如何做好金融数据安全治理？互金协会发布实施标准，奇富科技参与起草

文 | 《财经》新媒体 王柏匀

10月25日，由中国互联网金融协会组织编制，奇富科技等公司起草的《金融数据安全治理实施指南》（下称“《指南》”）标准正式发布。

据相关起草人透露，《指南》起草约1年的时间。从内容来看，《指南》规定了金融数据安全治理的框架、实施及成果评估，明确数据安全治理实施的主要内容和评估方法。

中国互联网金融协会副秘书长杨农表示，金融是典型的科技驱动型和数据密集型行业，如何平衡好金融数据创新应用和安全治理，充分发挥金融数据要素的经济社会价值，已经成为摆在行业各方面前的一项重要而紧迫的课题。

在最近的几年里，无论是监管，还是金融公司对金融数据资产价值及安全的重视程度都进一步加深。长远而言，金融领域的数据发展正在经历重要的变革。

01 金融数据资产是金融智能化革命的“基石”

奇富科技CEO吴海生指出，金融行业正在经历以智能化为核心的第三次科技革命。

作为金融业智能化革命的“基石”，金融数据资产的重要性不言而喻。中央财经大学中国互联网经济研究院副院长欧阳日辉表示，数据资产具有一定的金融属性，这必然会推动数据要素在金融业的发展。同时，金融业在数据要素产业链中也发挥着优化资源配置的积极作用。

不少从业者认为，数据的价值在于应用，这场革命的关键在于金融数据资产的深度挖掘与应用，如通过大数据分析满足金融产品和服务的定制化需求或者利用数据训练模型实现高效、准确的风险管理和欺诈检测。奇富科技的数据管控体系就采取数据加密、脱敏处理、隐私计算等手段确保数据的安全性。

但值得注意的是，由于数据资产具有的大规模性、实时性、多样性、价值密度低和隐私性等特征，导致金融数据资产潜能的释放，也存在有效地存储、处理和分析等诸多挑战。

在机遇和挑战的双重推动下，数据各项监管开始逐步征求意见并实施落地。

据统计，2017以来已有21份监管文件涉及数据安全的方方面面，其中，2021年至今就有16份文件，如2021年9月开始实施的《数据安全法》、同年11月开始实施的《个人信息保护法》等。

欧阳日辉指出，自党的十八大以来，我国推动数据要素市场化配置改革大致可以分为三个阶段：第一阶段，主要是探索政务部门信息共享和行业数据资源开放共享。第二阶段，数据作为新的生产要素，被纳入构建更加完善的要素市场化配置体制机制之中。第三阶段，构建数据要素组织体系架构，探索数据资产入表和资产管理、数据开发利用等。

相关部门负责人表示，数据统筹协调部门被赋予了一些非常重要的职能，包括统筹推进数字中国的建设，统筹推进数字经济的发展，推动数据要素的市场化、价值化，成为推动经济社会发展的新的动能。在欧阳日辉看来，数据统筹协调部门的成立，有利于打破以往一些领域中数据流动“上下不通、左右不畅”的现象，破解“信息孤岛”和“数据烟囱”问题。

有关部门于2023年12月发布《“数据要素x”三年行动计划（2024-2026年）》，规划未来三年数据要素发展，并对于数据安全保护提出要求。

2024年以来，各地方监管已陆续开展数据治理相关工作，其中包括强化数据工作机构职能、将数字政府建设纳入数据工作范围等。

2024年3月发布的《2023年金融APP市场治理与发展报告》显示，截至2023年底，互金协会已完成3112家机构、共计2429款金融APP备案（含关联备案）。通过审核评估、风险监测、违规公示等自律管理手段，2023年，单款APP平均发现数据安全方面的问题同比下降33.6%，安全防护方面的问题同比下降29.8%，个人信息收集使用方面的问题同比下降5.9%。

