將“雙刃劍”變成“殺手鐗” 監管嚴控金融數據安全
本報記者 王柯瑾 北京報道
金融數據具有高價值和高敏感性,金融數據安全與國家安全和金融消費者權益密切相關。
近年來,銀行業、保險業數字化變革加速演進,新技術、新業態不斷涌現,數據合作共享日益頻繁。與此同時,金融領域面臨的數據安全風險形勢複雜嚴峻,也給金融機構數據安全管理帶來新的挑戰。
爲規範銀行業、保險業數據處理活動,保障數據安全、金融安全,促進數據合理開發利用,維護社會公共利益和金融消費者合法權益,金融監管總局近日製定《銀行保險機構數據安全管理辦法》(以下簡稱“《辦法》”)。
“數據資源已經成爲經濟發展的重要資源要素之一,金融機構需要面對如何平衡好大數據挖掘與個人信息保護。此次金融監管部門出臺《辦法》做出權威、細緻的指引,爲金融機構安全高效使用數據信息提供指引,在保障金融業規範健康發展方面具有深遠意義。”光大銀行金融市場部宏觀研究員周茂華分析認爲。
監管“指揮棒”及時出手
據悉,《辦法》共9章81條,包括數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理等。主要內容包括:一是強化數據治理頂層設計,二是落實分類分級管理要求,三是強化數據安全管理體系,四是加強個人信息保護,五是完善風險監測處置機制。
一直以來,數據安全都是監管關注的重點。《中國經營報》記者注意到,在2024年的監管罰單中,多家銀行便因數據治理違反審慎經營規則被處罰,包括數據治理存在缺陷、數據治理不到位等情況。
數據是把“雙刃劍”。一方面,數據的深度挖掘可以更好地推動金融業務發展;另一方面,數據泄露、濫用等將嚴重損害個人隱私安全、破壞市場秩序,甚至威脅整個金融體系的安全。
在數字時代,將“雙刃劍”變成“殺手鐗”,需要加強頂層設計。金融監管總局有關司局負責人在回答記者提問時表示,有必要充分發揮監管的“指揮棒”作用,通過強化政策要求引導銀行保險機構壓實主體責任,完善內部機制,採取有效的管理和技術措施加強數據安全保護,確保客戶信息和金融交易數據的安全。
強化“個人信息保護”
據瞭解,《辦法》單獨設置“個人信息保護”章節,以進一步落實《數據安全法》《個人信息保護法》等上位法要求,體現保護消費者信息和權益的政策導向。主要規定包括:銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施,並限於實現金融業務處理目的的最小範圍,不得過度收集個人信息。處理、共享和對外提供個人信息時,應當履行必要的告知義務,並取得必要同意。不得以個人不同意處理其個人信息或者撤回同意爲由,拒絕提供產品或者服務,處理個人信息屬於提供產品或者服務所必需的除外。在開展涉及對個人權益有重大影響的個人信息處理活動時,應當進行個人信息保護影響評估。委託第三方處理個人信息時,應明確受託人對個人信息的保護義務、保護措施和期限等。發生或者可能發生個人信息泄露、篡改、丟失的,銀行保險機構應當立即採取補救措施,並向監管部門報告。
“從一些案例看,目前部分機構在數據收集、傳輸、查詢及使用等環節管理不夠規範,部分機構在與第三方機構合作方面存在信息數據使用不規範、個人信息保護不到位以及個人信息安全保護技術有待提升等問題。”周茂華表示。
郵儲銀行研究員婁飛鵬在接受本報記者採訪時表示:“隨着數字技術快速發展,數據成爲重要的生產要素,銀行保險機構需要充分利用數據做好金融服務,提升經營管理。在此過程中也需要強化對數據的管理,尤其是業務發展中要牢固樹立數據是生產要素的理念,根據業務發展需要最小範圍收集個人信息數據,同時在內部做好數據流轉使用管理,強化內部信息系統及防火牆建設,防止客戶信息泄露風險事件發生。”
而此次《辦法》也明確要求銀行保險機構制定數據分類分級保護制度,建立數據目錄和分類分級規範,動態管理和維護數據目錄,並採取差異化的安全保護措施。在數據分類方面,對機構業務及經營管理過程中獲取、產生的數據進行分類管理,具體類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。在數據分級方面,銀行保險機構應根據數據的重要性和敏感程度,將數據分爲核心數據、重要數據、一般數據,其中一般數據細分爲敏感數據和其他一般數據;當數據的業務屬性、重要程度和可能造成的危害程度發生變化,導致安全級別不再適用的,及時進行動態調整。
“用魔法打敗魔法”
數據安全是金融機構的“生命線”。2024年11月27日,人民銀行、發改委等七部門聯合印發《推動數字金融高質量發展行動方案》就強調,加強數據和網絡安全防護,加強數字金融業務監管,提升金融監管數字化水平,健全金融消費者保護機制。
建設銀行方面披露,該行圍繞戰略轉型、業務經營、交易處理和內部控制等領域,強化信息技術運用,形成了前中後臺“三道防線”各自獨立、相互協調、有效制衡的管理機制。推動數據安全分級保護措施在生命週期各個環節落地,圍繞數據安全涉及的重點場景和關鍵環節,開展數據安全專項檢查。持續完善數據質量管理系統功能,推進數據質量常態化監測,開展覆蓋全集團的數據質量自查和檢查工作。
根據《辦法》,銀行保險機構信息科技部門是數據安全的技術保護主責部門。婁飛鵬表示:“對金融機構而言,維護數據安全不僅需要提高從業人員數據安全保護意識,也要完善制度建設強化數據安全規範化管理,還要加大科技投入提高信息系統安全水平。”
此外,記者亦從業內瞭解到,金融機構也在積極探索量子技術賦能金融數據安全。中國銀行研究院研究員劉晨表示:“基於量子密鑰分發(QKD)技術的密鑰分發爲金融數據安全提供了重要保障。我國在這方面應用處於全球前列,目前國內多家商業銀行已經在量子保密通信方面積極開展應用探索,‘墨子號’‘京滬幹線’等量子保密通信網絡基礎設施也爲遠距離金融信息安全傳輸提供了支撐。”
(編輯:朱紫雲 審覈:何莎莎 校對:顏京寧)