1、什么是金融数据安全及其重要性?数据安全是指采取必要的措施,确保数据处于有效保护和合法使用的状态,具有保障持续安全的能力。状态能力。金融数据不仅具有数据的一般特征,还包括国民个人信息、企业资金流动、社会经济活动等重要内容。由于其特殊性,在金融数据安全方面,我们不仅要求数据在录入时严格审查并持续维护,而且在传输和使用过程中采取相应的管理措施和技术手段进行保护。金融数据避免被非法访问、窃取、篡改和损坏的风险。金融数据安全的重要性不仅得到各行业的广泛认同,也体现在法律法规中。首先,高标准带来严要求。根据金融准则全文公开制度备案,目前有效的数据相关准则有79项,其中2020年和2021年发布的标准有23项,如《金融业数据能力建设指引》《金融数据安全数据生命周期安全规范》《金融数据安全数据安全分级指南》《金融大数据平台总体技术要求》《个人金融信息保护技术规范》、《证券期货业数据分类分级指引》等,涵盖金融领域。数据分级分类、金融数据生命周期安全评估、个人金融信息保护、金融数据安全体系建设等,这些标准细化了实施细节,有效完善了整个安全体系,构筑了数据安全屏障。二是严法强要求。包括《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》在内的“三法一规”共同构成了我国数据保护的基本法律框架。随着重要政策和法律的陆续落地实施,网络安全法律体系日趋完善,为技术创新和应用落地提供了基础依据,体现了我国对信息安全的重视,彰显了我国的决心以保护数据安全。在这种情况下,法律对金融数据安全提出了严格要求,要求我们高度重视金融数据安全,确保国家金融体系稳定运行。再次,强监管带来高要求。目前,各监管部门已经意识到数据安全的复杂性、广泛性和共生性。因此,各部门进一步加强统筹协调,避免出现安全漏洞和死角。这种变化体现在收集、存储、使用、处理、传输、提供、披露等方面,监管部门通过加强对数据安全各个环节的监管,形成数据安全监管的闭环。不仅如此,监管部门在标准上更加严格,对违反数据安全的行为零容忍。根据央行2019年数据,央行征信系统已收录10.2亿自然人、2834.1万家企业和其他组织信息,规模位居世界前列。2021年9月,我国出台《征信业务管理办法》、《办法》,明确规定“个人信用信息采集应当依法合法进行,遵循最少、必要的原则,不得过度采集”允许。”自2022年《办法》实施以来,中国人民银行及其地方分支机构已对违反数据安全规定的3家金融实体和1家支付机构处以数千万元罚款。这些举动不仅体现了我国对个人信息保护的重视,也体现了我国维护金融数据安全的决心。但是,无论是“合规”、“规范”还是“严监管”,都是外力的要求。真正的内在驱动力是:金融机构业务的稳健经营和创新发展离不开“数据的安全使用”。当前金融数字化转型进入关键阶段。银行业金融机构的业务数据已成为必不可少的、核心的、关键的生产要素。银行业金融机构要通过业务数据的收集、分析和挖掘,不断提高经营效率,提升客户满意度。服务层面,实现业务创新、产品创新、服务创新。银行业金融机构的数据安全关系到金融业的金融安全和大数据时代数据的增值分析和利用所带来的衍生价值。“安全用号”是本行当前业务稳健经营、创新发展的迫切需要。以上种种都说明了金融数据安全的重要性。金融数据安全不再是行业内的自律要求,而是全方位、多层次、立体化的数据安全建设体系。二、当前金融数据安全治理存在的突出问题1、随着数字信息技术的快速发展和数字金融的迅猛发展,金融数据以其巨大的价值成为网络攻击的首选目标。知名云基础设施厂商VMware在2022年2月发布攻击。根据对全球130位首席信息安全官和金融领域安全负责人的调查显示,66%的金融机构经历过攻击,目的是过去一年窃取商业机密,74%的受访金融机构过去一年经历过攻击。年中至少经历过一次勒索软件攻击,30%的组织经历过多次勒索软件攻击,超过60%的组织选择了支付赎金。我国互联网络信息中心数据显示,截至2021年6月,我国网络支付用户规模已达8.72亿,占网民总数的86.3%。数字身份信息是数字金融产业发展的基本要素。此类数据中包含大量用户个人信息、交易数据等敏感信息。数字金融业务量的增加进一步加速了金融数据的产生和积累。