随着数字经济蓬勃发展,数据成为越来越重要的新型生产要素。对于金融领域来说,数据安全合规问题尤为关键。10月27日,北京商报记者了解到,由中国互联网金融协会组织编制的《金融数据安全治理实施指南》标准日前正式发布。作为一套具有普适用性的、完整的、可实施的、可运营的金融数据安全治理体系,该指南覆盖数据分类分级管理、数据安全风险管理、数据安全制度体系、数据安全技术体系等金融数据安全治理的各个方面,在保障数据安全的同时,促进数据价值的最大化释放。
已出现苗头性、倾向性风险
最新公布的《网络数据安全管理条例》,对各行业提出了更高的数据安全管理要求。随着金融数字化进程加速,数据安全已成为金融监管、金融企业、学术机构必须高度重视的核心议题。
"金融行业正经历一场以智能化为核心的第三次科技革命。这场革命不仅为我们带来了前所未有的机遇,也带来了巨大的挑战。"奇富科技CEO吴海生说道。数据安全治理关系到金融机构的稳健运营、金融市场的健康发展和广大金融消费者的切身利益。
中国互联网金融协会党委委员、副秘书长杨农指出,金融数据安全治理是金融行业在科技驱动和数据密集背景下的关键任务,它不仅关乎数据创新应用的平衡,还涉及国家安全和经济社会价值的实现。
然而,尽管金融数据安全治理引起全行业的高度重视,政策法规体系也日益完善,但在实际操作中仍面临数据安全合规难落地、数据要素流通风险、资产分类分级挑战、安全威胁频发和安全保障体系滞后等问题。这些问题不仅影响金融数据安全,也阻碍了数据的有效利用和市场化配置。
在人民银行宏观审慎管理局互联网金融监管处副处长雷昭明看来,业界需要更加关注的是,金融数据安全治理以及数字技术和数据要素在金融领域的大量应用是否会带来系统性风险。
雷昭明强调,数据应用包括采集、存储、处理、传输等多个环节,正确使用可以提升金融服务实体经济的质效,尤其是金融服务的普惠性;但如果使用不当或被滥用,可能会影响单个机构的稳健运营,甚至整个行业的声誉。
另一方面,数据应用也可能带来系统性风险,包括算法同质化、模型设计缺陷、交易自动化可能引发的"羊群效应"和市场共振,以及数据共享应用和信息的高度透明可能增加金融行为的顺周期性,导致金融市场的异常波动。雷昭明表示,目前,这两方面的风险尚未出现集聚和暴露,但已有一些苗头性、倾向性的问题。
雷昭明透露,人民银行正在牵头研究起草一个名为"推动数字金融高质量发展行动方案"的文件,其中将加强金融领域数据安全和规范应用作为一项重要内容。该方案提出了增强数据资产运营和管理能力、加强数据挖掘分析和数据可视化能力建设、完善数据安全管理体系、提升网络安全防护能力等要求。
填补金融业数据安全治理空白
应对金融数据安全挑战,构建全流程数据安全治理体系是关键。正如雷昭明所言,"无论是互联网金融还是数字金融,与传统金融市场相比,创新发展变化的速度都很快。仅靠金融管理部门自己的力量有时难以跟上并及时调整优化监管政策,需调动市场自律机制"。
由此,一份《金融数据安全治理实施指南》应运而生。北京商报记者了解到,该指南由中国互联网金融协会指导并管理,奇富科技作为主起草单位与多家金融机构和科技公司合作起草。
这是一套具有普适用性的、完整的、可实施的、可运营的金融数据安全治理体系,覆盖数据分类分级管理、数据安全风险管理、数据安全制度体系、数据安全技术体系等金融数据安全治理的各个方面,从数据采集、存储、处理、传输到销毁的每一个环节,都实施严格的安全管理与技术防护,形成闭环管理,确保数据安全可控,在保障数据安全的同时,促进数据价值的最大化释放。
