性、隱蔽性和易擴散性。為了嚴防新技術所帶來的數(shù)據(jù)泄露、數(shù)據(jù)污染、數(shù)據(jù)投毒攻擊等一系列潛在風險，金融機構應在進行數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等方面提高安全防范意識，依靠安全管理與技術手段來降低各類風險。

　?。ǘ┙鹑跈C構在個人信息保護與網(wǎng)絡安全方面因自身管理不到位而受監(jiān)管部門處罰的案例屢見不鮮

　　例如：2021年全年，在央行、銀保監(jiān)會、外管局發(fā)布的行政處罰名單中，涉及信息處理等違規(guī)問題的罰單共計119張，罰款金額合計約4654萬元。

　　金融機構發(fā)生的違規(guī)行為集中于個人信息保護與信息網(wǎng)絡安全兩大類，主要涉及“未按規(guī)定收集使用個人信息”、“未經同意查詢個人信息或企業(yè)信貸信息”、“提供部分個人不良信息時未事先告知信息主體”、“泄露客戶信息”、“網(wǎng)絡授權訪問控制不到位，存在信息科技風險隱患”、“重要崗位及外包機構管理存在缺陷”、“發(fā)生重要信息系統(tǒng)突發(fā)事件未向監(jiān)管報告”等。

　?。ㄈ┙鹑跀?shù)據(jù)跨境流動日益頻繁，帶來越來越大的潛在安全隱患，而我國在跨境數(shù)據(jù)安全評估、認證及保護方面的法律法規(guī)細則還有待完善

　　隨著全球貿易往來、金融投資和技術交流日益頻繁，跨境流動數(shù)據(jù)的種類和數(shù)量不斷增加，涉及個人隱私、企業(yè)商業(yè)機密、社會治理、國防安全等方方面面，海量數(shù)據(jù)跨境流動給國家安全帶來隱患。如果商業(yè)機密信息、經濟運行狀況、金融科技發(fā)展水平、金融創(chuàng)新產品等高度敏感數(shù)據(jù)被外國政府獲取并惡意利用，將削弱我國金融業(yè)核心競爭力，嚴重破壞我國金融市場穩(wěn)定，威脅國家和人民財產安全。

　　我國現(xiàn)有法律法規(guī)雖已經形成了基本的數(shù)據(jù)跨境流動的制度框架，但數(shù)據(jù)跨境相關的法律細則還在研究制定過程中，個人信息安全及金融數(shù)據(jù)安全的認證機制還未建立起來，數(shù)據(jù)出境和入境安全評估還未真正實施，數(shù)據(jù)出境管理的具體模式、審查機構和配套保障機制等關鍵問題還有待解決，這對于日益頻繁的跨境數(shù)據(jù)流動提出更高的挑戰(zhàn)。

　?。ㄋ模┍O(jiān)管政策不完善加劇數(shù)據(jù)和資金向互聯(lián)網(wǎng)寡頭企業(yè)集聚，數(shù)據(jù)壟斷風險愈發(fā)凸顯

　　目前，針對以銀行為主體的傳統(tǒng)金融行業(yè)監(jiān)管體系較為完善，面向金融科技企業(yè)的監(jiān)管力度相對薄弱。特別是在疫情時代，個人身份信息被進一步收集整理，大型科技公司憑借顯著的網(wǎng)絡外溢效應形成規(guī)模經濟，使用前沿科技手段拓展消費者群體，將業(yè)務范圍從構建互聯(lián)網(wǎng)商務平臺逐漸拓展到身份信息服務、移動支付業(yè)務、投資理財、保險銷售等領域，積累了大量個人信息和金融交易數(shù)據(jù)，逐漸形成數(shù)據(jù)壟斷的趨勢，容易引發(fā)數(shù)據(jù)安全風險。而數(shù)據(jù)的高度集中不僅會使大型科技公司的安全防衛(wèi)壓力增加，也會使其容易成為不法分子的攻擊對象，增大了數(shù)據(jù)泄露風險。金融數(shù)據(jù)的流失將嚴重侵害用戶個人隱私，為非法販賣數(shù)據(jù)實現(xiàn)商業(yè)變現(xiàn)。

　　在防衛(wèi)外部風險的同時，也應注意內部的數(shù)據(jù)管理使用。數(shù)據(jù)寡頭企業(yè)一旦濫用市場支配地位，可以通過限制數(shù)據(jù)訪問和共享、限制用戶轉移、大數(shù)據(jù)殺熟、數(shù)據(jù)服務搭售等算法合謀的方式謀取利益，損害消費者合法權益。如果其利用數(shù)據(jù)壟斷優(yōu)勢維持行業(yè)地位，阻礙競爭對手收集和購買數(shù)據(jù)，增加競爭對手進入市場的門檻，將會破壞數(shù)字經濟市場公平競爭秩序。

