银行数据安全管理要翻过“几座山”

　　意见领袖 |  新金融联盟NFA

　　“数据安全管理是统筹数据安全和发展的重要举措，因为数据量大面广，涉及环节非常多，难度大、挑战大，就全行业而言还在起步阶段。对于下一步怎么做好数据安全管理，监管部门目前只是给出基本指导框架，后续还将出台执行细则。”4月13日，在新金融联盟举办的“《银行保险机构数据安全管理办法（征求意见稿）》” 内部研讨会上，一位监管专家表示。

　　会上，工商银行首席技术官吕仲涛、招商银行首席信息官江朝阳，北京银行首席信息官龚伟华、泰康保险集团信息安全部总经理李瑞荣做主题发言；国家金融监督管理总局相关司局负责人，中国政法大学互联网金融法律研究院院长李爱君，中国信通院金融科技研究中心主任何阳进行了点评交流。

　　会议由新金融联盟秘书长吴雨珊主持，中国金融四十人论坛提供学术支持。64家银行和非银金融机构，50家金融科技公司及其他机构，共179位嘉宾通过线上线下参会。以下为部分精彩内容。

研讨会现场

　　分类分级保护数据

　　数据安全是国家安全的重要内容，金融数据以其极高的价值，成为网络安全风险事件的重点攻击目标，金融数据安全保护面临严峻形势。

　　国家金融监管总局近日发布的《银行保险机构数据安全管理办法（征求意见稿）》（简称《办法》），拉齐了银行保险类金融机构的数据安全管理标准，对制度建设给出系统指导，为数字金融健康发展指明了方向。会上，嘉宾们围绕如何落实《办法》展开深入探讨。

　　《办法》提出银行保险机构应根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，一般数据又细分为敏感数据和其他一般数据，而此前人民银行则根据金融业机构数据安全性遭受破坏后的影响对象和影响程度将数据安全级别划分为五级，这意味着银行保险机构需要遵循两套体系开展数据分类分级，落实不同的防护要求。

　　对此，吕仲涛表示，“要同时满足两套标准，银行打数据标签会很复杂，从而增加很多监管成本与管理成本。这两套体系也并非必须完全并轨，而是希望能形成映射关系，能一致的话就更好。此外，重要数据定义中的‘特定领域’‘特定群体’等尚无统一规则，易造成各机构间执行不一致。”

　　李瑞荣介绍了泰康保险数据分类分级的探索：结合人行、金融监管总局等监管最新安全要求趋势，泰康保险进一步完善数据分类分级标准，对齐四个大类，从原有5个级别扩展形成兼顾数据集、数据项的“四类四级五层”分级方式。

　　对于银行保险机构在数据分类分级实操中的困惑，预计监管部门或将出台分级分类管理细则，根据数据重要性敏感程度，明确数据分类分级操作标准。

　　个人信息保护是监管重点

　　监管专家表示，“个人信息保护”在《办法》中以专章的形式呈现，体现了对金融消费者保护的重视。《办法》对个人信息保护的要求没有超出《个人信息保护法》的内容，而是其中重要条款的落实，需要银行保险机构严格遵照执行，这将是下一步监管的重点。

　　《办法》规定，处理个人信息需“明确告知、授权同意”。专家表示，过去机构之间共享数据是有问题的，往往只能通过隐私计算等技术手段匿名化或其他方式处理，成本比较高。现在《办法》明确只要取得个人授权，就可以共享数据，这在导向上是放宽的。

　　不过，让客户方便知情在实操中并非易事。吕仲涛建议监管推动建立行业“个人数据账户”，以数据目录的形式展现用户在金融机构留存的信息，协助用户从个人视角，理清个人信息的对外授权情况。同时监管部门可考虑统筹行业特性，建立个人数据账户数据标准，解决金融机构间数据格式不统一等问题。

　　吕仲涛还提出，个人信息范围较难把控，比如个人地图中的常用地址、家庭Wi-Fi信息等是否属于个人信息比较模糊，建议进一步明确个人信息范围。此外，个人信息集合的“颗粒度”决定了信息重要性与敏感程度，比如“姓名+身份证”和“姓名+地址”就差距很大，建议针对重要数据定义中的个人信息字段组合进行适当的差异化对待。

　　如何加强对第三方的管控力

　　金融机构和第三方机构数据互通密切，金融机构不得将数据安全主体责任外包，但对第三方机构的管控力又很薄弱，如何加强对第三方的管控也是一个难题。

　　“银行与第三方机构开展业务合作，比如催收、制卡，银行需提供必要的数据，但缺少对合作方的约束力。”江朝阳建议，在银行自身强化对外管理的同时，也需要推动法律层面明确对第三方的约束，就像延伸审计一样，对第三方延伸监管要求，为金融机构加强第三方管理创造条件。

　　李爱君分析，银行保险机构与第三方机构合作，数据委托处理与数据共同处理责任不同，有的是连带责任，有的不是连带责任。那么，什么时候委托处理，什么时候共同处理？对于委托处理机构，资质是否要有所设定？是否要符合一定的标准？这些方面都值得思考。

　　在数据共享实践方面，龚伟华介绍，北京银行联合外部机构，通过隐私计算平台，建立包含存储安全、通信安全、算法安全的数据安全共享机制，在数据不出域的前提下，实现与外部机构数据共享。

　　落实数据安全要管用平衡、提升效能

　　“在落地数据安全时，管和用的平衡也需要进一步提升。”江朝阳说，去年我们落地一些内部管理安全措施时，体验的确一下就不好了，原先的很多工作习惯被改变。所以在保证安全情况下，还需进一步提高安全发展与效率的平衡。

　　龚伟华表示，数据安全管理要真正管到位，一定要建设标准化、模型化、智能化的运营支撑技术，提升数据安全管理运营的自动化水平和效能。

　　《办法》要求“银行保险机构使用人工智能技术开展业务时，应当就数据对决策结果影响进行解释说明和信息披露。”对此，江朝阳认为，“目前大语言模型的可解释性还不高，要说明数据对决策结果的影响尚有一定难度。”

　　当前，人民银行、网信办、公安等多个监管机构均对银行数据安全工作有指导要求，但因出发点不同，存在一定差异。江朝阳表示，要满足多方监管要求，一方面银行需进一步提高自身能力，另一方面也希望各监管机构之间能更好地协同，统一标准，为金融机构落实数据安全工作创造更好的条件。

　　（文| 余春敏）

　　来源： 新金融联盟NFA

　　(本文作者介绍：一个高质量的新金融政策研讨和行业交流平台。)