加強金融資料安全治理，助推金融業隐私保護生态建構

周道許

清華大學 金融科技研究院金融安全研究中心主任

編者按

10月10日，由上海華瑞銀行與中國人民大學國際貨币研究所、金融科技研究所聯合主辦的“華瑞金融科技系列沙龍”第3期線上研讨會成功舉辦。IMI學術委員、清華大學金融科技研究院金融安全研究中心主任周道許參與研讨。他認為，要找到資料“安全”與“運用”之間的平衡點，需要重視三個方面：（1）資料确權和隐私保護；（2）金融資料的跨境流動需求；（3）金融資料安全的分級和生命周期管理。

以下為演講全文：

我們需要在“資料安全保護”與“資料流動共享”之間找到一個平衡點，既要保護好資料的安全，做好隐私保護，又要能夠不阻礙資料的流動共享，充分發揮資料要素的新動能。要找到這個資料“安全”與“運用”之間的平衡點，有三個方面需要重視。

一、資料确權和隐私保護是金融資料安全的關鍵，兩者相輔相成。

數字化的發展過程，本質是人自身價值的資産化過程。在數字化大的曆史發展趨勢中，人的數字價值需重新評估。數字化時代有一個與以往任何時代都不同的重要特征：通過數字化，可量化的個人價值越來越多。

在非數字化時代，人的價值是以單個個體出現的。例如進工廠加工毛衣的剩餘價值等。但數字化時代，人的價值是人本身作為數字資源變現的過程。例如人們刷手機所形成的自媒體流量就能夠創造巨大的廣告價值。

在這個大背景的前提下，“個人隐私”其實是非常重要的“個人數字資産”。如果不能認定個人的隐私價值，那麼個人的隐私作為一種數字資産，很容易被提供數字化産品和服務的公司悄無聲息的奪走。這是一個近乎零成本的價值轉移過程。這也是過去十餘年各大網際網路公司的重要财富密碼——通過對使用者資料的深度掌控來創造财富。是以，在個人隐私數字化的時代，資料的确權，是做好隐私保護的前提。而隐私保護生态的建構，也會進一步推動資料确權粒度的不斷細化。這兩者是相輔相成的。

舉個例子，近年來，我們經常可以看到大街上有一些活動，隻要老百姓參加某個活動，登記一下個人隐私資訊，就能得到一桶油，一袋大米，或者一打雞蛋。這是因為一些老百姓不知道自己的隐私資訊到底能夠值多少錢，是以他會覺得用自己的隐私資訊能夠交換一桶油或者一打雞蛋，是自己賺了。如果我們對個人隐私資料有明确的确權，有明确的價值計量标準，老百姓知道自己的隐私資料可能遠遠不止一桶油一打雞蛋的價值，那隐私保護生态的建構也會是一個主動、自發的過程。

是以，要做好資料隐私保護生态的建構，資料确權和隐私保護兩者缺一不可，相輔相成。

二、金融資料的跨境流動需求将會不斷增加，有兩個方面的問題需要解決。

一是需要進一步細化金融資料跨境流動的相關法律法規建設工作。2016年11月出台的《網絡安全法》第三十七條規定“關鍵資訊基礎設施的營運者在中華人民共和國境内營運中收集和産生的個人資訊和重要資料應當在境記憶體儲。因業務需要，确需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”2022年7月，大陸釋出了《資料出境安全評估辦法》；9月釋出了《資料出境安全評估申報指南（第一版）》。這是大陸跨境資料流動機制體制建設的重要一步。但對于金融資料的跨境流動，從各金融企業所反映的情況來看，由于金融資料的特殊性，希望有更加具有針對性的、更具體的相關法律法規或指南來對金融資料跨境流動進行指導和規範。

二是金融資料跨境流動安全面臨雙重監管，需要對相關監管流程進行梳理。一方面，金融資料跨境流動安全要接受金融行業監管部門的業務監管。這其中涉及到金融資料的本地化、資料出境、資料保密等系列規章制度。金融行業對金融資料安全的監管落腳點是金融業務和金融活動個體，是以涉及的相關規定和監管檔案衆多，且要求較為複雜。另一方面，根據《網絡安全法》，金融資料作為國家重要資料，還涉及到國家安全方面的監管。也就是說，金融資料跨境流動，面臨業務安全和國家安全雙重監管，涉及的監管部門較多，需要有較為清晰的監管流程以明确執法依據和監管職責，進而形成有效抓手。

三、要進一步細化金融資料安全管理分類分級、加強金融資料全生命周期安全的監管。

金融資料安全的分級和生命周期管理關系到國家安全、社會秩序、公衆利益與金融市場穩定。怎樣強化金融資料安全管理能力，保障金融資料安全流動，是一個涉及到金融資料生命周期的問題。

金融資料複雜多樣，逐漸厘清金融資料采集、傳輸、存儲、使用、删除、銷毀的整個資料生命周期各階段的保護要求和保護目标，有助于從業機構降低相關成本，完善金融資料生命周期防護機制。同時，合理、準确、完善的金融資料生命周期安全管理制度，能夠促進金融資料在機構間、行業間的安全應用和共享，有利于金融行業資料價值的開放與利用。

2020年9月23日，中國人民銀行正式釋出《金融資料安全：資料安全分級指南》（以下簡稱《指南》）金融行業标準。标準給出了金融資料安全分級的目标、原則和範圍，明确了資料安全定級的要素、規則和定級過程，并給出了金融業機構典型資料定級規則供實踐參考，适用于金融業機構開展資料安全分級工作，以及第三方評估機構等參考開展資料安全檢查與評估工作。

《指南》的出台，是大陸金融資料安全治理的重要裡程碑。但是從資料生命周期安全的視角來看，由于金融資料本身的特點，在《指南》具體落地過程中，還有一些問題需要不斷細化。比如，從金融機構和金融企業的層面上看，金融資料按某一個标準分類分級之後的資料集，在不同金融場景之中面臨的管控措施是不一樣的。

也就是說，目前金融資料分類分級的落地，主要是針對某一特定場景下的單個資料集來說的，是相對靜态的。但是金融資料在不斷流動的過程中，其實是處在一個動态的價值鍊矩陣當中，不同的金融場景下，面臨着不同的管控限制。是以，怎樣保證金融資料分類分級能夠有效适應金融資料“全生命周期”的合規，是随着金融業數字化轉型，需要不斷研究和實踐的重要命題。

以上三點，是我對怎樣加強金融資料治理，助推隐私保護生态建構的三點看法。

内容來源：IMI财經觀察