在數(shù)字化浪潮中，金融機構(gòu)或主動為之，或被裹挾前行。在各種技術(shù)的加持下，大數(shù)據(jù)和AI技術(shù)的應用，讓金融科技迎來最好的時代。數(shù)字化轉(zhuǎn)型背景下，數(shù)據(jù)成為基本要素。與之相對應的，數(shù)據(jù)安全和隱私保護成為銀行業(yè)關注的焦點。

數(shù)字化對銀行數(shù)據(jù)安全提出更高要求

中國互聯(lián)網(wǎng)金融協(xié)會會長、中國人民銀行原副行長李東榮在日前舉辦的2021中關村(000931,股吧)論壇金融科技平行論壇上表示，當前，我國經(jīng)濟社會數(shù)字化轉(zhuǎn)型進入快車道，金融科技作為科技驅(qū)動的金融創(chuàng)新，已深入到普羅大眾生產(chǎn)生活的各個方面，發(fā)揮著越來越重要的功能作用。與此同時，我們也愈發(fā)注意到，數(shù)字鴻溝、技術(shù)排斥、算法歧視、隱私泄露等科技倫理挑戰(zhàn)也更加凸顯。社會上關于加強科技倫理治理的呼聲日益強烈。

大數(shù)據(jù)時代，數(shù)據(jù)就和呼吸一樣“自然”。數(shù)據(jù)資產(chǎn)的價值既能為金融機構(gòu)帶來利益，而虛擬化經(jīng)濟、數(shù)字化趨勢帶來的數(shù)據(jù)隱私、數(shù)據(jù)安全問題日益引起金融行業(yè)的重視。

在全球信息化的今天，無論是外部法律、法規(guī)及監(jiān)管制度的要求，還是企業(yè)發(fā)展內(nèi)在需求，都在促使銀行業(yè)數(shù)據(jù)安全體系的不斷完善。保護數(shù)據(jù)的私密性、完整性、真實性和可靠性成為銀行機構(gòu)數(shù)字化轉(zhuǎn)型的重中之重。

索信達數(shù)據(jù)管理領域?qū)＜翼f海晗表示，一方面，國家和監(jiān)管對數(shù)據(jù)安全要求日益嚴格，金融機構(gòu)的數(shù)據(jù)安全管理需要符合國家標準、國內(nèi)標準及行業(yè)標準，接受監(jiān)管機構(gòu)的檢查和審計;另一方面，銀行機構(gòu)內(nèi)部的安全管理、風險管控、數(shù)據(jù)共享等要求，使得可靠的數(shù)據(jù)存儲、安全的挖掘分析、嚴格的運營監(jiān)控成為大數(shù)據(jù)時代下機構(gòu)安全的剛需，對于保護客戶及員工隱私數(shù)據(jù)安全、保護關鍵商務交互安全、保障企業(yè)統(tǒng)一身份管理、保障企業(yè)數(shù)據(jù)安全存儲與歸檔、完善監(jiān)管審計制度、提升抗風險能力等都具有重要意義。

與此同時，韋海晗認為，銀行業(yè)數(shù)據(jù)安全仍面臨挑戰(zhàn)和痛點，主要體現(xiàn)在三個方面：一是要求管理內(nèi)容更豐富，具體體現(xiàn)在非結(jié)構(gòu)化數(shù)據(jù)納入管理范疇、客戶隱私數(shù)據(jù)保護成為重點、數(shù)據(jù)安全分級管理成為必要、海量數(shù)據(jù)(603138,股吧)脫敏比較關注、分布式的基礎設施災備、更多相關的法律法規(guī)保證等。二是要求管理能力更出色，比如對數(shù)據(jù)安全要求更高，數(shù)據(jù)泄露影響也更大，面對海量的數(shù)據(jù)進行全面的安全分級管理，一些新的大數(shù)據(jù)產(chǎn)品對于數(shù)據(jù)安全設計存在缺陷，更多依賴于企業(yè)自身數(shù)據(jù)安全管理能力，分布式的災備和恢復要求也越來越多。三是要求管理技術(shù)更先進。比如利用大數(shù)據(jù)技術(shù)獲取企業(yè)不同類型的安全數(shù)據(jù)，識別潛在的數(shù)據(jù)安全風險和威脅，以及更全面、靈活的數(shù)據(jù)文件訪問技術(shù)，基礎設施災備和恢復技術(shù)等。

