试论金融行业数据安全与风险防控

周丹丹

摘 要：当前，我国已逐渐进入了大数据时代，伴随着数字经济时代的到来，数据安全风险与日俱增，数据泄露、数据滥用等安全事件频发，为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。本文将以金融行业为例，简要说明金融行业数据安全面临的挑战，对金融行业数据安全风险的全面防控提出具有建设性的建议，最后探讨一下金融行业数据安全风险防控成功案例。以供相关行业人士参考。

关键词：金融数据;数据安全;数据泄露

数字经济迅猛发展，伴随而来的问题也不断涌现。金融科技企业、机构已然开始主动寻求技术手段和专业的安全厂商进行风险规避，对于网络安全领域的投入逐渐加大，且刻不容缓。近年来，国家对数据安全与个人信息保护进行了前瞻性战略部署，开展了系统性的顶层设计。

一、金融行业数据安全面临的挑战

金融机构的业务数据，是其最本质、最核心、最关键的生产要素，金融机构的数据安全，除关系到我们一般认为的保密、完整、可靠、可用之外，也关系到金融行业的资金安全，以及大数据时代来临对数据的增值分析、利用而带来的衍生价值。金融机构在运营过程中不断产生大量数据，包括客户信息、核心业务数据、商业机密等信息，相对于其他行业，金融行业掌握着更多的公民个人信息，信息安全风险成整个业务系统运行中的管理难点，网络违法犯罪活动，内部职场道德问题造成的企业内部数据泄漏事件不断增加。企业内部数据泄漏不仅仅带来最直接的经济损失，最终导致的是企业声誉、信誉的降低，丧失行业竞争力。

我们结合金融机构数据安全所在的各业务场景来分析和总结金融数据所面临的重大安全威胁和挑战：

1、数据错综复杂，分类分级困难

金融行业，尤其是一些大型的国家级的银行业金融机构，由于涉及全国性的用户和业务，在科技的推动下，业务迅猛发展，相关系统有数百个。各个系统因业务需要，保存了大量不同类别、不同敏感级别的数据，可能包括客户基础信息、业务交易数据、業务产品数据、企业经营数据、机构数据、员工信息、系统数据等。为了管理便利，有可能根据业务需要进行细分，比如，根据敏感程度划分不同重要级别，再根据不同类别和级别，采取针对性的措施进行数据的安全保护。在海量级的业务数据里如何帮助金融行业合理、有效、全面地进行业务数据的分类分级，一直是金融行业面临的重要难题。

2、敏感数据外发，增加安全风险

在互联网金融的推动下，传统金融机构也积极拓展服务渠道，不同的渠道和界面因业务需求可能要对客户或者合作商户展示业务数据，如交易的密码、认证的身份信息，甚至是认证所需要的证书、生物特征信息等。这些信息的传输与展示可能会增加潜在的风险，容易被黑客或者不怀好意的人员利用，成为盗取账户获得利益的手段。2021年银保监会开出的第一张罚单，某银行因发生重要信息系统突发事件未报告、互联网门户网站泄露敏感信息等六项问题，遭到银保监会行政处罚，罚款金额高达420万元。同时，因监管需要上报或下载数据、同行业业务往来共享数据、司法需要提供数据，如何确保在合理合法提供的同时，确保提供数据的最小化、安全、准确，也是需要重点考虑的问题。

3、海量数据流动，追踪回溯困难

我们提到过大型金融机构内部的系统有数百之多，为了促进业务发展，对外合作的渠道也在不断扩张，敏感数据到底在哪些系统内分布，它们最终流向了何方？是否存在未授权的流转或者非法的流出？是否需要建立敏感数据资产的识别、标识、溯源系统，以便于随时跟踪敏感数据的流向和分布？是否需要建立对敏感数据的统一监控和审计措施，以便于对敏感数据的可疑使用进行跟踪？这都是摆在金融行业数据安全治理面前的挑战。

4、多方数据交换，存在泄漏风险

金融行业作为国家经济命脉和血液，业务多元且复杂，面对着多方监管，受到极为严格的安全管控，比如人民银行、银保监会、公安部等。同时，需要与同行或业内金融机构进行业务合作或者接受审计，比如行业联合组织、清算机构、其它合作企业，这些数据在流转过程中都存在泄漏的风险，需要对应的安全管控手段来加以防控。

5、企业层级复杂，内部数据泄露风险大

首先，高密系统向低密系统泄漏数据存在可能。对于大型金融企业来说，各个业务系统本身存在重要程度、敏感级别的不同，数据在不同等级系统之间进行交互和流转，需要防止高密系统向低密系统泄漏数据的可能。其次，不同业务场景下，内部相关人员对具有直接接触敏感数据的权限，存在敏感数据泄露的人为风险。数据还可能被提取出来进行统计汇总和特定分析，数据将从线上转移到线下，如何保证数据的安全导出和线下利用、保管，也是数据安全关注的重点之一。

6、外资外包服务多，自主可控需加强

在国家要求金融行业不断加强自主可控、去IOE化的今天，大型金融企业为了业务发展，需要一些更专业化的服务，如咨询、审计等，涉及技术难度与可信度的问题，还需要与国外的大型机构进行合作，会带来财务、业务战略、数据安全方面的风险。另外，金融企业人员编制有限，同时术业有专攻，也不能将所有的专业角色与岗位都由内部来培养，这会带来成本效益的巨大难题。从专业性和成本角度考虑，银行业金融机构需要引入外包来对系统进行开发、建设和运维。如何在外包与对外合作中保证系统和数据的安全可控，是自主可控需要考虑的问题。

