金融科技時代數據安全治理問題與建議

劉宇

摘 要：金融科技的迅猛發展改變了金融業的創新思路和經營理念，數據作為基礎生產資料，在金融科技發展過程中起了關鍵的推動作用。金融領域的數據重要且敏感，在金融科技發展的同時做好數據安全保護顯得尤為重要。文章從近年來發生的重大數據安全事件出發，介紹了國內外主要數據安全法律要求，分析了當前金融科技創新發展中數據利用存在的風險，最后提出了新時代金融領域加強數據安全保護的建議。

關鍵詞：金融科技;數據安全;數據治理

中圖分類號：TP309.2????????? 文獻標識碼：A

1 引言

近年來，以“大智移云”為代表的新技術與金融業交互融合，新興金融產品不斷涌現，金融經營模式正在發生著深刻變革，金融科技已成為引領金融機構實現創新發展和轉型升級的核心力量。數據是金融機構最基礎的生產資料，金融科技應用離不開大量數據的收集、聚合和分析，高質量數據整合和利用已成為金融科技創新的原動力和助推劑。與此同時，無論是金融機構，還是金融科技公司，通過不同渠道和方式收集了大量機構數據和個人信息，具有極大的分析和利用價值。若管理水平和防護措施不到位，導致數據丟失、損壞或者泄露，會給機構和個人帶來難以估量的損失。因此，做好數據安全治理，對于維護金融穩定、保障人民權益具有極其重要意義。

2 數據安全形勢日益嚴峻

數據是數字經濟時代最重要的生產要素之一，大數據高速發展的同時，其安全問題也日益凸出。國內外數據破壞、泄露事件屢有發生，并且規模和嚴重程度越來越大，數據安全問題已成為金融科技創新發展的制約因素之一。鎖定、破壞計算機數據的勒索病毒在2017年開始大規模爆發，從WannaCry、Petya到GlobeImposter及其變種，勒索病毒更新迭代速度越來越快，攻擊方式花樣翻新，其攻擊目標也從個人用戶逐漸轉向大型機構和企業用戶，成為近年來網絡數據安全最大的威脅。2018年，芯片代工企業臺積電遭受勒索病毒攻擊，短時間內生產線全部停擺，損失高達17.6億元;華住旗下酒店發生大規模信息泄露，被公開售賣的信息包括網站注冊和酒店客人的姓名、身份證、手機號碼等共約5億條信息，堪稱近年來國內規模最大最嚴重的信息泄露事件。國外近幾年也經常發生數據泄漏事件：美國信用評估巨頭Equifax于2017年遭到黑客攻擊，導致美國一半人口的個人信息被泄露，此次攻擊的主要原因是Equifax未能及時修補Apache發布的Struts高危漏洞補丁;2018年，印度國家身份認證系統Aadhaar被爆遭到網絡攻擊，該系統存儲了印度11.2億人的重要身份信息，包括指紋、虹膜紀錄等極度敏感個人特征信息均遭到泄露，因為個人生物信息的唯一性和不可變更性，此次信息泄露給印度公民帶來了長期持續和不可預知的惡劣影響。

3 國內外數據安全保護情況

數據安全關系到金融機構資產安全、個人隱私安全和社會安全穩定，是當前網絡安全的重要議題之一。近年來，面對嚴峻的數據安全態勢，世界各國相繼出臺法律、法規和政策，規范數據使用，加強敏感信息和重要數據保護。

3.1 國外重要數據法律法規

近年來最著名的數據保護法律當數歐盟在2018年5月25日出臺的《一般數據保護條例》（GDPR），它取代了1995年頒布的《數據保護指令》，一統歐盟內零散的個人數據保護規則，統一明確了歐盟內相關組織機構處理隱私和數據保護的要求。該法律管轄范圍不但包括了歐盟境內的企業，還包括收集處理歐盟公民信息的其他全球企業，對于違反數據保護規定的企業最高處罰可達到2000萬歐元或者該企業上一年度全球營業額的4%。GDPR的實施讓歐盟企業真正開始將數據保護列為企業經營的必選項，主動滿足合規要求，也為其他地區企業加強數據保護敲響了警鐘。美國的數據和個人隱私保護法有1974年頒布的《隱私權法》，闡明了政府機構應如何收集和儲存個人信息，它是世界上第一部保護隱私的法律。《加利福尼亞州消費者隱私保護法案》（CCPA）將在2020年1月1日正式實施，該法案授權消費者可以有條件控制公司收集和管理的個人信息，比如數據訪問權、數據刪除權、數據泄露私人訴訟權等，并規定了數據泄露的賠償責任和金額。

