金融數(shù)據(jù)泄露風(fēng)險(xiǎn)及其制度應(yīng)對(duì)策略

文/李俞霖（湘潭大學(xué)）

根據(jù)IBM安全事業(yè)部發(fā)布的近年數(shù)據(jù)泄露成本報(bào)告顯示，過(guò)去五年數(shù)據(jù)的泄露成本上升了12%，在特大型數(shù)據(jù)泄露事件中成本已達(dá)到了3.92億美元，相對(duì)于2019年來(lái)說(shuō)，該成本增加了19000萬(wàn)美元。并且通過(guò)對(duì)數(shù)據(jù)泄露對(duì)財(cái)務(wù)造成的長(zhǎng)尾效應(yīng)來(lái)看，金融服務(wù)產(chǎn)業(yè)的第二年和第三年的長(zhǎng)尾成本損失相對(duì)會(huì)更高。然而，Verizon公司發(fā)布的數(shù)據(jù)泄露報(bào)告顯示，從2008年到2020年，金融行業(yè)在數(shù)據(jù)泄露黑色榜單中，每年都名列前三甲，數(shù)據(jù)價(jià)值的泛化和入侵成本的相對(duì)低廉成為其受到安全威脅的重要因素。

隨著金融業(yè)務(wù)與互聯(lián)網(wǎng)的相互交織影響，在互聯(lián)網(wǎng)時(shí)代的大背景下，金融產(chǎn)業(yè)也同其他的產(chǎn)業(yè)一樣，呈現(xiàn)出對(duì)于數(shù)據(jù)的高度依賴。

一、金融行業(yè)的數(shù)據(jù)運(yùn)用風(fēng)險(xiǎn)

（1）銀行作為傳統(tǒng)的金融機(jī)構(gòu)，以最為廣大儲(chǔ)蓄業(yè)務(wù)為基礎(chǔ)，其他的各項(xiàng)轉(zhuǎn)賬、借貸、投資、理財(cái)業(yè)務(wù)為輔助，因此，相較于其他的金融機(jī)構(gòu)而言，金融用戶與銀行的業(yè)務(wù)往來(lái)最為頻繁，業(yè)務(wù)范圍最為廣泛。首先，這就使得銀行不僅能夠快速地抓取到客戶的身份、賬戶、收支、交易等結(jié)構(gòu)化數(shù)據(jù)，還能夠通過(guò)銀行的各個(gè)網(wǎng)點(diǎn)、互聯(lián)網(wǎng)移動(dòng)端實(shí)時(shí)收集數(shù)據(jù)，但是業(yè)務(wù)范圍的廣闊和數(shù)據(jù)收集的頻繁也造成銀行在數(shù)據(jù)管理中的弊端。當(dāng)前銀行的業(yè)務(wù)面臨全線上網(wǎng)的改革，對(duì)于數(shù)據(jù)的管理提出了新的要求，商業(yè)銀行雖然在信息化建設(shè)和新技術(shù)運(yùn)用上都擁有著充足的資金和人才的支持，但是對(duì)體量龐大、類別繁多的數(shù)據(jù)進(jìn)行有效的整合，并在內(nèi)部篩選形成多層級(jí)的保護(hù)系統(tǒng)成為難點(diǎn)。

（2）近些年興起的互聯(lián)網(wǎng)金融產(chǎn)業(yè)，主要是依托互聯(lián)網(wǎng)平臺(tái)端建立起來(lái)的消費(fèi)、投資、支付的金融項(xiàng)目，所以在數(shù)據(jù)的收集和管理上也充分體現(xiàn)了這一特質(zhì)，即對(duì)平臺(tái)數(shù)據(jù)的依賴。例如阿里集團(tuán)的消費(fèi)平臺(tái)淘寶在隱私條款中規(guī)定，客戶的個(gè)人信息及其使用數(shù)據(jù)可能會(huì)與其關(guān)聯(lián)公司或指定服務(wù)商共享。其次在互聯(lián)網(wǎng)金融下的數(shù)據(jù)管理通常是依據(jù)平臺(tái)的數(shù)據(jù)隱私管理來(lái)進(jìn)行。以百度旗下度小滿金融軟件（包含第三方支付、理財(cái)業(yè)務(wù)）為例，度小滿隱私規(guī)則中規(guī)定百度將會(huì)按照《百度隱私政策總則》收集賬戶數(shù)據(jù)。數(shù)據(jù)收集和管理大致上依照著平臺(tái)的管理規(guī)則就導(dǎo)致了安全等級(jí)與數(shù)據(jù)隱私性不匹配的問(wèn)題。

