Ⅰ 防範外資銀行泄露重要金融信息:金融大數據下金融安全三大戰略點
#管清友:防外資行泄重要信息#
金融信息安全越來越重要已經成為一個不爭的事實,更是一個緊迫的事實。
管清友的觀點和指向是非常明確的,而其提出的銀行信息安全是外資銀行的金融信息安全卻具有非常大的普遍性意義和戰略性意義,特別是在金融大數據趨勢之下,金融信息越來越具有戰略性和國家安全特性,而曾經或者已經出現的一些事件也大多與金融信息相關。
在金融大數據下金融信息安全三大戰略要點:
一是在金融大數據下,金融信息安全應該上升為國家安全戰略
我國已經進入一個金融大數據時代,金融大數據的火爆已經遠遠超出人們的想像。經過幾年的發展和新技術的廣泛應用,金融大數據的分析和應用已經進入到了一個新的層次,也就是說經過十年的數據積累和 科技 分析能力的提升,目前的大數據分析進入到了一個廣泛的應用階段,又一次的火爆並進入人們的視野也就是理所應當的。
但在金融大數據背景下,金融信息安全越來越應該受到重視。今年以來,金融安全成為人們熱議最多的話題,許多 社會 熱點話題都或多或少與金融安全高度相關。我國也前所未有地對金融安全問題高度重視,將維護金融安全視作「關系我國經濟 社會 發展全局的一件帶有戰略性、根本性的大事」。
金融安全風險和經濟安全風險、生態安全風險、網路安全風險等都屬於非傳統安全風險范疇,但非傳統安全風險越來越對我國的國家安全產生非常大的危害,以前我們對傳統金融信息的安全是比較重視的,但在傳統金融信息安全的前提下,非傳統金融信息安全更應該上升到國家安全戰略以提升我國金融信息安全的保障能力。
二是在金融大數據的大環境下,金融信息安全要內外兼治,特別是對外資金融機構涉及我國金融信息的安全要強化戰略構想和設計
應該說,我們對我國內資金融機構和內資金融信息的安全還是比較重視的,對相關風險的處理也是非常重視和有力度的。
以前我們常說,金融改變人們的生活,生活也會改變著金融;但如今卻是,金融大數據已經成為改變人們的生活和金融行為的重要手段和方式,而這種對生活的改變和對行為的改變卻有可能成為我國的一種國家安全的風險隱患。
近年來,金融領域的個人信息保護也開始受到重視,而銀行客戶信息泄露的事件也時有發生,包括個人徵信信息未經授權被查詢甚至泄露、銀行內鬼倒賣客戶信息謀利、貸款客戶財產信息被泄露、銀行App違規收集信息屢遭點名等,不僅僅體現出了金融信息的價值,更體現出了金融信息安全的重要性。
而外資銀行涉及的金融信息安全更對我國的經濟安全和經濟風險帶來非常大的安全隱患,特別是華為事件的發生和發展,更是對我國的金融信息安全特別是外資銀行、外資審計機構、外資評估機構和外資投資銀行機構的金融信息安全敲響了警鍾,內外統籌治理金融信息安全應該上升到國家戰略的角度並不為過,而且很緊迫。
三是在金融大數據的大背景下,金融信息安全要做到標本兼治,特別是強化國家法律的硬性約束特別關鍵
金融大數據之下,不僅對未來的金融產業發展前景產生重要的影響,會催生和細分出很多新的行業,如數據存儲行業、數據分析行業以及新的其它行業,如人工智慧醫生、人工智慧分析師,都依託於大數據,更重要的是任何人都可以藉助於大數據的分析和應用,對產業模式和人們的行為習慣進行改進和引導,從而導致金融服務方式和模式的改變。
更嚴重的是,如果這些金融大數據被一些不懷好意的境外機構所利用,那就不僅僅涉及到盈利和虧損多少的問題,更可能會在經濟安全和國家安全領域帶來無法彌補的損失。
由於金融行業數據的量級和復雜性,對金融數據的風險控制、信息安全和數據防護能力以及技術處理手段都提出了更高的要求。更重要的是,我國目前金融信息法律保障機構不健全,缺乏專門性立法,對違法機構和個人的法律追究機制尚不健全。雖然我國從近年來先後出台了關於金融信息的保護性法律法規,但從進一步建立健全金融信息安全的法律法規上還需要進一步完善,特別是對外資銀行機構和金融機構涉及金融信息安全的違法行為,一定要從標本兼治的高度進行設計和完善,從而為我國的金融國家安全提供法律保障。