具体来看,这份指南规范了数据分类分级管理要求;部署数据安全防护措施;对数据共享的目的、范围、条件和责任进行明确规定,并进行相应的安全评估。
此外,该指南将数据安全治理要求与现有的信息安全管理体系、业务连续性管理、合规管理等规定相结合,同时确保数据安全治理工作与机构的整体风险管理策略相一致,提高数据安全治理的整体效能。
这意味着,金融机构数据安全管理从此有了标准化的指导,填补了金融行业在数据安全治理领域的空白。
杨农评价,中国互联网金融协会发布的《金融数据安全治理实施指南》及多项标准,是行业响应国家数据安全法规、提升数据安全管理水平的重要举措,体现了行业的自我完善和自我提升。这些标准将助力金融行业在数据质量管控、技术防护、安全评估和应急处置等方面查漏补缺,强基固本。随着这些标准的实施,预计金融行业的数据安全治理将更加规范化和制度化,从而显著提升整个行业的数据安全水平,为构建安全、稳定、高效的金融生态环境贡献力量,进而为金融数字化转型和加快建设金融强国提供坚实的基础。
据了解,在落地实践方面,《金融数据安全治理实施指南》已在PB级别的数据安全管理中取得了显著成效。通过指南的实施,成功识别并治理了百余项数据安全风险,健全了数据安全管理体系,建立了强大的技术防护能力,并完善了数据安全运营体系,从而实现了数据的合理开发和利用。
数据安全治理的两大基础、三个核心
有了标准指引,金融机构下一步应如何将金融数据安全治理做实、做细?奇富科技信息安全总监吴业超总结,金融数据安全治理的关键要素是"一个中心,两个方向,三个重点"。
具体来看,一个中心即以数据为中心,两个方向是数据的向内和向外管理,三个重点包括在数据全生命周期、数据合规管理、数据风险管理上发力。
同时,数据安全治理有两大基础。组织建设、保障是数据安全治理工作的前提,主导数据安全治理工作的开展及实施,统筹推动公司内部隐私数据管理和数据安全法规制度落地,对治理过程及结果负责;数据的分类分级则是数据安全治理工作的着力点,机构应完成数据资产梳理,形成数据资产清单,并以数据资产为抓手实施细粒度的数据分级管控和监测审计。
谈及金融数据安全治理工作的核心,吴业超提到,应围绕制度体系、技术体系和风险管理开展。"三者紧密合作形成闭环,像滚雪球一样推进治理工作越来越完善。在自身的数据安全达到一定标准时,才可以扩大到更大的层面上。"
吴业超同时表示,治理工作将是持续动态的,需要根据风险变化、政策调整、数据资产变化进行动态调整,以确保数据安全治理工作的有效性。例如,制度体系要求是可落地实施的,能够清晰描述各项安全措施的具体步骤;技术体系讲求全面性、有效性,技术的选择与设计须覆盖数据全生命周期,避免"木桶效应",并根据不同数据使用场景按需选择、灵活搭配。
除了从顶层设计到技术层面的落地实施,业内人士同样关注人工智能对于金融数据安全治理发挥的价值。正如吴业超提及,未来数据安全治理需要更加注重AI技术的应用,并不断探索新的安全策略和技术来应对新的挑战。
"金融科技企业的核心竞争力源自高效创新与坚实安全屏障的有机融合。"奇富科技副总裁宋荣鑫说道,可以说,安全是创新的基石,没有它的支撑,所有创新都将变得不稳固甚至难以实现。一方面,在利用大数据、AI、云计算等前沿技术优化业务关键环节时,始终坚守数据安全底线,确保创新不以牺牲安全为代价。另一方面,通过构建科学的安全治理框架,结合高效、自动化以及AI赋能的安全管理,增强安全措施的执行力,为创新提供有力保障,推动行业的持续进步。
北京商报记者岳品瑜董晗萱