強(qiáng)化金融數(shù)據(jù)安全治理 夯實(shí)金融行業(yè)發(fā)展基礎(chǔ)

周道許
當(dāng)前金融數(shù)字化轉(zhuǎn)型已經(jīng)進(jìn)入關(guān)鍵階段,銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)已成為本質(zhì)、核心、關(guān)鍵的生產(chǎn)要素,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)對(duì)業(yè)務(wù)數(shù)據(jù)的匯集、分析與挖掘,不斷提高經(jīng)營(yíng)效率,提升客戶服務(wù)水平,實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新、產(chǎn)品創(chuàng)新和服務(wù)創(chuàng)新。

本文來(lái)自安全牛,作者/周道許,清華大學(xué)金融科技研究院金融安全研究中心主任。

Part

什么是金融數(shù)據(jù)安全及其重要性

數(shù)據(jù)安全,是指通過(guò)采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保證持續(xù)安全狀態(tài)的能力。而金融數(shù)據(jù)不僅具備數(shù)據(jù)的一般特性,更是包含了國(guó)民個(gè)人信息、企業(yè)資金流轉(zhuǎn)、社會(huì)經(jīng)濟(jì)活動(dòng)等重要內(nèi)容。正是由于其特殊性,在金融數(shù)據(jù)安全方面,我們不僅要求數(shù)據(jù)在輸入時(shí)應(yīng)當(dāng)經(jīng)過(guò)嚴(yán)格審核和持續(xù)維護(hù),在傳輸和使用的過(guò)程中,更應(yīng)采取相應(yīng)的管理措施和技術(shù)手段加以保護(hù),使金融數(shù)據(jù)避免產(chǎn)生被非法訪問(wèn)、竊取、篡改和損毀的風(fēng)險(xiǎn)。金融數(shù)據(jù)安全的重要性不僅得到了各行業(yè)廣泛的認(rèn)同,更是在法律和監(jiān)管中有所體現(xiàn)。

首先,高標(biāo)準(zhǔn)帶來(lái)嚴(yán)要求。根據(jù)金融標(biāo)準(zhǔn)全文公開(kāi)系統(tǒng)記錄,現(xiàn)行有效的數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)79條,其中2020年和2021年發(fā)布了23條,如《金融業(yè)數(shù)據(jù)能力建設(shè)指引》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》《金融大數(shù)據(jù)平臺(tái)總體技術(shù)要求》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》和《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》等,涵蓋了金融數(shù)據(jù)分類分級(jí)、金融數(shù)據(jù)生命周期安全評(píng)估、個(gè)人金融信息保護(hù)、金融數(shù)據(jù)安全體系建設(shè)等方面。這些標(biāo)準(zhǔn)細(xì)化了執(zhí)行的細(xì)節(jié),有效完善了整個(gè)安全保障體系,筑牢了數(shù)據(jù)安全屏障。

其次,嚴(yán)法律帶來(lái)強(qiáng)要求。包括《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》在內(nèi)的“三法一條例”共同構(gòu)筑了中國(guó)數(shù)據(jù)保護(hù)的基礎(chǔ)法律框架。隨著重磅政策和法律的陸續(xù)落地與實(shí)施,網(wǎng)絡(luò)安全法律體系日趨完善,為技術(shù)創(chuàng)新和應(yīng)用落地提供了根本依據(jù),體現(xiàn)了我國(guó)對(duì)信息安全的重視,彰顯了我國(guó)保護(hù)數(shù)據(jù)安全的決心。在這種條件下,法律向金融數(shù)據(jù)安全提出了嚴(yán)格的要求,要求我們高度重視金融數(shù)據(jù)安全,保障國(guó)家金融體系穩(wěn)定。

再次,強(qiáng)監(jiān)管帶來(lái)高要求。當(dāng)前,各個(gè)監(jiān)管部門(mén)均認(rèn)識(shí)到了數(shù)據(jù)安全的復(fù)雜性、廣泛性、共生性。因此,各部門(mén)進(jìn)一步加強(qiáng)了彼此間的統(tǒng)籌協(xié)調(diào),避免出現(xiàn)安全漏洞和死角。這一改變,在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等等方面有所體現(xiàn)。監(jiān)管部門(mén)通過(guò)加強(qiáng)對(duì)數(shù)據(jù)安全各階段的監(jiān)管力度,形成數(shù)據(jù)安全監(jiān)管上的閉環(huán)。

