經(jīng)濟觀察網(wǎng) 記者 汪青 隨著金融行業(yè)加速數(shù)據(jù)應用,數(shù)據(jù)安全處罰事件頻發(fā)引起業(yè)內(nèi)高度關(guān)注。
繼國家金融監(jiān)督管理總局發(fā)文加強金融機構(gòu)外包網(wǎng)絡和數(shù)據(jù)安全管理后,央行也于日前起草《中國人民銀行業(yè)務領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),推進金融數(shù)據(jù)分類分級管理。其中,對數(shù)據(jù)安全工作明確提出應遵循“誰管業(yè)務,誰管業(yè)務數(shù)據(jù),誰管數(shù)據(jù)安全”的基本原則。
對此,博通咨詢金融行業(yè)資深分析師王蓬博在7月26日接受采訪時表示,金融領(lǐng)域的數(shù)據(jù)擁有敏感性和安全性雙高的屬性,《征求意見稿》的發(fā)布填補了金融領(lǐng)域數(shù)據(jù)安全管理制度保障空白,細化后的規(guī)范為日后金融行業(yè)從業(yè)者如何處理數(shù)據(jù),特別是敏感數(shù)據(jù)指明了方向。其中提出較敏感數(shù)據(jù)項加工后無法識別至特定個人、組織時,可降低敏感性層級,也為積極促進數(shù)據(jù)高效流通和創(chuàng)新應用,更好促進數(shù)據(jù)依法合規(guī)開發(fā)利用奠定了基礎(chǔ)。
金融領(lǐng)域數(shù)據(jù)應用加速時
數(shù)字經(jīng)濟時代,金融領(lǐng)域積累的數(shù)據(jù)呈爆發(fā)式增長,這些數(shù)據(jù)既是助推金融企業(yè)不斷創(chuàng)新發(fā)展的生產(chǎn)力要素,且多數(shù)較為敏感、重要,為此金融企業(yè)正積極筑牢數(shù)據(jù)安全和個人信息保護的“護城河”。
據(jù)了解,金融領(lǐng)域核心業(yè)務就是支持賬戶的交易,因此賬戶安全和交易安全是核心訴求,相關(guān)的數(shù)據(jù)也是需要重點保護的對象。同時,伴隨開放銀行的發(fā)展、金融服務生態(tài)的建設,金融領(lǐng)域的數(shù)據(jù)范疇也隨著業(yè)務形態(tài)的變化而日益豐富,除銀行以外,保險、證券、信貸等也成為其中的重要組成部分,涉及的數(shù)據(jù)類型也不斷擴展。
在證券基金領(lǐng)域,通過金融大模型賦能業(yè)務已成為行業(yè)共識。數(shù)據(jù)的有效性、真實性決定大模型的產(chǎn)出,而監(jiān)管對于隱私、數(shù)據(jù)安全則有著嚴格規(guī)定,這也成為金融數(shù)據(jù)應用的最大挑戰(zhàn)。
“數(shù)據(jù)到底怎么選?為什么有些數(shù)據(jù)非常優(yōu)質(zhì)?這些優(yōu)質(zhì)數(shù)據(jù)如果沒有足夠的量,都是垃圾數(shù)據(jù)、大量需要清理后成為優(yōu)質(zhì)的數(shù)據(jù)如果沒有做到位,這個效果也不會好。怎么尋找、篩選優(yōu)質(zhì)的數(shù)據(jù),把不是優(yōu)質(zhì)的數(shù)據(jù)洗成優(yōu)質(zhì)的數(shù)據(jù),這個要做大量的工作。”恒生電子首席科學家白碩指出,而由于金融行業(yè)特殊性,在大模型應用過程中,對訓練數(shù)據(jù)質(zhì)量、模型生成效果、數(shù)據(jù)安全合規(guī)等方面也有著更高要求。
與此同時,金融數(shù)據(jù)在保險領(lǐng)域的應用也在不斷加速中。在數(shù)字經(jīng)濟時代,數(shù)據(jù)的豐富、技術(shù)的進步、新場景的出現(xiàn)對消費者的生活帶來了很大的改變,也給保險業(yè)創(chuàng)造了新機會。特別是數(shù)據(jù)的大量應用和技術(shù)的進步,使得原來有一些在原理上保險很難克服的困難有了克服的可能。
中國保險學會黨委委員、秘書長黃志強在此前接受采訪時指出,特別是在保險產(chǎn)品創(chuàng)新方面,比如互聯(lián)網(wǎng)平臺已經(jīng)發(fā)展出化妝品過敏險,如果客戶購買使用化妝品出現(xiàn)了過敏現(xiàn)象,只需要把過敏的圖片發(fā)給平臺,24小時之內(nèi)就能收到賠款。而按照以前傳統(tǒng)的人工理賠方式,這樣的小額分散業(yè)務保險公司根本不可能做。但是現(xiàn)在依靠數(shù)字化技術(shù),像這種新場景業(yè)務,保險公司也可以依靠數(shù)據(jù)和技術(shù)大面積開展。
“數(shù)字化技術(shù)的進步和新場景的出現(xiàn)為保險業(yè)發(fā)展提供了創(chuàng)新空間,但是也帶來了更大的挑戰(zhàn)。面對同樣的數(shù)據(jù)源,保險機構(gòu)如何精確使用數(shù)據(jù),如何將數(shù)據(jù)與業(yè)務深度結(jié)合等仍需整個行業(yè)深入思考。”黃志強說。
法律法規(guī)持續(xù)完善細化
