數(shù)字化轉(zhuǎn)型下的商業(yè)銀行數(shù)據(jù)安全治理研究

戚君賢

本文介紹了國(guó)內(nèi)外數(shù)據(jù)安全治理的政策法規(guī)，結(jié)合國(guó)內(nèi)商業(yè)銀行數(shù)據(jù)安全治理現(xiàn)狀提出相關(guān)建議，對(duì)銀行業(yè)金融機(jī)構(gòu)開展數(shù)據(jù)安全治理具有較強(qiáng)的現(xiàn)實(shí)指導(dǎo)意義。

黨的十九大報(bào)告提出要“推動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)深度融合”，并提出建設(shè)“數(shù)字中國(guó)”，進(jìn)一步突出了數(shù)據(jù)作為國(guó)家基礎(chǔ)性戰(zhàn)略性資源的重要地位。2020年4月《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》中明確了將數(shù)據(jù)作為生產(chǎn)要素，強(qiáng)調(diào)數(shù)據(jù)價(jià)值。銀行業(yè)屬于信息高度密集型行業(yè)，以新技術(shù)為特征的金融科技蓬勃發(fā)展帶給銀行業(yè)前所未有的沖擊，數(shù)字化轉(zhuǎn)型成為銀行業(yè)生存發(fā)展的必由之路。隨著商業(yè)銀行數(shù)字化轉(zhuǎn)型，銀行業(yè)數(shù)據(jù)資源面臨的安全威脅也日益嚴(yán)峻。

一、數(shù)據(jù)安全治理國(guó)內(nèi)外政策

Gartner 2017安全與風(fēng)險(xiǎn)管理峰會(huì)上首次提到數(shù)據(jù)安全治理（Data Scurity Governance）概念，面對(duì)日益嚴(yán)峻的數(shù)據(jù)安全威脅，世界主要國(guó)家全面加強(qiáng)數(shù)據(jù)保護(hù)的立法和監(jiān)管。

2018年，歐盟正式施行《通用數(shù)據(jù)保護(hù)條例》（簡(jiǎn)稱GDPR），任何收集、傳輸、保留或處理涉及到歐盟所有成員國(guó)內(nèi)的個(gè)人信息的機(jī)構(gòu)組織均受該條例的約束。同年，美國(guó)通過第一部隱私法案《加州消費(fèi)者隱私法案》，強(qiáng)化了數(shù)據(jù)主體對(duì)個(gè)人信息的控制權(quán)，規(guī)范企業(yè)收集處理數(shù)據(jù)的方式。2019年，印度通過《個(gè)人數(shù)據(jù)保護(hù)法案》。2020年，新加坡發(fā)布《個(gè)人數(shù)據(jù)保護(hù)法（修訂）》草案。

近年，國(guó)內(nèi)也加強(qiáng)了數(shù)據(jù)保護(hù)立法和監(jiān)管規(guī)則的制定。2017年，我國(guó)正式施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，將個(gè)人信息保護(hù)納入網(wǎng)絡(luò)安全保護(hù)的范疇。2019年5月，國(guó)家互聯(lián)網(wǎng)信息辦公室對(duì)《數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見。2020年3月，中國(guó)國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布《信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T 35273—2020》用于替代原有的GB/T 35273—2017，對(duì)個(gè)人信息的全生命周期各階段提出了明確要求。2020年7月，《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》全文在中國(guó)人大網(wǎng)公開征求意見。

在金融行業(yè)，2018年5月中國(guó)銀保監(jiān)會(huì)發(fā)布了《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，明確提出數(shù)據(jù)安全的要求。2020年3月，中國(guó)人民銀行正式發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020），從安全技術(shù)和安全管理兩個(gè)方面，對(duì)個(gè)人金融信息保護(hù)提出了規(guī)范性要求。

目前，國(guó)內(nèi)商業(yè)銀行在數(shù)據(jù)安全治理方面進(jìn)行了積極的實(shí)踐，一些銀行結(jié)合大數(shù)據(jù)治理和數(shù)據(jù)安全管理的實(shí)踐經(jīng)驗(yàn)，開展數(shù)據(jù)安全治理框架的研究，從組織建設(shè)、制度流程、技術(shù)工具等方面構(gòu)建數(shù)據(jù)安全保護(hù)體系。

