金融行业是产生和积累数据量最大、数据类型最丰富的领域之一,尤其是随着传统金融行业的数字化转型、深化。同时,金融数据有着广泛地应用场景、应用范围,有着极高的数据应用价值,是关乎企业核心竞争力的重要资产。也因此,金融行业必须要守护好数据安全。但是,随着金融数据作用的不断凸显,数据安全与个人信息保护在新时代也面临新的风险与挑战。
金融行业的安全挑战
1.金融监管趋严,金融机构数据合规难
随着网络安全法、个保法、数据安全法等法律法规的落地、实施,金融市场监管逐步趋严。
具体来说,在信息安全保护方面,金融机构出现的违规行为包括违反信用信息采集、提供、查询及相关管理规定,信息科技风险管理不到位;在个人信息权益保护方面,包括对提供个人不良信息未事先告知信息主体本人、未建立以分级授权为核心的消费者金融信息使用管理制度,未明示收集、使用消费者金融信息的目的、方式和范围。
尤其是个保法实施以来,有关部门对金融机构数据安全、个人信息保护、消费者权益保护的监管也愈加趋严,在合规前提下开展数据治理成为金融机构的必答题。
2.金融机构数据又多又杂
由于金融行业业务环境下的数据资产种类繁多,数据库类型多达十几种,管理难度大;且随着业务开展数据量呈指数级爆发式增长,数据复杂且海量。
同时,金融行业数据还存在权属关系不明确、数据不清晰、数据资产的防护粒度较粗,缺乏差异化保护等问题。例如,不少金融机构不清楚自身业务环境有多少资产和数据,这些资产和数据的分布情况,哪些是直接关系客户无法通过调研得到结果。
另外,随着社会发展,除了基本的客户信息数据(如姓名、身份证等),当下的客户信息数据不仅包含金融资产特征信息、股票账号信息,还包括了微信号、GPSD定位、QQ号码等新型身份特征,以及新能源车辆信息…这些业务数据的种类多样,价值高低不一,需要进行分类分级管理。
3.金融机构数据对外展示、外部合作的风险
金融机构在不同渠道、不同界面,因业务需求会对外展示和传输业务数据,存在数据被盗取的巨大潜在风险。例如,金融行业会有很多外包需求,但因外包导致客户敏感数据被泄露的事件也多有发生。
数据安全防护策略
由于金融行业数据价值的凸显和商业利益的驱动,数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题层出不穷。2020年全球数据泄露达到360亿条,创历史新高,攻击数据安全类型更加多样化。
如何构建以数据安全为目标,结合应用场景的管控方案成为金融机构、金融行业数据安全管理的迫切需要。
首先,制定统一的数据安全防泄密措施,健全数据使用合规管控制度,需遵从和落实国家的法律法规要求,参照国家的数据安全标准,明确数据使用的合规要求和安全红线。
以2020年中国人民银行发布的《个人金融信息保护技术规范》为例,其中明确了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,我国的个人信息保护法在惩罚力度上比欧盟《通用数据保护条例》更为严格。因此,金融行业需尽快梳理出各系统、各业务中对于个人金融信息是如何存储和使用的。
其次,进一步建立和完善相关制度,如数据分类分级制度。利用工具,先是对现有的数据进行调研、梳理,再对数据进行分类分级管理。
例如,数据分类的依据主要有三方面,一是梳理形成的数据清单,其次是要结合人工调研了解到的数据应用场景及业务,三是中国人民银行发布的《金融数据安全数据安全分级指南》等;依据类别划分方法,确定数据项或数据项集合所属数据类;依据子类划分方法,确定数据项或数据项集合所属数据子类。
最后,在数据产生、收集、处理、使用等过程中,要做好数据生命周期的安全管理。一方面,是结合一些防泄密产品和工具,可在一定程度地避免数据泄露等安全问题。另一方面,要对内部人员进行行为管控。