金融数据安全如何管?监管密集出台政策细化应用边界和权责

虎嗅网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

本文来自微信公众号: 经济观察报 (ID:eeo-com-cn) ,作者:汪青,头图来自:视觉中国


随着金融行业加速数据应用,数据安全处罚事件频发引起业内高度关注。


继国家金融监督管理总局发文加强金融机构外包网络和数据安全管理后,央行也于日前起草《中国人民银行业务领域数据安全管理办法(征求意见稿)》 (以下简称《征求意见稿》) ,推进金融数据分类分级管理。其中,对数据安全工作明确提出应遵循“谁管业务,谁管业务数据,谁管数据安全”的基本原则。


对此,博通咨询金融行业资深分析师王蓬博在7月26日接受采访时表示,金融领域的数据拥有敏感性和安全性双高的属性,《征求意见稿》的发布填补了金融领域数据安全管理制度保障空白,细化后的规范为日后金融行业从业者如何处理数据,特别是敏感数据指明了方向。其中提出较敏感数据项加工后无法识别至特定个人、组织时,可降低敏感性层级,也为积极促进数据高效流通和创新应用,更好促进数据依法合规开发利用奠定了基础。


一、金融领域数据应用加速时


数字经济时代,金融领域积累的数据呈爆发式增长,这些数据既是助推金融企业不断创新发展的生产力要素,且多数较为敏感、重要,为此金融企业正积极筑牢数据安全和个人信息保护的“护城河”。


据了解,金融领域核心业务就是支持账户的交易,因此账户安全和交易安全是核心诉求,相关的数据也是需要重点保护的对象。同时,伴随开放银行的发展、金融服务生态的建设,金融领域的数据范畴也随着业务形态的变化而日益丰富,除银行以外,保险、证券、信贷等也成为其中的重要组成部分,涉及的数据类型也不断扩展。


在证券基金领域,通过金融大模型赋能业务已成为行业共识。数据的有效性、真实性决定大模型的产出,而监管对于隐私、数据安全则有着严格规定,这也成为金融数据应用的最大挑战。


“数据到底怎么选?为什么有些数据非常优质?这些优质数据如果没有足够的量,都是垃圾数据、大量需要清理后成为优质的数据如果没有做到位,这个效果也不会好。怎么寻找、筛选优质的数据,把不是优质的数据洗成优质的数据,这个要做大量的工作。”恒生电子首席科学家白硕指出,而由于金融行业特殊性,在大模型应用过程中,对训练数据质量、模型生成效果、数据安全合规等方面也有着更高要求。


与此同时,金融数据在保险领域的应用也在不断加速中。在数字经济时代,数据的丰富、技术的进步、新场景的出现对消费者的生活带来了很大的改变,也给保险业创造了新机会。 特别是数据的大量应用和技术的进步,使得原来有一些在原理上保险很难克服的困难有了克服的可能。


中国保险学会党委委员、秘书长黄志强在此前接受采访时指出,特别是在保险产品创新方面,比如互联网平台已经发展出化妆品过敏险,如果客户购买使用化妆品出现了过敏现象,只需要把过敏的图片发给平台,24小时之内就能收到赔款。而按照以前传统的人工理赔方式,这样的小额分散业务保险公司根本不可能做。但是现在依靠数字化技术,像这种新场景业务,保险公司也可以依靠数据和技术大面积开展。


“数字化技术的进步和新场景的出现为保险业发展提供了创新空间,但是也带来了更大的挑战。面对同样的数据源,保险机构如何精确使用数据,如何将数据与业务深度结合等仍需整个行业深入思考。”黄志强说。


二、法律法规持续完善细化


据悉,由于金融行业数据价值的凸显和商业利益的驱动,数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题层出不穷。如何保障数据安全,促进数据合法、安全,有效流通,充分发挥数据综合价值,成为金融行业必须面临的重要挑战。


现阶段,金融领域数据安全风险点主要集中在五个方面:数据开放性显著增强、数据安全保护意识有待提升、数据安全相关法律法律不完全不健全、数据权属关系不明确以及新技术攻击手段多样化。


实际上,在经历多年发展后,我国数据安全相关法律制度正在逐渐完善。2021年《关键信息基础设施安全保护条例》《数据安全法》以及《个人信息保护法》正式实施,与2017年已实施的《网络安全法》,共同构架起了“三法一条例”的数据安全保障网,是数据安全领域的基本法律框架。


“但目前数据安全法律制度仍不完善,存在缺失关键性专门法规、边界覆盖不足、可操作性不强等问题。特别是大数据背景下,各类数据跨行业、跨机构的交换传输越来越多、数据之间的界限越来越模糊,导致监管依据缺失、监管权限不足的问题。相对于银行,在金融和互联网结合的领域,如小额贷款公司、融资担保公司等金融领域,数据监管的制度更为缺乏。个人金融数据的保护相对完善,但对于金融数据中的客户数据、监管数据等仍缺乏法律规范。”一位金融科技行业人士在接受记者采访时表示。


该金融科技人士认为, 数据安全治理的难点和重点在于明确数据的权属关系。 数据在生命周期各个阶段没有明确权属关系,数据安全的控制范围和责任就难以确定,安全也就无法管理。在数据的采集、存储、传输、处理、使用等环节,数据可能在不同的部门或机构直接流通,而每个环节的数据权属关系是不同的。


在数据采集阶段,过度采集用户隐私数据的行为非常普遍,缺乏合理的授权制度和有效的约束措施将形成“过度收集”。《数据安全法》虽然从宏观角度确定了数据安全的法规蓝图设计,但现阶段还没有对数据权属问题进行明确的法律规定,金融行业也需出台相关实施细则。


正是多重因素叠加,导致用户数据安全问题时有发生。针对这些问题,机构也通过自身业务特别给出应对措施。助贷机构小赢科技为确保数据的可靠性,通过实时多层的数据备份系统保持冗余;其平台采用模块化架构,由多个相连的组件组成,各组件均可单独升级和替换,而不影响其他组件的功能,从而使平台既高度可靠又具有可扩展性。


近段时间,监管部门也在不断出台金融数据安全管理相关法律法规。6月底,国家金融监督管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》,基于目前多家银行机构的外包科技风险情况,为银行业加强外包数据安全管理提出了建设性的指导意见。


其中要求,“银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。”


在此基础上,央行于7月24日发布《征求意见稿》规范中国人民银行业务领域的数据安全管理,提出了“谁管业务,谁管业务数据,谁管数据安全”的基本原则,要求数据处理者采取有效措施保护数据安全,同时压实了数据处理活动全流程安全合规责任和底线。


本文来自微信公众号: 经济观察报 (ID:eeo-com-cn) ,作者:汪青

随意打赏

提交建议
微信扫一扫,分享给好友吧。