基于治理能力的金融業數據安全分析

◆曹虎 葛慶鳴

（中國印鈔造幣總公司戰略規劃部 北京 100044）

“十九大”報告明確指出“全面深化改革總目標是完善和發展中國特色社會主義制度、推進國家治理體系和治理能力現代化”，并要求2020 年到2035 年基本實現。黨的十九屆四中全會進一步將數據列為重要生產要素，提出做好數據治理與融合應用是建立現代中央銀行制度的基礎。

《中華人民共和國網絡安全法》在一般規定中，對“防止網絡數據泄露或者被竊取、篡改”提出了詳細要求，同時單獨設立“網絡信息安全”章節，提出了有關個人信息的網絡信息安全防護要求。《中華人民共和國數據安全法（草案）》圍繞“數據安全與發展、數據安全制度、數據安全保護義務”等方面進行了詳細論述，提出“建立健全數據安全協同治理體系，提高數據安全保障能力，推動有關部門、行業組織、企業、個人等共同參與數據安全保護工作”。基于行業特點，金融業保存了大量不同類別、不同敏感級別的數據，主要包括客戶基礎信息、員工信息、機構信息、企業運營數據、業務流程數據等。近年來中國人民銀行牽頭開展的數字人民幣試點工作就是此類典型應用場景，數字人民幣的應用和推廣與數據安全體系下的“有限匿名”特性密切相關。因此，為積極響應國家數據安全防護要求，強化金融業數據安全，需加強金融數據分類分級、安全技術要求、安全管理要求等方面的研究，進一步完善金融業數據安全防護制度，全面加強基于治理能力的金融業數據安全。

1 金融業數據安全防護現狀

隨著金融業各項業務的全面鋪開，產生了不同類型的信息系統，相關的業務系統產生并積累了大量包含用戶名稱、賬號等敏感信息。如果這些數據發生泄露或缺失，不僅會給金融業帶來經濟上的損失，而且會給金融業各項機構的聲譽帶來負面影響。隨著業務種類的多樣化，電子銀行系統經常通過互聯網端向公眾提供各種金融服務，客戶可以通過互聯網開展申請、查詢、管理、轉賬等銀行業務。因此，新型業務方式存在業務邊界模糊、服務方式新穎、服務環境開放等特點，同時，在各金融信息系統中產生了非法竊取或篡改賬戶信息，非法加密或破壞業務信息（勒索病毒）等信息安全問題。

最近幾年發生的比較典型的金融業數據（個人隱私數據）泄露安全事件有：一是英國樂購超市連鎖旗下的樂購銀行客戶信息泄露事件。2016 年，因近萬個客戶的借記卡設計上存在缺陷，造成了客戶300萬美元的損失，于是，2018 英國金融市場行為監管局對相關部門開出了1，640 萬英鎊的罰款單。二是Equifax 公司泄露近1.5 億人的個人信息及財務數據事件。該事件的主要原因在于Equifax 公司長期未修復數據庫中存在的Apache Struts 框架漏洞（補丁已發布數月）2019年7 月，Equifax 公司宣布接受創紀錄的13.8 億美元賠償金的和解協議，從而徹底解決了這樁大規模數據泄露事件。此外，協議還規定，如果最終調查發現受害人數超過700 萬，Equifax 公司還需支付額外的巨額賠償金[1]。

隨著云計算、大數據、物聯網、移動互聯網、5G 等新一代信息技術的發展，新型生態體系下的數據安全領域需要同時考慮“新”威脅和“舊”（傳統）威脅，特別地，金融行業的數據安全和個人隱私保護能力顯得格外重要[2]。下面將分別從上述兩部分分別論述。

1.1 數據安全現狀和挑戰

（1）數據主體的責任不夠清晰

面對不同的金融應用需求，數據在流轉過程中很可能面對不同的責任主體，然而與責任主體相關的安全責任邊界不夠清晰。針對數據的發布、申請、審批等過程，需要確保提供方發布的信息準確，審批過程合規，明確數據提供方責任。針對數據的匯集、交換和共享等過程，需要對流轉過程進行詳細記錄，并對記錄信息進行完整性保護，實現數據流轉過程信息準確、可查。