二、金融數(shù)據(jù)安全管理的制度困境

（1）金融云各領(lǐng)域業(yè)務(wù)監(jiān)管差別難以統(tǒng)一。在工信部、銀保監(jiān)會(huì)指導(dǎo)下，中國(guó)信息通信研究院聯(lián)合融聯(lián)易云、興業(yè)數(shù)金、招銀云創(chuàng)等金融企業(yè)，共同研究制定了《可信金融云服務(wù)（銀行類）能力要求參考指南》和《可信金融云服務(wù)（銀行類）》系列標(biāo)準(zhǔn)，為銀行上金融云選擇可信的云服務(wù)提供依據(jù)，同時(shí)為面向銀行類客戶提供金融云服務(wù)的單位提供參考。但該標(biāo)準(zhǔn)只是適用于銀行類金融機(jī)構(gòu)，對(duì)于保險(xiǎn)、證券和互聯(lián)網(wǎng)金融并不能適用這一標(biāo)準(zhǔn)。這也造成了金融云服務(wù)在各種細(xì)分場(chǎng)景下標(biāo)準(zhǔn)各異的情況，由于后續(xù)也并沒(méi)有頒布關(guān)于其他各分支行業(yè)的標(biāo)準(zhǔn)細(xì)則，按照前述標(biāo)準(zhǔn)進(jìn)行參考適用將會(huì)與業(yè)務(wù)需求和發(fā)展現(xiàn)狀不相符，造成管理風(fēng)險(xiǎn)。

（2）缺乏數(shù)據(jù)管理自下而上的制度設(shè)計(jì)。目前的部委指導(dǎo)性文件和標(biāo)準(zhǔn)所提出的數(shù)據(jù)管理和分級(jí)路徑，在單個(gè)組織內(nèi)部可以適用，但是面對(duì)眾多組織且業(yè)務(wù)門(mén)類各異的金融監(jiān)管部門(mén)來(lái)說(shuō)，不具備互操作性。這種情況下，數(shù)據(jù)安全監(jiān)管機(jī)關(guān)無(wú)法開(kāi)展統(tǒng)一的管理和監(jiān)督工作，更無(wú)法判斷其所維護(hù)的國(guó)家和公共利益、個(gè)人合法權(quán)益是否得到充分的保護(hù)。完全依賴規(guī)范對(duì)象的自我管理的“自下而上”的路徑，難以服務(wù)于監(jiān)管層面的工作開(kāi)展。從國(guó)家層面，或者站在國(guó)家角度，組織或開(kāi)展數(shù)據(jù)安全管理工作來(lái)說(shuō)，在“自下而上”路徑的基礎(chǔ)上，還需要“自上而下”的路徑。

三、金融數(shù)據(jù)的法律防治對(duì)策

（1）實(shí)行多主體全方位的監(jiān)管。在金融主體上不僅對(duì)傳統(tǒng)的銀證保融機(jī)構(gòu)進(jìn)行要求和規(guī)范，對(duì)于互聯(lián)網(wǎng)金融機(jī)構(gòu)也要納入統(tǒng)一管理要求。個(gè)人金融信息只是金融數(shù)據(jù)當(dāng)中的一種，目前安全規(guī)范主要針對(duì)個(gè)人金融信息保護(hù)，但這并不意味著，其他金融數(shù)據(jù)不需要保護(hù)，只不過(guò)需要分級(jí)進(jìn)行。金融數(shù)據(jù)涵蓋的金融業(yè)務(wù)數(shù)據(jù)、金融機(jī)構(gòu)管理數(shù)據(jù)、監(jiān)管數(shù)據(jù)都應(yīng)該被納入數(shù)據(jù)安全管理的范圍內(nèi)。在各個(gè)細(xì)分的金融行業(yè)下，對(duì)于云服務(wù)商的監(jiān)管需要進(jìn)行不同的標(biāo)準(zhǔn)劃分。標(biāo)準(zhǔn)包括能力要求、服務(wù)框架、企業(yè)的屬性、風(fēng)險(xiǎn)管理能力、數(shù)據(jù)保護(hù)能力、開(kāi)發(fā)測(cè)試能力和業(yè)務(wù)連續(xù)性等幾個(gè)不同的維度進(jìn)行構(gòu)建，不同行業(yè)更加具體的業(yè)務(wù)需求對(duì)各個(gè)相關(guān)維度進(jìn)行增減。

（2）增加自上而下的管理設(shè)計(jì)。數(shù)據(jù)安全治理通過(guò)“建組織-先摸底-全管控-重稽核-再優(yōu)化”實(shí)施路徑，建立從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。厘清傳統(tǒng)數(shù)據(jù)安全與新的數(shù)據(jù)安全之間的差異與聯(lián)系。傳統(tǒng)的數(shù)據(jù)安全是出于保障數(shù)據(jù)作為資產(chǎn)的安全，現(xiàn)在需要考慮在管理數(shù)據(jù)的過(guò)程中對(duì)于外部環(huán)境所造成的一系列影響，即新數(shù)據(jù)安全。