Ⅰ 防范外资银行泄露重要金融信息:金融大数据下金融安全三大战略点
#管清友:防外资行泄重要信息#
金融信息安全越来越重要已经成为一个不争的事实,更是一个紧迫的事实。
管清友的观点和指向是非常明确的,而其提出的银行信息安全是外资银行的金融信息安全却具有非常大的普遍性意义和战略性意义,特别是在金融大数据趋势之下,金融信息越来越具有战略性和国家安全特性,而曾经或者已经出现的一些事件也大多与金融信息相关。
在金融大数据下金融信息安全三大战略要点:
一是在金融大数据下,金融信息安全应该上升为国家安全战略
我国已经进入一个金融大数据时代,金融大数据的火爆已经远远超出人们的想象。经过几年的发展和新技术的广泛应用,金融大数据的分析和应用已经进入到了一个新的层次,也就是说经过十年的数据积累和 科技 分析能力的提升,目前的大数据分析进入到了一个广泛的应用阶段,又一次的火爆并进入人们的视野也就是理所应当的。
但在金融大数据背景下,金融信息安全越来越应该受到重视。今年以来,金融安全成为人们热议最多的话题,许多 社会 热点话题都或多或少与金融安全高度相关。我国也前所未有地对金融安全问题高度重视,将维护金融安全视作“关系我国经济 社会 发展全局的一件带有战略性、根本性的大事”。
金融安全风险和经济安全风险、生态安全风险、网络安全风险等都属于非传统安全风险范畴,但非传统安全风险越来越对我国的国家安全产生非常大的危害,以前我们对传统金融信息的安全是比较重视的,但在传统金融信息安全的前提下,非传统金融信息安全更应该上升到国家安全战略以提升我国金融信息安全的保障能力。
二是在金融大数据的大环境下,金融信息安全要内外兼治,特别是对外资金融机构涉及我国金融信息的安全要强化战略构想和设计
应该说,我们对我国内资金融机构和内资金融信息的安全还是比较重视的,对相关风险的处理也是非常重视和有力度的。
以前我们常说,金融改变人们的生活,生活也会改变着金融;但如今却是,金融大数据已经成为改变人们的生活和金融行为的重要手段和方式,而这种对生活的改变和对行为的改变却有可能成为我国的一种国家安全的风险隐患。
近年来,金融领域的个人信息保护也开始受到重视,而银行客户信息泄露的事件也时有发生,包括个人征信信息未经授权被查询甚至泄露、银行内鬼倒卖客户信息谋利、贷款客户财产信息被泄露、银行App违规收集信息屡遭点名等,不仅仅体现出了金融信息的价值,更体现出了金融信息安全的重要性。
而外资银行涉及的金融信息安全更对我国的经济安全和经济风险带来非常大的安全隐患,特别是华为事件的发生和发展,更是对我国的金融信息安全特别是外资银行、外资审计机构、外资评估机构和外资投资银行机构的金融信息安全敲响了警钟,内外统筹治理金融信息安全应该上升到国家战略的角度并不为过,而且很紧迫。
三是在金融大数据的大背景下,金融信息安全要做到标本兼治,特别是强化国家法律的硬性约束特别关键
金融大数据之下,不仅对未来的金融产业发展前景产生重要的影响,会催生和细分出很多新的行业,如数据存储行业、数据分析行业以及新的其它行业,如人工智能医生、人工智能分析师,都依托于大数据,更重要的是任何人都可以借助于大数据的分析和应用,对产业模式和人们的行为习惯进行改进和引导,从而导致金融服务方式和模式的改变。
更严重的是,如果这些金融大数据被一些不怀好意的境外机构所利用,那就不仅仅涉及到盈利和亏损多少的问题,更可能会在经济安全和国家安全领域带来无法弥补的损失。
由于金融行业数据的量级和复杂性,对金融数据的风险控制、信息安全和数据防护能力以及技术处理手段都提出了更高的要求。更重要的是,我国目前金融信息法律保障机构不健全,缺乏专门性立法,对违法机构和个人的法律追究机制尚不健全。虽然我国从近年来先后出台了关于金融信息的保护性法律法规,但从进一步建立健全金融信息安全的法律法规上还需要进一步完善,特别是对外资银行机构和金融机构涉及金融信息安全的违法行为,一定要从标本兼治的高度进行设计和完善,从而为我国的金融国家安全提供法律保障。