（2）金融數據安全監管問題逐漸顯現

隨著金融行業不同信息系統的建設，對數據全生命周期過程中的安全監管問題日益突出。可能無法掌握數據流轉過程的狀態信息，需要通過狀態信息匯集和分析，實現數據應用狀態跟蹤、分析并展現，掌握數據流量、共享動態、資源利用等信息。可能無法掌握數據全局性的安全態勢信息，需要對數據的操作行為進行全程的安全審計，對數據的分類分級信息、加密信息、交換的數據內容進行詳細記錄，記錄交換任務細節，做到安全事件可查、安全責任可追溯。

（3）數據分類分級防護需求愈加迫切

各類數據在數據類型、安全風險、被攻擊后所造成的影響等方面都存在一定的差異性，首先需要準確標識數據的安全等級，明確共享數據的共享范圍、安全防護要求。其次，按照數據分類分級防護要求，對共享數據實施適合強度的安全防護，包括加密、脫敏、完整性保護等，避免安全防護強度不足導致敏感數據泄露。最后，數據分類分級防護要貫徹到數據的全生命周期，包括在數據的保留、流轉過程，都需要實施分類分級防護，實現數據的全流程安全。

1.2 個人隱私安全現狀和挑戰

隨著大數據技術的廣泛使用，傳統隱私保護技術所起的作用越來越弱。基于傳統隱私的隱私保護技術，數據所有者或者管理者通常使用加密、脫敏、混淆等方法進行技術防護，防護方向重點分布在單個數據集，防護思維固定在“孤立”地看待不同的數據個體。基于大數據技術的關聯分析和深度挖掘能力，可以間接或直接推理出某些脫敏化的數據，從而有針對性地獲取某些具有價值的個人隱私信息。因此，隨著大數據、物聯網、5G 等先進技術的全面推廣，個人隱私數據泄露問題存在深度挑戰，需要結合金融行業的數據特點，制定針對性的防護方案。

2 金融業數據安全治理建議

基于金融業數據安全現狀，我們從標準體系、“首席數據官”制度、分類分級和個人隱私等方面提出數據安全治理建議。

2.1 做好標準體系建設工作

數據管理體制機制是數據治理標準體系建設的重要組成部分，面對政治環境導向或者實際應用需求時，數據治理可以推動行業數據在應用層面進一步發揮價值。通過國家或者行業標準的研制和應用實施，推動提升各組織的數據管理能力水平，為數據在金融業的流轉保駕護航，推動大數據應用在金融業的繁榮和發展[3]。

數據開放共享是數據治理工作中的重要內容，數據共享平臺的建設，能夠盤活金融業的各項業務，是高質量發展的重要體現。一是建立行業統一的數據開放標準，界定數據開放邊界。數據開放是大數據應用體系、服務體系、產業創新體系的基礎。開放標準將指導行業逐步完善數據開放的策略和計劃，制定數據開放管理的流程和制度，構建數據開放服務平臺和技術體系，實現數據的清晰、便捷和高效應用。二是建立金融業數據共享標準，指導建設數據共享系統，支撐各類業務流程，打破跨行業之間的數據壁壘，達成提高全行業整體運營效能的目標。同時，在數據標準和技術要求的指導下，有效管理共享數據資源，在提升數據資產價值的同時，提高數據資產的使用率。

