監管明確分類分級管理 銀行加快數據安全體系建設

本報記者 楊井鑫 北京報道

商業銀行數據安全關係着數字化轉型的成敗。隨着大數據崛起、客戶需求的不斷演變，監管對於銀行數據隱私和安全性要求也在不斷提升，這也意味着銀行需要加快數據安全體系建設，以實現更高的合規性和競爭力。

近日，國家金融監督管理總局發佈了《銀行保險機構數據安全管理辦法（徵求意見稿）》（以下簡稱“《辦法》”），要求銀行保險機構按照“誰管業務、誰管業務數據、誰管數據安全”的原則，明確各業務領域的數據安全管理責任；制定數據分類分級保護制度，並採取差異化的安全保護措施。

據《中國經營報》記者瞭解，銀行數據安全管理此前一直處於粗放式發展狀態，各家銀行對於數據安全的要求也存在差別。如今銀行場景建設、風險管理、客戶關係等環節逐漸實現數字化，數據價值的體現是以數據安全爲基本前提。但是，敏感數據泄露事件頻發，部分銀行不時吃罰單，銀行數據安全體系建設的完善已迫在眉睫。

推進數據安全監管

3月19日晚，央行公佈了新的貨幣政策委員會委員名單，其中4人退出4人加入。記者注意到，不論是退出委員會名單的國務院發展研究中心原副主任劉世錦，還是剛剛進入名單的北京大學國家發展研究院院長、北京大學數字金融研究中心主任黃益平，都對數字金融發展極爲看重。

對於數字金融的看法，劉世錦曾明確表示，我國正處在一個前所未有的數字技術和數字經濟發展機遇期。“數字技術和金融的融合，過去解決的是比較簡單的問題，如徵信、客服等，下一步要爭取解決相對複雜的問題，如風險防控、預測決策等，包括解決當下人力解決不了的問題。”

黃益平則認爲數字金融是很重要的中國故事，並建議做好數字金融大文章，助力金融強國建設。“傳統金融機構利用數字技術改進了金融服務效率。”

黃益平稱，過去數字金融發展存在一定程度的野蠻生長、監管空白等現象，現在已經逐步被納入監管全覆蓋的政策框架，專項整治政策正在過渡到常態化監管。

2022年12月，國務院發佈了《關於構建數據基礎制度更好發揮數據要素作用的意見》，旨在從數據產權、流通交易、收益分配、安全治理等四方面構建數據基礎制度，增強金融科技、數字經濟等領域的發展新動能。其中，明確提到了“加大個人信息保護力度，推動重點行業建立完善長效保護機制，強化企業主體責任，規範企業採集使用個人信息行爲。創新技術手段，推動個人信息匿名化處理，保障使用個人信息數據時的信息安全和個人隱私”。

2023年7月24日，央行發佈了《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》，明確了數據分類分級、數據安全保護總體要求、數據安全保護管理措施、數據安全保護技術措施、風險監測評估審計與事件處置措施等方面。

國家金融監督管理總局近日發佈的《辦法》與此前央行對數據安全管理的要求一脈相承。國家金融監督管理總局有關司局負責人指出，有必要充分發揮監管的“指揮棒”作用，通過強化政策要求引導銀行保險機構壓實主體責任，完善內部制度，採取有效的措施加強數據管理和保護，確保客戶信息和金融交易數據安全。

《辦法》明確，建立數據分類分級標準。要求銀行保險機構制定數據分類分級保護制度，建立數據目錄和分類分級規範，動態管理和維護數據目錄，並採取差異化的安全保護措施。同時，強化數據安全管理，銀行保險機構應按照國家數據安全與發展政策要求，根據自身發展戰略建立數據安全管理制度和數據處理管控機制，在開展相關數據業務處理活動時應當進行數據安全評估。

同時，《辦法》要求，銀行保險機構應當建立數據安全責任制，黨委（黨組）、董（理）事會對本單位數據安全工作負主體責任。銀行保險機構主要負責人爲數據安全第一責任人，分管數據安全的領導爲直接責任人，明確各層級負責人的責任，明確違規情形和責任追究事項，落實問責處置機制。