　　由此可見，當下的金融數(shù)據(jù)被占市場優(yōu)勢地位的平臺濫用的問題突出、潛在風險大，與之相匹配的金融數(shù)據(jù)的反壟斷立法與監(jiān)管機制建設刻不容緩。

　　國務院反壟斷委員會于2021年2月7日發(fā)布了《關于平臺經濟領域的反壟斷指南》，重新修訂的《中華人民共和國反壟斷法》將于2022年8月1日起正式實施。這些法律法規(guī)對反壟斷領域的合規(guī)和執(zhí)法都提出了更為具體明確的要求。例如，新版反壟斷法第九條規(guī)定：“經營者不得利用數(shù)據(jù)和算法、技術、資本優(yōu)勢以及平臺規(guī)則等從事本法禁止的壟斷行為”。已發(fā)布的反壟斷基礎法律法規(guī)還有待于通過規(guī)范細則及監(jiān)管措施盡快落實到具體實踐之中，以確保金融市場健康公平競爭機制的建立。

　　三 強化金融數(shù)據(jù)安全治理的思考和建議

　　（一）對金融機構在加強數(shù)據(jù)安全治理方面的建議

　　1.開展數(shù)據(jù)安全頂層設計

　　金融數(shù)據(jù)安全的重要性促使金融機構要開展數(shù)據(jù)安全的頂層設計，構建全方位的數(shù)據(jù)安全管控體系，并有機地嵌入到組織的總體網(wǎng)絡安全規(guī)劃之中，保障數(shù)據(jù)的安全有序流動，在數(shù)據(jù)全生命周期過程中確保數(shù)據(jù)不丟失、不泄露、不被篡改、業(yè)務永遠在線、可追溯和隱私合規(guī)。

　　2.完善數(shù)據(jù)安全治理機制

　　通過不斷完善金融主體高管層、安全專業(yè)部門、全轄機構共同參與的組織體系，實施數(shù)據(jù)安全全轄全員群防責任制；通過建立健全數(shù)據(jù)安全管理制度與流程，形成數(shù)據(jù)安全使用與管理的基本規(guī)范；建立常態(tài)化安全內控督查、年度安全合規(guī)內控考核、員工安全違規(guī)問責等機制；不斷強化數(shù)據(jù)安全責任，明確人員角色和權限，壓實崗位職責；健全數(shù)據(jù)安全文化，將自覺保護數(shù)據(jù)安全作為全行員工的基本安全意識與行為規(guī)范。

　　3.加強數(shù)據(jù)應用生命周期中的安全管控

　　組織根據(jù)自身的業(yè)務特點及合規(guī)要求，梳理業(yè)務數(shù)據(jù)應用生命周期過程的收集、存儲、使用、加工、傳輸、提供等環(huán)節(jié)中的數(shù)據(jù)資產、應用場景和操作過程；對數(shù)據(jù)資產進行分類分級，形成數(shù)據(jù)保護目錄，并持續(xù)地對數(shù)據(jù)資產及資產應用場景開展風險評估；對風險較大的數(shù)據(jù)資產制定數(shù)據(jù)安全保護計劃，通過采用適宜的安全策略和管理流程，綜合采用身份認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)備份、安全存儲、數(shù)據(jù)銷毀、安全審計等數(shù)據(jù)安全技術，對不同安全等級的數(shù)據(jù)資產實施差異化管控，并保留數(shù)據(jù)操作的審計追溯記錄。

　　4.優(yōu)化數(shù)據(jù)安全運營體系

　　數(shù)據(jù)安全管理和技術體系的落地，離不開數(shù)據(jù)安全運營。首先應當把數(shù)據(jù)安全納入組織的網(wǎng)絡安全體系中，然后可從數(shù)據(jù)處理的風險監(jiān)測、數(shù)據(jù)安全事件管理、數(shù)據(jù)安全應急管理、數(shù)據(jù)安全審計等方面來建設運營體系。金融機構在進行數(shù)據(jù)安全管理體系建設時，要確保與現(xiàn)有安全管理體系的融合，并把數(shù)據(jù)安全管理體系的運營納入到現(xiàn)有的安全體系運營中來。