不僅如此,監(jiān)管部門(mén)在把握尺度上更加嚴(yán)格,對(duì)違反數(shù)據(jù)安全的行為零容忍。根據(jù)央行2019年數(shù)據(jù)顯示,央行征信系統(tǒng)收錄10.2億自然人、2834.1萬(wàn)戶企業(yè)和其他組織信息,規(guī)模已位居世界前列。2021年9月,我國(guó)頒布了《征信業(yè)務(wù)管理辦法》,《辦法》中明確規(guī)定,“采集個(gè)人信用信息,應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?,遵循最小、必要的原則,不得過(guò)度采集”。自2022年《辦法》施行以來(lái),中國(guó)人民銀行及各地分行對(duì)違反數(shù)據(jù)安全監(jiān)管規(guī)定的3家金融主體、1家支付機(jī)構(gòu)開(kāi)出千萬(wàn)級(jí)罰單,這些行動(dòng)不僅體現(xiàn)出我國(guó)對(duì)個(gè)人信息保護(hù)的重視,更體現(xiàn)了我國(guó)對(duì)金融數(shù)據(jù)安全維護(hù)的決心。

然而,無(wú)論是“合規(guī)化”、“標(biāo)準(zhǔn)化”及”嚴(yán)監(jiān)管“,都是外部力量的要求,真正的內(nèi)在驅(qū)動(dòng)力是:金融機(jī)構(gòu)業(yè)務(wù)穩(wěn)定運(yùn)行和創(chuàng)新發(fā)展離不開(kāi)”安全用數(shù)“。

當(dāng)前金融數(shù)字化轉(zhuǎn)型已經(jīng)進(jìn)入關(guān)鍵階段,銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)已成為本質(zhì)、核心、關(guān)鍵的生產(chǎn)要素,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)對(duì)業(yè)務(wù)數(shù)據(jù)的匯集、分析與挖掘,不斷提高經(jīng)營(yíng)效率,提升客戶服務(wù)水平,實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新、產(chǎn)品創(chuàng)新和服務(wù)創(chuàng)新。銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)安全關(guān)系到金融行業(yè)的資金安全以及大數(shù)據(jù)時(shí)代來(lái)臨對(duì)數(shù)據(jù)的增值分析、利用而帶來(lái)的衍生價(jià)值。“安全用數(shù)“是銀行當(dāng)前業(yè)務(wù)穩(wěn)定運(yùn)行和創(chuàng)新發(fā)展的迫切需要。

以上種種,都說(shuō)明金融數(shù)據(jù)安全的重要性。金融數(shù)據(jù)安全已不再是行業(yè)內(nèi)部的自律性要求,而是全方位、多層次、立體化的數(shù)據(jù)安全建設(shè)體系。

Part

當(dāng)前金融數(shù)據(jù)安全治理的突出問(wèn)題

(一)數(shù)字信息技術(shù)日新月異,數(shù)字金融迅猛發(fā)展,金融數(shù)據(jù)由于其蘊(yùn)含的巨大價(jià)值而成為網(wǎng)絡(luò)攻擊的首選目標(biāo)

著名的云基礎(chǔ)架構(gòu)廠商VMware在2022年2月對(duì)全球130名金融部門(mén)首席信息安全官和安全領(lǐng)導(dǎo)者進(jìn)行的調(diào)查顯示,過(guò)去的一年中,66%的金融機(jī)構(gòu)經(jīng)歷過(guò)以商業(yè)機(jī)密竊取為目的的攻擊,74%的受訪金融機(jī)構(gòu)在過(guò)去一年中至少經(jīng)歷過(guò)一次勒索軟件攻擊,30%的機(jī)構(gòu)經(jīng)歷了多次勒索攻擊,其中超過(guò)六成選擇支付贖金。

我國(guó)互聯(lián)網(wǎng)絡(luò)信息中心數(shù)據(jù)顯示,截至2021年6月,我國(guó)網(wǎng)絡(luò)支付用戶規(guī)模達(dá)8.72億,占整體網(wǎng)民數(shù)量的86.3%。數(shù)字身份信息是數(shù)字金融產(chǎn)業(yè)發(fā)展的基礎(chǔ)元素,此類數(shù)據(jù)包含大量用戶個(gè)人信息和交易數(shù)據(jù)等敏感信息。數(shù)字金融業(yè)務(wù)量的上升進(jìn)一步加快了金融數(shù)據(jù)的產(chǎn)生和積累。在金融數(shù)據(jù)安全法律法規(guī)尚不健全的情況下,數(shù)據(jù)竊取、篡改、勒索事件頻發(fā),催生龐大的數(shù)據(jù)非法販賣(mài)產(chǎn)業(yè)鏈。

