银行业数据安全治理三部曲

　　文/中国信息通信研究院云计算与大数据研究所工程师徐秀、张媛媛、韩毅博
　　数据安全治理已经上升到国家安全高度。银行业是典型的数据密集型行业，银行业数据安全治理任重道远。本文通过系统性梳理，结合银行业务场景需求和实际情况，总结出一套适用于银行业机构落地实施的数据安全防护体系建设三部曲。
　　数据作为数字经济时代最核心、最具价值的生产要素，正在加速成为全球经济增长的新动力、新引擎。然而，当前数据泄露事件频发，2020年全球数据泄露事件数超过去15年总和，数据安全保护亟须加强。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中明确指出，要建立健全数据要素市场规则，强化数据的安全保障；《数据安全法》和《个人信息保护法》相继发布实施，数据安全治理已经上升到国家安全高度。2022年的政府工作报告中，提到要推进国家安全和能力建设，强化网络安全、数据安全和个人信息保护 。
　　银行业数据安全治理任重道远
　　银行业是典型的数据密集型行业，资产数字化和链路数字化已经相对成熟，数据可谓是银行业发展的根基，有效利用数据并发挥出数据的价值已成为银行机构的核心竞争力之一。客户画像构建、风险防控、效率优化等业务都需要数据的支撑，保障数据的安全是银行业务发展的底线。据报道，2021年银保监会开出的第一张罚单就直指银行机构的数据安全问题。据毕马威统计，2022年上半年，人民银行及银保监会向银行、保险和非银行支付公司等金融机构共开出数据罚单685张，罚款金额为6.2亿元，同比增长67.5%。因此，银行业数据安全，必须严守数据安全合规的底线，建立健全数据安全治理体系，提高数据安全保障能力。
　　数据安全治理诞生在全球数字化转型的大背景下，能够为基于数据的新兴产业发展提供安全有序良性的发展环境，解决企业或组织无法逃避的数据安全挑战，满足数据安全保护、合规性和敏感数据管理三个需求目标，同时能够在数据资产开发利用和价值实现与安全保护和履行合规义务之间实现平衡。数据安全治理不是强调数据的绝对安全，而是兼顾发展与安全，达到＂让数据使用更安全＂的目的。
　　监管层面高度重视银行业的数据安全问题。《数据安全法》将数据安全上升到国家安全层面，规定各行业主管部门承担本行业、本领域数据安全监管职责，并赋予其处罚权力，对不履行数据安全保护义务的依法进行相应的处罚。《数据安全法》颁布实施后，各行业均在推进落实各自行业的数据安全管理制度。银保监会先后在2018年、2020年发布《银行业金融机构数据治理指引》（简称《指引》）和《中国银保监会监管数据安全管理办法（试行）》（简称《办法》），《指引》要求银行业金融机构将数据治理纳入公司治理范畴，并将数据治理情况与公司治理评价和监管评级挂钩；《办法》主要是针对银保监会的监管数据，规定了监管数据的安全管理要求，推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作。2022年年初，中国人民银行印发《金融科技发展规划（2022—2025年）》，强调在保障安全和隐私的前提下推动数据有序共享与综合应用，充分激活数据要素潜能，有力提升金融服务质效。在标准方面，全国金融标准化技术委员会相继在2020年、2021年发布《金融数据安全 数据安全分级指南》（简称《指南》）和《金融数据安全 数据生命周期安全规范》（简称《规范》），《指南》根据金融业机构数据安全性遭受破坏后的影响对象和影响程度，将数据安全级别分为5级；《规范》对不同等级金融数据的生命周期安全防护进行了相应的要求，为金融机构开展金融数据安全保护工作提供指导。未来，银行业在数据安全方面的规定会更全面、更明确。
　　然而，当前银行业数据安全治理面临以下问题：
　　银行数据盘点较为复杂。数据梳理是数据安全治理的前提，只有具备快速摸清银行数据底账的能力，才能进一步制定数据的安全防护策略。然而银行数据梳理和盘点本身就是一项大工程，主要表现在以下三个方面：一是从数据量角度考虑，随着银行业务全面线上化以及系统上云，内外部数据量激增，既有传统的交易、资产数据，也有客户行为数据、外部场景信息，不仅有原始数据，而且有用于精准营销、风控等目的的经过加工处理的数据；二是银行机构的数据与第三方平台互联互通、跨界合作，数据流转共享路径错综复杂，使得数据边界难以界定；三是数据的权属不清晰，银行机构与合作方、第三方平台共享数据时，数据的使用权、所有权等尚缺乏明确的标准定义……
　　本文刊发于《清华金融评论》2023年1月刊（总第110期）。
　　本文编辑：孙世选
　　0