强化金融数据安全治理
发布时间:2021-07-05 08:21:21 作者: 来源:中国银行保险报网
□欧永生
6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式出台,这是中国数据安全领域的首部基础性法律规范,也是国家安全领域的又一重要立法。
《数据安全法》的出台及时回应现有数据安全领域的突出问题,有利于更好地规范数据处理活动,保障数据安全,促进数据的有序开发与使用。
数字技术创新和金融业的结合是产业变革的大势所趋,是推动金融业高质量发展的重要途径。金融数据于金融业,如金融业于实体经济,是行业不断发展创新的驱动力,金融数据已然成为最有价值的资产。金融数据为金融发展释放现实利益,扩宽金融市场,完善金融服务功能;同时,金融业不断发展又拉动其对金融数据的需求。实现金融数据安全与金融创新发展之间的平衡,解决金融数据的治理之困,需要激励机制与监管机制协作协同,需要各主体发挥数据保护的多元力量,需要以技术保障金融数据安全监管的高效运行。
第47次《中国互联网络发展状况统计报告》数据显示,截至2020年12月,我国互联网普及率达70.4%,网络支付用户规模达到8.54亿,占网民总数的86.4%;手机网络支付用户规模8.53亿,占手机网民总数的86.5%。截至2020年6月,移动支付金额达196.98万亿元,稳居全球第一。在大数据给金融业带来便捷及前景时,其风险也不容忽视。由于金融交易中存储和使用了大量敏感信息,金融信息的数据保护问题日益突出。据中国互联网络信息中心统计,大数据应用中个人信息的违规收集和利用,将对个人安全和社会秩序造成威胁,尤其是金融业,直接关联着个人和家庭财产。金融数据治理是跨技术、法律和社会的交叉领域,始终需要实现数据利用和权利保护的多重目标。金融创新总是与风险相伴,科学防控金融风险,构筑金融数据应用中的安全防护网尤其重要。
强化顶层设计。划分金融数据安全的治理底线是金融数据治理的首要问题。安全底线的划定,应根据金融数据类型和涉及金融子领域的不同,确定数据保护原则和基础设施的标准体系。金融机构管理层应当达成共识,将数据安全体系的建设提升到战略高度,然后结合金融机构的战略发展和规划、组织架构,设计相对应的数据安全管理体系,从而将数据安全治理逐步向下分解为可落地的管理制度和技术工具,并从安全的角度对数据的安全策略和安全访问措施进行梳理及落地实践,在数据保护原则的确定上,可根据金融数据敏感度、数量大小、运用场景、风险高低的不同,规定不同的数据安全原则,构建阶梯式的原则,最终提升数据资产的价值。
构建保障体系。金融数据安全保障体系能够协调技术、人员、产品等各个要素,多层次、多维度防范信息安全风险,应该包括规范的制度体系、先进的技术防护体系、成熟的安全服务机制以及安全监测预警体系。金融机构应根据各部分的功能需求,构建数据信息采集分析、数据信息风险研判以及发布风险预警等运作框架。在内部构建数据信息安全的管理框架、组织机构、监管机制及响应机制,通过数据分析找出可能出现的风险,及时完善信息安全防护方案,而不是传统的受到威胁之后寻求解决方案。
推进包容创新。金融数据治理一方面要注意管理手段的力度和方式,另一方面应关注金融创新的积极性。金融监管部门要设立容错试错机制,在划定底线监管的基础上,可借鉴金融监管中的沙盒运行原理,设立“规制沙盒”,由金融监管部门划定范围,允许一部分金融机构在“数据安全空间”内试错、实践,创新数据开发利用方式;同时,通过安全认证或减免税费等方式鼓励金融机构履行安全保障义务。还应实行差异化规制,协调数据监管和金融监管,协调不同金融领域的各类规范,不断压减监管真空。
增强保护意识。金融数据安全风险的防范,还依赖于事先的安全意识教育和社会的信息安全文化建设,防患于未然。金融监管部门和金融机构要加强宣传教育,帮助金融消费者形成良好的数据保护习惯,同时还要提升自身的信息安全保护意识,加强对敏感数据的监管,制定系统的数据安全管理制度。金融机构还要加强认识,明确数据信息安全保护的责任和义务,努力提高员工的信息安全保护技能和素养,明确岗位职责,强化从业人员金融信息安全保护意识。要创造良好的条件和氛围,多方联动保障金融数据信息安全人才的培养。
