【风险提示】提升金融数字技能，防范数字金融风险

金融行业是产生和积累数据量最大、数据类型最丰富的领域之一，尤其是随着传统金融行业的数字化转型、深化。同时，金融数据有着广泛地应用场景、应用范围，有着极高的数据应用价值，是关乎企业核心竞争力的重要资产。也因此，金融行业必须要守护好数据安全。但是，随着金融数据作用的不断凸显，数据安全与个人信息保护在新时代也面临新的风险与挑战。

金融行业的安全挑战

1.金融监管趋严，金融机构数据合规难

随着网络安全法、个保法、数据安全法等法律法规的落地、实施，金融市场监管逐步趋严。

具体来说，在信息安全保护方面，金融机构出现的违规行为包括违反信用信息采集、提供、查询及相关管理规定，信息科技风险管理不到位；在个人信息权益保护方面，包括对提供个人不良信息未事先告知信息主体本人、未建立以分级授权为核心的消费者金融信息使用管理制度，未明示收集、使用消费者金融信息的目的、方式和范围。

尤其是个保法实施以来，有关部门对金融机构数据安全、个人信息保护、消费者权益保护的监管也愈加趋严，在合规前提下开展数据治理成为金融机构的必答题。

2.金融机构数据又多又杂

由于金融行业业务环境下的数据资产种类繁多，数据库类型多达十几种，管理难度大；且随着业务开展数据量呈指数级爆发式增长，数据复杂且海量。

同时，金融行业数据还存在权属关系不明确、数据不清晰、数据资产的防护粒度较粗，缺乏差异化保护等问题。例如，不少金融机构不清楚自身业务环境有多少资产和数据，这些资产和数据的分布情况，哪些是直接关系客户无法通过调研得到结果。

另外，随着社会发展，除了基本的客户信息数据（如姓名、身份证等），当下的客户信息数据不仅包含金融资产特征信息、股票账号信息，还包括了微信号、GPSD定位、QQ号码等新型身份特征，以及新能源车辆信息…这些业务数据的种类多样，价值高低不一，需要进行分类分级管理。

3.金融机构数据对外展示、外部合作的风险

金融机构在不同渠道、不同界面，因业务需求会对外展示和传输业务数据，存在数据被盗取的巨大潜在风险。例如，金融行业会有很多外包需求，但因外包导致客户敏感数据被泄露的事件也多有发生。

数据安全防护策略

由于金融行业数据价值的凸显和商业利益的驱动，数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题层出不穷。2020年全球数据泄露达到360亿条，创历史新高，攻击数据安全类型更加多样化。

如何构建以数据安全为目标，结合应用场景的管控方案成为金融机构、金融行业数据安全管理的迫切需要。

首先，制定统一的数据安全防泄密措施，健全数据使用合规管控制度，需遵从和落实国家的法律法规要求，参照国家的数据安全标准，明确数据使用的合规要求和安全红线。

以2020年中国人民银行发布的《个人金融信息保护技术规范》为例，其中明确了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，我国的个人信息保护法在惩罚力度上比欧盟《通用数据保护条例》更为严格。因此，金融行业需尽快梳理出各系统、各业务中对于个人金融信息是如何存储和使用的。

其次，进一步建立和完善相关制度，如数据分类分级制度。利用工具，先是对现有的数据进行调研、梳理，再对数据进行分类分级管理。

例如，数据分类的依据主要有三方面，一是梳理形成的数据清单，其次是要结合人工调研了解到的数据应用场景及业务，三是中国人民银行发布的《金融数据安全数据安全分级指南》等；依据类别划分方法，确定数据项或数据项集合所属数据类；依据子类划分方法，确定数据项或数据项集合所属数据子类。

最后，在数据产生、收集、处理、使用等过程中，要做好数据生命周期的安全管理。一方面，是结合一些防泄密产品和工具，可在一定程度地避免数据泄露等安全问题。另一方面，要对内部人员进行行为管控。