文 / 中国人民银行吉林市中心支行 张国强 李瓒 唐少博
十九届四中全会首次提出将“数据”纳入生产要素范畴。作为数据密集型的金融业,数据已成为金融机构基础性、战略性资源。已颁布的《中华人民共和国数据安全法》中规范了数据处理活动和数据安全保护义务等相关内容,人民银行、银保监会等监管机构也出台了《个人金融信息保护技术规范》《金融数据安全数据生命周期安全规范》等规范性文件,金融监管机构已将金融数据的管控要求提升到了全新高度。
作为人民银行基层分支机构,吉林市中心支行按照总行关于做好金融数据安全管理的工作要求,立足辖区金融机构实际情况,通过开展法律法规培训、金融标准宣贯、工作方案指导、实地走访调研等工作,努力构建“以人民银行主导,三方机构共同参与,金融机构重点落实”的辖区金融业数据安全保护新格局。
维护金融业数据安全必要性
金融业是数据密集型行业,金融机构在管理服务过程中会传送、处理、加工形成大量金融数据资源,由数据资源所产生的数据价值将会促使业务运行逻辑和经营管理模式进行迭代优化或产生变革。如何在做好金融数据安全保护的同时深挖数据价值、释放数据潜能、打破数据壁垒已经成为监管机构的重要课题,同时也是金融机构的必然要求,更是当前社会公众的关注热点。
1.金融数据安全保护是监管机构的重要课题。近年来,监管机构对金融数据的重视程度不断提高。首先,根据《数据安全法》有关规定,金融行业主管部门应承担本领域的数据安全监督管理职责,监管机构对保护好金融数据责无旁贷。其次,人民银行牵头制定了多部金融数据标准化规范,以规范指导金融机构对金融数据进行治理,有效衡量金融机构数据治理水平。再次,地方政府为发展地方经济,维护地方金融稳定,也加强了对地方金融机构的数据监管。
2.金融数据安全保护是金融机构的必然要求。金融是现代国家经济的命脉,金融安全事关国家安全。金融机构在数字化转型过程中,处理的数据范围越来越广,粒度越来越细,成为社会经济生活中的重要数据处理方。金融机构保护好金融数据,既是其履行数据安全保护义务、承担数据安全保护责任,也能为其统筹数据安全与价值、创造平衡发展、激活数据要素价值提供根本保障。
3.金融数据安全保护是社会公众关注热点。在数字经济时代,个人信息泄漏时有发生,部分机构或平台利用数据开展杀熟、诱导消费等数据驱动式营销,引发社会舆论广泛关注,金融消费者的个人信息和数据保护意识明显提升。金融数据安全保护已成为当前社会公众的关注热点。
维护辖区金融业数据安全实践
人民银行吉林市中支根据辖区实际情况,结合地方性法人金融机构开展数据安全保护工作的需求和困难,联合北京国家金融科技认证中心等机构联合开展法律法规培训、金融标准宣贯、实际走访调研等工作。
1.组织《数据安全法》等法律法规培训。《数据安全法》占据着我国数据领域的基础性法律地位,明确指出数据是国家基础性战略资源,规定了数据安全与发展、数据安全制度、数据安全保护等方面的法律义务。吉林中支组织辖区金融机构参加《数据安全法》《个人信息保护法》等法律法规培训,指导辖区金融机构依据法律内容,做好机构数据安全管理顶层设计,健全机构数据安全治理体系,提升机构数据安全治理能力。
2.宣传贯彻行业数据安全相关标准。人民银行先后发布了《个人金融信息保护技术规范》等多项金融标准,为金融业个人信息保护和数据安全治理明确了基本要求,指明了发展方向。人民银行吉林市中支邀请北京国家金融科技认证中心为辖区金融机构进行了相关金融标准专题宣贯指导,逐步构建符合法律要求,满足行业规范的数据全生命周期安全管理长效机制和管理防护措施。