2.2 建立“首席數據官”制度

隨著金融行業對數據重要性的認知越來越普及，為了更好地做好數據保護，我們總結了以下三種存在不足的現象：一是當開展數據建模等預處理工作時，業務應用和需求之間存在一定的脫節現象，數據關聯、數據挖掘等工作較難開展；二是當進行數據分析時，缺少連貫性的處理動作，對數據的分析不夠到位，需要加強多種數據分析工具的使用；三是數據工作主要圍繞項目開展，比如部署一套商業智能（Business Intelligence，BI）系統，而沒有系統性地進行數據挖掘（滿足核心的業務需求），非常容易形成數據孤島。因此，我們建議建立健全“首席數據官”（Chief Data Officer，CDO）和“數據保護官”（Data Protection Officer，DPO）制度。

CDO 主要職責：負責企業數據安全領域重要發展方向的決策，制定相關的數據保護方面的體制機制，培養或指定DPO 人選，確定企業業務需求，利用數據搜集、抽取、轉化等分析工具，進行針對性的數據挖掘工作，同時，根據數據分析結果，能夠提出改進建議，并規劃出整改周期、內容等詳細流程，從而對企業高層的決策產生一定的影響。CDO 需要配置為企業最高層領導之一，并直接向CEO 進行匯報。

DPO 主要職責：工作內容受CDO 指導，負責數據現狀梳理、數據安全合規評估、規范文檔。

2.3 加強數據分類分級工作

隨著信息技術的廣泛應用，使得金融領域產生了多種類型的數據，同時，使數據成了重要的生產要素。通過對海量數據的挖掘和應用，可以促進新一波生產增長率的提升，以及新一代消費形式的形成。為了更加高效挖掘和使用金融業各項有價值數據，做好數據分類分級工作是重要的支撐性因素。做好數據分類分級工作，可以按照三個步驟進行：一是識別數據資源的類別和內容，二是考察數據資源知悉范圍擴大后的潛在影響，三是確定數據資源的安全級別[4]。

（1）識別數據資源的類別和內容

數據安全分級是根據數據內容進行判斷的，因此，在對數據進行安全分級前，識別數據資源類別，對數據內容描述。識別數據資源類別，可以按照金融業數據分類方法，從數據本身的自然屬性出發，采用主體、領域等多維度方法，對數據進行分類。

（2）確定數據資源的臨時安全級別

確定了數據資源的類型和內容后，參考《哈佛大學數據分級制度》、《伯克利大學數據分級制度》等要求，同時結合金融業數據資源的特點，為數據資源建立臨時安全級別。

（3）確定數據資源的安全級別

不同類型數據知悉范圍擴大后的潛在影響可以在不同的機構或不同的執行條件下會發生變化。在金融業數據的整個生命周期中，其潛在影響的級別也可能不同。確認數據資源的臨時安全級別后，應結合當前實際，對臨時安全級別進行審查，并根據多種因素調整和最終確認每個數據資源的安全級別。具體地，應根據組織、環境、任務、使用和數據共享來審查臨時級別的適當性。審查應從機構的職能重要性、生命周期和信息的時效性、安全政策相關信息、信息特殊處理要求等方面進行，根據審查結果調整安全級別并完成確認。

2.4 探索個人隱私保護原則

由于隱私數據存在被完全公開的可能性，使得任何人都可以查閱，因此，金融行業個人隱私保護的目的在于保障數據隱秘性的同時，更要注意保護相關人員和隱私數據的對應關系，即當隱私數據公布于眾時，卻不能把該數據對應到某個特定的人身上。金融業個人隱私保護主要圍繞兩條主線展開：既要關注收集使用個人信息流程上的合規性，健全數據主體權利保護機制；也要落實安全防護技術措施，提升風險監測及處置能力。建議采取有限采集、數據質量、目的明確、有限使用、安全防護、保持開放、個體參與、可審計性等原則。

3 結束語

通過貫徹和分析《中華人民共和國網絡安全法》、《中華人民共和國數據安全法（草案）》等法律法規，揭示了建立金融業數據安全治理體系的必要性。我們從數據安全、個人隱私保護安全兩個方面分析了金融業數據安全防護現狀，同時，圍繞標準體系、“首席數據官”制度、分類分級體系、個人隱私保護等方面提出了建議。