隨著數字經濟蓬勃發展,數據成為越來越重要的新型生產要素。對於金融領域來說,數據安全合規問題尤為關鍵。10月27日,記者了解到,由中國網際網路金融協會組織編制的《金融數據安全治理實施指南》標準日前正式發布。作為一套具有普適用性的、完整的、可實施的、可運營的金融數據安全治理體系,該指南覆蓋數據分類分級管理、數據安全風險管理、數據安全制度體系、數據安全技術體系等金融數據安全治理的各個方面,在保障數據安全的同時,促進數據價值的最大化釋放。
已出現苗頭性、傾向性風險
最新公布的《網絡數據安全管理條例》,對各行業提出了更高的數據安全管理要求。隨著金融數字化進程加速,數據安全已成為金融監管、金融企業、學術機構必須高度重視的核心議題。
「金融行業正經歷一場以智能化為核心的第三次科技革命。這場革命不僅為我們帶來了前所未有的機遇,也帶來了巨大的挑戰。」奇富科技CEO吳海生說道。數據安全治理關係到金融機構的穩健運營、金融市場的健康發展和廣大金融消費者的切身利益。
中國網際網路金融協會黨委委員、副秘書長楊農指出,金融數據安全治理是金融行業在科技驅動和數據密集背景下的關鍵任務,它不僅關乎數據創新應用的平衡,還涉及國家安全和經濟社會價值的實現。
然而,儘管金融數據安全治理引起全行業的高度重視,政策法規體系也日益完善,但在實際操作中仍面臨數據安全合規難落地、數據要素流通風險、資產分類分級挑戰、安全威脅頻發和安全保障體系滯後等問題。這些問題不僅影響金融數據安全,也阻礙了數據的有效利用和市場化配置。
在人民銀行宏觀審慎管理局網際網路金融監管處副處長雷昭明看來,業界需要更加關注的是,金融數據安全治理以及數位技術和數據要素在金融領域的大量應用是否會帶來系統性風險。
雷昭明強調,數據應用包括採集、存儲、處理、傳輸等多個環節,正確使用可以提升金融服務實體經濟的質效,尤其是金融服務的普惠性;但如果使用不當或被濫用,可能會影響單個機構的穩健運營,甚至整個行業的聲譽。
另一方面,數據應用也可能帶來系統性風險,包括算法同質化、模型設計缺陷、交易自動化可能引發的「羊群效應」和市場共振,以及數據共享應用和信息的高度透明可能增加金融行為的順周期性,導致金融市場的異常波動。雷昭明表示,目前,這兩方面的風險尚未出現集聚和暴露,但已有一些苗頭性、傾向性的問題。
雷昭明透露,人民銀行正在牽頭研究起草一個名為「推動數字金融高質量發展行動方案」的文件,其中將加強金融領域數據安全和規範應用作為一項重要內容。該方案提出了增強數據資產運營和管理能力、加強數據挖掘分析和數據可視化能力建設、完善數據安全管理體系、提升網絡安全防護能力等要求。
填補金融業數據安全治理空白
應對金融數據安全挑戰,構建全流程數據安全治理體系是關鍵。正如雷昭明所言,「無論是網際網路金融還是數字金融,與傳統金融市場相比,創新發展變化的速度都很快。僅靠金融管理部門自己的力量有時難以跟上並及時調整優化監管政策,需調動市場自律機制」。
由此,一份《金融數據安全治理實施指南》應運而生。北京商報記者了解到,該指南由中國網際網路金融協會指導並管理,奇富科技作為主起草單位與多家金融機構和科技公司合作起草。
這是一套具有普適用性的、完整的、可實施的、可運營的金融數據安全治理體系,覆蓋數據分類分級管理、數據安全風險管理、數據安全制度體系、數據安全技術體系等金融數據安全治理的各個方面,從數據採集、存儲、處理、傳輸到銷毀的每一個環節,都實施嚴格的安全管理與技術防護,形成閉環管理,確保數據安全可控,在保障數據安全的同時,促進數據價值的最大化釋放。