“數(shù)據(jù)安全只是一個方面。從更廣范圍來講，包括數(shù)據(jù)在內(nèi)的整個金融信息安全都是銀行機構(gòu)需關注的重點。像隱私泄露、惡意軟件、攻擊篡改、驗證信息竊取、身份盜用、非授權(quán)訪問、違規(guī)操作、偽造支付軟件、攻擊系統(tǒng)漏洞、病毒入侵、惡意攻擊等都是金融場景中常見的影響金融信息安全的隱患及風險。”韋海晗介紹。

銀行機構(gòu)如何構(gòu)建數(shù)據(jù)安全體系

面對日益嚴格的監(jiān)管和時代提出的要求，銀行機構(gòu)必須要對數(shù)據(jù)安全管理高度重視。

目前，我國已相繼發(fā)布了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》，這對于推動我國數(shù)據(jù)安全協(xié)作給出了法律依據(jù)。

作為我國一部標志性的與數(shù)據(jù)安全相關的重要法律，9月1日起正式施行的《數(shù)據(jù)安全法》成為數(shù)據(jù)安全保障和數(shù)字經(jīng)濟發(fā)展領域的重要基石，對于規(guī)范我國的數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，以及保護個人、組織的合法權(quán)益都有著重要意義。

數(shù)牘科技副總裁姚雪潔表示，《數(shù)據(jù)安全法》的實施，針對保障數(shù)據(jù)安全方面，對于提供數(shù)據(jù)協(xié)作服務的企業(yè)來說，也是一個前所未有的機遇。要求了相關行業(yè)在進行自主經(jīng)營數(shù)據(jù)業(yè)務，或者對外提供數(shù)據(jù)服務的過程中，既要不斷提升自身的整體安全能力，也要幫助合作伙伴提升數(shù)據(jù)安全的能力。因此，不止是數(shù)據(jù)安全協(xié)作的相關行業(yè)，所有與數(shù)據(jù)相關的，不管是核心企業(yè)還是邊緣企業(yè)，都要在安全方面增加投入，安全技術(shù)和服務水平能力將決定企業(yè)能否長遠發(fā)展。

姚雪潔認為，雖然技術(shù)的投入不可缺少，但是也要避免閉門造車和唯技術(shù)論，企業(yè)要充分參與到金融、電信、醫(yī)療等重點行業(yè)領域的數(shù)據(jù)開放的過程中，采取多種安全措施確保數(shù)據(jù)流通安全，只有在這個過程中，各類隱私增強技術(shù)才會被不斷激活，并實現(xiàn)功能、性能等各方面的提升。

韋海晗指出，數(shù)據(jù)安全是一種主動防護措施，必須依靠可靠、完整的安全體系與安全技術(shù)來實現(xiàn)。對于銀行機構(gòu)來說，構(gòu)建一套科學、完善的數(shù)據(jù)安全體系十分必要。從目前來看，一些頭部銀行較早在數(shù)據(jù)安全管理方面有所實踐，比如一些銀行是從建立數(shù)據(jù)安全分級、建立數(shù)據(jù)安全管理制度等方面開始著手的。

如何科學構(gòu)建數(shù)據(jù)安全體系?韋海晗介紹，數(shù)據(jù)安全體系包括三個層面：數(shù)據(jù)安全管理、數(shù)據(jù)安全服務、數(shù)據(jù)技術(shù)安全。

