金融機構大數據管理的風險分析及防范建議

高立

（貴州茅臺集團財務有限公司，貴州 貴陽 550001）

一、金融機構大數據管理的現狀

近年來隨著大數據技術不斷發展，大數據廣泛應用于社會各領域，成為人類經濟社會、政治生態、教育文化、法治實踐等方面的重要組成要素。特別在金融活動中，金融機構掌握了大量個人的身份信息、個人財產信息和眾多企業的運用情況和財務情況，導致金融機構由于故意或者疏忽，金融大數據管理制度不完善等原因，受到各種處罰和賠償損失。例如根據銀保監會公告，2019 年7 月3 日，銀保監對中信銀行進行處罰，罰款2223.7 萬元，處罰原因為“未向監管部門報告重要信息系統運營中斷事件”和“信息系統控制存在較大安全漏洞，未做到有效的安全控制”；2020年10 月21 日，中國人民銀行發布公告，對六家銀行侵害個人信息罰款逾4000 萬元。

鑒于此，本文試通過分析金融機構大數據風險狀況，提出金融機構防范該項風險的措施建議。本文探討的金融大數據，是指銀行、保險、證券、互聯網金融等金融機構在金融業務中捕捉、管理和處理的巨量數據集合，這些數據從多個維度刻畫了金融消費者的行為特征；通過對金融大數據的運用，金融機構可以提升資源配置效率、強化風險管控能力、促進業務創新。

二、金融機構大數據管理的風險分析

（一）大數據收集階段

我國銀行、證券、保險等金融機構，經歷了從紙質數據收集到電子化數據收集金融消費者信息的階段。紙質數據收集階段，受當時數據處理硬件和技術等客觀條件的限制，金融機構只能對客戶數據做簡單的憑證歸集、機械儲存、簡要分析等工作，金融數據分散且總量小，對應的管理風險小，多集中于操作風險范疇；但隨著互聯網金融的高速發展和大數據技術的不斷完善，金融機構采集金融消費者數據更加便利，但也導致金融大數據管理面臨諸多風險：一是部分金融機構從業人員受利益驅動或市場需要，存在違法采集消費者數據的情況；二是存在部分消費者為取得金融機構的支持，通過隱瞞、捏造等方式向金融機構提供虛假數據信息；三是部分互聯網金融機構由于業務拓展需要，客戶識別流程簡單或客戶身份審查不嚴，導致其收集的客戶數據對金融機構后續的分析和運用毫無價值甚至可能出現洗錢風險；四是信息孤島現象仍普遍存在，跨部門、跨行業的數據共享仍不順暢，有價值的公共信息資源和商業數據開發程度不夠，導致金融機構難易多方位收集或者驗證數據的真實性和判斷信息的價值。

（二）大數據儲存階段

在現階段大數據廣泛應用的背景下，金融數據儲存呈現出多元化態勢，使得大數據管理難度加大。大型金融機構采用數據庫集群或大數據一體機等硬件設施儲存數據，部分金融機構采用云技術儲存信息，雖然數據儲存更加便利，但數據儲存介質的多樣化使得數據的輸入和導出路徑較多，任意一種儲存介質只要被黑客攻破就會使金融數據暴露于風險之中；而實力較弱的金融機構，數據儲存的底層框架非自主構建，內部技術人才缺乏，通過信息技術外包等方式委托第三方機構運營和維護，但目前第三方機構質量參差不齊，很難確保金融大數據到達第三方后能夠得到妥善的保管，同時若第三方機構對大數據儲存過程中潛在的系統漏洞不能及時發現并修復，將使這部分金融數據遭受外部攻擊或泄露，對金融機構和金融消費者造成損失。

