监管明确分类分级管理 银行加快数据安全体系建设

本报记者 杨井鑫 北京报道

商业银行数据安全关系着数字化转型的成败。随着大数据崛起、客户需求的不断演变，监管对于银行数据隐私和安全性要求也在不断提升，这也意味着银行需要加快数据安全体系建设，以实现更高的合规性和竞争力。

近日，国家金融监督管理总局发布了《银行保险机构数据安全管理办法（征求意见稿）》（以下简称“《办法》”），要求银行保险机构按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任；制定数据分类分级保护制度，并采取差异化的安全保护措施。

据《中国经营报》记者了解，银行数据安全管理此前一直处于粗放式发展状态，各家银行对于数据安全的要求也存在差别。如今银行场景建设、风险管理、客户关系等环节逐渐实现数字化，数据价值的体现是以数据安全为基本前提。但是，敏感数据泄露事件频发，部分银行不时吃罚单，银行数据安全体系建设的完善已迫在眉睫。

推进数据安全监管

3月19日晚，央行公布了新的货币政策委员会委员名单，其中4人退出4人加入。记者注意到，不论是退出委员会名单的国务院发展研究中心原副主任刘世锦，还是刚刚进入名单的北京大学国家发展研究院院长、北京大学数字金融研究中心主任黄益平，都对数字金融发展极为看重。

对于数字金融的看法，刘世锦曾明确表示，我国正处在一个前所未有的数字技术和数字经济发展机遇期。“数字技术和金融的融合，过去解决的是比较简单的问题，如征信、客服等，下一步要争取解决相对复杂的问题，如风险防控、预测决策等，包括解决当下人力解决不了的问题。”

黄益平则认为数字金融是很重要的中国故事，并建议做好数字金融大文章，助力金融强国建设。“传统金融机构利用数字技术改进了金融服务效率。”

黄益平称，过去数字金融发展存在一定程度的野蛮生长、监管空白等现象，现在已经逐步被纳入监管全覆盖的政策框架，专项整治政策正在过渡到常态化监管。

2022年12月，国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》，旨在从数据产权、流通交易、收益分配、安全治理等四方面构建数据基础制度，增强金融科技、数字经济等领域的发展新动能。其中，明确提到了“加大个人信息保护力度，推动重点行业建立完善长效保护机制，强化企业主体责任，规范企业采集使用个人信息行为。创新技术手段，推动个人信息匿名化处理，保障使用个人信息数据时的信息安全和个人隐私”。

2023年7月24日，央行发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）》，明确了数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施等方面。

国家金融监督管理总局近日发布的《办法》与此前央行对数据安全管理的要求一脉相承。国家金融监督管理总局有关司局负责人指出，有必要充分发挥监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部制度，采取有效的措施加强数据管理和保护，确保客户信息和金融交易数据安全。

《办法》明确，建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。同时，强化数据安全管理，银行保险机构应按照国家数据安全与发展政策要求，根据自身发展战略建立数据安全管理制度和数据处理管控机制，在开展相关数据业务处理活动时应当进行数据安全评估。

同时，《办法》要求，银行保险机构应当建立数据安全责任制，党委（党组）、董（理）事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人，明确各层级负责人的责任，明确违规情形和责任追究事项，落实问责处置机制。

国家金融监督管理总局有关司局负责人强调，要求银行保险机构明确管理流程，主动评估风险，对数据安全风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生。风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。

构建数据安全体系

日前，国家计算机病毒应急处理中心“点名”了一家银行金融机构和非银信贷金融机构的App存在隐私不合规行为，而此前被“点名”的银行遍及国有大行、股份行和城商行，理由包括强制收集非必要个人信息、隐私政策内容不完善等等。

记者注意到，在2023年的监管罚单中，多家银行因泄露风险遭到监管处罚，理由包括“违规泄露客户信息”“违反个人金融信息保护规定”“信息安全和员工行为管理不到位”“数据安全管理缺失”等等。

值得一提的是，2023年7月，国家金融监督管理总局发布的《关于加强第三方合作中网络和数据安全管理的通知》中深入揭示了部分金融机构对信息科技外包服务商、第三方生态合作者的依赖度不断加大，由于风险管控不严，导致网络、数据等信息安全风险事件频繁上演。

“银行数据安全体系是一个系统的体系建设，包括管理体系、技术体系、运营体系等，涉及建立安全管理组织构架，制定网络与数据安全管理制度，规范网络与数据日常安全运营操作流程，制定数据安全应急预案，建立风险评估制度等方面。”一家股份制银行人士表示。

他认为，银行的数据安全管理工作是贯穿银行生产运营的各个环节，数据安全管理角色需要各个部门的配合，不能仅局限在信息科技部门或数据治理部门。“数据安全需要将管理与技术有机结合。管理上要重视，技术上要加大投入。一些敏感数据不仅要加密、脱敏与集中防护，内部防止数据泄露，外部防止网络技术攻击违规获得数据。”

对于银行数据安全的措施，华夏银行长沙分行表示，把妥善保护客户信息安全放在首位，强化科技赋能，在筑牢金融科技安全防线、打牢数字金融发展“地基”等方面持续发力。

该行称，为确保客户信息受到妥善保护，银行采取授权审批、脱敏处理、添加水印等多种技术手段对重要信息的读取和使用设限。梳理出姓名、联系方式、证件号码等8种类型敏感信息，针对性制定相应脱敏规则和操作流程，对关键字符、数字等进行特殊处理，巧妙隐藏完整要素，在不影响业务办理的前提下预防信息被恶意使用、泄露。所有对外展示的敏感数据均设置水印，水印显示数据使用者的账号、IP地址等信息，有效防止数据被拍照或截图导致泄露。对内部数据的访问权限，该行进行精准控制，因业务需要确实需要查询详细信息的，由上级主管审核审批后方可操作，为敏感数据的合理使用加上一层“保险”。

一家券商银行业分析师认为，多数大型商业银行目前已成立数据安全组织，并实行数据资产梳理，目前则需要构建完善的多元数据分类分级体系。由于大型商业银行的数据量庞大，频繁的数据使用和销毁过程中容易出现敏感数据泄露问题，需要强化数据的溯源和加密能力，以更强的技术手段实现对数据的高效管理。中小银行则需要着重梳理自身在数据安全管理方面的不足和盲区，制定规范的数据安全保障制度，保护银行内部数据隐私，落实金融业务合规要求。

“金融行业由于涉及大量高价值用户数据且与交易密切相关，往往会成为黑产攻击的对象。一旦数据泄露，被倒卖给借贷机构、诈骗团伙等等，很可能对消费者利益造成损害。”该分析师认为，加强数据安全体系建设不是一家银行的事情，而是整个行业的事情。

举报/反馈