金融数据安全保护制度逐步完善 　　 　　近日，中国人民银行印发《金融科技发展规划（2022-2025年）》（以下简称《规划》）提出八个方面重点任务，包括全面加强数据能力建设、在保障安全和隐私前提下推动数据有序共享与综合应用、充分激活数据要素潜能、有力提升金融服务质效等。 　　 　　近年来，随着数字经济的快速发展以及数据安全法、个人信息保护法等法律的实施，金融数据安全备受关注。近日，民主与法制社记者就《规划》及金融数据安全保护重点难点问题等，采访了相关专家学者。 　　 　　金融安全的重要内容 　　 　　近年来，数据泄露等成为数据安全领域老生常谈的问题，金融行业也不例外。今年1月10日，中国人民银行上海分行公布对东亚银行（中国）有限公司、北京银行股份有限公司上海分行的两项行政处罚信息显示，两家银行皆涉及违反信用信息采集、提供、查询及相关管理规定。 　　 　　2020年10月，中国人民银行也曾依法对部分金融机构侵害消费者金融信息安全行为作出处罚和问责，指出部分金融机构工作人员无视法律和规定，严重侵害消费者金融信息安全权。 　　 　　中国法学会银行法学研究会理事肖飒表示，包括银行机构、证券机构、保险机构等金融行业机构在内的工作者，通常可以接触到金融消费者的大量个人信息。因此，这些“内部人员”一旦泄露相关数据，产生的危害将不可估量。 　　 　　实际上，消费者金融信息只是金融数据中的一类，金融数据范围广泛且复杂。奇安信科技集团股份有限公司安全专家张晓兵介绍，中国人民银行印发的《JRT 0197-2020 金融数据安全 数据安全分级指南》对金融行业的数据进行了详细定义，共分为客户、业务、经营管理、监管等四大类数据。其中，客户数据分为个人数据、单位数据；业务数据分为账户信息、法定数字货币钱包信息、合约协议、金融监管和服务、交易信息；经营管理数据分为营销服务、运营管理、风险管理信息、技术管理、综合管理；监管数据分为数据报送、数据收取等。 　　 　　“举例来说，个人数据包括个人自然信息、个人身份鉴别信息、个人资讯信息、个人关系信息、个人行为信息、个人标签信息等；单位数据包括单位基本信息、单位身份鉴别信息、单位资讯信息、单位关系信息、单位行为信息、单位标签信息等。”张晓兵说，如果单位数据、业务数据、经营数据出现问题，会影响单位经济效益，甚至触犯法律。但若监管数据出现问题，则会扰乱正常的金融管理秩序。 　　 　　合理有效的数据安全保护制度逐步完善 　　 　　中国邮政储蓄银行研究员娄飞鹏表示，当前，我国金融数据安全保护制度正逐步完善，“去年10月印发的《国家标准化发展纲要》明确提出，强化信用信息采集与使用、数据安全和个人信息保护、网络安全保障体系和能力建设等领域标准的制定实施。全国金融标准化技术委员会于去年12月公布的《金融数据安全 数据安全评估规范（征求意见稿）》，将为金融数据安全保护工作开展提供更好的规范和指引。” 　　 　　中国人民银行于2019年印发的《金融科技（FinTech）发展规划（2019-2021年）》（以下简称《发展规划》）提出六大重点任务：加强金融科技战略部署、强化金融科技合理应用、赋能金融服务提质增效、增强金融风险技防能力、加大金融审慎监管力度、夯实金融科技基础支撑。在增强金融风险技防能力任务中，该规划又细分四方面子任务：提升金融业务风险防范能力、加强金融网络安全风险管理、加大金融信息保护力度、做好新技术金融应用风险防范，分别从金融业务安全、金融网络安全、金融信息与数据安全、金融应用安全四个方面对金融行业安全提出相应要求。 　　 　　