7、全球经济一体化，数据出境风险大

从全球看，跨境数据流动监管仍未形成共识。无处不在的数据流动，引发人们关于个人隐私保护、消费者权利保护以及网络安全的担忧。WTO 规则框架对数据保护的局限，导致各国纷纷出台数据安全保护法案。

8、个人信息数量大，保护隐私是关键

个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息，既涉及到银行业金融机构业务的正常开展，也涉及客户信息、个人隐私的保护。如果出现与个人金融信息有关的不当行为，不但会直接侵害客户的合法权益，也会增加银行业金融机构的诉讼风险，加大运营成本。近年来，个人金融信息侵权行为时有发生，并引起社会的广泛关注。因此，强化个人金融信息保护和银行业金融机构法制意识，依法收集、使用和对外提供个人金融信息，十分必要。

二、金融行业数据安全风险的全面防控的建议

面对金融行业面临的数据安全重大挑战，依据国家最新颁布的法律法规，本文给出以下建议：

1、加强数据安全管理组织建设，构建数据安全管理体系。

首先谈谈组织建设。无论是金融机构或者社会企业，涉及数据使用的单位，首先应当建立本单位的数据安全组织架构，设立相关的岗位或人员，负责数据正当使用的管理、评估和风险控制。数据安全管理体系建设思路可从广度与深度两个维度作为切入点。广度可参考外界相关法律法规及标准规范，深度是在外界相关标准上，结合自身的安全需求及行业最佳实践进行点状强化。为了加强数据管理体系可落地性，在对数据资产分类分级后，需要将不同类别、不同级别数据资产的安全要求融入至管理体系中。

2、提高数据安全防护意识，严格落实数据安全法律法规要求。

完成组织建设后，应加强组织数据安全意识，通过开展数据正当使用的培训和宣贯，从正反两个角度宣传数据安全及数据正当使用的必要性，让相关人员充分理解，安全意识扎根于心，保障操作规范。

我国历来高度重视数据安全问题，在《网络安全法》及新推出的等级保护2.0标准中，均明确了个人信息保护的内容;2021年发布的《中华人民共和国数据安全法》（以下简称《数据安全法》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）是我国第一部系统性强调数据安全管控、个人信息保护的针对性法律，进一步地强化了企业内控管理和人民权益保障，也正式宣告了《网络安全法》《数据安全法》《个人信息保护法》的网络安全与数据合规领域“铁三角”的诞生。在全员提高数据安全防护意识的同时，建立健全数据安全治理相关的制度，严格落实数据安全法律法规的要求。

3、运用数据安全治理思维，提高数据安全技防能力

数据安全治理关注于数据的安全保护，以数据业务属性为始，数据的分级分类为核心，从数据存放位置为核心，建立以数据为中心的安全架构体系。数据治理是一种“制度化”过程，所谓制度化是执行一个“正式批准”的体系，该体系包括明确的价值目的、必须遵从的规范和落实个人治理责任的组织机构。数据安全治理以“人”与数据为中心，通过平衡业务需求与风险，制定数据安全策略，对数据分级分类，对数据的全生命周期进行管理，从技术到产品、从策略到管理，提供完整的产品与服务支撑。运用数据安全治理思维，由被动防御向主动防御转变，借助大数据分析、人工智能等技术，加快网络安全态势感知、风险识别、行为识别、场景驱动智能控制、有效追溯等技术的快速落地，提高对未知威胁的防护能力和防护效率。采取有效技术防护手段，做到数据防攻击、防窃取、防泄露，做好数据备份和恢复等工作，全面提升数据安全防护能力。

三、数据安全风险防控成功案例

在客户非常紧迫的数据安全防控需求以及相关的法律法规应运而生的背景下，明朝万达以数据安全为核心，自主可控的国密算法应用技术为基础，研发的Chinasec（安元）数据安全系列产品，覆盖數据产生、存储、交换、使用等全生命周期重要环节，实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理，致力于打造企业级的数据安全防护体系，为金融企业用户从数据安全咨询到工具落地的一整套解决方案。近百家金融机构已使用明朝万达相关产品，并以实际的操作环境促使其产品不断更新迭代。

四、结语

“工欲善其事，必先利其器”，在数字经济快速发展的背景下，我们更需要深刻认识到数据安全建设的重要性，不仅需要在安全意识和管理水平上提升，更需要在技术上重点布局、勇于创新，希望本报告能够为企业或机构的数据安全建设提供参考和借鉴。

参考文献：

[1]曹希真.等级保护2.0在金融行业的发展和展望[J].金融科技时代，2020，（7） ：79，81.

[2]申妙芳.金融大数据信息安全与风险防控[J].数字技术与应用，2021，（3） ：178，180.

[3]潘润红.完善数据治理体系 为金融科技良性可持续发展奠定基础[J].清华金融评论，2021，（2） ：43，45.

[4]刘进.新形势下金融科技信息安全管理体系研究[J].网络空间安全，2021，（z3） ：4，9.

[5]王京晶.新形势下金融数据安全面临的挑战与思考[J].金融科技时代，2020，（8） ：59，60，64.