意見領袖 |  新金融聯盟NFA

　　“數據安全管理是統籌數據安全和發展的重要舉措，因為數據量大面廣，涉及環節非常多，難度大、挑戰大，就全行業而言還在起步階段。對于下一步怎么做好數據安全管理，監管部門目前只是給出基本指導框架，后續還將出臺執行細則。”4月13日，在新金融聯盟舉辦的“《銀行保險機構數據安全管理辦法（征求意見稿）》” 內部研討會上，一位監管專家表示。

　　會上，工商銀行首席技術官呂仲濤、招商銀行首席信息官江朝陽，北京銀行首席信息官龔偉華、泰康保險集團信息安全部總經理李瑞榮做主題發言；國家金融監督管理總局相關司局負責人，中國政法大學互聯網金融法律研究院院長李愛君，中國信通院金融科技研究中心主任何陽進行了點評交流。

　　會議由新金融聯盟秘書長吳雨珊主持，中國金融四十人論壇提供學術支持。64家銀行和非銀金融機構，50家金融科技公司及其他機構，共179位嘉賓通過線上線下參會。以下為部分精彩內容。

研討會現場

　　分類分級保護數據

　　數據安全是國家安全的重要內容，金融數據以其極高的價值，成為網絡安全風險事件的重點攻擊目標，金融數據安全保護面臨嚴峻形勢。

　　國家金融監管總局近日發布的《銀行保險機構數據安全管理辦法（征求意見稿）》（簡稱《辦法》），拉齊了銀行保險類金融機構的數據安全管理標準，對制度建設給出系統指導，為數字金融健康發展指明了方向。會上，嘉賓們圍繞如何落實《辦法》展開深入探討。

　　《辦法》提出銀行保險機構應根據數據的重要性和敏感程度，將數據分為核心數據、重要數據、一般數據，一般數據又細分為敏感數據和其他一般數據，而此前人民銀行則根據金融業機構數據安全性遭受破壞后的影響對象和影響程度將數據安全級別劃分為五級，這意味著銀行保險機構需要遵循兩套體系開展數據分類分級，落實不同的防護要求。

　　對此，呂仲濤表示，“要同時滿足兩套標準，銀行打數據標簽會很復雜，從而增加很多監管成本與管理成本。這兩套體系也并非必須完全并軌，而是希望能形成映射關系，能一致的話就更好。此外，重要數據定義中的‘特定領域’‘特定群體’等尚無統一規則，易造成各機構間執行不一致。”

　　李瑞榮介紹了泰康保險數據分類分級的探索：結合人行、金融監管總局等監管最新安全要求趨勢，泰康保險進一步完善數據分類分級標準，對齊四個大類，從原有5個級別擴展形成兼顧數據集、數據項的“四類四級五層”分級方式。

　　對于銀行保險機構在數據分類分級實操中的困惑，預計監管部門或將出臺分級分類管理細則，根據數據重要性敏感程度，明確數據分類分級操作標準。

　　個人信息保護是監管重點

　　監管專家表示，“個人信息保護”在《辦法》中以專章的形式呈現，體現了對金融消費者保護的重視。《辦法》對個人信息保護的要求沒有超出《個人信息保護法》的內容，而是其中重要條款的落實，需要銀行保險機構嚴格遵照執行，這將是下一步監管的重點。

　　《辦法》規定，處理個人信息需“明確告知、授權同意”。專家表示，過去機構之間共享數據是有問題的，往往只能通過隱私計算等技術手段匿名化或其他方式處理，成本比較高。現在《辦法》明確只要取得個人授權，就可以共享數據，這在導向上是放寬的。

　　不過，讓客戶方便知情在實操中并非易事。呂仲濤建議監管推動建立行業“個人數據賬戶”，以數據目錄的形式展現用戶在金融機構留存的信息，協助用戶從個人視角，理清個人信息的對外授權情況。同時監管部門可考慮統籌行業特性，建立個人數據賬戶數據標準，解決金融機構間數據格式不統一等問題。

　　呂仲濤還提出，個人信息范圍較難把控，比如個人地圖中的常用地址、家庭Wi-Fi信息等是否屬于個人信息比較模糊，建議進一步明確個人信息范圍。此外，個人信息集合的“顆粒度”決定了信息重要性與敏感程度，比如“姓名+身份證”和“姓名+地址”就差距很大，建議針對重要數據定義中的個人信息字段組合進行適當的差異化對待。

　　如何加強對第三方的管控力

　　金融機構和第三方機構數據互通密切，金融機構不得將數據安全主體責任外包，但對第三方機構的管控力又很薄弱，如何加強對第三方的管控也是一個難題。

　　“銀行與第三方機構開展業務合作，比如催收、制卡，銀行需提供必要的數據，但缺少對合作方的約束力。”江朝陽建議，在銀行自身強化對外管理的同時，也需要推動法律層面明確對第三方的約束，就像延伸審計一樣，對第三方延伸監管要求，為金融機構加強第三方管理創造條件。

　　李愛君分析，銀行保險機構與第三方機構合作，數據委托處理與數據共同處理責任不同，有的是連帶責任，有的不是連帶責任。那么，什么時候委托處理，什么時候共同處理？對于委托處理機構，資質是否要有所設定？是否要符合一定的標準？這些方面都值得思考。

　　在數據共享實踐方面，龔偉華介紹，北京銀行聯合外部機構，通過隱私計算平臺，建立包含存儲安全、通信安全、算法安全的數據安全共享機制，在數據不出域的前提下，實現與外部機構數據共享。

　　落實數據安全要管用平衡、提升效能

　　“在落地數據安全時，管和用的平衡也需要進一步提升。”江朝陽說，去年我們落地一些內部管理安全措施時，體驗的確一下就不好了，原先的很多工作習慣被改變。所以在保證安全情況下，還需進一步提高安全發展與效率的平衡。

　　龔偉華表示，數據安全管理要真正管到位，一定要建設標準化、模型化、智能化的運營支撐技術，提升數據安全管理運營的自動化水平和效能。

　　《辦法》要求“銀行保險機構使用人工智能技術開展業務時，應當就數據對決策結果影響進行解釋說明和信息披露。”對此，江朝陽認為，“目前大語言模型的可解釋性還不高，要說明數據對決策結果的影響尚有一定難度。”

　　當前，人民銀行、網信辦、公安等多個監管機構均對銀行數據安全工作有指導要求，但因出發點不同，存在一定差異。江朝陽表示，要滿足多方監管要求，一方面銀行需進一步提高自身能力，另一方面也希望各監管機構之間能更好地協同，統一標準，為金融機構落實數據安全工作創造更好的條件。

　　（文| 余春敏）

　　來源： 新金融聯盟NFA

　　(本文作者介紹：一個高質量的新金融政策研討和行業交流平臺。)