陈道斌:加强数据安全管理,促进银行数据资产创造价值

2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)由我国十三届全国人民代表大会第二十九次会议审议通过,并于今年9月1日起实施,未来将与《网络安全法》《个人信息保护法》共同构筑我国网络安全、数据安全和个人隐私保护的重要框架。另外,2018年银保监会发布了《银行业金融机构数据治理指引》(以下简称《指引》),对银行如何规范使用业务开展过程中获得的客户信息作出了详细而具体的规定,要求商业银行建立数据安全策略与标准并落地执行,保障商业银行数据的完整性、准确性和连续性。像工商银行这类大型跨国商业银行,其业务遍及全球,还需了解海外数据安全相关法律法规,如欧盟《通用数据保护条例》等。当前,商业银行在数据安全管理方面的主要挑战是,努力创新数据安全管理方法、流程、技术,在满足法律法规要求的前提下,充分应用好数据资源,让数据创造价值,加快实现数字化转型。

落实《数据安全法》等法规面临的挑战和机遇

1.《数据安全法》对商业银行数据安全保护的规定

对商业银行而言,《数据安全法》等法规立足数据安全工作实际,聚焦数据安全领域的突出问题,确立了数据分级分类管理、数据资产管控、数据安全风险评估、监测预警、安全审查等基本要求,明确了相关主体的数据安全保护义务。《数据安全法》的实施要求商业银行采取合法、正当方式收集数据,依法合理利用数据,在开展数据处理活动时确保建立、健全全流程数据安全管理制度,采取相应的技术措施等保障数据安全,并对重要数据的处理需明确数据安全负责人和管理机构,落实数据安全保护责任。《数据安全法》确立数据分级分类保护制度和重要数据界定范围,将进一步激发商业银行主动合规开展数据资产盘点,建立全流程数据安全管理制度,充分发挥数据要素价值的动力。

2.实施《数据安全法》对商业银行的挑战

商业银行作为数据密集型机构,存储了海量的金融基础数据,《数据安全法》的实施对商业银行的数据管理工作带来了挑战,主要表现在商业银行数据规模庞大、业务系统多,彼此相互独立但又联系密切,数据生产部门、数据使用部门、数据管理部门、安全管理部门之间角色和职责难以清晰界定,人员安全意识不均衡,当前数据分级分类和重要数据目录的建设也存在难点,最终会导致数据的安全保护、流转控制难度加大,数据安全合规管理成本高。

3.实施《数据安全法》对商业银行的机遇

《数据安全法》在规范数据活动的同时,坚持安全与发展并重,对推进政务数据开放利用、促进交易数据自由流动、保障数据出境安全等方面做出相应规定,让数据安全有法可依、有章可循,为数字经济的安全健康发展提供了有力支撑,也为商业银行提供了机遇。一是《数据安全法》倡导数据安全与价值创造的平衡发展,统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,鼓励和支持数据在各行业、各领域的创新应用,大力推动政务数据安全与开放,为商业银行深化“政银”数据合作,促进内外部数据共享和数据要素依法有序流动,激活数据要素价值,加快数字化转型提供了政策依据。二是《数据安全法》倡导和鼓励数据开发应用及新技术的研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,为商业银行通过人工智能、区块链技术创新开展数据安全管理提供了良好的导向效应。

落实《数据安全法》等法规的方法探讨

面对以上挑战及机遇,商业银行应从组织、制度、技术等层面建立数据安全闭环管理体系,全面保障数据安全的基础上,促进金融数据有效利用。

1.做好商业银行数据安全管理的顶层设计

一是商业银行应在顶层建立数据安全管理的领导机构,总行与各级分行应设置数据安全管理牵头部门,各数据应用部门是集团数据安全管理工作的主要责任部门,各机构应在数据安全管理领导机构的指引下密切配合、协同开展集团数据安全管理工作。二是要建立完善涵盖全范围、全周期数据安全管理制度体系,明确数据采集、存储、传输、处理、销毁等各个环节、全场景的数据安全管理要求。三是要打造数据安全闭环管理体系,推动数据安全治理体系持续改善。