金融信息安全已經上升到國家安全和國家戰略,三大戰略因素成為重點。 (麒鑒)
Ⅱ 金融數據安全治理,要從基礎做起
2020年4月9日,中共中央、國務院印發《關於構建更加完善的要素市場化配置體制機制的意見》,要求「加快培養數據要素」,將數據作為新型生產要素,正式與土地、勞動力、資本、技術等傳統生產要素並列為國家基礎戰略性資源和 社會 生產創新要素之一。
中國人民銀行副行長范一飛表示,金融業作為數據密集型行業要深刻認識數據重要意義、深化研究數據管理機制、深度挖掘數據內在價值,為金融裝上數據引擎,實現多向賦能。
同時,范一飛強調,目前部分消費者和金融機構數據保護意識相對不足,對數據泄露環節和危害認識不到位,而不法分子竊取數據的手段卻不斷翻新,從面對面誘騙到遠程網路攻擊,從木馬病毒到簡訊嗅探,個人隱私泄露等安全事件頻頻發生,甚至危及人民群眾生命財產安全,數據安全保護刻不容緩。
此外,范一飛進一步指出數據及數據安全對於金融行業的重要意義,數據已經成為了金融行業發展的新引擎,在使用數據之前要做好數據安全保護。金融機構不僅僅要做好數據治理,更要做好數據安全治理。這對於金融機構來說不是簡單的事情。
以銀行為例,根據《中小銀行數據安全治理報告》顯示,雖然92.5%的銀行已經開展了數據安全治理工作,但是採用成熟的方法論幾乎是0%。
《報告》指出,目前中國中小銀行數據安全治理的總體態勢存在三大短板:數據安全體系建設成效參差不齊;未遵循科學的方法論;知識和能力不足。
採用科學的、正確的方法,才能少走彎路,更容易成功。那麼什麼是數據安全治理的方法論?數據安全治理該怎麼做呢?
分級指南:數據安全治理的基礎
2020年9月23日,中國人民銀行正式發布《金融數據安全數據安全分級指南》(JR/T 0197-2020)(以下簡稱《指南》)。
《指南》給出了金融數據安全分級的目標、原則和范圍,以及數據安全定級的要素、規則和定級過程。值得注意的是,《指南》雖為推薦性行業標准,但數據分類分級是金融機構所必須進行的重要工作。
《網路安全法》第二十一條規定網路運營者應當採取數據分類、重要數據備份和加密等措施,以防止網路數據泄露或者被竊取、篡改。
2020年4月9日,中共中央、國務院《關於構建更加完善的要素市場化配置體制機制的意見》明確提出「要推動完善適用於大數據環境下的數據分類分級安全保護制度」。
標准主要起草人、國家金融 科技 測評中心(銀行卡檢測中心)的陳聰博士表示,對數據資產進行梳理並開展數據安全分級是機構開展數據安全管理的起始點。對數據實施分級管理,能夠進一步明確數據保護對象,有助於金融機構合理分配數據保護資源和成本,是金融機構建立完善的數據生命周期保護框架的基礎,也是有的放矢地實施數據安全管理的前提條件。
有了分級的框架,後續才能夠對數據採集和使用等情形進行界定,例如何種金融服務能採集哪些數據、數據如何存儲及其留存期限、哪些數據必須加密或脫敏、機構內部和機構之間哪些數據在何種情況下能夠進行跨部門、跨機構、跨行業,甚至跨國境的數據共享和傳輸等等。
因此,《指南》是解決金融行業數據安全應用和數據價值發掘痛點的根本,主要作用是敲地基,是數據安全相關標准制定和實施的基礎和前提。換句話說,《指南》是數據安全治理方法論的基礎。
數據使用和數據安全的兩全之法
對數據的爭奪,就是對商機和客戶的爭奪,而是否能夠在這場爭奪戰中占據優勢地位,取決於金融機構自身的數據安全治理能力。
對金融數據的使用和安全,中國人民銀行 科技 司司長李偉曾表示,要制定數據分級標准,基於全局數據資產目錄將數據進行分級。針對不同等級數據採取差異化的控制措施,實現數據精細化管理。規范數據共享流程,確保數據使用方在依法合規、保障安全前提下,根據業務需要申請使用數據。