金融數(shù)據(jù)風(fēng)險(xiǎn)具有較高的復(fù)雜性、隱蔽性和易擴(kuò)散性。為了嚴(yán)防新技術(shù)所帶來(lái)的數(shù)據(jù)泄露、數(shù)據(jù)污染、數(shù)據(jù)投毒攻擊等一系列潛在風(fēng)險(xiǎn),金融機(jī)構(gòu)應(yīng)在進(jìn)行數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等方面提高安全防范意識(shí),依靠安全管理與技術(shù)手段來(lái)降低各類風(fēng)險(xiǎn)。

(二)金融機(jī)構(gòu)在個(gè)人信息保護(hù)與網(wǎng)絡(luò)安全方面因自身管理不到位而受監(jiān)管部門(mén)處罰的案例屢見(jiàn)不鮮

例如:2021年全年,在央行、銀保監(jiān)會(huì)、外管局發(fā)布的行政處罰名單中,涉及信息處理等違規(guī)問(wèn)題的罰單共計(jì)119張,罰款金額合計(jì)約4654萬(wàn)元。

金融機(jī)構(gòu)發(fā)生的違規(guī)行為集中于個(gè)人信息保護(hù)與信息網(wǎng)絡(luò)安全兩大類,主要涉及“未按規(guī)定收集使用個(gè)人信息”、“未經(jīng)同意查詢個(gè)人信息或企業(yè)信貸信息”、“提供部分個(gè)人不良信息時(shí)未事先告知信息主體”、“泄露客戶信息”、“網(wǎng)絡(luò)授權(quán)訪問(wèn)控制不到位,存在信息科技風(fēng)險(xiǎn)隱患”、“重要崗位及外包機(jī)構(gòu)管理存在缺陷”、“發(fā)生重要信息系統(tǒng)突發(fā)事件未向監(jiān)管報(bào)告”等。

(三)金融數(shù)據(jù)跨境流動(dòng)日益頻繁,帶來(lái)越來(lái)越大的潛在安全隱患,而我國(guó)在跨境數(shù)據(jù)安全評(píng)估、認(rèn)證及保護(hù)方面的法律法規(guī)細(xì)則還有待完善

隨著全球貿(mào)易往來(lái)、金融投資和技術(shù)交流日益頻繁,跨境流動(dòng)數(shù)據(jù)的種類和數(shù)量不斷增加,涉及個(gè)人隱私、企業(yè)商業(yè)機(jī)密、社會(huì)治理、國(guó)防安全等方方面面,海量數(shù)據(jù)跨境流動(dòng)給國(guó)家安全帶來(lái)隱患。如果商業(yè)機(jī)密信息、經(jīng)濟(jì)運(yùn)行狀況、金融科技發(fā)展水平、金融創(chuàng)新產(chǎn)品等高度敏感數(shù)據(jù)被外國(guó)政府獲取并惡意利用,將削弱我國(guó)金融業(yè)核心競(jìng)爭(zhēng)力,嚴(yán)重破壞我國(guó)金融市場(chǎng)穩(wěn)定,威脅國(guó)家和人民財(cái)產(chǎn)安全。

我國(guó)現(xiàn)有法律法規(guī)雖已經(jīng)形成了基本的數(shù)據(jù)跨境流動(dòng)的制度框架,但數(shù)據(jù)跨境相關(guān)的法律細(xì)則還在研究制定過(guò)程中,個(gè)人信息安全及金融數(shù)據(jù)安全的認(rèn)證機(jī)制還未建立起來(lái),數(shù)據(jù)出境和入境安全評(píng)估還未真正實(shí)施,數(shù)據(jù)出境管理的具體模式、審查機(jī)構(gòu)和配套保障機(jī)制等關(guān)鍵問(wèn)題還有待解決,這對(duì)于日益頻繁的跨境數(shù)據(jù)流動(dòng)提出更高的挑戰(zhàn)。