　　5.加強金融科技安全人才培養(yǎng)及員工安全意識教育

　　長期以來網(wǎng)絡安全人才市場一直處于供不應求的狀態(tài)，據(jù)工業(yè)和信息化部人才交流中心的估計，我國網(wǎng)絡安全專業(yè)人才累計缺口在140萬以上，而每年網(wǎng)絡安全相關專業(yè)的高校畢業(yè)生規(guī)模僅2萬余人，金融科技安全人才供給也同樣存在“青黃不接”的情況，因此，加強金融科技安全人才的培養(yǎng)迫在眉睫；另一方面，要加強金融從業(yè)人員的安全技能培訓，增強從業(yè)人員認知水平，強化從業(yè)人員風險防范意識。特別是對于員工的安全意識教育可以通過多媒體開展宣傳活動，結合線上線下媒體宣傳，不斷提升企業(yè)金融數(shù)據(jù)安全意識，將金融科技形勢下的數(shù)據(jù)安全納入全員教育，成為一種企業(yè)文化。

　　（二）對國家與金融行業(yè)在加強數(shù)據(jù)安全治理方面的建議

　　1.加快配套標準規(guī)范建設

　　當前隨著各項金融數(shù)據(jù)監(jiān)管新規(guī)的落地，標志著金融數(shù)據(jù)安全管理開始“有法可依”，但金融數(shù)據(jù)的利用涉及到工作生活中的方方面面，還有大量的具體細節(jié)和執(zhí)行標準有待于進一步豐富。特別是加快強制性國家標準的制定和發(fā)布，更細致地明確數(shù)據(jù)生命周期各階段的保護要求、安全管理策略和數(shù)據(jù)生命周期防護機制。

　　2.開展數(shù)據(jù)安全認證與針對數(shù)據(jù)安全的IT審計工作

　　2022年6月9日，國家市場監(jiān)督管理總局和國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布了“關于開展數(shù)據(jù)安全管理認證工作的公告”，表明了國家主管部門將加強對數(shù)據(jù)安全的規(guī)范化管理，開展統(tǒng)一的認證工作，并發(fā)布了《數(shù)據(jù)安全管理認證實施規(guī)則》來明確對網(wǎng)絡運營者開展網(wǎng)絡數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求。金融機構由于其數(shù)據(jù)的敏感性和管理的復雜性，建議帶頭響應國家主管部門的號召，盡快開展金融數(shù)據(jù)安全的認證工作，以促進金融數(shù)據(jù)安全管理體系的建立與健全。

　　同時，建議金融機構除了按照信息系統(tǒng)審計的規(guī)范與要求，階段性開展數(shù)據(jù)安全的內部IT審計工作，也應當常態(tài)化地聘請獨立的第三方機構對組織的數(shù)據(jù)安全進行IT審計。根據(jù)內外部相結合的IT審計結論，管理層可以了解組織當前數(shù)據(jù)安全管控狀態(tài)，對于重大風險領域與環(huán)節(jié)及時進行整改。

　　3.加快數(shù)據(jù)安全產業(yè)生態(tài)建設

　　數(shù)據(jù)安全治理是一個體系化的工程，需要所有的參與者共同努力、共建生態(tài)、共同協(xié)作，才能更加有力地夯實數(shù)據(jù)安全。在國家層面，要加強各部門間的工作協(xié)調，建立更加完善的橫向聯(lián)系聯(lián)動的共享和治理體制，充分調動各部門的優(yōu)勢資源，形成多方聯(lián)動，齊抓共管的安全格局。就金融行業(yè)層面而言，依據(jù)金融行業(yè)數(shù)據(jù)應用的特點，制定增加全面詳細的數(shù)據(jù)安全標準，以填補相應的監(jiān)管空白，加快監(jiān)管技術發(fā)展和應用，不斷提升監(jiān)管的穿透性和智能化，以適應快速變化的監(jiān)管制度，為日趨復雜的數(shù)據(jù)安全形勢做好充足的準備。

　　4.推動建立跨境監(jiān)管國際合作機制，提高國際話語權

　　在金融數(shù)據(jù)安全監(jiān)管領域，需要各國從國際秩序大局出發(fā)，建立國際合作機制，共同應對金融數(shù)據(jù)跨境流動新挑戰(zhàn)。積極參與并推動跨境數(shù)據(jù)流動監(jiān)管規(guī)則體系的制定與完善，開展政府間、行業(yè)間、技術群體間多線條國際談判與合作，推動制定符合國家利益和經濟發(fā)展需求的政策體系。加強跨境監(jiān)管執(zhí)法國際合作，夯實域外管轄和跨境適用法律基礎，提高跨境監(jiān)管能力和執(zhí)法水平，推動構建良好的國際金融數(shù)據(jù)要素市場秩序。

更多信息可以來這里獲取==>>電子技術應用-AET<<