在缺乏完善的金融数据安全法律法规的情况下,数据窃取、篡改、勒索事件频发,催生了庞大的非法数据贩卖产业链。金融数据风险具有高度复杂性、隐蔽性和易扩散性。为严防新技术带来的数据泄露、数据污染、数据中毒攻击等一系列潜在风险,金融机构应提高数据采集、存储、使用、处理、传输、提供等环节的安全防范意识,和披露。依靠安全管理和技术手段,降低各种风险。2、金融机构因个人信息保护和网络安全管理不到位而被监管部门处罚的情况屡见不鲜。对处理等违规行为共开罚单119张,罚款总额约4654万元。金融机构的违规行为集中在个人信息保护和信息网络安全两大类,主要涉及“未按规定收集、使用个人信息”、“未经同意查询个人信息或企业信用信息”、“提供某些个人不良信息未提前告知信息主体”、“客户信息泄露”、“网络授权访问控制不到位,存在信息科技风险隐患”、“重要岗位和外包机构管理缺陷”、“重要信息系统突发事件未上报监管报告”等。3、金融数据跨境流动越来越频繁,带来的安全隐患越来越多。但是,我国关于跨境数据安全评估、认证和保护的法律法规还有待完善。随着全球贸易、金融投资和技术交流日益频繁,跨境流动数据的种类和数量不断增加,涉及个人隐私、企业商业秘密、社会治理、国防安全等。海量数据跨境流动给国家安全带来隐患。如果商业机密信息、经济运行状况、金融科技发展水平、金融创新产品等高度敏感数据被外国政府恶意获取和使用,将削弱我国金融业的核心竞争力,严重破坏我国金融稳定。国家金融市场,威胁国家和人民财产安全。安全。虽然我国现有的法律法规已经形成了数据跨境流动的基本制度框架,但数据跨境相关的法律规则还在研究制定过程中,个人信息安全和金融数据的认证机制等安全措施尚未建立。出入境安全评估尚未真正落实,数据出境管理具体模式、审核机构、配套保障机制等关键问题尚未解决,对日益频繁的数据出境提出了更高挑战流动。4、监管政策不完善加剧了数据和资金向互联网寡头企业的积累,数据垄断风险日益凸显。目前,以银行为主体的传统金融行业监管体系较为完备,对金融科技企业的监管力度相对薄弱。尤其是疫情时代,个人身份信息被进一步收集整理。大型科技企业依托显着的网络溢出效应形成规模经济,利用前沿技术手段扩大消费群体,业务范围从搭建互联网商务平台逐步扩展到身份信息服务。、移动支付业务、投资理财、保险销售等领域积累了大量个人信息和金融交易数据,逐渐形成数据垄断趋势,极易引发数据安全风险。数据的高度集中,不仅会增加大型科技公司的安全防御压力,也容易成为不法分子的目标,增加数据泄露的风险。金融数据的丢失将严重侵犯用户的个人隐私,为非法数据销售实现商业变现。在防范外部风险的同时,也要注意内部数据的管理和使用。数据寡头垄断企业一旦滥用市场支配地位,可以通过限制数据访问和共享、限制用户转移、扼杀大数据熟悉度、数据服务搭售等方式谋取利益,损害合法权益和利益。消费者的利益。如果利用其数据垄断优势维持行业地位,阻碍竞争对手采集和购买数据,提高竞争对手进入市场的门槛,将破坏数字经济市场的公平竞争秩序。可见,当前金融数据被占据市场主导地位的平台滥用,潜在风险较大。相应的金融数据反垄断立法和监管机制建设刻不容缓。国务院反垄断委员会于2021年2月7日发布《关于平台经济领域的反垄断指南》,修订后的《中华人民共和国反垄断法》将于2022年8月1日正式实施。这些法律法规对合规和监管提出了更加具体明确的要求。反垄断领域的执法。例如,新版反垄断法第9条规定:“经营者不得利用数据和算法、技术、资金优势、平台规则从事本法禁止的垄断行为。”已出台的反垄断基本法律法规尚待通过规范性规则和监管措施尽快落实到具体实践中,确保金融市场建立健康、公平的竞争机制。三、加强金融数据安全治理的思考与建议一、对金融机构加强数据安全治理的建议(一)开展数据安全顶层设计金融数据安全的重要性促使金融机构开展顶层设计数据安全,构建完善的数据安全管控体系,有机嵌入组织整体网络安全规划,保障数据安全有序流动,确保数据在整个数据传输过程中不丢失、不泄露、不被篡改生命周期。始终在线、可追溯性和隐私合规性。(二)完善数据安全治理机制。