3.2 國內數據法規標準

隨著我國移動互聯網的迅猛發展，個人信息泄露也呈現愈演愈烈的趨勢，相關部門通過制定法律法規和行業規范，不斷加強我國數據安全和個人隱私保護。2015年《刑法修正案（九）》明確了侵犯公民個人信息罪的判罰依據。2017年正式實施的《網絡安全法》第四章明確規定了網絡運營者要防止數據被泄露篡改，任何個人不得竊取重要數據和個人敏感信息，在法律上進一步完善了網絡數據和個人信息保護的要求。《信息安全技術 個人信息安全規范》于2018年5月1日正式實施，該規范對企業收集、使用、共享個人信息等行為提出了詳細、明確的指引和參考，為企業規范使用個人數據提供了標準。《銀行業金融機構數據治理指引》要求金融機構依法合規收集和應用數據，保護客戶隱私并改進數據安全技術。《移動金融基于聲紋識別的安全應用技術規范》是我國金融行業第一個生物識別技術標準，明確了金融領域聲紋信息采集、傳輸、存儲、處理、刪除等全生命周期數據安全要求，為生物識別技術在金融領域的安全、可靠應用奠定了良好基礎。

4 金融科技數據安全存在的主要問題

通過大數據、云計算、人工智能等技術的應用，數據在助力金融機構實現精準客戶營銷、優化客戶服務、創新智能產品、完善風險防控等方面展現出了巨大價值，數據是核心戰略資產的地位得到越來越多的認同。如何最大程度地挖掘數據價值，高質量開展數據治理是金融機構完成數字化轉型、實現持續健康發展的核心動能之一。金融機構掌握了大量的金融交易數據和客戶敏感信息，既是數據的生產者，也是數據的分析和存儲者，規范合理利用數據，保護重要數據安全有義不容辭的義務和不可推卸的責任。目前，我國金融科技總體發展水平還處于初級階段，相關法規標準也不健全，行業還存在野蠻生長、無序發展的亂象，數據保護不力，非法使用，違規交易等現象時有發生。

4.1 數據濫用

目前，金融行業還沒有關于個人數據信息收集、使用的明確監管規則，在金融科技領域濫用個人數據的現象相對其他行業更加嚴重。大數據殺熟、過度營銷、數據倒賣等現象在金融科技領域可謂是屢見不鮮。比如，為了實現精準營銷而非法采集個人消費行為數據，為了降低信貸風險而過度收集個人交易和信用信息等，一些所謂的金融科技大數據公司就是以數據買賣和非法采集起家，甚至直接從外部購買黑灰產數據。

4.2 數據泄露

金融科技領域匯集了海量的機構市場數據、客戶行為數據和交易數據，是金融機構掌握的核心數字資產，也是別有用心者覬覦窺探的寶藏。個人資產信息、征信信息、生物特征信息等都關系到每個人的切身利益和幸福生活，一旦泄露，會給個人和家庭造成不可挽回的損失。特別是個人的生物識別特征，因為具有唯一性，也很容易被復制，一旦泄露就無法挽回，會嚴重危害個人隱私和財產安全。從近年來重大數據泄露事件來看，泄露原因既有外部黑客攻擊，也有內部管理疏漏;既有安全意識薄弱，也有安全防護措施不到位等原因。

4.3 數據污染

大數據、人工智能、深度學習等技術應用均離不開適當的算法、可靠的模型和合理的數據，一旦訓練樣本數據不全，或者被惡意污染導致“中毒”，訓練的結果都會大相徑庭，甚至是產生完全相反的結果。數據污染具有很大的隱蔽性，一項數據受到污染，將導致一連串的嚴重后果。做好數據治理，規范、統一內外部數據標準，加強數據安全保護是避免數據污染的切實有效途徑。

4.4 數據保護力度不夠

金融科技是新興事物，總體發展仍處于初級階段，不同機構對金融科技理解水平不一致，數據安全保護意識參差不齊，仍然存在重發展、輕安全，重利益、輕風險的經營理念。特別是一些中小機構，身份鑒別、加密存儲、容災備份等傳統的數據安全保護手段都不到位，一旦發生黑客攻擊、系統故障或自然災害，信息泄露和數據丟失將不可避免，不但對個人數據安全是一大威脅，也給金融機構經營帶來了巨大風險。

5 金融科技數據安全治理建議

數據治理是金融科技時代數字化轉型升級的基礎，而數據安全則是數據治理工作的前提。金融機構存儲的數據蘊含大量私人信息和商業秘密，如果忽略數據治理中的數據安全問題，會埋下巨大安全隱患和風險。只有保障數據安全、做好數據安全治理，金融科技才能真正發揮其巨大的創新價值，助力金融機構實現轉型發展的時代目標。