金融信息安全已经上升到国家安全和国家战略,三大战略因素成为重点。 (麒鉴)
Ⅱ 金融数据安全治理,要从基础做起
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,要求“加快培养数据要素”,将数据作为新型生产要素,正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和 社会 生产创新要素之一。
中国人民银行副行长范一飞表示,金融业作为数据密集型行业要深刻认识数据重要意义、深化研究数据管理机制、深度挖掘数据内在价值,为金融装上数据引擎,实现多向赋能。
同时,范一飞强调,目前部分消费者和金融机构数据保护意识相对不足,对数据泄露环节和危害认识不到位,而不法分子窃取数据的手段却不断翻新,从面对面诱骗到远程网络攻击,从木马病毒到短信嗅探,个人隐私泄露等安全事件频频发生,甚至危及人民群众生命财产安全,数据安全保护刻不容缓。
此外,范一飞进一步指出数据及数据安全对于金融行业的重要意义,数据已经成为了金融行业发展的新引擎,在使用数据之前要做好数据安全保护。金融机构不仅仅要做好数据治理,更要做好数据安全治理。这对于金融机构来说不是简单的事情。
以银行为例,根据《中小银行数据安全治理报告》显示,虽然92.5%的银行已经开展了数据安全治理工作,但是采用成熟的方法论几乎是0%。
《报告》指出,目前中国中小银行数据安全治理的总体态势存在三大短板:数据安全体系建设成效参差不齐;未遵循科学的方法论;知识和能力不足。
采用科学的、正确的方法,才能少走弯路,更容易成功。那么什么是数据安全治理的方法论?数据安全治理该怎么做呢?
分级指南:数据安全治理的基础
2020年9月23日,中国人民银行正式发布《金融数据安全数据安全分级指南》(JR/T 0197-2020)(以下简称《指南》)。
《指南》给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。值得注意的是,《指南》虽为推荐性行业标准,但数据分类分级是金融机构所必须进行的重要工作。
《网络安全法》第二十一条规定网络运营者应当采取数据分类、重要数据备份和加密等措施,以防止网络数据泄露或者被窃取、篡改。
2020年4月9日,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确提出“要推动完善适用于大数据环境下的数据分类分级安全保护制度”。
标准主要起草人、国家金融 科技 测评中心(银行卡检测中心)的陈聪博士表示,对数据资产进行梳理并开展数据安全分级是机构开展数据安全管理的起始点。对数据实施分级管理,能够进一步明确数据保护对象,有助于金融机构合理分配数据保护资源和成本,是金融机构建立完善的数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。
有了分级的框架,后续才能够对数据采集和使用等情形进行界定,例如何种金融服务能采集哪些数据、数据如何存储及其留存期限、哪些数据必须加密或脱敏、机构内部和机构之间哪些数据在何种情况下能够进行跨部门、跨机构、跨行业,甚至跨国境的数据共享和传输等等。
因此,《指南》是解决金融行业数据安全应用和数据价值发掘痛点的根本,主要作用是敲地基,是数据安全相关标准制定和实施的基础和前提。换句话说,《指南》是数据安全治理方法论的基础。
数据使用和数据安全的两全之法
对数据的争夺,就是对商机和客户的争夺,而是否能够在这场争夺战中占据优势地位,取决于金融机构自身的数据安全治理能力。
对金融数据的使用和安全,中国人民银行 科技 司司长李伟曾表示,要制定数据分级标准,基于全局数据资产目录将数据进行分级。针对不同等级数据采取差异化的控制措施,实现数据精细化管理。规范数据共享流程,确保数据使用方在依法合规、保障安全前提下,根据业务需要申请使用数据。