（三）大數據分析與應用階段

一是存在大數據認知局限的問題。部分金融機構對大數據的認知停留在數據中心等物理設施建設上，將大數據的儲存視為大數據管理和大數據產業發展的重點，盲目追求硬件設施建設投資，忽視了數據資源的整理、分析和判斷處理能力的建設。二是數據分析技術滯后使得數據“看得見，用不著”，無法發揮其功能；或者金融機構只是擁有金融、會計、財務管理的人員，缺乏綜合掌握數學、統計、計算機等相關學科及綜合應用的專業人才，導致金融機構即時持有大數據資源也沒法分析出金融消費者的投資偏好、甄別出金融消費者的經濟狀況、識別出金融消費者是否存在洗錢等違規活動的信息，造成金融機構決策失誤形成風險。

（四）大數據風險暴露階段

在金融大數據的收集、儲存、分析和運用的過程中，若出現收集虛假大數據、大數據分析失誤和大數據泄露事件，將給金融機構帶來難易估計的損失。收集虛假大數據和分析失誤，金融機構可以通過既有的模型或者流程計算和評估損失；但對大數據泄露造成的損失，我國現階段沒有確定的法律法規對因大數據泄露形成損失的個體進行評估和補償的方式，將導致金融機構面臨不確定的損失。例如《民法典》支持金融消費者提起個人隱私權被侵犯的訴訟請求，但是卻缺少計算損失和損失包括何種款項的依據，金融機構有可能在輿論影響下面臨不確定的賠償。

三、金融機構大數據管理的風險防范建議

（一）政府層面

在立法層面，我國政府已陸續出臺《網絡安全法》、《民法典》和《個人信息保護法》等關于大數據法治或與大數據有關的文件，結合即今年9 月1 日實施的《中華人民共和國數據安全法》，上述法律法規將作為數據安全保護的基本法律框架，對各種數據處理活動產生重大影響。但不可否認，更具有操作性和具體細節的部門規章仍存在立法滯后的現象，特別是涉及金融大數據的法治建設，還需要其他民事、商事法律的配套推進。

因此在政府層面，建議相關部門進一步細化大數據相關制度和聯動機制，提高大數據立法層級，確定金融大數據相關標準和指南，在保護金融消費者權益的同時，通過法律規范、約束和保障金融機構大數據管理的權益和責任；同時充分發揮部門規章靈活性、及時性的特點，修訂或補充相關規章解釋和說明，與時俱進解決金融大數據法治的空白點。例如2020 年 9 月中國人民銀行發布的《金融消費者權益保護實施辦法》，新增了金融消費者權利，填補了個人金融信息保護的制度空缺，但是對金融機構的責任規定仍不完善。

（二）監管層面

1.整合監管資源，形成金融大數據監管的統一體系

目前我國金融機構的監管部門主要為中國人民銀行、銀保監會、證監會和各地方金融監管局等部門，各部門均明確了一定的監管職責，但隨著我國金融市場的不斷發展，金融業務相互交錯，傳統的監管模式捉襟見肘，既存在監管重疊也存在監管真空的現象，特別在大數據信息時代，面對海量的數據信息，單一的監管主體無法應對大數據金融帶來的風險與危機。建議在現有監管框架之內，明確各監管主體職責，厘清中央和地方、各監管部門之間的監管職責，將各監管部門構建成為統一的體系，破除數據孤島現象，制定金融機構大數據管理的統一標準，規范和約束金融機構做好大數據管理工作

2.做好金融大數據壟斷的監管工作

同時，由于一些巨型金融機構憑借其在金融領域的固有優勢，掌握大量數據，客觀上可能會產生金融數據寡頭的現象，甚至產生數據壟斷。建議監管部門對大型金融危機掌握大量金融消費者個人信息、行為信息、消費信息的數據進行分級分類分領域監管，制定反對數據壟斷的監管處罰條例。