不断完善金融主体高级管理层、安全专业部门、整个治理主体共同参与的组织体系,实行数据安全全员治理、全员、群防责任制;通过建立健全数据安全管理体系,建立数据安全使用和管理的基本规范;建立常态化的安全内控检查、年度安全合规内控考核、员工安全违规问责等机制;继续强化数据安全责任,明确人员职责权限,压实岗位职责:健全数据安全文化,把自觉保护数据安全作为全行员工的基本安全意识和行为规范。(三)加强数据应用生命周期的安全管控。组织根据自身业务特点和合规要求,梳理业务数据应用生命周期过程中收集、存储、使用、处理、传输、提供等数据资产和应用。场景及操作流程;对数据资产进行分级分类,形成数据保护目录,持续对数据资产和资产应用场景进行风险评估;针对高风险数据资产制定数据安全保护计划,并采用适当的安全策略和管理流程,综合采用身份认证、访问控制、数据加密、数据防泄露、数据脱敏、数据备份、安全存储等数据安全技术,数据销毁、安全审计等,对不同安全级别的数据资产实施差异化管控,并留存数据操作审计追踪记录。(四)优化数据安全运营体系数据安全管理和技术体系的实施离不开数据安全运营。首先,将数据安全纳入组织的网络安全体系,然后从数据处理风险监控、数据安全事件管理、数据安全应急管理、数据安全审计等方面构建运营体系。金融机构在建设数据安全管理体系时,必须确保与现有安全管理体系的融合,将数据安全管理体系的运行纳入现有安全体系。(五)加强金融科技安全人才培训和员工安全意识教育。长期以来,网络安全人才市场一直处于供不应求的状态。据工信部人才交流中心测算,我国网络安全专业人才累计缺口超过140万。然而,每年网络安全相关专业的高校毕业生只有2万多人,金融科技安全人才供给也“低迷”。因此,加强金融科技安全人才培养迫在眉睫;对员工进行安全技能培训,提升员工认知水平,强化员工风险防范意识。尤其是员工安全意识教育,我们可以通过多媒体开展宣传活动,结合线上线下媒体宣传,不断提升企业金融数据安全意识,将金融科技形势下的数据安全纳入全员教育,成为一种企业文化。二、对国家和金融行业加强数据安全治理的建议(一)加快配套标准规范建设。随着各项金融数据监管新规的实施,标志着金融数据安全管理开始“有法可依”。但是,财务数据的使用涉及到工作和生活的方方面面,还有很多具体细节和实施标准有待进一步充实。特别是加快制定发布强制性国家标准,更加细化数据生命周期各阶段的保护要求、安全管理策略和数据生命周期保护机制。(二)开展数据安全认证和数据安全信息化审计2022年6月9日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于开展数据安全管理认证工作的公告》,表明:国家主管部门将加强数据安全规范管理,开展统一认证工作,出台《数据安全管理认证实施规则》,明确认证网络运营者进行网络数据收集、存储、使用、处理、传输、提供、公开等处理活动的基本条件原则和要求。由于自身数据的敏感性和管理的复杂性,建议金融机构率先响应国家主管部门号召,尽快开展金融数据安全认证工作,促进建立和完善金融数据安全管理系统。同时,建议金融机构除按照信息系统审计规范和要求定期开展数据安全内部IT审计外,还应定期聘请独立的第三方机构对数据安全进行IT审计。组织的数据安全。基于内外部IT审计结论,管理层可以了解组织当前的数据安全管控状况,及时针对重大风险领域和环节进行整改。(三)加快数据安全产业生态建设数据安全治理是一项系统工程,需要各方共同努力,共建生态,共同努力,才能更有效地巩固数据安全。在国家层面,要加强各部门之间的工作协同,建立更加完善的横向联动、联动共享和治理体系,充分调动各部门优势资源,形成多方联动、联动管理的保障结构。就金融行业而言,根据金融行业数据应用特点,制定完善完善、细化的数据安全标准,填补相应的监管空白,加快监管技术的开发和应用,不断提高监管水平。监管的穿透性和智能化。适应快速变化的监管制度,并为日益复杂的数据安全环境做好准备。(四)推动建立跨境监管国际合作机制,提升国际话语权在金融数据安全监管领域,各国需要从国际秩序大局出发,建立国际合作机制,共同应对金融数据跨境流动的新挑战。积极参与和推动数据跨境流动监管体系的制定和完善,开展政府、行业、技术团体等多线国际谈判与合作,推动制定符合国家利益和经济发展的政策体系需要。加强跨境监管执法国际合作,夯实域外管辖和跨境应用的法律基础,提高跨境监管能力和执法水平,推动建立国际金融数据要素的良好市场秩序.