由此可以看出,金融數據不是不能共享,也不是不能使用,而是在依法合規、保障安全前提下有序進行。也就是數據使用和數據安全的兩全之法。
當前,數據安全能力已經成為金融機構核心競爭力的代表。金融機構自身數據資產安全梳理和數據安全分級作為數據安全管理的第一步,是切實保障金融數據安全應用、強化金融機構數據安全能力的有力保障。
相對體量龐大、業務復雜的機構,從釐清數據資產的難度角度,中小型金融機構落地指南的難度相對較低。
但是從數據安全管理工作一致性和完整性的角度,大型機構具備相對更為完善的組織、崗位和制度體系,以及更為豐富的資源和更加雄厚的資本,數據安全分級落地實施的過程中,能夠進行更為全面和有力的統籌和規劃,並能夠獲得更加專業、多樣的外部支援力量(如專業人才、外部專家、第三方機構等),能夠將數據安全分級與後續數據安全管理有機結合起來,在完成本階段金融數據安全分級的同時,更加規范、有效地部署和實現覆蓋數據生命周期全過程的金融數據安全管理體系。
因此,對於各類型金融機構,數據安全分級工作沒有例外、更沒有捷徑可走。
數據分級首先需要對數據資產進行安全梳理,包括數據資產全面梳理、數據合規資料整理、不同數據安全需求分析以及對數據安全影響情況的評估等工作,即便是對於中小型機構,特別是此前沒有將數據安全納入機構日常安全管理規劃中的機構來說,仍然是一項需要給予足夠重視和投入才能完成好的工作。
因此可以考慮藉助工具、第三方測評機構的技術能力和實施經驗等,結合自身數據資產、機構特點、業務情況等,開展數據安全分級,以確保數據安全分級工作合法合規的同時,節約成本,提高效率。
Ⅲ 金融行業如何「把握」大數據
在企業信息化建設及互聯網行業的發展過程中,數據量的增長已經達到了前所未有的速度。廠商、分析師以及技術專家認為「大數據」(Big Data)時代已經到來,針對大數據的相關技術已經被IT部門提上了議事日程。除了如何存儲管理大數據,更為重要的問題是如何利用大數據為企業服務,通過商業智能以及高級分析應用將其價值發揮到最大。 新概念是新技術的催化劑,在大數據領域中,一些新技術包括Hadoop、MapRece都得到了更廣泛的應用,Hadoop、MapRece為通用計算與分布式架構架起了一座橋梁,而傳統的企業數據倉庫技術則遭遇了前所未有的挑戰。 數據大集中目前「數據大集中」的發展趨勢已在中國金融業獲得了廣泛的認同,一些大型的證券商和銀行已紛紛走上了這條道路。作為數據及業務應用的核心, 數據中心對於用戶的重要性就相當於心臟之於人體。目前,越來越多的金融企業已經投入到對資料中心的建設。事實上,對於眾多用戶而言,確保每周24小時持續運行已經不再是對資料中心的惟一要求了,先進的資料中心解決方案還應在靈活性、可擴展性、安全性、冗餘備份、環境控制以及業務延續性管理等方面有著更為出色的表現,而這一出色表現必須建立在「靈活、健康、高性能的綜合布線系統」的基礎之上。 不同於其他的行業的是,金融行業已經將網路系統作為其生產機器而並非是一般的辦公室運作工具,網路的暢通與可靠運行已經成為金融業正常運轉的首要條件。日益復雜的應用系統、海量的數據交換以及不斷的更新使得數據中心在其網路系統中占據及其重要的位置。安全:金融業永恆的話題信息安全是金融行業永遠的話題。如何利用信息技術的優勢加強金融機構的內部控制,提高金融監管和服務水平,防範和化解金融風險,促進金融改革和創新,從而推動我國經濟社會的發展,是當前我國金融業信息化建設面臨的重大問題。金融信息系統外應用系統相互牽連、使用對象多樣化、安全風險的多方位、信息可靠性、保密性要求高等特徵構成了金融系統的突出特點。 國際金融危機以來,金融系統的風險控制和監管被提到了前所未有的高度。 史立談道:「金融行業對網路的安全性、穩定性要求很高,系統要能夠高速處理數據,還可以提供冗餘備份和容錯功能,保證系統在任何情況下都能夠正常運行,否則就會給用戶帶來巨大的損失,同時系統需要提供非常好的管理能力和靈活性,以應對復雜的應用。」 