3.發揮行業自律組織作用，多渠道保障金融大數據管理

加強行政部門監管的同時，建議充分發揮行業自律組織的作用。行業自律組織具有許多監管部門不具備的優勢，例如其具備較強的制度彈性，能迅速根據大數據科技發展面臨的難題制定相應的行業應對政策；其可以通過教育培訓增強金融主體對金融大數據合規管理的主動意識，遠比法律法規對金融主體的被動約束更有助于提高金融機構大數據管理的能力。

（三）金融機構層面

金融機構應當依照法律法規，結合自身業務特點和金融平臺特性，在大數據采集、存儲和處理、分析和使用、歸檔和銷毀等數據生命周期全流程中建立健全數據安全管理制度，落實數據安全保護責任，履行金融大數據應用和風險防范主體責任。

1.大數據采集階段

金融數據安全的第一道坎就是數據資產識別。金融機構應該結合自身業務特點，建立可實現數據分類分級收集的電子系統，完善數據資產目錄和管理機制，可以識別出金融消費者的姓名、手機號碼、身份證號、地址、銀行卡號、客戶號等個人身份信息，或者結合人行征信中心、法院、工商、稅務等政府部門、電力供水等企業收集企業客戶的信用、納稅、電費水費等情況，有效落實數據分類分級和元數據管理工作，便于金融機構能準確、高效獲取經授權的金融大數據；同時建立對違規收集金融大數據、配合客戶提供虛假大數據的金融從業人員，建議各金融機構在行業監督管理框架下，制定更加詳細的大數據收集操作細則和處罰辦法。

2.大數據儲存和處理階段

金融大數據儲存目前儲存呈現多元化方式，大型金融機構可以設立科技部門或者子公司儲存和維護大數據；部分金融機構采用信息技術外包（ITO）模式將大數據儲存和維護交由第三方管理。第一種模式金融大數據的儲存和處理風險相對較低，但由于大數據的儲存和管理涉及金融機構內部多個部門，建議金融機構明確數據安全負責人和管理機構，落實數據安全保護責任。而對于外包模式，信息外包使金融機構減少了對電子硬件系統和人力成本的投入，但同時也大大提高了金融機構數據泄露的風險。業務外包后，金融機構必然向第三方提供金融消費者的大數據，金融機構對大數據的控制力度弱化但是第三方機構質量參差不齊，很難確保金融大數據在第三方能夠得到妥善的保管。建議金融機構根據數據分類，首先明確什么數據必須自主管理，什么數據可以外包管理；大數據移交外包機構后，金融機構應制定定期和不定期的對外包機構的監督和評價機制，及時預防和發現問題；最后需明確大數據風險暴露后雙方的詳盡責任。

3.大數據分析和使用

“進不來、拿不走、看不懂、改不了”是網絡信息安全建設的目的，同樣也是金融大數據安全管理的目標。這就要求金融機構對大數據加密管理，解密使用，即滿足業務和性能要求，也滿足安全要求。建議金融機構建立完善的數據管理和數據安全組織架構，例如設立數據管理委員會或者數據安全管理小組，負責金融機構數據安全工作的開展和落實，其中可以對金融機構全體員工設置大數據處理權限，IT系統可以根據業務流程和員工崗位職責，遵循知所必需和最小權限原則，對使用大數據的人員分配處理大數據的范圍和時限。同時，金融機構要不斷創建數據挖掘模型和深度剖析獲取的金融大數據，提高整合各渠道數據、判斷數據有效性、預測金融消費者行為的能力，設置因大數據錯誤分析而造成決策失誤和形成金融機構損失的補償辦法。

4.加強大數據風險管理和風險防范知識的教育

金融機構對外應當注重提高消費者的金融素養，強化金融消費者的防風險意識。可以結合群體特性和區域特性開展對應的金融教育活動，通過各類途徑宣傳金融大數據相關的法律法規，提高其風險識別能力、防范風險意識和維權意識，并引導金融消費者通過法定途徑尋求大數據風險暴露后的權利救濟。對內，應該通過教育培訓的方式，提升金融機構全員大數據安全意識和專業人員大數據管理的技術能力。