金融機構貫徹落實《網絡安全法》 路徑探析

王棟

近年來，為做好金融網絡安全和信息化工作，金融科技戰線圍繞整體發展戰略，不斷助力業務創新，持續深化網絡安全管理，為金融改革發展提供了有力支撐。2017年《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的頒布實施，在法律層面將網絡安全工作提高到了國家戰略高度，面對《網絡安全法》的高標準嚴要求和金融科技帶來的機遇與挑戰，金融機構怎樣選擇有自身特色的網絡安全發展路徑值得深入思考。

一、《網絡安全法》概述

2017年6月1日，《網絡安全法》正式實施，這是我國第一部網絡空間綜合性法律，它明確了網絡安全的內涵和工作體制，反映了中央對國家網絡安全工作的總體布局，標志著我國網絡強國制度保障建設邁出了堅實的一步。

《網絡安全法》內容涵蓋了網絡安全工作的各個方面，明確規定了網絡安全等級保護、關鍵信息基礎設施安全保護、網絡安全審查和產品準入、監測預警和信息通報、個人信息保護、網絡信息安全投訴舉報等制度，以及網絡安全事件應急預案和處置、網絡安全信息發布、網絡安全人員背景審查、網絡安全教育和培訓、數據留存和協助執法等工作機制。《網絡安全法》的頒布實施對于確立我國網絡安全基本管理制度具有里程碑式的重要意義，具體表現為六個方面：一是服務于國家網絡安全戰略和網絡強國戰略；二是助力網絡空間治理，護航“互聯網+”；三是構建我國首部網絡空間管轄基本法；四是提供維護國家網絡主權的法律依據；五是有利于在網絡空間領域貫徹落實依法治國精神；六是為網絡參與者提供普遍法律準則和依據。

《網絡安全法》中明確指出，金融行業是關鍵信息基礎設施的運營者，一方面突出了金融行業的戰略地位和意義，另一方面也明確了金融行業做好自身網絡安全工作的義務和責任。同時，積極貫徹落實《網絡安全法》對金融業也具有重要意義，從機構角度，將持續推動改進網絡安全管理的框架和流程；從行業角度，將有效提升整體的網絡安全保護水平，促進科學、可持續發展。

二、金融網絡安全工作要求

《網絡安全法》規定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞，喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護的基礎上，實行重點保障”。這就從法律層面對金融業網絡安全工作提出了更高的要求。

一是金融機構應明晰網絡安全職責主體，完善網絡安全保障體系。《網絡安全法》規定了以下責任主體：國家、網絡相關行業組織、研究機構、企業、高等學校、職業學校、大眾傳播媒介、網絡運營者、網絡產品和服務提供者、關鍵信息基礎設施運營者、網絡安全服務機構、電子信息發送服務提供者、軟件下載服務提供者、個人和組織。明確了上述責任主體在網絡安全支持、網絡運行安全、網絡信息安全、網絡安全事件等諸多方面的職責，清晰界定了網絡安全保障體系各個層面主體責任。

二是金融機構應對關鍵信息基礎設施履行安全保護義務，并積極落實網絡安全等級保護制度。《網絡安全法》第一次以法律的形式確立了關鍵信息基礎設施和等級保護制度，在第二十一條和第三十四條中分別明確了“國家實行網絡安全等級保護制度”和“關鍵信息基礎設施的運營者安全保護義務”。根據第三十八條規定，“關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估”。

三是金融機構采購關鍵網絡產品和服務需通過國家審查。《網絡安全法》第三十五條規定，“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。許多金融機構均為關鍵信息基礎設施運營者，采購產品和服務時必須考慮上述因素，此外，還應“與提供者簽訂安全保密協議，明確安全和保密義務與責任”。

四是金融機構需采取措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。《網絡安全法》第四十二條規定，“網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息”。此外，“網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全”。對于發生或可能發生信息泄露的情況，應按規定及時向用戶和主管部門“雙報告”。

五是金融行業需建立健全網絡安全監測預警和信息通報機制。《網絡安全法》第二十九條規定，“國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網絡運營者的安全保障能力”。第五十一條明確“國家建立網絡安全監測預警和信息通報制度”。第五十二條規定，“負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息”。

三、金融網絡安全工作路徑

《網絡安全法》的頒布實施，一方面為金融行業網絡安全建設管理提出了更高的要求；另一方面也提供了有力的法律依據，進一步指明了金融網絡安全工作的實施路徑。

（一）實施關鍵信息基礎設施保護是金融網絡安全管理的核心工作

目前，許多金融機構把握信息化發展規律的能力仍然不足，對網絡安全風險的認識還有局限，簡單堆砌網絡安全防護產品的現象仍較普遍，導致防線長、投入大、力量分散，關鍵信息基礎設施安全管理工作重點不突出，距離國家政策要求仍有不小的差距。