2.建立完善数据分级分类管理体系与流程管控机制

一是商业银行应对现有敏感业务数据进行识别和分级分类,建立统一的数据分级管理制度和重要数据目录,明确数据安全定级的要素、原则,针对不同数据安全级别的数据采取不同的控制手段。二是建立完善数据资产安全属性注册机制,明确数据产生部门、数据应用部门、数据管理部门、系统研发部门职责范围,将数据安全管控深度嵌入系统需求、研发和应用全流程,防止出现安全漏洞,将数据安全措施在制度、系统、流程和管理中落到实处。

3.提升数据安全管理能力与共享应用能力

利用机器学习、人工智能、大数据分析等新兴技术对敏感数据进行自动识别和标注,对不同类型敏感数据执行差异化算法加密,积极研究包含联邦学习、多方安全计算、区块链在内的数字化技术,推动数据安全管理能力提升,提高数据合规共享水平。

4.加强数据安全人才培养和文化变革

一是加大人才与文化的培育。持续开展专职和兼职数据安全管理人员和技术类人员培训,构建数据安全人才体系。在集团内部做好数据安全文化的宣贯,提升保密意识,筑牢数据安全防线。二是开展数据安全检查与评估,明确数据安全审计任务,定期对银行数据安全工作开展检查,做好数据安全问题排查,尽早发现问题、解决问题。三是开展数据安全能力模型评估,从组织、平台、制度等方面全面提升银行数据安全保障能力。

基于以上商业银行数据安全管理理念,总结提出如下数据安全管理框架(见表1所示)。

表 1  商业银行数据安全管理框架

工商银行数据安全管理实践

近年来,工商银行一直努力探索数据安全合规管理理论,大力开展相关实践,积累了一些行之有效的实践成果。

1.健全数据安全管理组织架构

根据《数据安全法》《指引》等法律要求,工商银行建立了以金融科技发展委员会为决策层、总行管理信息部及金融科技部牵头负责、总分行各级机构配合执行的全集团数据安全管理组织架构,并明确了各级机构的工作职责,形成了权责明确、配合有效的管理机制。

2.完善数据安全管理制度机制

工商银行以大数据服务云平台建设为依托实现各类信息的合规、有效共享,发布了《大数据服务云数据管理办法》《数据共享工作细则》《大数据服务云业务应急预案》等制度办法,明确了数据采集、存储、处理、传输、应用等各环节的数据安全管理要求,建立了数据集成、授权、应用等管理流程和配套机制。

3.开展数据分级分类及资产确权

2020年,工商银行启动数据资产管理项目建设,建立了数据资产目录,规范数据资产注册流程,开展数据资产安全属性和部门确权的梳理工作。为提升数据安全管理的全面性、有效性和准确性,工商银行根据人民银行《金融数据安全分级指南》,制定并发布了《数据安全分级分类规范》,明确了全行金融数据安全分级分类的目标、原则、范围、要素和规则,并在此基础上提供各类金融数据分类分级的参考,为开展数据资产梳理及实施有效数据分级分类管理奠定了基础。

4.强化数据使用管理

事前,按照“知所必须、最小授权”的使用原则,工商银行建立了大数据服务云数据授权管理体系,采用“两级授权”方式实现对机构、用户的数据权限开展管理,并按照“属地化”原则实现数据访问范围的控制。事中,工商银行对重要信息项采取了屏蔽、脱敏、加密等手段加强安全管理,分级分类设置用户访问策略,强化对重点数据访问的保护。事后,工商银行建立了系统化的用户行为监控模型,建立了邮件、U盘等渠道的数据外发核查机制和动态监测机制,确保依法合规和数据安全。

5.推动集团数据充分共享

为推动数据在集团流通,规范集团内部信息共享应用管理,工商银行建立了覆盖需求提出、申请、审核、反馈、效果评价的集团内客户信息共享工作机制,在满足“取得客户授权、业务办理必须”的基础上,基于监管和集团并表管理需要推动信息在集团内部共享应用,发挥数据价值。

目前,工商银行数据安全管理工作虽然取得了一定的进展,但是距离全面落实好《数据安全法》等法规要求,努力推动数据资产要素创造价值,全面实现数字化转型发展目标,还有很长的路要走。

(栏目编辑:郑岩)

标签: