經濟觀察網 記者 汪青
隨著金融行業(yè)加速數據應用,數據安全處罰事件頻發(fā)引起業(yè)內高度關注。
繼國家金融監(jiān)督管理總局發(fā)文加強金融機構外包網絡和數據安全管理后���,央行也于日前起草《中國人民銀行業(yè)務領域數據安全管理辦法(征求意見稿)》(以下簡稱《征求意見稿》)��,推進金融數據分類分級管理��。其中��,對數據安全工作明確提出應遵循“誰管業(yè)務��,誰管業(yè)務數據���,誰管數據安全”的基本原則���。
對此,博通咨詢金融行業(yè)資深分析師王蓬博在7月26日接受采訪時表示��,金融領域的數據擁有敏感性和安全性雙高的屬性����,《征求意見稿》的發(fā)布填補了金融領域數據安全管理制度保障空白,細化后的規(guī)范為日后金融行業(yè)從業(yè)者如何處理數據��,特別是敏感數據指明了方向。其中提出較敏感數據項加工后無法識別至特定個人��、組織時�����,可降低敏感性層級����,也為積極促進數據高效流通和創(chuàng)新應用����,更好促進數據依法合規(guī)開發(fā)利用奠定了基礎。
金融領域數據應用加速時
數字經濟時代����,金融領域積累的數據呈爆發(fā)式增長,這些數據既是助推金融企業(yè)不斷創(chuàng)新發(fā)展的生產力要素��,且多數較為敏感����、重要,為此金融企業(yè)正積極筑牢數據安全和個人信息保護的“護城河”���。
據了解�,金融領域核心業(yè)務就是支持賬戶的交易,因此賬戶安全和交易安全是核心訴求����,相關的數據也是需要重點保護的對象。同時���,伴隨開放銀行的發(fā)展��、金融服務生態(tài)的建設�����,金融領域的數據范疇也隨著業(yè)務形態(tài)的變化而日益豐富�����,除銀行以外�,保險��、證券��、信貸等也成為其中的重要組成部分����,涉及的數據類型也不斷擴展����。
在證券基金領域����,通過金融大模型賦能業(yè)務已成為行業(yè)共識���。數據的有效性����、真實性決定大模型的產出�,而監(jiān)管對于隱私、數據安全則有著嚴格規(guī)定����,這也成為金融數據應用的最大挑戰(zhàn)。
“數據到底怎么選?為什么有些數據非常優(yōu)質?這些優(yōu)質數據如果沒有足夠的量�����,都是垃圾數據����、大量需要清理后成為優(yōu)質的數據如果沒有做到位����,這個效果也不會好�����。怎么尋找�、篩選優(yōu)質的數據,把不是優(yōu)質的數據洗成優(yōu)質的數據����,這個要做大量的工作。”恒生電子首席科學家白碩指出����,而由于金融行業(yè)特殊性,在大模型應用過程中���,對訓練數據質量���、模型生成效果、數據安全合規(guī)等方面也有著更高要求�����。
與此同時,金融數據在保險領域的應用也在不斷加速中�。在數字經濟時代,數據的豐富���、技術的進步��、新場景的出現對消費者的生活帶來了很大的改變��,也給保險業(yè)創(chuàng)造了新機會。特別是數據的大量應用和技術的進步�,使得原來有一些在原理上保險很難克服的困難有了克服的可能。
中國保險學會黨委委員�、秘書長黃志強在此前接受采訪時指出,特別是在保險產品創(chuàng)新方面����,比如互聯(lián)網平臺已經發(fā)展出化妝品過敏險,如果客戶購買使用化妝品出現了過敏現象����,只需要把過敏的圖片發(fā)給平臺,24小時之內就能收到賠款�。而按照以前傳統(tǒng)的人工理賠方式����,這樣的小額分散業(yè)務保險公司根本不可能做�����。但是現在依靠數字化技術�����,像這種新場景業(yè)務�����,保險公司也可以依靠數據和技術大面積開展�����。
“數字化技術的進步和新場景的出現為保險業(yè)發(fā)展提供了創(chuàng)新空間����,但是也帶來了更大的挑戰(zhàn)。面對同樣的數據源���,保險機構如何精確使用數據����,如何將數據與業(yè)務深度結合等仍需整個行業(yè)深入思考。”黃志強說����。
