本报记者 杨井鑫 北京报道
商业银行数据安全关系着数字化转型的成败。随着大数据崛起、客户需求的不断演变,监管对于银行数据隐私和安全性要求也在不断提升,这也意味着银行需要加快数据安全体系建设,以实现更高的合规性和竞争力。
近日,国家金融监督管理总局发布了《银行保险机构数据安全管理办法(征求意见稿)》(以下简称“《办法》”),要求银行保险机构按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任;制定数据分类分级保护制度,并采取差异化的安全保护措施。
据《中国经营报》记者了解,银行数据安全管理此前一直处于粗放式发展状态,各家银行对于数据安全的要求也存在差别。如今银行场景建设、风险管理、客户关系等环节逐渐实现数字化,数据价值的体现是以数据安全为基本前提。但是,敏感数据泄露事件频发,部分银行不时吃罚单,银行数据安全体系建设的完善已迫在眉睫。
推进数据安全监管
过去数字金融发展存在一定程度的野蛮生长、监管空白等现象,现在已经逐步被纳入监管全覆盖的政策框架,专项整治政策正在过渡到常态化监管。
3月19日晚,央行公布了新的货币政策委员会委员名单,其中4人退出4人加入。记者注意到,不论是退出委员会名单的国务院发展研究中心原副主任刘世锦,还是刚刚进入名单的北京大学国家发展研究院院长、北京大学数字金融研究中心主任黄益平,都对数字金融发展极为看重。
对于数字金融的看法,刘世锦曾明确表示,我国正处在一个前所未有的数字技术和数字经济发展机遇期。“数字技术和金融的融合,过去解决的是比较简单的问题,如征信、客服等,下一步要争取解决相对复杂的问题,如风险防控、预测决策等,包括解决当下人力解决不了的问题。”
黄益平则认为数字金融是很重要的中国故事,并建议做好数字金融大文章,助力金融强国建设。“传统金融机构利用数字技术改进了金融服务效率。”
黄益平称,过去数字金融发展存在一定程度的野蛮生长、监管空白等现象,现在已经逐步被纳入监管全覆盖的政策框架,专项整治政策正在过渡到常态化监管。
2022年12月,国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,旨在从数据产权、流通交易、收益分配、安全治理等四方面构建数据基础制度,增强金融科技、数字经济等领域的发展新动能。其中,明确提到了“加大个人信息保护力度,推动重点行业建立完善长效保护机制,强化企业主体责任,规范企业采集使用个人信息行为。创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私”。
2023年7月24日,央行发布了《中国人民银行业务领域数据安全管理办法(征求意见稿)》,明确了数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施等方面。
国家金融监督管理总局近日发布的《办法》与此前央行对数据安全管理的要求一脉相承。国家金融监督管理总局有关司局负责人指出,有必要充分发挥监管的“指挥棒”作用,通过强化政策要求引导银行保险机构压实主体责任,完善内部制度,采取有效的措施加强数据管理和保护,确保客户信息和金融交易数据安全。
《办法》明确,建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。同时,强化数据安全管理,银行保险机构应按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,在开展相关数据业务处理活动时应当进行数据安全评估。
同时,《办法》要求,银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人,明确各层级负责人的责任,明确违规情形和责任追究事项,落实问责处置机制。
国家金融监督管理总局有关司局负责人强调,要求银行保险机构明确管理流程,主动评估风险,对数据安全风险进行有效监测,防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。
构建数据安全体系
金融行业由于涉及大量高价值用户数据且与交易密切相关,往往会成为黑产攻击的对象。一旦数据泄露,被倒卖给借贷机构、诈骗团伙等等,很可能对消费者利益造成损害。
日前,国家计算机病毒应急处理中心“点名”了一家银行金融机构和非银信贷金融机构的App存在隐私不合规行为,而此前被“点名”的银行遍及国有大行、股份行和城商行,理由包括强制收集非必要个人信息、隐私政策内容不完善等等。
记者注意到,在2023年的监管罚单中,多家银行因泄露风险遭到监管处罚,理由包括“违规泄露客户信息”“违反个人金融信息保护规定”“信息安全和员工行为管理不到位”“数据安全管理缺失”等等。
值得一提的是,2023年7月,国家金融监督管理总局发布的《关于加强第三方合作中网络和数据安全管理的通知》中深入揭示了部分金融机构对信息科技外包服务商、第三方生态合作者的依赖度不断加大,由于风险管控不严,导致网络、数据等信息安全风险事件频繁上演。
“银行数据安全体系是一个系统的体系建设,包括管理体系、技术体系、运营体系等,涉及建立安全管理组织构架,制定网络与数据安全管理制度,规范网络与数据日常安全运营操作流程,制定数据安全应急预案,建立风险评估制度等方面。”一家股份制银行人士表示。
他认为,银行的数据安全管理工作是贯穿银行生产运营的各个环节,数据安全管理角色需要各个部门的配合,不能仅局限在信息科技部门或数据治理部门。“数据安全需要将管理与技术有机结合。管理上要重视,技术上要加大投入。一些敏感数据不仅要加密、脱敏与集中防护,内部防止数据泄露,外部防止网络技术攻击违规获得数据。”
对于银行数据安全的措施,华夏银行长沙分行表示,把妥善保护客户信息安全放在首位,强化科技赋能,在筑牢金融科技安全防线、打牢数字金融发展“地基”等方面持续发力。
该行称,为确保客户信息受到妥善保护,银行采取授权审批、脱敏处理、添加水印等多种技术手段对重要信息的读取和使用设限。梳理出姓名、联系方式、证件号码等8种类型敏感信息,针对性制定相应脱敏规则和操作流程,对关键字符、数字等进行特殊处理,巧妙隐藏完整要素,在不影响业务办理的前提下预防信息被恶意使用、泄露。所有对外展示的敏感数据均设置水印,水印显示数据使用者的账号、IP地址等信息,有效防止数据被拍照或截图导致泄露。对内部数据的访问权限,该行进行精准控制,因业务需要确实需要查询详细信息的,由上级主管审核审批后方可操作,为敏感数据的合理使用加上一层“保险”。
一家券商银行业分析师认为,多数大型商业银行目前已成立数据安全组织,并实行数据资产梳理,目前则需要构建完善的多元数据分类分级体系。由于大型商业银行的数据量庞大,频繁的数据使用和销毁过程中容易出现敏感数据泄露问题,需要强化数据的溯源和加密能力,以更强的技术手段实现对数据的高效管理。中小银行则需要着重梳理自身在数据安全管理方面的不足和盲区,制定规范的数据安全保障制度,保护银行内部数据隐私,落实金融业务合规要求。
“金融行业由于涉及大量高价值用户数据且与交易密切相关,往往会成为黑产攻击的对象。一旦数据泄露,被倒卖给借贷机构、诈骗团伙等等,很可能对消费者利益造成损害。”该分析师认为,加强数据安全体系建设不是一家银行的事情,而是整个行业的事情。