二、商業(yè)銀行數(shù)據(jù)安全治理現(xiàn)狀

（一）組織架構(gòu)管理

數(shù)據(jù)安全治理工作涉及到商業(yè)銀行全體人員，需充分考慮到數(shù)據(jù)保護(hù)工作的系統(tǒng)性，建立完備的數(shù)據(jù)安全治理組織架構(gòu)。目前，商業(yè)銀行一般是信息科技部門牽頭負(fù)責(zé)數(shù)據(jù)（安全）治理工作，各業(yè)務(wù)部門負(fù)責(zé)數(shù)據(jù)安全制度落地工作。部分商業(yè)銀行建立大數(shù)據(jù)管理部，由大數(shù)據(jù)管理部牽頭開展數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全管理等工作，信息科技部負(fù)責(zé)開展數(shù)據(jù)安全（技術(shù)控制）相關(guān)的數(shù)據(jù)安全治理工作，各業(yè)務(wù)部門負(fù)責(zé)本條線的數(shù)據(jù)安全治理相關(guān)工作，推動(dòng)數(shù)據(jù)安全治理的具體工作實(shí)施。在實(shí)踐中，少數(shù)銀行的大數(shù)據(jù)管理部的數(shù)據(jù)安全管理與信息科技部門信息安全管理有交叉，還存在職責(zé)邊界不清問題。

（二）數(shù)據(jù)安全管理

實(shí)施數(shù)據(jù)安全管理，首先，梳理數(shù)據(jù)資產(chǎn)以掌握數(shù)據(jù)資產(chǎn)清單和數(shù)據(jù)分布，建立數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)，明確數(shù)據(jù)的安全保護(hù)等級(jí)。其次，在數(shù)據(jù)分級(jí)分類的基礎(chǔ)上建立敏感數(shù)據(jù)識(shí)別手段，以數(shù)據(jù)作為管理目標(biāo)建立數(shù)據(jù)生命周期安全管控體系，系統(tǒng)性地保護(hù)敏感數(shù)據(jù)安全。最后，在數(shù)據(jù)全生命周期的管理中，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全策略與標(biāo)準(zhǔn)，依法依規(guī)地采集和應(yīng)用數(shù)據(jù)，明確訪問與使用等權(quán)限，完善數(shù)據(jù)安全保護(hù)技術(shù)。

目前，商業(yè)銀行數(shù)據(jù)全生命周期管理中在數(shù)據(jù)使用及銷毀階段的管控能力比較薄弱，尤其是辦公終端散落存放客戶敏感信息且管理控制不到位，容易造成敏感數(shù)據(jù)批量泄漏。全國(guó)性銀行基本建立并實(shí)施數(shù)據(jù)全生命周期安全保護(hù)制度與流程，并配套相關(guān)技術(shù)工具，但是在特殊場(chǎng)景下存在部分流程與技術(shù)工具失效的缺陷。中小商業(yè)銀行普遍未建立數(shù)據(jù)的分級(jí)分類標(biāo)準(zhǔn)，一般通過終端安全軟件預(yù)防數(shù)據(jù)泄漏，由于缺乏體系性的安全策略，數(shù)據(jù)安全風(fēng)險(xiǎn)敞口不容忽視。

（三）治理后評(píng)價(jià)管理

評(píng)價(jià)管理是對(duì)數(shù)據(jù)安全治理的綜合評(píng)價(jià)及評(píng)估過程，包括內(nèi)外部安全評(píng)估和審計(jì)、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、監(jiān)管部門的監(jiān)督檢查以及外部案例信息通報(bào)等，可反映數(shù)據(jù)安全治理體系運(yùn)行的綜合效果。商業(yè)銀行根據(jù)評(píng)價(jià)結(jié)果，不斷完善數(shù)據(jù)安全治理體系，對(duì)流程與工具進(jìn)行適應(yīng)性改進(jìn)，實(shí)現(xiàn)治理體系地持續(xù)優(yōu)化。目前，商業(yè)銀行對(duì)數(shù)據(jù)安全治理評(píng)價(jià)管理不足，對(duì)發(fā)現(xiàn)的問題通常是“頭痛醫(yī)通，腳痛醫(yī)腳”，未能開展系統(tǒng)性評(píng)價(jià)進(jìn)行持續(xù)優(yōu)化。