5.1 完善金融領域數據安全法規標準

金融機構存儲的數據不但包括客戶基本信息、交易行為數據，還包括金融機構自身的財務、憑證、市場等重要數據，相對于其他行業而言，金融業對業務連續性和數據安全有更加嚴格的需求。應在我國現行數據安全法律、辦法、規范和指南的基礎上，結合我國金融行業數據管理的要求和特點，參照國外相關數據保護要求，制定適合我國金融科技發展的數據安全法規和制度。在數據安全管理和數據保護技術上更加嚴格要求，比如明確個人隱私和重要數據采集范圍、存儲方式、加密手段、使用原則、留存期限、備份方法等。應形成行業強制性標準，加大違規懲罰力度，在遵循國家數據安全保護的前提下，進一步滿足金融行業業務特殊性的要求。

5.2 強化金融領域數據安全合規監管

要充分發揮新技術在促進金融監管、強化數據風險防控方面的作用。利用監管科技引導金融機構規范數據安全治理，實現監管要求的自動化、流程化和規范化管理，提升監管效率，降低監管成本。以金融機構或者互聯網企業行為為導向，按照只要涉及金融業務數據均應該納入監管范圍的原則實施監管，被監管單位通過監管科技自動匹配監管要求，實現數據全生命周期和全流程監督和監測。特別是要嚴懲并曝光侵犯個人隱私、違規采集數據、非法數據買賣等行為，發揮警示威懾作用，建立行業數據使用自律機制，形成對金融監管的有效配合和有力支撐。

5.3 同步開展數據安全治理

數據安全是數據治理的前提，數據治理是數據安全的保障。各金融機構應按照國家和行業法律法規要求，在進行數據治理的同時，同步規劃、建設和使用保護措施以確保數據的安全規范利用。應建立統一規范的內外部數據標準，根據數據的重要性對數據進行分級分類，對不同層次的數據采取不同的安全保護措施，突出重點，有的放矢。打通數據內外邊界，實現數據的透明性和可追溯性，確保外部數據合理合規和安全可靠。通過完善的安全管理和有效的安全技術保證數據更加廣泛的共享和應用，使安全成為競爭力，讓安全成為發展的新動能。

5.4 加強數據安全技術研究和應用

保護數據安全就是要保證數據的機密性、完整性和可用性。數據安全保護與網絡安全防護緊密相關，應加大數據安全技術研發力度，積極推動新技術在金融領域數據保護和操作審計中的應用，從源頭切斷數據泄露、濫用和污染的可能性。比如，在數據流通和數據存儲階段，通過差分隱私、同態加密等技術可以實現不泄露個人隱私條件下的數據分析處理。區塊鏈技術可以提供可信的多方計算環境，實現高效、安全的利益分配機制。同時，區塊鏈技術先天還具備日志記錄、可追溯、不可篡改等特性，非常適合做數據安全的追溯審計。安全多方計算技術可以確保在保護數據隱私的前提下，實現多方安全協同計算，并確保各參與方得到正確的數據結果。

6 結束語

金融作為國家重要信息基礎設施，是國家安全的重要組成部分。金融科技時代金融數據安全不但關系到金融機構自身的健康發展，更關系到國家社會穩定和人民切身利益。監管層應盡快建立金融領域數據保護標準和規范，利用監管科技加強數據全生命周期監管，嚴懲違法違規行為。金融機構應把數據安全作為企業發展的核心價值，主動滿足合規要求，積極布局實踐安全可信通信和加密存儲技術，切實維護國家利益和保障金融安全穩定。

參考文獻

[1]?杜躍進.數據安全治理的幾個基本問題[J].大數據，2018，4（06）：85-91.

[2]?周季禮，李德斌.國外大數據安全發展的主要經驗及啟示[J].信息安全與通信保密，2015（06）：40-45.

[3]?胡文華.沖擊與應對：GDPR與《網絡安全法》比較視野下的企業合規[J].中國信息安全，2018（07）：77-81.

[4]?吳沈括，孟潔，薛穎，趙小琳.《2018年加州消費者隱私法案》中的個人信息保護[J].信息安全與通信保密，2018（12）：83-100.

[5]?卞雨茗.商業銀行數字化轉型下的數據治理[J].銀行家，2018（04）：76-78.

[6]?周丹.大數據時代個人數據民法保護問題研究[D].華中師范大學，2015.

[7]?董祥千，郭兵，沈艷，段旭良，申云成，張洪.一種高效安全的去中心化數據共享模型[J].計算機學報，2018，41（05）：1021-1036.