同时，金融公司也逐渐着手深入挖掘数据资产价值，他们意识到，数据背后蕴藏着巨大潜力。吴海生透露，奇富科技累积了过亿条的语音、图片和文字语料，帮助银行撮合成功了两万多亿的交易，产生了大量可以方便模型训练的X值和Y值，“这是纯粹技术公司不可拥有的核心资源”。

不过，在欧阳日辉看来，按照加快培育新质生产力和高质量发展的要求，我国数据工作还在基础设施、数据要素市场化、数据要素治理、数据应用与安全等方面存在挑战。其中，数据应用与安全问题依然严峻，数据安全问题制约数据开发利用。

02 金融数据安全治理是苦活、累活、基础活

多位数据安全相关从业者向笔者表示，近期，一些领域陆续出台具体数据标准。如《指南》作为金融数据安全治理标准，其内容就涉及金融数据分类分级管理、数据安全风险管理、数据安全制度体系和数据安全技术体系等领域。

《指南》指出，数据安全风险是指可能对机构的数据资产造成潜在威胁和损害的各种风险因素，主要包括因违反相关法律法规要求所产生的风险，以及因主客观因素导致的对数据保密性、完整性和可用性产生影响的风险等。

在《指南》中，数据安全风险管理是从风险识别到风险处理完成整个流程的闭环管理，其目的是在遵守相关法律法规要求的基础上，确保机构能够识别和处置数据安全风险，采取相应的管理和防护措施，确保数据的保密性、完整性和可用性，维护机构声誉，保护客户权益。

风险处置作为数据安全风险管理的重要环节，其目的是风险降低、业务连续性、数据合规和声誉为目的，原则需遵循风险优先、多层次防御、及时响应。也就是说，机构需要综合考虑风险的性质、机构的资源和能力、法规要求等因素。

《指南》指出，常见的风险处置策略包括风险消除、风险减轻、风险接受以及风险转移。其中风险减轻包括监测与检测、备份和恢复、安全培训、数据分类与分级、访问控制、敏感数据加密。

奇富科技信息安全总监吴业超表示，在制定数据安全治理指南的过程中，奇富科技遵循了理论与实践相结合的双轨路径。一方面，严格依据国家法律如数据安全法、个人信息保护法、网络安全法等，确保理论基础的合法性和权威性。另一方面，结合日常运营中的实践经验，研究并构建了一整套数据安全治理指南体系，旨在为金融机构和企业提供一套既符合法规要求又具有实操性的技术与治理框架。

除了数据安全风险管理，《指南》还针对数据安全治理工作组织与数据分类分级管理等方面提出标准。

数据安全治理工作组织方面，《指南》指出，领导小组、实施小组以及监督小组组成数据安全治理工作组，其中，领导小组负责数据安全治理工作的规划和目标设定等，由机构负责人及各参与部门负责人共同组成。在数据安全治理实施小组中，数据安全部门为主导方，业务部门为协同方：主导方的职责包括对数据全生命周期的风险识别负主要责任等；协同方则有对本部门内的业务数据负主要安全管理责任等。

据2023-2024年度安永调研，94%的企业设有数据合规与隐私保护岗位，各公司负责数据合规与隐私保护的人员规模也稳中有增，只有11%的企业认为在数据合规与隐私保护的投入不满足需求。

数据分类分级管理方面，《指南》指出，数据分类分级是数据安全治理中的重要环节，通过对数据进行分类和分级，可以根据其重要性和敏感程度来采取相应的安全保护措施，进而实现数据资产的有效管理。具体来看，对数据的分类应遵循，系统性原则、规范性原则、稳定性原则、适用性原则、可扩展性原则。 而数据安全分级则应遵循，合法合规性原则、可执行性原则、时效性原则、差异性原则、客观性原则、从高就严原则。

杨农在《指南》发布现场还表示：“我们要清醒地认识到，金融数据安全治理是一项涉及采数、传数、存数、用数等多环节的系统性工程，是苦活、累活、基础活，需要下苦功夫、硬功夫甚至笨功夫。从行业实践看，很多从业机构在数据质量管控、技术防护、安全评估、应急处置等方面仍需要进一步查漏补缺、强基固本。”