由此可以看出,金融数据不是不能共享,也不是不能使用,而是在依法合规、保障安全前提下有序进行。也就是数据使用和数据安全的两全之法。
当前,数据安全能力已经成为金融机构核心竞争力的代表。金融机构自身数据资产安全梳理和数据安全分级作为数据安全管理的第一步,是切实保障金融数据安全应用、强化金融机构数据安全能力的有力保障。
相对体量庞大、业务复杂的机构,从厘清数据资产的难度角度,中小型金融机构落地指南的难度相对较低。
但是从数据安全管理工作一致性和完整性的角度,大型机构具备相对更为完善的组织、岗位和制度体系,以及更为丰富的资源和更加雄厚的资本,数据安全分级落地实施的过程中,能够进行更为全面和有力的统筹和规划,并能够获得更加专业、多样的外部支援力量(如专业人才、外部专家、第三方机构等),能够将数据安全分级与后续数据安全管理有机结合起来,在完成本阶段金融数据安全分级的同时,更加规范、有效地部署和实现覆盖数据生命周期全过程的金融数据安全管理体系。
因此,对于各类型金融机构,数据安全分级工作没有例外、更没有捷径可走。
数据分级首先需要对数据资产进行安全梳理,包括数据资产全面梳理、数据合规资料整理、不同数据安全需求分析以及对数据安全影响情况的评估等工作,即便是对于中小型机构,特别是此前没有将数据安全纳入机构日常安全管理规划中的机构来说,仍然是一项需要给予足够重视和投入才能完成好的工作。
因此可以考虑借助工具、第三方测评机构的技术能力和实施经验等,结合自身数据资产、机构特点、业务情况等,开展数据安全分级,以确保数据安全分级工作合法合规的同时,节约成本,提高效率。
Ⅲ 金融行业如何“把握”大数据
在企业信息化建设及互联网行业的发展过程中,数据量的增长已经达到了前所未有的速度。厂商、分析师以及技术专家认为“大数据”(Big Data)时代已经到来,针对大数据的相关技术已经被IT部门提上了议事日程。除了如何存储管理大数据,更为重要的问题是如何利用大数据为企业服务,通过商业智能以及高级分析应用将其价值发挥到最大。 新概念是新技术的催化剂,在大数据领域中,一些新技术包括Hadoop、MapRece都得到了更广泛的应用,Hadoop、MapRece为通用计算与分布式架构架起了一座桥梁,而传统的企业数据仓库技术则遭遇了前所未有的挑战。 数据大集中目前“数据大集中”的发展趋势已在中国金融业获得了广泛的认同,一些大型的证券商和银行已纷纷走上了这条道路。作为数据及业务应用的核心, 数据中心对于用户的重要性就相当于心脏之于人体。目前,越来越多的金融企业已经投入到对资料中心的建设。事实上,对于众多用户而言,确保每周24小时持续运行已经不再是对资料中心的惟一要求了,先进的资料中心解决方案还应在灵活性、可扩展性、安全性、冗余备份、环境控制以及业务延续性管理等方面有着更为出色的表现,而这一出色表现必须建立在“灵活、健康、高性能的综合布线系统”的基础之上。 不同于其他的行业的是,金融行业已经将网络系统作为其生产机器而并非是一般的办公室运作工具,网络的畅通与可靠运行已经成为金融业正常运转的首要条件。日益复杂的应用系统、海量的数据交换以及不断的更新使得数据中心在其网络系统中占据及其重要的位置。安全:金融业永恒的话题信息安全是金融行业永远的话题。如何利用信息技术的优势加强金融机构的内部控制,提高金融监管和服务水平,防范和化解金融风险,促进金融改革和创新,从而推动我国经济社会的发展,是当前我国金融业信息化建设面临的重大问题。金融信息系统外应用系统相互牵连、使用对象多样化、安全风险的多方位、信息可靠性、保密性要求高等特征构成了金融系统的突出特点。 国际金融危机以来,金融系统的风险控制和监管被提到了前所未有的高度。 史立谈道:“金融行业对网络的安全性、稳定性要求很高,系统要能够高速处理数据,还可以提供冗余备份和容错功能,保证系统在任何情况下都能够正常运行,否则就会给用户带来巨大的损失,同时系统需要提供非常好的管理能力和灵活性,以应对复杂的应用。” 