加强数据安全管理,促进银行数据资产创造价值
落实《数据安全法》等法规面临的挑战和机遇
1.《数据安全法》对商业银行数据安全保护的规定
对商业银行而言,《数据安全法》等法规立足数据安全工作实际,聚焦数据安全领域的突出问题,确立了数据分级分类管理、数据资产管控、数据安全风险评估、监测预警、安全审查等基本要求,明确了相关主体的数据安全保护义务。《数据安全法》的实施要求商业银行采取合法、正当方式收集数据,依法合理利用数据,在开展数据处理活动时确保建立、健全全流程数据安全管理制度,采取相应的技术措施等保障数据安全,并对重要数据的处理需明确数据安全负责人和管理机构,落实数据安全保护责任。《数据安全法》确立数据分级分类保护制度和重要数据界定范围,将进一步激发商业银行主动合规开展数据资产盘点,建立全流程数据安全管理制度,充分发挥数据要素价值的动力。
2.实施《数据安全法》对商业银行的挑战
商业银行作为数据密集型机构,存储了海量的金融基础数据,《数据安全法》的实施对商业银行的数据管理工作带来了挑战,主要表现在商业银行数据规模庞大、业务系统多,彼此相互独立但又联系密切,数据生产部门、数据使用部门、数据管理部门、安全管理部门之间角色和职责难以清晰界定,人员安全意识不均衡,当前数据分级分类和重要数据目录的建设也存在难点,最终会导致数据的安全保护、流转控制难度加大,数据安全合规管理成本高。
3.实施《数据安全法》对商业银行的机遇
《数据安全法》在规范数据活动的同时,坚持安全与发展并重,对推进政务数据开放利用、促进交易数据自由流动、保障数据出境安全等方面做出相应规定,让数据安全有法可依、有章可循,为数字经济的安全健康发展提供了有力支撑,也为商业银行提供了机遇。一是《数据安全法》倡导数据安全与价值创造的平衡发展,统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,鼓励和支持数据在各行业、各领域的创新应用,大力推动政务数据安全与开放,为商业银行深化“政银”数据合作,促进内外部数据共享和数据要素依法有序流动,激活数据要素价值,加快数字化转型提供了政策依据。二是《数据安全法》倡导和鼓励数据开发应用及新技术的研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,为商业银行通过人工智能、区块链技术创新开展数据安全管理提供了良好的导向效应。
落实《数据安全法》等法规的方法探讨
面对以上挑战及机遇,商业银行应从组织、制度、技术等层面建立数据安全闭环管理体系,全面保障数据安全的基础上,促进金融数据有效利用。
1.做好商业银行数据安全管理的顶层设计
一是商业银行应在顶层建立数据安全管理的领导机构,总行与各级分行应设置数据安全管理牵头部门,各数据应用部门是集团数据安全管理工作的主要责任部门,各机构应在数据安全管理领导机构的指引下密切配合、协同开展集团数据安全管理工作。二是要建立完善涵盖全范围、全周期数据安全管理制度体系,明确数据采集、存储、传输、处理、销毁等各个环节、全场景的数据安全管理要求。三是要打造数据安全闭环管理体系,推动数据安全治理体系持续改善。
2.建立完善数据分级分类管理体系与流程管控机制
一是商业银行应对现有敏感业务数据进行识别和分级分类,建立统一的数据分级管理制度和重要数据目录,明确数据安全定级的要素、原则,针对不同数据安全级别的数据采取不同的控制手段。二是建立完善数据资产安全属性注册机制,明确数据产生部门、数据应用部门、数据管理部门、系统研发部门职责范围,将数据安全管控深度嵌入系统需求、研发和应用全流程,防止出现安全漏洞,将数据安全措施在制度、系统、流程和管理中落到实处。
3.提升数据安全管理能力与共享应用能力
利用机器学习、人工智能、大数据分析等新兴技术对敏感数据进行自动识别和标注,对不同类型敏感数据执行差异化算法加密,积极研究包含联邦学习、多方安全计算、区块链在内的数字化技术,推动数据安全管理能力提升,提高数据合规共享水平。
4.加强数据安全人才培养和文化变革
一是加大人才与文化的培育。持续开展专职和兼职数据安全管理人员和技术类人员培训,构建数据安全人才体系。在集团内部做好数据安全文化的宣贯,提升保密意识,筑牢数据安全防线。二是开展数据安全检查与评估,明确数据安全审计任务,定期对银行数据安全工作开展检查,做好数据安全问题排查,尽早发现问题、解决问题。三是开展数据安全能力模型评估,从组织、平台、制度等方面全面提升银行数据安全保障能力。
基于以上商业银行数据安全管理理念,总结提出如下数据安全管理框架(见表1所示)。
表 1 商业银行数据安全管理框架
工商银行数据安全管理实践
近年来,工商银行一直努力探索数据安全合规管理理论,大力开展相关实践,积累了一些行之有效的实践成果。
1.健全数据安全管理组织架构
根据《数据安全法》《指引》等法律要求,工商银行建立了以金融科技发展委员会为决策层、总行管理信息部及金融科技部牵头负责、总分行各级机构配合执行的全集团数据安全管理组织架构,并明确了各级机构的工作职责,形成了权责明确、配合有效的管理机制。
2.完善数据安全管理制度机制
工商银行以大数据服务云平台建设为依托实现各类信息的合规、有效共享,发布了《大数据服务云数据管理办法》《数据共享工作细则》《大数据服务云业务应急预案》等制度办法,明确了数据采集、存储、处理、传输、应用等各环节的数据安全管理要求,建立了数据集成、授权、应用等管理流程和配套机制。
3.开展数据分级分类及资产确权
2020年,工商银行启动数据资产管理项目建设,建立了数据资产目录,规范数据资产注册流程,开展数据资产安全属性和部门确权的梳理工作。为提升数据安全管理的全面性、有效性和准确性,工商银行根据人民银行《金融数据安全分级指南》,制定并发布了《数据安全分级分类规范》,明确了全行金融数据安全分级分类的目标、原则、范围、要素和规则,并在此基础上提供各类金融数据分类分级的参考,为开展数据资产梳理及实施有效数据分级分类管理奠定了基础。
4.强化数据使用管理
事前,按照“知所必须、最小授权”的使用原则,工商银行建立了大数据服务云数据授权管理体系,采用“两级授权”方式实现对机构、用户的数据权限开展管理,并按照“属地化”原则实现数据访问范围的控制。事中,工商银行对重要信息项采取了屏蔽、脱敏、加密等手段加强安全管理,分级分类设置用户访问策略,强化对重点数据访问的保护。事后,工商银行建立了系统化的用户行为监控模型,建立了邮件、U盘等渠道的数据外发核查机制和动态监测机制,确保依法合规和数据安全。
5.推动集团数据充分共享
为推动数据在集团流通,规范集团内部信息共享应用管理,工商银行建立了覆盖需求提出、申请、审核、反馈、效果评价的集团内客户信息共享工作机制,在满足“取得客户授权、业务办理必须”的基础上,基于监管和集团并表管理需要推动信息在集团内部共享应用,发挥数据价值。
目前,工商银行数据安全管理工作虽然取得了一定的进展,但是距离全面落实好《数据安全法》等法规要求,努力推动数据资产要素创造价值,全面实现数字化转型发展目标,还有很长的路要走。
(来源:金融电子化)
