专家观点｜周道许：强化金融数据安全治理 夯实金融行业发展基础

 

摘要

7月27日，“2022中关村金融科技系列活动—第六届金融科技与金融安全峰会暨2022‘光大杯’中关村‘番钛客’金融科技国际创新大赛金融安全专场的云上峰会成功举办。本次峰会由中关村金融科技产业发展联盟、中关村互联网金融研究院和中国互联网金融三十人论坛（CIF30）联合主办。清华大学金融科技研究院金融安全研究中心主任周道许出席并发表题为《强化金融数据安全治理 夯实金融行业发展基础》的演讲。他指出，金融数据安全已不再是行业内部的自律性要求，而是全方位、多层次、立体化的数据安全建设体系。当前金融数据安全治理存在三方面突出问题。一是数字技术日新月异，金融数据成为网络攻击的首选目标。二是金融机构在个人信息保护与网络安全方面因自身管理不到位而受监管部门处罚的案例屡见不鲜。三是金融数据跨境流动日益频繁，带来越来越大的潜在安全隐患，而我国在跨境数据安全评估、认证及保护方面的法律法规细则还有待完善。对金融机构在加强数据安全治理方面，周道许提出了五条建议。一是开展数据安全顶层设计，二是完善数据安全治理机制，三是加强数据应用生命周期中的安全管控，四是优化数据安全运营体系，五是加强金融科技安全人才培养及员工安全意识教育。对国家与金融行业在加强数据安全治理方面，周道许提出了四点建议。一是加快配套标准规范建设，二是开展数据安全认证与针对数据安全的IT审计工作，三是加快数据安全产业生态建设，四是推动建立跨境监管国际合作机制，提高国际话语权。

 

清华大学金融科技研究院金融安全研究中心主任周道许

 

以下为嘉宾发言的全部内容：

 

各位嘉宾、各位朋友，大家上午好！感谢中关村互联网金融研究院的邀请！很高兴参加第六届金融科技与金融安全峰会！

 

随着经济金融的发展，特别是科技的进步，金融科技安全越来越重要，所以今天有关金融科技发展安全的议题非常有意义，而且非常必要，中关村互联网金融研究院在六年以前就开始对金融科技的风险与安全问题进行系列连续的探讨，而且坚持了六年，这是一种战略远见，也是对金融市场的一种深刻洞察。我今天的演讲题目是《强化金融数据安全治理  夯实金融行业发展基础》，我这个文章在清华大学金融数据安全研究院公众号已经发表，所以为了节约大家的时间，我今天主要在现场跟大家汇报一下要点。

 

我主要汇报的有三个要点，第一，什么是金融数据安全及其重要性；第二，当前金融数据安全治理存在的突出问题；第三，强化金融数据安全治理的思考和建议。

 

一、什么是金融数据安全及其重要性

 

金融数据安全就是指通过采取必要的措施确保数据有效的保护和利用状态，以及具备保持持续安全状态的能力，金融数据不仅具备数据的一般特性，更包含了国民的个人信息、企业资金流转、社会经济活动等重要内容，所以金融数据跟一般的数据相比更加重要。正是由于金融数据的特殊性，在金融数据的安全方面，我们不仅要求在输入的时候应当采取严格的审核和频繁的维护，在传输和使用过程中，更要采取相应的管理措施和技术手段加以保护，使金融数据避免被产生非法访问、窃取、篡改和损毁风险。金融数据安全的重要性不仅得到了行业广泛认同，更是在法律和监管中得到了体现。

 

首先是批准越来越严，现行的有效数据相关标准79条，其中2020和2021年发布了23条，这些数据标准涵盖了金融数据的分级分类，还有金融数据的生命周期的安全评估，个人金融数据保护、金融数据安全建设等方面这些标准细化了细节，有效完善了金融安全保障体系，筑牢了金融安全屏障。

 

其次，“三法一条例”带来的数据要求，“三法”是网络安全法、数据安全网和个人信息保护法，“条例”是关键数据基础设施安全保护条例，“三法一条例”体现了我国对信息安全的重视，彰显了我国保护数据安全的决心，这种条件下法律向金融数据安全提出了严格要求，要求我们高度重视金融数据安全，保障国家金融系统的稳定。