數(shù)據(jù)安全管理包括組織架構(gòu)、制度規(guī)范和管理流程，其中數(shù)據(jù)安全管理組織在內(nèi)容上要遵循信息化安全整體策略和要求，在數(shù)據(jù)管理組織架構(gòu)上可分別設立決策層、管理層和執(zhí)行層;數(shù)據(jù)安全的管理流程遵循計劃、評估、執(zhí)行和總結(jié)等四個階段滾動執(zhí)行，需要審批自動流轉(zhuǎn);數(shù)據(jù)安全的制度規(guī)范遵循信息安全的整體規(guī)范，并參考相關規(guī)矩標準。數(shù)據(jù)安全服務包括數(shù)據(jù)安全分級、數(shù)據(jù)安全監(jiān)控、數(shù)據(jù)泄密保護、數(shù)據(jù)歸檔、數(shù)據(jù)加密、數(shù)據(jù)災備，這部分工作要點包括：確定數(shù)據(jù)安全分級規(guī)則，進行相應數(shù)據(jù)安全等級劃分;需要建立評估體系支撐數(shù)據(jù)安全分級管理，并制定不同分級對應的加密策略、歸檔策略、監(jiān)控策略和備份策略等;確定數(shù)據(jù)安全監(jiān)控內(nèi)容，制定安全監(jiān)控重點，并指導閉環(huán)管理流程;確定數(shù)據(jù)泄密保護內(nèi)容，制定保護措施和方法;結(jié)合數(shù)據(jù)生命周期策略，從數(shù)據(jù)安全角度確定歸檔的作用等等。數(shù)據(jù)技術(shù)安全包括數(shù)據(jù)庫安全監(jiān)控系統(tǒng)、歷史數(shù)據(jù)歸檔系統(tǒng)、災備系統(tǒng)等。

銀行數(shù)據(jù)安全管理的技術(shù)方案

2020年9月，中國人民銀行發(fā)布的《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》是針對金融行業(yè)數(shù)據(jù)安全分級相對完整全面的重要規(guī)范指導，其中將數(shù)據(jù)安全等級分為了五級。央行稱，數(shù)據(jù)安全定級的目標是對數(shù)據(jù)資產(chǎn)進行全面梳理并確立適當?shù)臄?shù)據(jù)安全分級，是金融業(yè)機構(gòu)實施有效數(shù)據(jù)分級管理的必要前提和基礎。

對于如何解決當前金融業(yè)數(shù)據(jù)安全、信息隱私保護等問題，業(yè)界專家也提出了一些技術(shù)方面的解決手段。比如有專家認為區(qū)塊鏈技術(shù)的應用非常重要，因為它能理清三種關系：數(shù)據(jù)的所有者(制造者)、數(shù)據(jù)管理者、數(shù)據(jù)的使用者。而當前區(qū)塊鏈應用存在效率低，成本高的問題，解決這些問題的一個比較現(xiàn)實的技術(shù)方案是用區(qū)塊鏈的方式實現(xiàn)邏輯上的去中心化、物理上的中心化，把數(shù)據(jù)所有權(quán)還給大家。

在銀行機構(gòu)構(gòu)建數(shù)據(jù)安全體系的具體實踐中，韋海晗也提出了一些看法，“在實踐中，銀行機構(gòu)可以設立從決策到業(yè)務到技術(shù)的體系化的數(shù)據(jù)安全管理組織，以有序推動數(shù)據(jù)安全管理工作的推進與執(zhí)行。另外，可建立從制訂計劃、評估安全、執(zhí)行解決方案、到總結(jié)經(jīng)驗的數(shù)據(jù)安全管理流程，實時監(jiān)測內(nèi)部用戶訪問敏感數(shù)據(jù)，及時發(fā)現(xiàn)數(shù)據(jù)泄露事件，防范數(shù)據(jù)庫后臺授權(quán)用戶操作風險，向管理層提供準確的數(shù)據(jù)庫風險狀況報表等。”

索信達數(shù)據(jù)科學家邵俊提出，目前，聯(lián)邦學習也是一種打通金融數(shù)據(jù)壁壘和隱私保護的有效解決之道，因為聯(lián)邦學習可使得各個參與方之間協(xié)同來完成一個數(shù)據(jù)模型的訓練，訓練出的模型是基于所有參與方的數(shù)據(jù)而達到的效果，但參與方彼此之間不會泄露各自的原始數(shù)據(jù)。

總之，數(shù)據(jù)安全可為金融企業(yè)發(fā)展護航，保護客戶數(shù)據(jù)和內(nèi)部經(jīng)營數(shù)據(jù)，降低風險，保障業(yè)務持續(xù)運轉(zhuǎn)。未來還需多方共同努力，尋求數(shù)據(jù)安全發(fā)展的有效之道。