三、數(shù)據(jù)安全治理措施與建議

（一）完善監(jiān)管政策

遵循國(guó)家現(xiàn)行相關(guān)的法律法規(guī)和政策標(biāo)準(zhǔn)，跟進(jìn)正在立法階段的《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī)，建議起草制定《金融業(yè)數(shù)據(jù)安全管理辦法》。新的數(shù)據(jù)監(jiān)管政策要與現(xiàn)行的行業(yè)政策互補(bǔ)、兼容，特別需要明確跨境數(shù)據(jù)的監(jiān)管規(guī)定，以應(yīng)對(duì)復(fù)雜的國(guó)際數(shù)據(jù)安全治理形勢(shì)及數(shù)據(jù)安全環(huán)境。

（二）完善數(shù)據(jù)安全治理體系

銀行業(yè)金融機(jī)構(gòu)開展數(shù)據(jù)安全治理體系建設(shè)，首先，明晰治理體系戰(zhàn)略目標(biāo)、范圍和內(nèi)容，明確組織架構(gòu)并制定考核責(zé)任制。其次，建立數(shù)據(jù)安全組織架構(gòu)及規(guī)章制度，建設(shè)數(shù)據(jù)信息分級(jí)分類標(biāo)準(zhǔn)，制定相應(yīng)的分類分級(jí)防護(hù)策略。最后，采用數(shù)據(jù)安全保護(hù)技術(shù)與工具，對(duì)數(shù)據(jù)全生命周期實(shí)施安全管控。一是數(shù)據(jù)采集階段。關(guān)注采集的數(shù)據(jù)是否符合國(guó)家法律法規(guī)和行業(yè)規(guī)定，進(jìn)行數(shù)據(jù)分類分級(jí)和數(shù)據(jù)來源屬性標(biāo)識(shí)，便于識(shí)別敏感數(shù)據(jù)及后期的數(shù)據(jù)溯源。二是數(shù)據(jù)傳輸和存儲(chǔ)階段。關(guān)注非授權(quán)用戶向信息系統(tǒng)查詢敏感數(shù)據(jù)、不安全環(huán)境下的明文傳輸數(shù)據(jù)、敏感數(shù)據(jù)存儲(chǔ)不當(dāng)?shù)葐栴}。三是數(shù)據(jù)使用與銷毀階段。關(guān)注敏感數(shù)據(jù)的使用場(chǎng)景、使用周期以及銷毀，特別是數(shù)據(jù)使用過程的信息脫敏，以及數(shù)據(jù)銷毀的合規(guī)性等。

（三）開展數(shù)據(jù)安全治理后評(píng)估

銀行業(yè)金融機(jī)構(gòu)實(shí)施數(shù)據(jù)安全治理，定期對(duì)標(biāo)監(jiān)管政策要求或者根據(jù)國(guó)家標(biāo)準(zhǔn)《GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》進(jìn)行自評(píng)估或第三方機(jī)構(gòu)的評(píng)估，持續(xù)優(yōu)化數(shù)據(jù)安全治理工作機(jī)制。

四、結(jié)語

數(shù)據(jù)治理是我國(guó)治理體系和治理能力現(xiàn)代化的重要組成部分。數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個(gè)部分，數(shù)據(jù)治理強(qiáng)調(diào)數(shù)據(jù)價(jià)值屬性，數(shù)據(jù)安全治理強(qiáng)調(diào)數(shù)據(jù)的安全屬性。隨著國(guó)際數(shù)據(jù)安全形勢(shì)的日益嚴(yán)峻，數(shù)據(jù)安全治理迫在眉睫。銀行業(yè)金融機(jī)構(gòu)在實(shí)施數(shù)據(jù)治理過程中，應(yīng)積極開展數(shù)據(jù)安全治理，同步規(guī)劃，穩(wěn)步實(shí)施，切實(shí)保障數(shù)據(jù)資源的價(jià)值釋放。

作者單位：安徽銀保監(jiān)局