案例1
2023年3月,福建銀保監局莆田分局公布的一則行政處罰資訊讓不少銀行客戶氣憤不已。檔案顯示,工商銀行莆田涵江支行因内控管理不到位、未按規定報送案件資訊被罰45萬元,而該支行一從業人員被禁止從事銀行業工作3年,原因是“違規查詢、倒賣客戶個人财産資訊”。
案例2
據媒體報道,一名軟體公司的法定代表人朱某在12年中,利用木馬病毒非法侵入、控制他人計算機資訊系統,非法擷取相關計算機資訊系統存儲的資料。其間,朱某非法控制計算機資訊系統2474台,利用從華夏基金、南方基金、嘉實基金、海富通基金等多家基金公司非法擷取的交易指令,進行相關股票交易牟利,總計獲得違法所得人民币183.57萬元。
······
金融行業是産生和積累資料量最大、資料類型最豐富的領域之一,尤其是随着傳統金融行業的數字化轉型、深化。同時,金融資料有着廣泛的應用場景、應用範圍,有着極高的資料應用價值,是關乎企業核心競争力的重要資産。也是以,金融行業必須要守護好資料安全。但是,随着金融資料作用的不斷凸顯,資料安全與個人資訊保護在新時代也面臨新的風險與挑戰。
在技術層面
中國信通院雲計算和大資料研究所所長何寶宏表示,目前,我們談數字經濟和安全的主要原因,是這幾年大資料技術發展成功後,帶來的新需求和新問題,新需求就是資料要素化,新問題就是個人資訊保護。為滿足新需求應對新挑戰,要建設面向資料要素的新型基礎設施,推動資料作為生産要素實作市場化配置。
何寶宏表示,這一過程中發現,在區塊鍊上,可以實作“資訊可見、價值不可得”,而隐私計算是“資訊不可見、價值可交換”,都是資料要素資産化帶來的技術性剛需。我們發現,近年來,隐私計算産品得到了市場廣泛關注,目前這項技術在金融、醫療、政府招投标等領域已經完成了探索性應用。
2022年11月,由清華大學金融科技研究院金融安全研究中心作為學術指導機關、清華大學金融科技研究院金融安全研究中心與華清信安聯合編寫的《金融保險網絡安全合規技術白皮書》,提出預防金融風險需要高度重視數字金融安全,強化資料安全治理。随着大資料、雲計算、人工智能等數字技術應用向縱深推進,網絡安全作為非傳統安全不斷呈現出新特點、新形态,面對網絡安全威脅,更需要創新手段不斷織密金融安全防護網。
中山大學計算機學院資料科學研究所副教授、中大灣谷風險管理技術實驗室專家任江濤博士提出,目前金融機構存在大量敏感的金融資料,形成了資訊孤島或群島,隻能在金融機構各自内部運用,不能像商品一樣自由安全合規地流通,導緻價值還不能得到充分釋放。
在制度層面
清華大學五道口金融學院金融安全研究中心主任周道許認為,随着《網絡安全法》《資料安全法》《個人資訊保護法》《關鍵資訊基礎設施安全保護條例》等重磅法律法規的出台,合規成為金融網絡安全的必然要求,也成為了金融安全發展面臨的首要問題。
周道許還表示,網絡安全等級保護可實作以下四方面優勢。一是降低網絡安全風險,提升網絡系統的整體安全防護能力;二是滿足國家、行業主管部門的法律政策要求;三是重點保障基礎資訊網絡和關系國家安全、經濟命脈、社會穩定等方面重要資訊系統的安全;四是貫徹提升全民網絡安全意識。
銀保監會首席檢查官王朝弟表示,萬物資料化、萬物智聯化的時代,經濟金融更加離不開科技支援,但金融科技并非十全十美,并不是包治普惠金融百病的“萬能藥”。
為促進金融領域數字安全,國家也出台了一系列檔案。
2022年10月,中國人民銀行正式釋出《金融領域科技倫理指引》:強調資料安全,嚴防濫用資料與流量。提出了在金融領域開展科技活動需要遵循的守正創新、資料安全、包容普惠、公開透明、公平競争、風險防控、綠色低碳等7個方面的價值理念和行為規範。
2022年01月,中國人民銀行關于印發《金融科技發展規劃(2022-2025年)》提出,金融業數字化轉型更深化,資料要素潛能釋放更充分,金融服務提質增效更顯著,金融科技治理體系更健全,關鍵核心技術應用更深化,數字基礎設施建設更先進的發展目标。并提出八項重點任務:健全金融科技治理體系;充分釋放資料要素潛能;打造新型數字基礎設施;深化關鍵核心技術應用;激活數字化經營新動能;加快金融服務智慧再造;加強金融科技審慎監管;夯實可持續化發展基礎。
2021年4月,中國人民銀行正式釋出了《金融資料安全 資料生命周期安全規範》(JR/T 0223-2021)(以下簡稱《規範》)。标準在資料安全分級的基礎上,結合金融資料特點,梳理資料安全保護要求,形成覆寫資料生命周期全過程的、差異化的金融資料安全保護要求,并以此為核心建構金融資料安全管理架構,為金融業機構開展資料安全保護工作提供指導,并為第三方安全評估機構等機關開展資料安全檢查與評估提供參考。
2020年9月,中國人民銀行正式釋出《金融資料安全 資料安全分級指南》(JR/T 0197—2020)金融行業标準。标準給出了金融資料安全分級的目标、原則和範圍,明确了資料安全定級的要素、規則和定級過程,并給出了金融業機構典型資料定級規則供實踐參考,适用于金融業機構開展資料安全分級工作,以及第三方評估機構等參考開展資料安全檢查與評估工作。
全國政協委員、原中國保監會副主席周延禮認為,促進數字經濟乃至整個中國經濟的高品質發展。應當明确兩點,一是加大技術創新力度。二是明确資料權屬、促進資料交易。在他看來,目前,在數字經濟發展的制度建設方面,國家先後出台了一系列具體政策、法律法規,對于維護健康數字經濟市場秩序發揮了重要作用,但是加強網絡強國建設,維護資料安全是確定網絡安全核心,大資料的戰略是網絡強國的抓手。随着平台經濟快速發展,各類資訊和資料平台應運而生。加強監管,保護數字經濟消費者的利益已是當務之急,然而監管方式方法、制度規範有待進一步完善。
周延禮表示,資料的安全問題不但需要制度保障,更需要技術推動,這兩方面都需要權衡好關系,是以在具體的研發中,我們還要看技術創新以及制度建設如何實作同步推進協調發展,這是一個非常現實的問題。
責編:谷豔嬌
監制:李紅梅
文章參考:
1. 《黑客偷資料内幕交易後獲刑,竟稱曾侵入40餘家金融機構内網》光明網
2. 《政協委員:應權衡好制度與技術的關系》人民政協網
3. 《織密金融資料安全防護網》中國經濟網
4. 《不法分子盯上這些漏洞,金融消費者如何做好個人資訊保護》中國新聞網
5. 《銀保監會首席檢查官王朝弟談金融科技發展、監管與資料安全等》中關村網際網路金融研究院