(作者系山东潍坊市地方金融监管局副局长)
□欧永生
6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式出台,这是中国数据安全领域的首部基础性法律规范,也是国家安全领域的又一重要立法。
《数据安全法》的出台及时回应现有数据安全领域的突出问题,有利于更好地规范数据处理活动,保障数据安全,促进数据的有序开发与使用。
数字技术创新和金融业的结合是产业变革的大势所趋,是推动金融业高质量发展的重要途径。金融数据于金融业,如金融业于实体经济,是行业不断发展创新的驱动力,金融数据已然成为最有价值的资产。金融数据为金融发展释放现实利益,扩宽金融市场,完善金融服务功能;同时,金融业不断发展又拉动其对金融数据的需求。实现金融数据安全与金融创新发展之间的平衡,解决金融数据的治理之困,需要激励机制与监管机制协作协同,需要各主体发挥数据保护的多元力量,需要以技术保障金融数据安全监管的高效运行。
第47次《中国互联网络发展状况统计报告》数据显示,截至2020年12月,我国互联网普及率达70.4%,网络支付用户规模达到8.54亿,占网民总数的86.4%;手机网络支付用户规模8.53亿,占手机网民总数的86.5%。截至2020年6月,移动支付金额达196.98万亿元,稳居全球第一。在大数据给金融业带来便捷及前景时,其风险也不容忽视。由于金融交易中存储和使用了大量敏感信息,金融信息的数据保护问题日益突出。据中国互联网络信息中心统计,大数据应用中个人信息的违规收集和利用,将对个人安全和社会秩序造成威胁,尤其是金融业,直接关联着个人和家庭财产。金融数据治理是跨技术、法律和社会的交叉领域,始终需要实现数据利用和权利保护的多重目标。金融创新总是与风险相伴,科学防控金融风险,构筑金融数据应用中的安全防护网尤其重要。
强化顶层设计。划分金融数据安全的治理底线是金融数据治理的首要问题。安全底线的划定,应根据金融数据类型和涉及金融子领域的不同,确定数据保护原则和基础设施的标准体系。金融机构管理层应当达成共识,将数据安全体系的建设提升到战略高度,然后结合金融机构的战略发展和规划、组织架构,设计相对应的数据安全管理体系,从而将数据安全治理逐步向下分解为可落地的管理制度和技术工具,并从安全的角度对数据的安全策略和安全访问措施进行梳理及落地实践,在数据保护原则的确定上,可根据金融数据敏感度、数量大小、运用场景、风险高低的不同,规定不同的数据安全原则,构建阶梯式的原则,最终提升数据资产的价值。
构建保障体系。金融数据安全保障体系能够协调技术、人员、产品等各个要素,多层次、多维度防范信息安全风险,应该包括规范的制度体系、先进的技术防护体系、成熟的安全服务机制以及安全监测预警体系。金融机构应根据各部分的功能需求,构建数据信息采集分析、数据信息风险研判以及发布风险预警等运作框架。在内部构建数据信息安全的管理框架、组织机构、监管机制及响应机制,通过数据分析找出可能出现的风险,及时完善信息安全防护方案,而不是传统的受到威胁之后寻求解决方案。
推进包容创新。金融数据治理一方面要注意管理手段的力度和方式,另一方面应关注金融创新的积极性。金融监管部门要设立容错试错机制,在划定底线监管的基础上,可借鉴金融监管中的沙盒运行原理,设立“规制沙盒”,由金融监管部门划定范围,允许一部分金融机构在“数据安全空间”内试错、实践,创新数据开发利用方式;同时,通过安全认证或减免税费等方式鼓励金融机构履行安全保障义务。还应实行差异化规制,协调数据监管和金融监管,协调不同金融领域的各类规范,不断压减监管真空。
增强保护意识。金融数据安全风险的防范,还依赖于事先的安全意识教育和社会的信息安全文化建设,防患于未然。金融监管部门和金融机构要加强宣传教育,帮助金融消费者形成良好的数据保护习惯,同时还要提升自身的信息安全保护意识,加强对敏感数据的监管,制定系统的数据安全管理制度。金融机构还要加强认识,明确数据信息安全保护的责任和义务,努力提高员工的信息安全保护技能和素养,明确岗位职责,强化从业人员金融信息安全保护意识。要创造良好的条件和氛围,多方联动保障金融数据信息安全人才的培养。
(作者系山东潍坊市地方金融监管局副局长)