應該看到，關鍵信息基礎設施保護是《網絡安全法》提出的一項重要戰略舉措。保護金融業關鍵信息基礎設施，降低運營風險，有效應對潛在威脅，既是貫徹落實國家戰略的需要，也是金融業自身生存發展的內在需求。各金融機構應把保障關鍵信息基礎設施安全穩定運行，守住不發生系統性、區域性風險底線作為關鍵信息基礎設施保護的工作目標，對重要信息系統的業務連續性和數據安全性予以足夠的重點保障。

（二）建立網絡安全審查機制實現自主可控是保障金融網絡安全的必經之路

近年來，各金融機構逐步認識到掌握核心技術和自主知識產權的重要性，在系統開發、建設和維護上投入大量精力，對于產品采購也更加注重國產化、多元化，但總體上，金融領域核心產品自主可控程度仍然不高，核心技術產品長期受制于人。客觀上，對于國家建立網絡產品審查機制的需要也日益迫切。

在國家層面，信息系統的供應鏈安全可控對網絡安全管理至關重要。作為《網絡安全法》的配套制度，《網絡產品和服務安全審查辦法（試行）》于2017年6月1日正式實施，其中明確規定金融等重點行業和領域主管部門“組織開展本行業、本領域網絡產品和服務安全審查工作”。下一步，各金融機構應在國家和行業網絡安全審查和產品準入機制基礎上，積極落實國家自主可控戰略，強化自主運維能力，推動金融業進一步掌握核心技術、培養核心能力，并將網絡安全主動權牢牢抓在自己手中。

（三）保護個人信息和重要數據安全是下一階段金融網絡安全工作重心

目前社會上系統數據失竊、用戶敏感信息泄露、非法倒賣大數據等網絡黑產趨利性犯罪日益猖獗，電信詐騙案件高發，公眾利益和金融穩定受到巨大威脅。金融行業大數據安全及金融消費者個人數據保護刻不容緩，越來越多的金融機構將數據安全保護作為今后一段時期的工作重心。

各金融機構應認真貫徹落實《網絡安全法》在個人信息保護方面的要求：一是不經金融消費者授權，避免對第三方提供或者泄露個人信息。二是建立健全數據分類分級機制，明確不同類型數據的保護級別，對個人信息和重要業務數據通過備份、加密等方式進行保護，防止未經授權訪問、篡改和破壞。三是對于發現信息泄露或可能泄露的情況，應及時向金融消費者和有關主管部門報告。

（四）建立健全網絡安全監測預警和信息通報機制是維護安全態勢的必然要求

近年來，國家網絡安全和金融業監管部門不斷完善網絡安全通報機制，對網絡空間出現的最新風險和威脅進行及時和有針對性的提示，各金融機構依據預警和通報信息在風險大規模爆發之前進行了切實有效的防護，收到良好效果。

下一步，金融機構應進一步健全安全事件應急和響應、通報等安全風險全流程閉環管理機制，結合國家層面網絡安全監測預警和信息通報制度，統籌加強各類網絡安全事件和風險的監測、通報，努力形成更加完善的態勢感知和監測預警體系。此外，還應在不斷增強自身專業能力的同時，協同聯動國家、行業或區域網絡安全專控隊伍，增強新型、復雜、高級風險應對處置能力。

（五）在法律框架內加強新興技術與金融融合研究應用是金融網絡安全發展趨勢

近年來，以互聯網和信息技術為基礎的金融科技（Fintech）發展迅速，金融創新進程逐步加快。區塊鏈、大數據、云計算、人工智能等技術在金融領域的應用，促生了新的金融形態和服務模式，降低了金融交易成本，推動了金融脫媒進程。與此同時，金融科技也帶來一定的技術風險和監管挑戰，一方面，金融科技以快速傳輸的信息和數據為基礎，突破原有業務范疇，不同業務互相滲透，風險傳導性強，傳播速度快；另一方面，金融創新產品過度包裝，其風險難以識別和度量，風險隱蔽性更高。

《網絡安全法》明確提出要促進網絡基礎設施建設和互聯互通，鼓勵技術創新和應用，強調要應用網絡新技術提高網絡安全水平。金融機構應進一步跟蹤信息技術與金融融合的發展趨勢和演進方向，分析由此帶來的風險，不斷加強新技術與金融融合發展及其在法律實施方面的研究。監管部門應在鼓勵金融科技發展的同時，出臺相配套的監管制度，充分利用大數據、云計算、人工智能等技術，實現金融風險態勢感知、風險交易挖掘，提升監管時效性、針對性和合規性，鼓勵和引導金融科技健康發展，實現新技術風險可防可控。

（六）加強網絡安全意識培育和人才培養是保障金融網絡安全良好態勢的重要舉措

《網絡安全法》提出要采取措施“提高全社會的網絡安全意識和水平”，金融領域良好的網絡安全環境也必須依靠意識培育和人才培養。《網絡安全法》明確提出“支持培養網絡安全人才”，規定關鍵信息基礎設施運營者必須“定期對從業人員進行網絡安全教育、技術培訓”。金融消費者網絡安全意識培育和金融網絡安全人才培養成為今后金融行業的重要任務已毋庸置疑。

（責任編輯 劉西順；校對 XS）