 

再次，从监管方面来看，监管要求也越来越高，当前各监管部门也认识到了数据安全的复杂性，各监管部门进一步加强了彼此的统筹协调，避免出现安全漏洞和死角。2021年9月，我国颁布了《征信业务管理办法》，规定采取个人信息应当采取合法、正当的方式，遵循最小、必要原则，不得过度采集。自2021年办法实施以来，中国人民银行及其分行对违法数据安全规定的三家经营主体、一家支付机构开出了千万级罚单，这些行动不仅体现了我国对个人信息保护的重视，更体现了我国对金融数据安全保护的决心。以前都是金融违规监管套利的处罚，现在违反数据漏洞的处罚越来越重，而且罚单金额数量之大是前所未有的，这是外部原因。

 

从内部来看，无论是业务的合规化、标准化还是对数据的严监管都是外部的要求，真正内部驱动的力量是行业自身，是银行、保险等金融机构需要安全用数，只有安全用数才能带来高质量发展，产生效益。所以安全用数是当前金融机构稳定运行和创新发展最迫切的需要。

 

以上种种都说明了金融数据安全的重要性，金融数据安全已经不再是行业的自律性要求，而是全方位、多层次、立体化，包括政府监管部门、行业、企业和用户的内在的、迫切的必然要求。

 

二、当前金融数据安全治理存在哪些突出问题。

 

第一个问题，数字技术日新月异，金融数据成为网络攻击的首选目标。截止到2021年6月我国网络支付的用户规模达到8.72亿次，占整体网民数据的86.3%，数字信息是数字金融产业发展的基础元素，此类数据包含大量用户个人信息和交易数据等敏感信息，数字金融业务进一步加快了金融数据产生的积累，在金融数据安全法律法规不健全的情况下数据的窃取、篡改等事件频繁发生，催生了大量的数据灰色产业链。金融数据具有复杂性、隐蔽性和易扩散性，为了严防新技术所带来的数据泄露、数据污染、等一系列潜在风险，金融机构应在进行数据收集、存储、使用、加工、传输、提供、公开等方面提高安全防范意识，依靠安全和管理技术降低各类风险。

 

第二个存在的突出问题，金融机构在数据方面的违规行为、数量、范围和种类非常大，主要涉及的未按规定使用个人信息，未经同意查询个人信息或者企业信贷信息，提供部分个人信息时未事先告知信息主体，泄露客户信息等，存在信息科技风险的隐患，重要岗位及外部机构管理存在缺陷，发生重要信息泄露风险时未向监管部门报告。2021年金融监管机构发出的罚单119张，罚款金额达4654万元。

 

第三个存在的突出问题，监管数据跨境流动日益频繁，带来越来越大的潜在安全隐患，而我国在跨境数据安全评估、认证及保护方面的法律法规还有待完善。随着全球贸易往来、金融投资和技术交流日益频繁，跨境流动数据的种类和数量不断增加，涉及个人隐私、企业商业秘密、社会治理、国防安全等方方面面，海量数据跨境流动给国家安全带来隐患。如果商业机密信息、经济运行状况、金融科技发展水平、金融创新产品等高度敏感数据若被外国政府获取并恶意利用，将削弱我国金融行业核心竞争力，严重破坏我国金融市场稳定，威胁国家和人民财产安全。我国现行的法律法规已经形成了基本的数据跨境流动制度框架，但数据跨境相关的法律细则还在研究制定过程中，个人信息安全及金融数据安全的认证机制尚未建立起来，数据出境和入境安全评估还未真正实施，数据出境的管理具体模式、审查机构和保障机制等关键问题还有待解决，这对于日益频繁的跨境数据流动提出更多的挑战。前不久我参加跨国金融机构贸易座谈会，他们感觉现在的数据跨境流动执行起来还是难度非常大。

 

