案例1
2023年3月,福建银保监局莆田分局公布的一则行政处罚信息让不少银行客户气愤不已。文件显示,工商银行莆田涵江支行因内控管理不到位、未按规定报送案件信息被罚45万元,而该支行一工作人员被禁止从事银行业工作3年,原因是“违规查询、倒卖客户个人财产信息”。
案例2
据媒体报道,一名软件公司的法定代表人朱某在12年中,利用木马病毒非法侵入、控制他人计算机信息系统,非法获取相关计算机信息系统存储的数据。其间,朱某非法控制计算机信息系统2474台,利用从华夏基金、南方基金、嘉实基金、海富通基金等多家基金公司非法获取的交易指令,进行相关股票交易牟利,总计获得违法所得人民币183.57万元。
······
金融行业是产生和积累数据量最大、数据类型最丰富的领域之一,尤其是随着传统金融行业的数字化转型、深化。同时,金融数据有着广泛的应用场景、应用范围,有着极高的数据应用价值,是关乎企业核心竞争力的重要资产。也因此,金融行业必须要守护好数据安全。但是,随着金融数据作用的不断凸显,数据安全与个人信息保护在新时代也面临新的风险与挑战。
在技术层面
中国信通院云计算和大数据研究所所长何宝宏表示,当前,我们谈数字经济和安全的主要原因,是这几年大数据技术发展成功后,带来的新需求和新问题,新需求就是数据要素化,新问题就是个人信息保护。为满足新需求应对新挑战,要建设面向数据要素的新型基础设施,推动数据作为生产要素实现市场化配置。
何宝宏表示,这一过程中发现,在区块链上,可以实现“信息可见、价值不可得”,而隐私计算是“信息不可见、价值可交换”,都是数据要素资产化带来的技术性刚需。我们发现,近年来,隐私计算产品得到了市场广泛关注,当前这项技术在金融、医疗、政府招投标等领域已经完成了探索性应用。
2022年11月,由清华大学金融科技研究院金融安全研究中心作为学术指导单位、清华大学金融科技研究院金融安全研究中心与华清信安联合编写的《金融保险网络安全合规技术白皮书》,提出预防金融风险需要高度重视数字金融安全,强化数据安全治理。随着大数据、云计算、人工智能等数字技术应用向纵深推进,网络安全作为非传统安全不断呈现出新特点、新形态,面对网络安全威胁,更需要创新手段不断织密金融安全防护网。
中山大学计算机学院数据科学研究所副教授、中大湾谷风险管理技术实验室专家任江涛博士提出,当前金融机构存在大量敏感的金融数据,形成了信息孤岛或群岛,只能在金融机构各自内部运用,不能像商品一样自由安全合规地流通,导致价值还不能得到充分释放。
在制度层面
清华大学五道口金融学院金融安全研究中心主任周道许认为,随着《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重磅法律法规的出台,合规成为金融网络安全的必然要求,也成为了金融安全发展面临的首要问题。
周道许还表示,网络安全等级保护可实现以下四方面优势。一是降低网络安全风险,提升网络系统的整体安全防护能力;二是满足国家、行业主管部门的法律政策要求;三是重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全;四是贯彻提升全民网络安全意识。
银保监会首席检查官王朝弟表示,万物数据化、万物智联化的时代,经济金融更加离不开科技支持,但金融科技并非十全十美,并不是包治普惠金融百病的“万能药”。
为促进金融领域数字安全,国家也出台了一系列文件。
2022年10月,中国人民银行正式发布《金融领域科技伦理指引》:强调数据安全,严防滥用数据与流量。提出了在金融领域开展科技活动需要遵循的守正创新、数据安全、包容普惠、公开透明、公平竞争、风险防控、绿色低碳等7个方面的价值理念和行为规范。
2022年01月,中国人民银行关于印发《金融科技发展规划(2022-2025年)》提出,金融业数字化转型更深化,数据要素潜能释放更充分,金融服务提质增效更显著,金融科技治理体系更健全,关键核心技术应用更深化,数字基础设施建设更先进的发展目标。并提出八项重点任务:健全金融科技治理体系;充分释放数据要素潜能;打造新型数字基础设施;深化关键核心技术应用;激活数字化经营新动能;加快金融服务智慧再造;加强金融科技审慎监管;夯实可持续化发展基础。
2021年4月,中国人民银行正式发布了《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)(以下简称《规范》)。标准在数据安全分级的基础上,结合金融数据特点,梳理数据安全保护要求,形成覆盖数据生命周期全过程的、差异化的金融数据安全保护要求,并以此为核心构建金融数据安全管理框架,为金融业机构开展数据安全保护工作提供指导,并为第三方安全评估机构等单位开展数据安全检查与评估提供参考。
2020年9月,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T 0197—2020)金融行业标准。标准给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,并给出了金融业机构典型数据定级规则供实践参考,适用于金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。
全国政协委员、原中国保监会副主席周延礼认为,促进数字经济乃至整个中国经济的高质量发展。应当明确两点,一是加大技术创新力度。二是明确数据权属、促进数据交易。在他看来,目前,在数字经济发展的制度建设方面,国家先后出台了一系列具体政策、法律法规,对于维护健康数字经济市场秩序发挥了重要作用,但是加强网络强国建设,维护数据安全是确保网络安全核心,大数据的战略是网络强国的抓手。随着平台经济快速发展,各类信息和数据平台应运而生。加强监管,保护数字经济消费者的利益已是当务之急,然而监管方式方法、制度规范有待进一步完善。
周延礼表示,数据的安全问题不但需要制度保障,更需要技术推动,这两方面都需要权衡好关系,所以在具体的研发中,我们还要看技术创新以及制度建设如何实现同步推进协调发展,这是一个非常现实的问题。
责编:谷艳娇
监制:李红梅
文章参考:
1. 《黑客偷数据内幕交易后获刑,竟称曾侵入40余家金融机构内网》光明网
2. 《政协委员:应权衡好制度与技术的关系》人民政协网
3. 《织密金融数据安全防护网》中国经济网
4. 《不法分子盯上这些漏洞,金融消费者如何做好个人信息保护》中国新闻网
5. 《银保监会首席检查官王朝弟谈金融科技发展、监管与数据安全等》中关村互联网金融研究院