专题研讨 | 如何把握金融领域数据安全工作的重点和方向,提升安全措施实效?
研讨背景
针对上述难点,CCIA数据安全工作委员会于近日组织各方专家进行了研讨。与会专家从金融领域涉及的数据类型、业务特点出发提出如何采取更有针对性安全措施的思路、探讨了金融领域大数据、新兴数据安全技术应用的优势,和如何把握安全和发展平衡的技巧。现就研讨中形成的主要观点以会议纪要方式公开,供各界参考、指正。
以下观点仅代表专家个人观点。
研讨问题
研讨问题1:金融领域涉及的数据有何种特点,哪些数据属于重要数据、敏感个人信息的范畴?如何高效识别数据资产?
精彩观点如下:
金融领域的核心业务简单来说就是支持账户的交易,因此账户安全和交易安全是核心诉求,相关的数据也是需要重点保护的对象。同时,伴随开放银行的发展、金融服务生态的建设,金融领域的数据范畴也随着业务形态的变化而日益丰富,除银行以外,保险、证券、信贷等也成为其中的重要组成部分,涉及的数据类型也不断扩展。
简单来看,金融领域数据可分为以下几类:客户数据、业务数据、科技数据、办公数据、测试数据。客户数据通常包括个人账户和企业账户的信息,业务数据包括交易、支付、清算数据(如银行业)、服务过程交互数据,科技数据包括系统平台的源代码、开发文档、网络安全相关的数据等,办公数据即日常的办公产生的数据,测试数据较为特殊,是指从生产环境导出数据用于开发测试,其数据类型覆盖上述各类,鉴于金融领域对于系统的容错机制要求更为严格,开发、测试过程中需要使用到大量的已经一定程度上脱敏的数据进行模拟验证。
此外,还可以从其他较为传统的方式对数据类型进行划分,如从存储形式看,金融数据可分为结构化、半结构化、非结构化;从处理过程看,分为原始数据和衍生数据。而从法律法规的管理要求来区分,个人信息主要集中在客户数据(与个人客户相关数据)、业务数据(与个人客户相关数据),重要数据主要集中在业务数据(与业务数据的规模有关)、科技数据(可能涉及到关键信息基础设施)。测试数据具体从其去标识化的程度、数据自身的规模等出发分析其是否会被纳入到个人信息和重要数据的范畴。
《金融数据安全 数据安全分级指南》(JR/T 0197—2020)将数据分为五级,其中第5级属于重要数据范畴,即会对国家安全社会公共利益损害严重的数据。目前,金融数据按敏感级别主要分布在1~4级,而5级数据在指南中没有给出明确示例。基于实际场景来看,大量的个人信息(尤其是敏感个人信息)的汇聚所得到的分析结果、反映金融行业全局的统计性信息、数据泄露后可能对金融系统造成严重危害、或引发大规模群体权益严重受损的数据,都有可能属于重要数据的范畴。需要注意的是,除非是主管部门有了明确的界定标准,否则不宜单独以个人信息条数、数据体量等角度去判断是否属于重要数据。
从金融数据监管报送的角度来看,虽然监管报送的数据不宜直接定义为某一类重要数据、核心数据,但从监管部门汇总分析的目的出发,其汇总后的信息有可能属于该范畴,因此,作为可能构成重要数据、核心数据的“源数据”,仍需要以更严格的要求进行管理和防护。
相较于其他领域,金融领域数据分级标准制定较为详尽,也得到了较为广泛的应用,而且,金融领域对于数据资产的治理也走在了其他行业领域前列。归纳来看,其数据资产识别的经验可以归纳为以下角度:一是数据库的角度,可以通过工具实现快速的发现和扫描;二是从元数据角度,对具体数据分类的界定要更清晰,形成目录;三是基于行业标准的具体要求,能够实现对相关数据的匹配、映射。其中,“自动化”识别的能力是核心,但不同客户的需求有所不同,需要通过可定制化的服务,使用逐渐成熟的AI等技术,利用数据分类分级的专业工具,进行数据资产的测绘、识别、管理。