3.开展数据安全实地调研指导工作。人民银行吉林市中支通过问卷调查、实地走访调研等方式充分了解辖区金融机构数据安全治理现状,听取相关意见和建议,有针对性地开展相关工作。一是联合北京国家金融科技认证中心数据安全专家开展机构实地调研,了解金融机构在法律法规和金融标准落地实施过程中的相关做法和问题困难。二是指导辖区法人金融机构制定符合自身情况的《数据安全和个人金融信息保护工作方案》,加快推动法人银行数据安全建设。三是组织辖区部分金融机构召开现场交流会,探讨数据安全和个人金融信息保护工作经验,促进同业横向交流和成果共享。四是在辖区开展全行业数据安全意识教育,通过网络课堂、风险提示、案例警示等途径强化辖区全行业从业人员数据安全意识,将数据安全贯穿于整个金融管理服务过程。
实践中发现的问题
1.金融机构系统外包托管增加了数据安全风险。目前,辖区金融机构的核心系统普遍使用外包托管方式,特别是中小金融机构,数据存储于异地外包托管机房,本机构人员不了解数据管理有关情况,且无相应的技术手段进行控制。同时系统运维人员不属于本单位人员,存在一定的安全管理风险和人员道德风险。
2.广泛的互联网金融业务加大了数据风险暴露面。近年来,金融机构持续推出新的金融产品,改善金融服务,丰富互联网金融场景建设。在为金融消费者提供了高效便捷金融服务的同时,大量金融数据在互联网环境中采集、传输、加工、存储、使用,加大了数据安全的风险暴露面。加之互联网新型网络犯罪多发频发,不法分子利用伪基站、APP嗅探等方式从事违法犯罪活动时有发生,严重危害金融机构和金融消费者合法权益。
3.数据治理体系能力短板产生了明显木桶效应。金融数据在金融机构内涉及部门众多,既有柜台业务、账户交易等金融前台服务直接产生的数据,也有信贷评估、反洗钱调查等金融后台管理加工产生的数据,凸显了金融数据的跨部门、跨系统、多权属特性,出现了数据管理职责不明、数据治理能力薄弱、数据治理体系落后等问题。任何一方面的安全防护措施不当或失效,都有可能会危害金融数据安全,木桶效应十分明显。
4.金融机构部分从业人员数据安全意识薄弱。受辖区部分金融机构发展状况、业务重点方向等多方面因素的影响,存在从业人员数据安全意识较为薄弱的问题,突出表现为轻视对数据的管理,不区分敏感数据和重要数据,数据不加密传输,数据存储保管不当,甚至故意泄露或参与贩卖个人信息等方面。
维护辖区金融业数据安全实践过程中的思考
1.健全金融机构数据安全管理体系。一是要求金融机构建立健全数据安全组织架构,明确组织体系,落实数据安全管理责任。二是建立内部数据安全管理规程,制定好涵盖跨机构部门、跨业务流程数据全生命周期安全管控策略机制。
2.贯彻落实数据安全法律法规及标准规范。严格落实《数据安全法》等法律法规要求,认真贯彻监管机构制定的相关标准规范,特别是做好数据分级分类管理,定义不同级别数据的访问及使用规则和防护办法,为加强数据安全管理打下坚实基础。
3.加快出台实施外包托管服务相关标准指引办法。一是规范金融机构外包托管服务工作,明确外包托管服务安全管理体系目标、原则等,对金融机构的外包托管服务管理提出指导性意见,提升金融机构外包托管服务管理水平。二是探索开展数据安全联合检查及代检机制,由金融机构所在地监管机构和系统外包托管服务商所在地监管机构联合开展检查或现场专项检查,提升金融数据安全监管穿透性。
4.加强数据安全防护技术应用。在金融机构侧,将数据安全与业务服务紧密结合,应用加密、数字签名等技术在数据采集方面确保合理合法、用户授权、最小够用;应用审批审计、日志记录、文件水印等技术在数据使用方面坚持依法合规、最小必要,专事专用;在系统托管侧,运用安全防护与态势感知、数据库监控审计等技术确保数据访问存储安全,使用联邦学习、多方安全计算等技术确保数据共享应用交互安全。
5.加大人员数据安全意识教育力度。金融数据作为金融机构的重要资产要素,必须得到有效保护。金融监管机构应指导金融机构提高全体职工数据安全意识,形成完备的数据安全培训机制,常态化开展培训,强化员工数据安全意识,树立数据安全责任,使数据安全管理体系和制度要求真正落到实处。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