據(jù)悉,由于金融行業(yè)數(shù)據(jù)價值的凸顯和商業(yè)利益的驅(qū)動,數(shù)據(jù)非法采集、數(shù)據(jù)販賣、數(shù)據(jù)篡改、數(shù)據(jù)攻擊、數(shù)據(jù)權(quán)限濫用等安全問題層出不窮。如何保障數(shù)據(jù)安全,促進數(shù)據(jù)合法、安全,有效流通,充分發(fā)揮數(shù)據(jù)綜合價值,成為金融行業(yè)必須面臨的重要挑戰(zhàn)。
現(xiàn)階段,金融領(lǐng)域數(shù)據(jù)安全風險點主要集中在五個方面:數(shù)據(jù)開放性顯著增強、數(shù)據(jù)安全保護意識有待提升、數(shù)據(jù)安全相關(guān)法律法律不完全不健全、數(shù)據(jù)權(quán)屬關(guān)系不明確以及新技術(shù)攻擊手段多樣化。
實際上,在經(jīng)歷多年發(fā)展后,我國數(shù)據(jù)安全相關(guān)法律制度正在逐漸完善。2021年《關(guān)鍵信息基礎(chǔ)設施安全保護條例》《數(shù)據(jù)安全法》以及《個人信息保護法》正式實施,與2017年已實施的《網(wǎng)絡安全法》,共同構(gòu)架起了“三法一條例”的數(shù)據(jù)安全保障網(wǎng),是數(shù)據(jù)安全領(lǐng)域的基本法律框架。
“但目前數(shù)據(jù)安全法律制度仍不完善,存在缺失關(guān)鍵性專門法規(guī)、邊界覆蓋不足、可操作性不強等問題。特別是大數(shù)據(jù)背景下,各類數(shù)據(jù)跨行業(yè)、跨機構(gòu)的交換傳輸越來越多、數(shù)據(jù)之間的界限越來越模糊,導致監(jiān)管依據(jù)缺失、監(jiān)管權(quán)限不足的問題。相對于銀行,在金融和互聯(lián)網(wǎng)結(jié)合的領(lǐng)域,如小額貸款公司、融資擔保公司等金融領(lǐng)域,數(shù)據(jù)監(jiān)管的制度更為缺乏。個人金融數(shù)據(jù)的保護相對完善,但對于金融數(shù)據(jù)中的客戶數(shù)據(jù)、監(jiān)管數(shù)據(jù)等仍缺乏法律規(guī)范。”一位金融科技行業(yè)人士在接受記者采訪時表示。
該金融科技人士認為,數(shù)據(jù)安全治理的難點和重點在于明確數(shù)據(jù)的權(quán)屬關(guān)系。數(shù)據(jù)在生命周期各個階段沒有明確權(quán)屬關(guān)系,數(shù)據(jù)安全的控制范圍和責任就難以確定,安全也就無法管理。在數(shù)據(jù)的采集、存儲、傳輸、處理、使用等環(huán)節(jié),數(shù)據(jù)可能在不同的部門或機構(gòu)直接流通,而每個環(huán)節(jié)的數(shù)據(jù)權(quán)屬關(guān)系是不同的。在數(shù)據(jù)采集階段,過度采集用戶隱私數(shù)據(jù)的行為非常普遍,缺乏合理的授權(quán)制度和有效的約束措施將形成“過度收集”。《數(shù)據(jù)安全法》雖然從宏觀角度確定了數(shù)據(jù)安全的法規(guī)藍圖設計,但現(xiàn)階段還沒有對數(shù)據(jù)權(quán)屬問題進行明確的法律規(guī)定,金融行業(yè)也需出臺相關(guān)實施細則。
正是多重因素疊加,導致用戶數(shù)據(jù)安全問題時有發(fā)生。針對這些問題,機構(gòu)也通過自身業(yè)務特別給出應對措施。助貸機構(gòu)小贏科技為確保數(shù)據(jù)的可靠性,通過實時多層的數(shù)據(jù)備份系統(tǒng)保持冗余;其平臺采用模塊化架構(gòu),由多個相連的組件組成,各組件均可單獨升級和替換,而不影響其他組件的功能,從而使平臺既高度可靠又具有可擴展性。
近段時間,監(jiān)管部門也在不斷出臺金融數(shù)據(jù)安全管理相關(guān)法律法規(guī)。6月底,國家金融監(jiān)督管理總局向各地方銀保監(jiān)局、銀行、保險、理財公司等機構(gòu)下發(fā)了《關(guān)于加強第三方合作中網(wǎng)絡和數(shù)據(jù)安全管理的通知》,基于目前多家銀行機構(gòu)的外包科技風險情況,為銀行業(yè)加強外包數(shù)據(jù)安全管理提出了建設性的指導意見。
其中要求,“銀行保險機構(gòu)對外提供數(shù)據(jù)應按“業(yè)務必需、最小權(quán)限”原則進行,系統(tǒng)和數(shù)據(jù)應優(yōu)先在銀行保險機構(gòu)本地化部署。”
在此基礎(chǔ)上,央行于7月24日發(fā)布《征求意見稿》規(guī)范中國人民銀行業(yè)務領(lǐng)域的數(shù)據(jù)安全管理,提出了“誰管業(yè)務,誰管業(yè)務數(shù)據(jù),誰管數(shù)據(jù)安全”的基本原則,要求數(shù)據(jù)處理者采取有效措施保護數(shù)據(jù)安全,同時壓實了數(shù)據(jù)處理活動全流程安全合規(guī)責任和底線。
京公網(wǎng)安備 11010802028547號