研讨问题2:金融领域处理的敏感个人信息场景有哪些,是否需要基于不同合法性基础予以区分,在敏感个人信息保护上是否需要考虑不同的场景、目的所带来的变化? 精彩观点如下:
《个人信息保护法》中对敏感个人信息作出明确界定,金融领域中的金融账户信息属于敏感个人信息,从字面意思以及结合敏感个人信息的主要特点来看,金融账户信息需与账户安全、个人权益直接相关且影响巨大的,通常属于敏感个人信息的范畴,主要包括:支付相关的高敏感度信息(支付口令、银行卡磁道信息等),以及金融账户(账号、卡号等),账户余额、交易记录等中敏感度信息;而开户时间、开户机构等信息可能敏感程度偏低。因此,并非所有的金融领域的个人信息均为敏感个人信息的范畴,但是,如身份证信息(包括拍摄的身份证照片等)等对用户来说可能造成较大权益影响的,建议采取等同于敏感个人信息的安全措施。
金融领域有大量履行法定义务(比如反洗钱、反电诈等)、履行合同所必需(比如开户、转账等过程)、维护个人财产安全(比如账户登录安全、交易过程安全)等情形,因此很大一部分的数据处理的合法性基础并非来源于用户同意,因此在区分个人信息和其他数据的基础上,还可以将个人信息从该角度进一步区分管理,使其能与后续所配套的安全策略、措施、保障个人权益的机制等能够更好衔接,这也是金融领域的一大典型特色。
对敏感个人信息的处理,也需根据不同的场景确定相应的处理规则,比如依据最小必要的原则,确定是否需要使用原始数据、局部数据或去标识化数据等,一方面尽可能避免使用原始数据从而降低数据处理的风险,另一方面非原始数据的敏感程度可能更低从而拓宽了合规措施的思路。
金融领域的数据处理场景关联性强、涉及角色多,通常所处理的并非单项的敏感个人信息,而是多种级别的集合,伴随多级别数据的聚合,敏感和重要程度可能进一步增加,对个人权益的影响也随之增加。因此,应当采取与之相适应的、覆盖数据处理各环节的安全措施,通过个人信息保护影响评估工作可以对安全措施的有效性进行评价。
研讨问题3:金融领域应当关注哪些典型的数据安全风险,如何采取有效的手段监测、阻断、追溯数据安全风险和事件? 精彩观点如下:
从一些金融领域的数据安全事件案例来看,信息系统被恶意人员直接攻克的情形较少,而数据被内部人员非授权使用、滥用、甚至泄露的情形偏多。如违规查询个人的数据用于信用评分,客户经理账户权限较高,可查信息范围较广容易诱发内鬼窃取数据等。
从金融领域特点出发,金融服务链条长、相关方多、新业务新活动等推出频繁,数据接口大量向合作伙伴、客户、公众开放,其中接口是否“最小授权”,数据传输是否“最小必要”成为了关键风险点。其次,金融领域从业人员众多,业务员使用的智能终端、App端等也成为潜在的数据安全风险点,如果安全措施不足,容易成为被恶意人员攻克的对象和违规使用数据的源头。
针对上述常见的数据安全风险,既需要从数据处理全生命周期角度部署相应的安全策略和措施,也需要建立有针对性的风险监测、预警和防范的能力。比如,在业务员使用的端侧,需要做好身份认证(如数字证书)和行为审计,还可使用云桌面等方式促进端侧的策略统一下发和管理;在数据汇集侧,使用数据防泄露(DLP)、数据脱敏(或去标识化)、数据库审计等措施有良好的效果;在与合作伙伴的数据接口侧,可通过API风险监测防止数据被超范围拉取。此外,零信任等新技术的应用也有助于对数据安全风险的精细化的管控。
研讨问题4:金融领域对大数据的利用哪些好的实践值得参考学习?利用个人信息进行精准营销、信用评分、风险管理、智能投顾等时,对个人权益来说可能会带来哪方面的影响?如何更好地满足现有法律法规中对于自动化决策、算法相关的要求? 精彩观点如下:
