數字化轉型下的商業銀行數據安全治理研究

戚君賢

本文介紹了國內外數據安全治理的政策法規，結合國內商業銀行數據安全治理現狀提出相關建議，對銀行業金融機構開展數據安全治理具有較強的現實指導意義。

黨的十九大報告提出要“推動互聯網、大數據、人工智能和實體經濟深度融合”，并提出建設“數字中國”，進一步突出了數據作為國家基礎性戰略性資源的重要地位。2020年4月《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》中明確了將數據作為生產要素，強調數據價值。銀行業屬于信息高度密集型行業，以新技術為特征的金融科技蓬勃發展帶給銀行業前所未有的沖擊，數字化轉型成為銀行業生存發展的必由之路。隨著商業銀行數字化轉型，銀行業數據資源面臨的安全威脅也日益嚴峻。

一、數據安全治理國內外政策

Gartner 2017安全與風險管理峰會上首次提到數據安全治理（Data Scurity Governance）概念，面對日益嚴峻的數據安全威脅，世界主要國家全面加強數據保護的立法和監管。

2018年，歐盟正式施行《通用數據保護條例》（簡稱GDPR），任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。同年，美國通過第一部隱私法案《加州消費者隱私法案》，強化了數據主體對個人信息的控制權，規范企業收集處理數據的方式。2019年，印度通過《個人數據保護法案》。2020年，新加坡發布《個人數據保護法（修訂）》草案。

近年，國內也加強了數據保護立法和監管規則的制定。2017年，我國正式施行《中華人民共和國網絡安全法》，將個人信息保護納入網絡安全保護的范疇。2019年5月，國家互聯網信息辦公室對《數據安全管理辦法（征求意見稿）》公開征求意見。2020年3月，中國國家市場監督管理總局、國家標準化管理委員會正式發布《信息安全技術個人信息安全規范GB/T 35273—2020》用于替代原有的GB/T 35273—2017，對個人信息的全生命周期各階段提出了明確要求。2020年7月，《中華人民共和國數據安全法（草案）》全文在中國人大網公開征求意見。

在金融行業，2018年5月中國銀保監會發布了《銀行業金融機構數據治理指引》，明確提出數據安全的要求。2020年3月，中國人民銀行正式發布《個人金融信息保護技術規范》（JR/T 0171—2020），從安全技術和安全管理兩個方面，對個人金融信息保護提出了規范性要求。

目前，國內商業銀行在數據安全治理方面進行了積極的實踐，一些銀行結合大數據治理和數據安全管理的實踐經驗，開展數據安全治理框架的研究，從組織建設、制度流程、技術工具等方面構建數據安全保護體系。

二、商業銀行數據安全治理現狀

（一）組織架構管理

數據安全治理工作涉及到商業銀行全體人員，需充分考慮到數據保護工作的系統性，建立完備的數據安全治理組織架構。目前，商業銀行一般是信息科技部門牽頭負責數據（安全）治理工作，各業務部門負責數據安全制度落地工作。部分商業銀行建立大數據管理部，由大數據管理部牽頭開展數據標準、數據質量、數據安全管理等工作，信息科技部負責開展數據安全（技術控制）相關的數據安全治理工作，各業務部門負責本條線的數據安全治理相關工作，推動數據安全治理的具體工作實施。在實踐中，少數銀行的大數據管理部的數據安全管理與信息科技部門信息安全管理有交叉，還存在職責邊界不清問題。

（二）數據安全管理

實施數據安全管理，首先，梳理數據資產以掌握數據資產清單和數據分布，建立數據分級分類標準，明確數據的安全保護等級。其次，在數據分級分類的基礎上建立敏感數據識別手段，以數據作為管理目標建立數據生命周期安全管控體系，系統性地保護敏感數據安全。最后，在數據全生命周期的管理中，銀行業金融機構應當建立數據安全策略與標準，依法依規地采集和應用數據，明確訪問與使用等權限，完善數據安全保護技術。

目前，商業銀行數據全生命周期管理中在數據使用及銷毀階段的管控能力比較薄弱，尤其是辦公終端散落存放客戶敏感信息且管理控制不到位，容易造成敏感數據批量泄漏。全國性銀行基本建立并實施數據全生命周期安全保護制度與流程，并配套相關技術工具，但是在特殊場景下存在部分流程與技術工具失效的缺陷。中小商業銀行普遍未建立數據的分級分類標準，一般通過終端安全軟件預防數據泄漏，由于缺乏體系性的安全策略，數據安全風險敞口不容忽視。

（三）治理后評價管理

評價管理是對數據安全治理的綜合評價及評估過程，包括內外部安全評估和審計、網絡安全等級保護測評、監管部門的監督檢查以及外部案例信息通報等，可反映數據安全治理體系運行的綜合效果。商業銀行根據評價結果，不斷完善數據安全治理體系，對流程與工具進行適應性改進，實現治理體系地持續優化。目前，商業銀行對數據安全治理評價管理不足，對發現的問題通常是“頭痛醫通，腳痛醫腳”，未能開展系統性評價進行持續優化。

三、數據安全治理措施與建議

（一）完善監管政策

遵循國家現行相關的法律法規和政策標準，跟進正在立法階段的《數據安全法》、《個人信息保護法》等法律法規，建議起草制定《金融業數據安全管理辦法》。新的數據監管政策要與現行的行業政策互補、兼容，特別需要明確跨境數據的監管規定，以應對復雜的國際數據安全治理形勢及數據安全環境。

（二）完善數據安全治理體系

銀行業金融機構開展數據安全治理體系建設，首先，明晰治理體系戰略目標、范圍和內容，明確組織架構并制定考核責任制。其次，建立數據安全組織架構及規章制度，建設數據信息分級分類標準，制定相應的分類分級防護策略。最后，采用數據安全保護技術與工具，對數據全生命周期實施安全管控。一是數據采集階段。關注采集的數據是否符合國家法律法規和行業規定，進行數據分類分級和數據來源屬性標識，便于識別敏感數據及后期的數據溯源。二是數據傳輸和存儲階段。關注非授權用戶向信息系統查詢敏感數據、不安全環境下的明文傳輸數據、敏感數據存儲不當等問題。三是數據使用與銷毀階段。關注敏感數據的使用場景、使用周期以及銷毀，特別是數據使用過程的信息脫敏，以及數據銷毀的合規性等。

（三）開展數據安全治理后評估

銀行業金融機構實施數據安全治理，定期對標監管政策要求或者根據國家標準《GB/T37988-2019信息安全技術數據安全能力成熟度模型》進行自評估或第三方機構的評估，持續優化數據安全治理工作機制。

四、結語

數據治理是我國治理體系和治理能力現代化的重要組成部分。數據安全治理是數據治理的一個部分，數據治理強調數據價值屬性，數據安全治理強調數據的安全屬性。隨著國際數據安全形勢的日益嚴峻，數據安全治理迫在眉睫。銀行業金融機構在實施數據治理過程中，應積極開展數據安全治理，同步規劃，穩步實施，切實保障數據資源的價值釋放。

作者單位：安徽銀保監局