國家金融監督管理總局有關司局負責人強調，要求銀行保險機構明確管理流程，主動評估風險，對數據安全風險進行有效監測，防止數據破壞、泄露、非法利用等安全事件發生。風險管理、內控合規和審計部門定期對數據安全開展審計、監督檢查與評價。

構建數據安全體系

日前，國家計算機病毒應急處理中心“點名”了一家銀行金融機構和非銀信貸金融機構的App存在隱私不合規行爲，而此前被“點名”的銀行遍及國有大行、股份行和城商行，理由包括強制收集非必要個人信息、隱私政策內容不完善等等。

記者注意到，在2023年的監管罰單中，多家銀行因泄露風險遭到監管處罰，理由包括“違規泄露客戶信息”“違反個人金融信息保護規定”“信息安全和員工行爲管理不到位”“數據安全管理缺失”等等。

值得一提的是，2023年7月，國家金融監督管理總局發佈的《關於加強第三方合作中網絡和數據安全管理的通知》中深入揭示了部分金融機構對信息科技外包服務商、第三方生態合作者的依賴度不斷加大，由於風險管控不嚴，導致網絡、數據等信息安全風險事件頻繁上演。

“銀行數據安全體系是一個系統的體系建設，包括管理體系、技術體系、運營體系等，涉及建立安全管理組織構架，制定網絡與數據安全管理制度，規範網絡與數據日常安全運營操作流程，制定數據安全應急預案，建立風險評估制度等方面。”一家股份制銀行人士表示。

他認爲，銀行的數據安全管理工作是貫穿銀行生產運營的各個環節，數據安全管理角色需要各個部門的配合，不能僅侷限在信息科技部門或數據治理部門。“數據安全需要將管理與技術有機結合。管理上要重視，技術上要加大投入。一些敏感數據不僅要加密、脫敏與集中防護，內部防止數據泄露，外部防止網絡技術攻擊違規獲得數據。”

對於銀行數據安全的措施，華夏銀行長沙分行表示，把妥善保護客戶信息安全放在首位，強化科技賦能，在築牢金融科技安全防線、打牢數字金融發展“地基”等方面持續發力。

該行稱，爲確保客戶信息受到妥善保護，銀行採取授權審批、脫敏處理、添加水印等多種技術手段對重要信息的讀取和使用設限。梳理出姓名、聯繫方式、證件號碼等8種類型敏感信息，針對性制定相應脫敏規則和操作流程，對關鍵字符、數字等進行特殊處理，巧妙隱藏完整要素，在不影響業務辦理的前提下預防信息被惡意使用、泄露。所有對外展示的敏感數據均設置水印，水印顯示數據使用者的賬號、IP地址等信息，有效防止數據被拍照或截圖導致泄露。對內部數據的訪問權限，該行進行精準控制，因業務需要確實需要查詢詳細信息的，由上級主管審覈審批後方可操作，爲敏感數據的合理使用加上一層“保險”。

一家券商銀行業分析師認爲，多數大型商業銀行目前已成立數據安全組織，並實行數據資產梳理，目前則需要構建完善的多元數據分類分級體系。由於大型商業銀行的數據量龐大，頻繁的數據使用和銷燬過程中容易出現敏感數據泄露問題，需要強化數據的溯源和加密能力，以更強的技術手段實現對數據的高效管理。中小銀行則需要着重梳理自身在數據安全管理方面的不足和盲區，制定規範的數據安全保障制度，保護銀行內部數據隱私，落實金融業務合規要求。

“金融行業由於涉及大量高價值用戶數據且與交易密切相關，往往會成爲黑產攻擊的對象。一旦數據泄露，被倒賣給借貸機構、詐騙團伙等等，很可能對消費者利益造成損害。”該分析師認爲，加強數據安全體系建設不是一家銀行的事情，而是整個行業的事情。

舉報/反饋