以金融领域的大数据风控为例,其较为成熟且效果显著。从业务需求出发,金融账户安全、交易安全等过程均需要通过对用户行为、客户端行为、环境数据等进行综合分析,构建动态的异常行为基线,对高风险行为进行告警、阻断。除业务所需以外,上述风控机制还能在反洗钱、反电诈方面发挥重要作用。但是,如果要进一步提升大数据风控的效果,往往需要更大范围地打通数据、进行联动,风控自身的特点决定,无法对其所需的必要信息进行明确界定,因而法律法规无法在该方面给出足够的支持,用户是否能够进行授权则成为影响风控效果的重要因素。
利用个人信息进行精准营销、信用评分、风险管理、智能投顾等行为是当下金融领域对数据应用的常见方式,其一方面激活了数据的价值,促进了数据的流动,提升了金融服务的质量和效率,拓宽了金融服务的范围,另一方面也可能出现因为追求画像的精准度导致过度收集,在业务场景应用中为追求转化率而产生过度打扰,或因数据质量等原因导致用户利益受损等情形。上述行为属于《个人信息保护法》中自动化决策的范畴,自动化决策在个保法中被界定为可能对个人权益产生较大影响的处理活动,因此,有必要对上述处理活动事先进行个人信息处保护影响评估。
自动化决策其核心是背后的算法,而算法的公正性很大程度上与透明度有关。与个性化推荐信息内容等机制不同,使用何种数据源对用户进行画像,如何向目标用户进行推送可描述较为细致,但金融领域算法的可解释性需要有更为全面的考虑,以免其规则被恶意利用(如恶意刷单炒信等)。即便如此,不能因此而降低金融领域算法可解释性的要求,可通过设定不同细粒度的披露策略来取得平衡,如向监管部门、权威第三方机构的披露详细,但对用户的披露可适度等。
研讨问题5:哪些新兴的数据安全技术,如同态加密、隐私计算、机密计算等在金融领域应用较为广泛?哪些场景可能需要得到数据交易市场的支持?有哪些合规方面的注意点? 精彩观点如下:
金融领域对新兴数据安全技术的接纳程度较高,且往往比其他领域应用更早,拥有更多的应用案例,如联合征信、联合清算、普惠金融等。从目前来看,数据交易市场对于数据处理的合规性和安全风险管控高度重视,而近年来出现的新兴数据安全技术往往更切中其需求,因此数据交易市场多对上述技术持鼓励使用的态度。
但是,技术方面的进步和创新虽对数据处理的风险管控效果明显,但主管、监管部门对其的认可程度还不够清晰,对于相关法律法规中所强调的合规义务的减免来说其效用还有待观察和讨论,而这一点也成为新兴技术能否更大范围内应用和促进数据要素价值释放的重要因素。此外,部分环节数据处理的合规性与应用新兴技术的关联度也不大,比如数据源自身的合规性、数据变更处理的合规性等,需要引起注意。
研讨问题6:金融领域行业标准较多且内容详细,如JRT 0171-2020、JR/T 0197-2020、JR/T 0223-2021等,如何理解法律法规、行业规章制度、国标、行标之间的关系和具体内容要求,以更好地指导实践? 精彩观点如下:
从行业视角出发,金融领域的数据安全和个人信息保护的标准体系完备性较高,且内容细致、指导性强。同时,与法律法规的要求衔接密切,金融数据安全评估标准已在征求意见的过程中。因此,以行业标准指导实践对金融领域各单位来说很有必要,也很实用。
同时,在法律法规中的部分细则尚未出台(如重要数据管理、数据出境安全管理等)的情形下,金融领域的行业标准也未能对相关内容给出具体指导时,还有必要继续关注相关的细则。部分法律法规中的安全要求的落实已经有相应国家标准,但还没有专门的行业标准时(如个人信息安全影响评估等),也可参照国家标准开展相应工作。
CCIA数据安全工作委员会持续欢迎大家参与以上具体问题的研讨,通过观点交汇、碰撞,为推动深入研究难点问题、启发安全保护措施创新贡献一份微薄之力。
(文章来源:
)