具體來看,這份指南規範了數據分類分級管理要求;部署數據安全防護措施;對數據共享的目的、範圍、條件和責任進行明確規定,並進行相應的安全評估。
此外,該指南將數據安全治理要求與現有的信息安全管理體系、業務連續性管理、合規管理等規定相結合,同時確保數據安全治理工作與機構的整體風險管理策略相一致,提高數據安全治理的整體效能。
這意味著,金融機構數據安全管理從此有了標準化的指導,填補了金融行業在數據安全治理領域的空白。
楊農評價,中國網際網路金融協會發布的《金融數據安全治理實施指南》及多項標準,是行業響應國家數據安全法規、提升數據安全管理水平的重要舉措,體現了行業的自我完善和自我提升。這些標準將助力金融行業在數據質量管控、技術防護、安全評估和應急處置等方面查漏補缺,強基固本。隨著這些標準的實施,預計金融行業的數據安全治理將更加規範化和制度化,從而顯著提升整個行業的數據安全水平,為構建安全、穩定、高效的金融生態環境貢獻力量,進而為金融數字化轉型和加快建設金融強國提供堅實的基礎。
據了解,在落地實踐方面,《金融數據安全治理實施指南》已在PB級別的數據安全管理中取得了顯著成效。通過指南的實施,成功識別並治理了百餘項數據安全風險,健全了數據安全管理體系,建立了強大的技術防護能力,並完善了數據安全運營體系,從而實現了數據的合理開發和利用。
數據安全治理的兩大基礎、三個核心
有了標準指引,金融機構下一步應如何將金融數據安全治理做實、做細?奇富科技信息安全總監吳業超總結,金融數據安全治理的關鍵要素是「一個中心,兩個方向,三個重點」。
具體來看,一個中心即以數據為中心,兩個方向是數據的向內和向外管理,三個重點包括在數據全生命周期、數據合規管理、數據風險管理上發力。
同時,數據安全治理有兩大基礎。組織建設、保障是數據安全治理工作的前提,主導數據安全治理工作的開展及實施,統籌推動公司內部隱私數據管理和數據安全法規制度落地,對治理過程及結果負責;數據的分類分級則是數據安全治理工作的著力點,機構應完成數據資產梳理,形成數據資產清單,並以數據資產為抓手實施細粒度的數據分級管控和監測審計。
談及金融數據安全治理工作的核心,吳業超提到,應圍繞制度體系、技術體系和風險管理開展。「三者緊密合作形成閉環,像滾雪球一樣推進治理工作越來越完善。在自身的數據安全達到一定標準時,才可以擴大到更大的層面上。」
吳業超同時表示,治理工作將是持續動態的,需要根據風險變化、政策調整、數據資產變化進行動態調整,以確保數據安全治理工作的有效性。例如,制度體系要求是可落地實施的,能夠清晰描述各項安全措施的具體步驟;技術體系講求全面性、有效性,技術的選擇與設計須覆蓋數據全生命周期,避免「木桶效應」,並根據不同數據使用場景按需選擇、靈活搭配。
除了從頂層設計到技術層面的落地實施,業內人士同樣關注人工智慧對於金融數據安全治理髮揮的價值。正如吳業超提及,未來數據安全治理需要更加注重AI技術的應用,並不斷探索新的安全策略和技術來應對新的挑戰。
「金融科技企業的核心競爭力源自高效創新與堅實安全屏障的有機融合。」奇富科技副總裁宋榮鑫說道,可以說,安全是創新的基石,沒有它的支撐,所有創新都將變得不穩固甚至難以實現。一方面,在利用大數據、AI、雲計算等前沿技術優化業務關鍵環節時,始終堅守數據安全底線,確保創新不以犧牲安全為代價。另一方面,通過構建科學的安全治理框架,結合高效、自動化以及AI賦能的安全管理,增強安全措施的執行力,為創新提供有力保障,推動行業的持續進步。
北京商報記者 岳品瑜 董晗萱