商业洞察

【《金融数据安全治理实施指南》】三年筹备一年运营 起草方详解-金融数据安全治理实施指南-出台背后

查看信息来源】   11-1 22:12:33  

  虽然我国金融 数据安全 治理的政策法规体系日益完善,但在实际中仍面临 数据安全 合规难落地、 数据要素 流通风险、资产分类分级挑战、安全要挟频发和安全保证体系滞后等诸多问题。这不仅影响金融 数据安全 ,还阻碍了数据的有效利用和市场化配置。面对行业槽点问题,急需一系列指导行业的标准规范出台。

  最近,中国互联网金融协会(以下简称“协会”)正式发布了4项规范标准。据《中国经营报》记者采访了解,其中,仅《金融 数据安全 治理实施指南》(以下简称“《实施指南》”)就汇集了200多家机构的研究成果和经验,经历了3年多的深入探讨和实践、1年多的稳定运营,目前已在PB级别的 数据安全 管理中获得了明显成效。

  对此,作为《实施指南》的主要起草方,奇富科技副总裁宋荣鑫在接受本站记者专访时表示:“《实施指南》是行业机构 数据安全 工作开展的条件,有益于提升整个行业的 数据安全 治理标准,我们期望能将行业的关注焦点转移到新概念、新技术和新实践上。”

  从机构到行业规范

  在业内人士看来,甭管是互联网金融还是数字金融,与传统金融市场相比,创新发展变化加快。就协会与市场机构一起研究制定的《实施指南》及其它团体标准而言,体现了协会施展自律管理作用、助力监管的价值。

  中国互联网金融协会副秘书长、金标委委员杨农认为,金融 数据安全 治理是金融领域在科技驱动和数据密集环境下的关键任务,它不仅关乎数据创新应用的平衡,还涉及国家安全和经济社会价值的实现。

  对于《实施指南》标准制定的意义,宋荣鑫表示,还是基于长时间以来的业务推进和与合作伙伴在实践中积累的思考。“在合作中,数据传输是不可避免的环节。为了防范潜在风险,我们致力于提升整个行业的 数据安全 治理标准,减少不必要的重复劳动。鉴于我们在这一领域积累了一定的经验和成果,我们期望能将行业的关注焦点转移到新概念、新技术和新实践上,以增进行业的进一步发展。”

  从金融 数据安全 的整体环境来看,近两年来金融 数据安全 已经得到了一定的改观。对于为啥会在眼下时间节点推出,奇富科技信息安全总监吴业超认为, 数据安全 治理的问题是循序渐进的过程,随着国家不断通过法律法规,国标、行标的落实落地,包含最近国务院出台的《网络 数据安全 管理条例》,这些都有助于 数据安全 治理和 数据安全 管理的落地。

  “金融 数据安全 治理是一项常态化工作,需要细化的内容很多。就目前而言,已经在框架上有所把控,可是真正到某支流业务如何落地,还需要细化。这个还没有细致化到这种水平。因此我们在参与制定标准中,就是希望未来每个业务环境或是数据管理的颗粒度能更加细化,可以落地。我们也会持续更新迭代。”吴业超表示。

  记者了解到,此次4项标准的制定涵盖了金融数据治理安全的全流程要素。对于其中的内在逻辑和将解决哪些行业共性问题,宋荣鑫认为,这次发布的4项标准是紧密关联的。“例如说《金融数据资产管理指南》是 数据安全 工作开展的条件;《金融 数据安全 技术防护规范》(以下简称‘《规范》’)是 数据安全 工作的工具;《金融 数据安全 应急响应和处置指引》给安全事件应对方案和 数据安全 治理,提供了一整套 数据安全 的思路和实践指南。”他表示。

  蚂蚁集团 数据安全 专家李亮对记者说,应急响应平台能力建设的背景为资产定位难、日志查询速度缓慢、人员精力不足。他进一步说:“围绕溯源分析的全面性、实效性和准确性,建立高效的应急响应平台,可以保障事件得到妥善处置,事件影响0升级。”

  推动应用场景落地

  2023年年底,国家数据局等17部门联合印发《“ 数据要素 ×”三年行动计划 ( 2024—2026年)》,明确提出在依法安全合规条件下,推动金融信用数据和公共信用数据、商业信用数据共享共用和高效流通。

  正是在此政策背景之下,随着金融风险防范意识的加强,很多金融机构提出全生命周期、全流程的金融数据治理宗旨,而在此次的标准制定中,《规范》则是实现金融数据生命周期全流程的治理。

  在宋荣鑫看来,该项标准的制定与公司自身日常的业务实践心心相印。“《规范》不仅设定了基本要求,还针对数据的全生命周期,包含流程管理和风险控制,提供了详尽的技术引导。在我们的日常运营中,需要以安全为核心,将这些规范要求融入到每个操作环节。例如,在数据存储方面,我们首先建立了数据分层和分级保护制度。对于最敏感的数据,如客户身份信息和交易数据,实施了全域加密,确保即便数据被物理窃取,也无法被恢复。”

  据其透露,将金融数据治理与业务发展、技术创新相融合是一定过程。“在安全方面,该公司通过零信任原则,即对所有操作不基于信任而是通过技术手段进行防护,并结合实践经验,已经形成了一套全面的用户隐私保护解决方案。”

  “尽管大模型技术在近两年非常流行,但仍旧存在一些待解决的幻觉问题。通过引入 人工智能 技术,上述隐私保护解决方案,在日常安全运维中,极大提高了业务效率,能够实时识别和预测潜在风险,从而帮助金融机构和用户保护他们的隐私和财产安全。”宋荣鑫表示。

  4项标准制定的背后,如何能够更好为金融机构进行科技赋能,是行业普遍关心的话题。宋荣鑫透露:“在外卖、电商等主流场景,甚至更细分场景中,可以充分嵌入金融技术。这样,客户在需要时就能迅速地接触到他们所需的贷款服务和消费金融服务。同时通过 大数据 和AI的初步筛选,准确评估客户的负债能力并进行分组。根据银行机构对客户群体的不同定位来进行推荐。”

繁体中文