《发展规划》还对建立金融信息安全风险防控长效机制、金融全生命周期管理、金融信息采集和处理、传输安全、存储安全、身份认证、日志审计等提出了相应要求。张晓兵认为，在金融信息保护方面，目前行业整体水平已经达到、甚至超过了《发展规划》对金融行业的整体安全要求。 　　 　　肖飒表示，近年来，我国在金融数据安全保护领域出台了诸多规范性文件，合理有效的数据安全保护制度正逐步完善。在法律法规政策具体实施过程中，金融行业各相关主体已初步形成了数据安全合规理念，也能够有意识去解决可能存在的问题和风险。同时，监管部门对金融数据的监管日益加强，已形成有效的监管体系。 　　 　　在数据安全前提下挖掘数据应用价值 　　 　　娄飞鹏表示，科技创新为金融创新和金融风险防控带来便利的同时，也为金融数据安全保护带来了挑战。从这个角度看，金融数据安全保护的重点难点是如何充分利用新一代信息技术优势，发掘金融数据的应用领域和应用价值，同时确保金融数据合规合法利用。金融机构需要强化对科技、系统建设的投入，增加对相关人员的配备和技能培训，进一步完善相关制度规范，强化数据治理，增进业务部门、风险管理部门、技术部门之间的合作交流，从技术、人员、制度等方面更好地保障金融数据安全。 　　 　　张晓兵认为，当前，我国从数据应用角度对数据安全提出了更高要求。从《规划》提出的任务要求看，“全面加强数据能力建设，在保障安全和隐私前提下推动数据有序共享与综合应用，充分激活数据要素潜能，有力提升金融服务质效”以及“健全安全高效的金融科技创新体系，搭建业务、技术、数据融合联动的一体化运营中台，建立智能化风控机制，全面激活数字化经营新动能”，事关金融数据安全。其中，“在保障安全和隐私前提下推动数据有序共享与综合应用”“搭建业务、技术、数据融合联动的一体化运营中台”是数据安全保障的重点难点。 　　 　　“数据有序共享与综合应用关系着个人数据的获取、企业间数据的共享交换以及数据跨境交换三方面内容。目前，‘多方计算’‘隐私计算’技术可以很好地解决企业之间数据共享交换问题，但对个人数据获取和数据跨境交换方面，业内还没有成熟的产品供给，这需要金融行业和安全厂商共同面对。”张晓兵说。 　　 　　关于“搭建业务、技术、数据融合联动的一体化运营中台”这一要求，张晓兵表示，业务、技术、数据融合联动，需要跨越业务技术、信息化技术、数据技术和三大技术栈，并同时抽离这三个方面的共性，从而形成一体化的运营中台，还要建立“智能化风控机制”，这需要安全厂商根据客户要求合理化定制开发。 　　 　　在金融数字化转型阶段，金融机构如何做到数据合规？张晓兵认为，金融数据合规分为数据安全合规、数据应用合规、数据风控合规。在安全合规方面，需要做好数据分类分级体系建设、数据全生命周期管理、数据传输与存储安全等。在应用合规方面，需要对数据的获取进行特别对待，做好数据的保护、监管与审查工作。在风控合规方面，需要尽早搭建统一的风控管理中台，需要对内外部数据的使用、共享环节进行特别对待，做好数据监管与审查工作。 　　 　　肖飒表示，当下和未来金融数据安全保护的重点和难点是如何在安全合法前提下尽可能地发挥所收集的数据的效用，进而提高金融活动的收益，提升金融服务质效。对此，她建议，企业应当积极主动查询相关文件，遵守有关数据安全制度，同时在企业内部建立合理有效的监管体系，规范相关人员的行为，以达到数据合规的要求，为保护金融数据安全贡献自己的力量。伊志律师事务所位于北京市朝阳区朝外大街乙6号朝外SOHO-C座1209，优越的地理位置，便利的交通条件，安静、专业的办公环境为需求提供方便。 电话：010-84493343 微信：18401228075 电话：18401228075