随着金融科技行业的快速发展,金融数据安全问题日益凸显。国外金融科技领域在数据安全监管、数据安全保护等方面注重加强生态合作,相关的做法对于国内运营商有参考启示作用。
国外金融科技领域数据安全生态合作举措分析
对于金融机构和金融科技公司生态合作的关注点,“数据安全和隐私保护风险”受到77%受访企业关注,排在第一位,远高于生态合作的其他关注点。
来源:中国互联网金融协会联合毕马威撰写的《2023年金融科技企业首席洞察报告》
1. 通过联合制定监管政策和标准、联合监管行动促进数据安全保护
近年来,国外金融监管机构牵头组织金融科技领域相关方,联合制定数据安全监管政策和标准,要求金融科技企业之间加强协同与合作,通过联合监管行动,促进金融数据安全保护。欧盟的电信运营商需遵守欧盟的通用数据保护条例(GDPR)等安全法规。英国电信(BT)与英国监管机构FCA合作制定政策,共同打击洗钱行为,确保客户资金和数字资产安全。
2. 通过合作开发和实施安全解决方案,促进数据安全保护
国外金融科技企业与安全厂商、解决方案提供商等加强合作,共同开发和实施安全解决方案。金融科技企业和合作伙伴采用数据的分级分类、量子加密等技术来确保数据在传输和使用过程中的安全性。比如美国的摩根大通银行与微软Azure合作开发数据平台对数据进行分类和分级,根据不同类型和级别的数据采取不同的保护措施,银行对客户数据、交易数据、财务数据等敏感信息进行严格保护。2023年7月,汇丰银行(HSBC)宣布加入由英国电信(BT)和东芝建立的量子安全城域网,并与亚马逊云科技(AWS)合作,在金融交易、安全视频通话、一次性加密(OTP)等场景中开展量子通信技术试验,以探索相关技术抵御未来网络威胁和量子攻击的能力。对于开放银行API和SDK的集成,英国电信(BT)在其网络中集成了Open Banking的API和SDK,使第三方开发者可访问银行账户信息和交易数据,同时与第三方合作对数据进行安全保护。
3、通过合作进行数据安全审计测试,建立联合应急响应机制保护数据安全
国外金融科技企业和合作伙伴联合进行安全审计,以确保其系统和数据的安全性。通过共同评估潜在的安全风险,采取有效的措施来加强数据保护和管理。金融科技企业和合作伙伴定期进行安全培训和演练,通过模拟攻击和漏洞利用场景,及时发现和修复潜在的安全问题。例如近年来英国的金融“监管沙盒”高度重视用户数据的安全测试审计,测试机制不断完善,自2015年推出以来,英国已经开展了五批“监管沙盒”测试,近百家企业参与了测试项目。
国外金融科技企业和合作伙伴建立应急响应机制,共同制定应急预案,明确责任分工和响应流程,确保在紧急情况下能协同应对。例如在数据传输方面,AT&T和摩根大通银行建立联合响应机制,AT&T采用了网络安全传输协议和VPN等技术,以保护数据的机密性和完整性。为了加强数据备份和恢复能力,AT&T和摩根大通银行建立了完善的数据备份和恢复联合响应机制。欧洲数据保护委员会(EDPB)借助IT通信系统(IMI)与欧洲经济区监管机构(SA)合作,二者以标准化和安全的方式交换GDPR合作与一致性机制所需的数据信息。
国外金融科技领域数据安全生态合作对国内运营商的启示
1. 电信运营商应加强与金融机构尤其是金融监管机构的合作,提前参与到金融数据安全保护的政策制定之中
发挥电信作为特大型国有企业对于保障国家数据安全的重要作用,为金融数据安全保护提供支撑。电信运营商要积极参与金融数据安全保护政策和标准的制定,靠前站位,在安全风险调研和诊断方面提早参与,在国内金融监管机构、金融机构和金融科技公司等共同制定数据安全标准和政策中要有话语权,共同应对金融科技数据安全挑战,建立完善的数据安全防护体系。目前国内运营商积极参与移动支付技术标准和规范制定,加入了相关的金融科技行业协会和联盟,成为诸如互联网金融产业链链长单位,期待进一步参与到数据安全政策和法规制定之中。
2. 电信运营商应发挥国资央企牵引作用,构建产业链安全生态
电信运营商作为国资央企,具有可靠、可信任的安全支撑保障,有助于金融数据安全和隐私保护,避免重要金融数据被私有平台控制,发挥国资央企的国家队作用,构建产业链安全生态,推动数据安全技术自主可控、有效地应用到金融数据安全的场景中。
电信运营商可以通过产业链链长制度聚合生态资源,加强与科研机构和高校的合作,共同开展数据安全技术的研究和开发,共同合作开发和实施数据安全保护解决方案。通过建立实验室、成立联合研究团队等方式,共同攻克数据安全技术面临的难题。加强产业链的安全应用共享,联合进行数据安全保护审计与安全演练。建立数据安全保护联合应急响应机制,完善应对金融数据安全事件的协同处理机制,推动金融数据安全应用。目前国内运营商与金融机构间和金融科技公司间建立了反诈联动共享处理机制,但不同机构之间的数据共享和协作仍然困难重重,包括数据保护和隐私问题、信息交换的标准不统一等。
3. 电信运营商可以利用其网络安全基础设施和技术资源,加强生态合作,为数据安全保护提供资源和技术支持
一方面电信运营商可以通过与金融机构合作,共享用户数据和行为信息,电信的客户数据可以帮助金融机构更好地理解和确认用户需求和风险偏好,通过联合使用电信运营商的认证技术和金融机构的客户信息,可以更准确地验证客户的身份,提高金融机构为客户提供服务的安全性。另一方面电信运营商依托云网安全底座,为移动支付产业打造安全、自主可控的支付基础设施平台,利用云计算资源,提供云安全服务,帮助客户保护他们的云数据,这些服务包括云防火墙、云IDS、云备份等,帮助金融机构提高数据安全处理能力。电信运营商和金融机构可以合作进行数据安全审计和测试,共同制定数据安全审计标准,以确保数据的完整性和机密性;提供安全审计服务,以确保数据在传输和存储过程中的安全性;共享测试环境,以便对数据安全技术和应用进行测试和验证;与产业链合作打造数据安全基础设施,夯实数据安全保护的基础能力。
本文作者
占安居
战略发展研究所
一级分析师
硕士研究生,副研究员。主要从事行业研究、市场研究、产业生态合作研究等工作。
赵明明
战略发展研究所
二级分析师
硕士研究生,主要从事人工智能、金融科技、工业互联网、产业数字化等相关研究。
编辑制作
多媒体服务设计团队
制图:李银鑫 | 编辑:王凯雯
审校:董智明、刘馨
声明:本文来自天翼智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。