当然,大数据在金融行业一切都还处于初级阶段,但是,金融企业每天处理的数据规模依然在保持增长,大数据分析使得商务决策越来越接近原生数据,信息的质量也变得愈加重要。如果同样复杂的分析可以运用到相关安全数据上面,那么大数据甚至可以用来改善信息安全。 大数据应该说是具有相当大的价值,但同时它又存在巨大的安全隐患,金融行业是不能容忍任何安全问题,一旦出现问题,必然会对企业和个人造成巨大的损失。也许当大数据真的能够解决安全以及稳定性的问题时,大数据才能真正融入金融行业当中。
Ⅳ 大数据时代 如何保障征信信息合规使用
大数据时代 如何保障征信信息合规使用
在大数据时代,汇聚了个人当前信用价值的各项信息越来越受到各行业的重视,其背后的价值不可估量。目前商业银行及各类金融机构越来越多地将业务延伸至互联网,相比于传统的线下与客户面对面沟通的场景,商业银行及各类金融机构现在更多采用征信、大数据服务机构提供的数据产品来协助设计并开展互联网创新业务。例如通过个人的社交、消费、行为类数据对个人进行身份画像、信用评估等。但无论是个人信用信息还是报告类产品,由于涉及个人隐私,根据《征信业管理条例》要求:除依法公开的个人信息外,采集个人信息应当经信息主体本人同意,未经同意不得采集;除法律另有规定外,他人向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途,征信机构不得违反规定提供个人信息。因此,如金融、征信机构需要采集、查看个人信用数据,就必须得到由金融消费者本人签署的授权书。但在现实中,征信授权却存在不少问题,例如:一些金融机构设计的授权条款含糊不清,没有界定授权范围和时效,存在一次授权,多次使用、无限使用的情况;在线上签署授权书时,由于多数人对授权缺乏了解,所以经常在未详细查看授权内容的情况下就点击“同意协议”;发生纠纷时,监管机构、公安机关如要对授权书进行鉴别,缺乏有效的鉴别手段确认授权书是否由金融消费者本人在业务发生时间签署。目前,国家对个人信息的保护力度在不断加大,特别是随着《网络安全法》的实施,金融、征信、数据服务机构如果在个人数据采集、使用的过程中未能保障用户的知情权、同意权等权益,则很有可能担负法律责任。如何在享受大数据时代红利的前提下,有效保障个人信息安全,合法合规采集并使用相关信息,已成为从业机构急需解决的问题。针对目前个人数据授权、采集方式的粗放化弊端,引入金融科技助其走向合规化不失为一条良策。就在近期,一款由第三方电子认证机构中国金融认证中心(CFCA)研发的数据信息主体电子授权产品——“安心授权”即将上线,该产品可为相关机构在获取用户信用查询授权、合法合规使用用户信息时提供以下帮助:产品基于电子认证、FIDO生物识别等技术,实现对用户身份的认证和对授权书的电子签名,起到抗抵赖、防篡改、防伪造,保障授权书内容的真实性、完整性、机密性,并符合我国《合同法》、《电子签名法》、《网络安全法》和《征信业管理条例》等法律规范,所签署的电子授权书与传统的纸质授权书具有同等法律效力,为电子授权书的签署方和使用方提供完善司法保障。
“安心授权”电子授权书可对用户签名真实有效性进行验证
采取“一事一授权”原则,即针对特定用途,在特定时间获得专有授权,并通过签发场景证书或加盖电子时间戳确认授权时间,避免出现单次授权,却被反复、多次、无限使用的情况。对个人用户来说,如果相关机构使用“安心授权”平台让其签署电子授权书,用户在签署前会收到手机验证码的提示,保障了其知情权。而一旦在事后出现授权纠纷,“安心授权”还可出具《数字签名验证报告》等电子证据供当事方作为司法证据使用。“安心授权”采用的这种电子授权形式符合大数据时代的应用及监管需求,可广泛运用于大数据信息查询场景。长期来看,除金融、征信机构外,所有与数据服务使用相关的行业均可采取该方式确保个人信息的规范化查询、采集和使用。