當然,大數據在金融行業一切都還處於初級階段,但是,金融企業每天處理的數據規模依然在保持增長,大數據分析使得商務決策越來越接近原生數據,信息的質量也變得愈加重要。如果同樣復雜的分析可以運用到相關安全數據上面,那麼大數據甚至可以用來改善信息安全。 大數據應該說是具有相當大的價值,但同時它又存在巨大的安全隱患,金融行業是不能容忍任何安全問題,一旦出現問題,必然會對企業和個人造成巨大的損失。也許當大數據真的能夠解決安全以及穩定性的問題時,大數據才能真正融入金融行業當中。
Ⅳ 大數據時代 如何保障徵信信息合規使用
大數據時代 如何保障徵信信息合規使用
在大數據時代,匯聚了個人當前信用價值的各項信息越來越受到各行業的重視,其背後的價值不可估量。目前商業銀行及各類金融機構越來越多地將業務延伸至互聯網,相比於傳統的線下與客戶面對面溝通的場景,商業銀行及各類金融機構現在更多採用徵信、大數據服務機構提供的數據產品來協助設計並開展互聯網創新業務。例如通過個人的社交、消費、行為類數據對個人進行身份畫像、信用評估等。但無論是個人信用信息還是報告類產品,由於涉及個人隱私,根據《徵信業管理條例》要求:除依法公開的個人信息外,採集個人信息應當經信息主體本人同意,未經同意不得採集;除法律另有規定外,他人向徵信機構查詢個人信息的,應當取得信息主體本人的書面同意並約定用途,徵信機構不得違反規定提供個人信息。因此,如金融、徵信機構需要採集、查看個人信用數據,就必須得到由金融消費者本人簽署的授權書。但在現實中,徵信授權卻存在不少問題,例如:一些金融機構設計的授權條款含糊不清,沒有界定授權范圍和時效,存在一次授權,多次使用、無限使用的情況;在線上簽署授權書時,由於多數人對授權缺乏了解,所以經常在未詳細查看授權內容的情況下就點擊「同意協議」;發生糾紛時,監管機構、公安機關如要對授權書進行鑒別,缺乏有效的鑒別手段確認授權書是否由金融消費者本人在業務發生時間簽署。目前,國家對個人信息的保護力度在不斷加大,特別是隨著《網路安全法》的實施,金融、徵信、數據服務機構如果在個人數據採集、使用的過程中未能保障用戶的知情權、同意權等權益,則很有可能擔負法律責任。如何在享受大數據時代紅利的前提下,有效保障個人信息安全,合法合規採集並使用相關信息,已成為從業機構急需解決的問題。針對目前個人數據授權、採集方式的粗放化弊端,引入金融科技助其走向合規化不失為一條良策。就在近期,一款由第三方電子認證機構中國金融認證中心(CFCA)研發的數據信息主體電子授權產品——「安心授權」即將上線,該產品可為相關機構在獲取用戶信用查詢授權、合法合規使用用戶信息時提供以下幫助:產品基於電子認證、FIDO生物識別等技術,實現對用戶身份的認證和對授權書的電子簽名,起到抗抵賴、防篡改、防偽造,保障授權書內容的真實性、完整性、機密性,並符合我國《合同法》、《電子簽名法》、《網路安全法》和《徵信業管理條例》等法律規范,所簽署的電子授權書與傳統的紙質授權書具有同等法律效力,為電子授權書的簽署方和使用方提供完善司法保障。
「安心授權」電子授權書可對用戶簽名真實有效性進行驗證
採取「一事一授權」原則,即針對特定用途,在特定時間獲得專有授權,並通過簽發場景證書或加蓋電子時間戳確認授權時間,避免出現單次授權,卻被反復、多次、無限使用的情況。對個人用戶來說,如果相關機構使用「安心授權」平台讓其簽署電子授權書,用戶在簽署前會收到手機驗證碼的提示,保障了其知情權。而一旦在事後出現授權糾紛,「安心授權」還可出具《數字簽名驗證報告》等電子證據供當事方作為司法證據使用。「安心授權」採用的這種電子授權形式符合大數據時代的應用及監管需求,可廣泛運用於大數據信息查詢場景。長期來看,除金融、徵信機構外,所有與數據服務使用相關的行業均可採取該方式確保個人信息的規范化查詢、採集和使用。