当下,以数据为核心的数字经济正成为驱动全球经济增长的新动力。在金融领域,数字金融的发展更得到广泛重视,数字技术驱动金融业变革已是大势所趋。而伴随海量数据的涌现,如何加强金融数据保护和治理、进一步释放数据要素与资产价值,也成为目前金融业亟待解决的难题。
近日,北京金融科技产业联盟发布了《金融数据保护治理白皮书》(以下简称“白皮书”),通过对发展背景与现状、国内外相关政策法规的梳理,重点分析了金融数据分类分级识别与保护的应对措施,提出了金融数据出域的意义、难点问题,旨在进一步推进数据保护治理在金融领域的研究应用,助力金融数据安全防护。作为联盟成员,同盾科技参与了白皮书的编写。
监管日渐趋严 完善金融数据保护治理势在必行
从个人支付到企业贷款,从城镇建设到国家发展,从货币流通到进出口贸易,社会生活的方方面面都流淌着金融数据的“血液”,数据在人们的金融生活中发挥着越来越重要的作用。但随着数据量的爆炸式增长、数据来源的持续丰富和数据类型的不断创新,金融数据保护治理的广度、深度和难度也与日俱增,金融数据安全风险的识别难度、管控复杂度不断增大。
面对严峻的金融数据安全挑战,白皮书指出,在金融数据生命周期链条串起的数据流转节点上,每一家金融主体、每一位个体、每一个监管实体既是数字金融的受益者,也是金融风险的责任人与应对挑战的参战方。
当前,监管层面的要求正日臻清晰,中国人民银行、银保监会、证监会等金融监管部门先后从金融数据保护治理的多个角度,对涉及金融数据保护的诸多方面出台了具体标准,并且仍在不断丰富和完善中。一方面为金融业各方指明了金融数据应用的方向和边界,另一方面也有效保护了金融数据权属主体的合法权益,对金融业主体完善数据治理提出了新的要求。
在实践落地层面,分级分类被视为数据保护治理的基础性要求,有助于解决金融业相关机构和实体数据质量不高、数据使用不当、数据保护不周、数据流转不畅等问题。同时,个人信息保护也是金融数据保护治理的重要组成部分,承担着个人保护与总体安全的双重内涵。
在发展趋势上,框架建设作为数据保护治理的范式,成为金融业科学保护金融数据的有效路径;秉持标准建设和技术研究两条腿赶路的稳健方式,金融数据保护治理也在不断吸收最新的数据保护治理技术,并在标准化范围内扎实推广,实现全行业数据的有序有效保护和治理。
金融数据保护治理重要关注:分类分级识别与保护、数据出域
基于对数据保护治理现状及国内外政策法规的研究,白皮书指出,金融数据保护治理需重点关注分级分类识别与保护和数据出域。
从各业务场景来看,金融数据在分布特点、价值属性、安全特性等方面都与其他行业数据存在不同,具有分布广、数据量大、数据结构复杂等特征,面临着相关信息系统错综复杂、敏感数据泄露等各种挑战。因此,金融业有必要对数据资产进行识别、梳理,以成本合理、区分重点地对不同类型、不同等级的金融数据实行差异性保护。金融数据的分类分级与识别不仅是后续落实技术防护措施、安全管理流程的基础性、必要性、先决性工作,也是开展金融数据保护治理工作的重点。
数据出域,本质是数据控制者对权利进行了让渡,比如允许他人查阅数据、使用数据等,可以发生在个人之间、组织之间、行业之间,甚至国家之间。对金融机构来说,让大量的数据从内部流向其他金融机构或者其他行业,能进一步释放数据的潜在价值,为业务赋能提供有效支撑,提高自身竞争力。这也正是金融数据出域的意义。
与此同时,在数据要素流通背景下,什么数据才能出域、以何种方式出域才能满足数据合规的要求,也成为金融业重点关注的问题。根据白皮书,数据出域的底线是要确保对数据使用方式和使用目的的控制,以减少隐私信息泄露、数据滥用、危害国家数据安全等数据要素利用的负外部性,推动数字经济高质量发展。当前,金融机构和科技公司正积极探索多方安全计算、联邦学习、可信执行环境等隐私计算技术,以降低数据出域的合规风险,积极推动数据要素流通。
构建具有金融行业特色的数据保护治理体系
面对政策要求和行业应用实际需求,白皮书还阐述了如何从总体框架、组织建设、管理体系建设、技术支撑建设等方面来构建金融数据保护治理体系。
白皮书指出,企业组织架构是数据保护治理工作的基石,流程规范是道路,技术保障是工具。三者相辅相成,才能共同促进数据保护治理的实现。
需要注意的是,数据保护治理是个系统性的工程,需要国家立法部门、政策制定部门、监管部门引导和组织相关企业相互协作,才能合力应对数字经济时代的数据安全风险和挑战。展望未来,白皮书也提出了三点建议,一是聚焦实操问题,加快数据保护实施标准建设;二是优化数据保护技术,推动数据共享良性循环;三是强化数据安全评估,建立闭环式管控体系。
此外,白皮书也进一步分享了金融与其他行业的数据保护治理实践案例,启发金融行业数据保护治理的更多思考。在交通领域,同盾科技打造的沪杭甬高速工业互联网数据保护治理方案就通过强化数据保护闭环管理机制落实,加大数据保护治理技术研发与应用,对数据采集、数据传输、数据存储、数据处理、数据交换共享与安全披露、数据销毁等各个环节可能出现的数据安全问题进行了有效的保护。
金融业一直是信息化、数字化建设中的*行业,金融数据的安全与否,更会产生长久深远的影响。白皮书认为,金融数据保护治理需依靠全面科学的框架规范、准确合理的技术手段、完整有效的落实方式,才能不断应对挑战、化解风险。随着金融数据保护治理体系框架的建立,以及数据保护技术的全方位发展,金融机构数据治理的行动力有望进一步增强,从而加快行业数字化转型进程。