法律法規(guī)持續(xù)完善細化
據悉,由于金融行業(yè)數據價值的凸顯和商業(yè)利益的驅動�����,數據非法采集����、數據販賣、數據篡改��、數據攻擊��、數據權限濫用等安全問題層出不窮��。如何保障數據安全�����,促進數據合法���、安全���,有效流通,充分發(fā)揮數據綜合價值�����,成為金融行業(yè)必須面臨的重要挑戰(zhàn)�。
現階段,金融領域數據安全風險點主要集中在五個方面:數據開放性顯著增強�����、數據安全保護意識有待提升��、數據安全相關法律法律不完全不健全�、數據權屬關系不明確以及新技術攻擊手段多樣化。
實際上�,在經歷多年發(fā)展后,我國數據安全相關法律制度正在逐漸完善��。2021年《關鍵信息基礎設施安全保護條例》《數據安全法》以及《個人信息保護法》正式實施����,與2017年已實施的《網絡安全法》���,共同構架起了“三法一條例”的數據安全保障網,是數據安全領域的基本法律框架���。
“但目前數據安全法律制度仍不完善�����,存在缺失關鍵性專門法規(guī)���、邊界覆蓋不足、可操作性不強等問題�。特別是大數據背景下,各類數據跨行業(yè)�、跨機構的交換傳輸越來越多、數據之間的界限越來越模糊����,導致監(jiān)管依據缺失�����、監(jiān)管權限不足的問題����。相對于銀行�,在金融和互聯(lián)網結合的領域����,如小額貸款公司、融資擔保公司等金融領域���,數據監(jiān)管的制度更為缺乏����。個人金融數據的保護相對完善���,但對于金融數據中的客戶數據�����、監(jiān)管數據等仍缺乏法律規(guī)范���。”一位金融科技行業(yè)人士在接受記者采訪時表示。
該金融科技人士認為����,數據安全治理的難點和重點在于明確數據的權屬關系���。數據在生命周期各個階段沒有明確權屬關系,數據安全的控制范圍和責任就難以確定����,安全也就無法管理。在數據的采集�、存儲、傳輸��、處理����、使用等環(huán)節(jié),數據可能在不同的部門或機構直接流通�����,而每個環(huán)節(jié)的數據權屬關系是不同的����。在數據采集階段,過度采集用戶隱私數據的行為非常普遍��,缺乏合理的授權制度和有效的約束措施將形成“過度收集”����。《數據安全法》雖然從宏觀角度確定了數據安全的法規(guī)藍圖設計���,但現階段還沒有對數據權屬問題進行明確的法律規(guī)定����,金融行業(yè)也需出臺相關實施細則�。
正是多重因素疊加,導致用戶數據安全問題時有發(fā)生�����。針對這些問題��,機構也通過自身業(yè)務特別給出應對措施�����。助貸機構小贏科技為確保數據的可靠性���,通過實時多層的數據備份系統(tǒng)保持冗余;其平臺采用模塊化架構�,由多個相連的組件組成,各組件均可單獨升級和替換���,而不影響其他組件的功能�����,從而使平臺既高度可靠又具有可擴展性��。
近段時間��,監(jiān)管部門也在不斷出臺金融數據安全管理相關法律法規(guī)��。6月底��,國家金融監(jiān)督管理總局向各地方銀保監(jiān)局��、銀行��、保險����、理財公司等機構下發(fā)了《關于加強第三方合作中網絡和數據安全管理的通知》�,基于目前多家銀行機構的外包科技風險情況,為銀行業(yè)加強外包數據安全管理提出了建設性的指導意見�����。
其中要求,“銀行保險機構對外提供數據應按“業(yè)務必需�����、最小權限”原則進行����,系統(tǒng)和數據應優(yōu)先在銀行保險機構本地化部署����。”
在此基礎上,央行于7月24日發(fā)布《征求意見稿》規(guī)范中國人民銀行業(yè)務領域的數據安全管理���,提出了“誰管業(yè)務��,誰管業(yè)務數據�,誰管數據安全”的基本原則�����,要求數據處理者采取有效措施保護數據安全���,同時壓實了數據處理活動全流程安全合規(guī)責任和底線�����。 |