第四个存在的突出问题，就是监管政策的不完善加剧了数据和资金向互联网寡头企业的集聚，数据垄断风险明显。目前，我国针对以银行为主体的传统金融行业的监管体系交易完善，但是在面向金融科技企业总体相对薄弱，特别是在疫情时代，个人的身份信息被进一步收集整理，大型科技公司凭借网络外溢效益和规模经济使用前沿科技手段拓展消费者群体，将业务范围从构建互联网项目平台逐渐拓展到身份信息服务、移动支付业务、投资理财、保险销售等领域，积累了大量的个人信息和金融交易数据，逐步形成了数据垄断趋势，容易引发数据安全风险，而数据高度集中不仅会使大型的科技公司的安全防卫能力增加，也会成为不法分子的攻击对象，增大数据的风险，并且为非法数据的贩卖实现商业变现提供了机会。

 

在防范外部风险的同时也应该注意内部的数据管理使用。数据寡头企业一旦滥用市场支配地位，可以通过限制数据的访问和共享、限制用户转移、大数据杀熟、数据服务搭售等算法合谋的方式谋取利益，损害消费者的合法权益，如果其利用数据垄断优势维持行业地位，阻碍竞争对手收集和购买数据，增加竞争对手进入市场的门槛，将会破坏数字经济市场公平竞争秩序。

 

如此可见，当下的金融数据占市场优势地位的平台滥用的问题突出，潜在风险大，与之相匹配的金融数据的反垄断立法与监管机制建设刻不容缓。

 

国务院反垄断委员会于2021年2月7日发布了《关于平台经济反垄断指南》，重新修订的《中华人民共和国反垄断法》将于2022年8月1日起正式实施。这些法律法规对反垄断领域的合规和执法都提出了更为具体明确的要求，例如，新版反垄断法第九条规定“经营者不得利用数据和算法、技术、资本优势以及平台规则等从事本法禁止的垄断行为”。已经发布的反垄断基础法律法规还有待于通过规范细则及监管措施尽快落实到具体实践中，确保金融市场的公平竞争机制的建立。

 

三、强化金融数据安全治理的思考和建议

 

第一，对金融机构在加强数据安全治理方面的五条建议。第一条建议，开展数据安全顶层设计。第二个建议，完善数据安全治理机制。第三个建议，加强数据应用生命周期中的安全管控。第四个建议，优化数据安全运营体系。第五个建议，加强金融科技安全人才培养及员工安全意识教育。这是对个人层面。

 

第二，对国家和金融行业层面加强数据安全方面有四个方面的建议。第一，加快配套标准的建设，当前随着各项金融数据监管新规的落地，标志着金融数据安全管理开始进入有法可依的阶段，但金融数据的利用涉及到工作生活中的方方面面，还有大量的具体细节和执行标准仍有待进一步丰富。第二，建议开展金融数据安全认证与对数据安全的IT审计工作，2022年6月9日国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”，表明了国家主管部门将加强对数据安全的规范化管理，开展统一的认证工作，并发布了《数据安全管理认证实施细则》来明确对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求，金融机构由于其数据的敏感性和管理的复杂性，建议带头响应国家主管部门的号召，尽快开展金融数据安全的认证工作，以促进金融数据安全管理体系的建立与健全。第三，加快数据安全产业生态建设，数据安全治理是一个体系化的工，需要所有的参与者共同努力，共建生态，共同协作，才能更加有力地夯实数据安全基础。第四，推动建立跨境国际合作机制，提高国际话语权，在金融数据安全监管领域需要从国际秩序大局出发，建立国际合作机制，共同应对金融数据跨境流动新挑战。积极参与并推动跨境数据流动监管规则体系的制定和完善，开展用户间、行业间、技术群体间多线条国际谈判与合作，推动制定符合国家利益和经济发展需求的政策体系，加强跨境执法国际合作，夯实域外管辖和跨境适用法律基础，提高跨境监管能力和执法水平，推动构建良好国际金融数据的要素市场，共同推动全球金融市场的稳定性发展。

谢谢大家！

 

*本文系作者在中关村金融科技产业发展联盟、中关村互联网金融研究院和中国互联网金融三十人论坛（CIF30）7月27日“2022中关村金融科技系列活动—第六届金融科技与金融安全峰会暨2022‘光大杯’中关村‘番钛客’金融科技国际创新大赛金融安全专场云上峰会上的主题发言

 

END