(四)監(jiān)管政策不完善加劇數(shù)據(jù)和資金向互聯(lián)網(wǎng)寡頭企業(yè)集聚,數(shù)據(jù)壟斷風(fēng)險(xiǎn)愈發(fā)凸顯

目前,針對(duì)以銀行為主體的傳統(tǒng)金融行業(yè)監(jiān)管體系較為完善,面向金融科技企業(yè)的監(jiān)管力度相對(duì)薄弱。特別是在疫情時(shí)代,個(gè)人身份信息被進(jìn)一步收集整理,大型科技公司憑借顯著的網(wǎng)絡(luò)外溢效應(yīng)形成規(guī)模經(jīng)濟(jì),使用前沿科技手段拓展消費(fèi)者群體,將業(yè)務(wù)范圍從構(gòu)建互聯(lián)網(wǎng)商務(wù)平臺(tái)逐漸拓展到身份信息服務(wù)、移動(dòng)支付業(yè)務(wù)、投資理財(cái)、保險(xiǎn)銷(xiāo)售等領(lǐng)域,積累了大量個(gè)人信息和金融交易數(shù)據(jù),逐漸形成數(shù)據(jù)壟斷的趨勢(shì),容易引發(fā)數(shù)據(jù)安全風(fēng)險(xiǎn)。而數(shù)據(jù)的高度集中不僅會(huì)使大型科技公司的安全防衛(wèi)壓力增加,也會(huì)使其容易成為不法分子的攻擊對(duì)象,增大了數(shù)據(jù)泄露風(fēng)險(xiǎn)。金融數(shù)據(jù)的流失將嚴(yán)重侵害用戶個(gè)人隱私,為非法販賣(mài)數(shù)據(jù)實(shí)現(xiàn)商業(yè)變現(xiàn)。

在防衛(wèi)外部風(fēng)險(xiǎn)的同時(shí),也應(yīng)注意內(nèi)部的數(shù)據(jù)管理使用。數(shù)據(jù)寡頭企業(yè)一旦濫用市場(chǎng)支配地位,可以通過(guò)限制數(shù)據(jù)訪問(wèn)和共享、限制用戶轉(zhuǎn)移、大數(shù)據(jù)殺熟、數(shù)據(jù)服務(wù)搭售等算法合謀的方式謀取利益,損害消費(fèi)者合法權(quán)益。如果其利用數(shù)據(jù)壟斷優(yōu)勢(shì)維持行業(yè)地位,阻礙競(jìng)爭(zhēng)對(duì)手收集和購(gòu)買(mǎi)數(shù)據(jù),增加競(jìng)爭(zhēng)對(duì)手進(jìn)入市場(chǎng)的門(mén)檻,將會(huì)破壞數(shù)字經(jīng)濟(jì)市場(chǎng)公平競(jìng)爭(zhēng)秩序。

由此可見(jiàn),當(dāng)下的金融數(shù)據(jù)被占市場(chǎng)優(yōu)勢(shì)地位的平臺(tái)濫用的問(wèn)題突出、潛在風(fēng)險(xiǎn)大,與之相匹配的金融數(shù)據(jù)的反壟斷立法與監(jiān)管機(jī)制建設(shè)刻不容緩。

國(guó)務(wù)院反壟斷委員會(huì)于2021年2月7日發(fā)布了《關(guān)于平臺(tái)經(jīng)濟(jì)領(lǐng)域的反壟斷指南》,重新修訂的《中華人民共和國(guó)反壟斷法》將于2022年8月1日起正式實(shí)施。這些法律法規(guī)對(duì)反壟斷領(lǐng)域的合規(guī)和執(zhí)法都提出了更為具體明確的要求。例如,新版反壟斷法第九條規(guī)定:”經(jīng)營(yíng)者不得利用數(shù)據(jù)和算法、技術(shù)、資本優(yōu)勢(shì)以及平臺(tái)規(guī)則等從事本法禁止的壟斷行為”。已發(fā)布的反壟斷基礎(chǔ)法律法規(guī)還有待于通過(guò)規(guī)范細(xì)則及監(jiān)管措施盡快落實(shí)到具體實(shí)踐之中,以確保金融市場(chǎng)健康公平競(jìng)爭(zhēng)機(jī)制的建立。

Part

強(qiáng)化金融數(shù)據(jù)安全治理的思考和建議

(一)對(duì)金融機(jī)構(gòu)在加強(qiáng)數(shù)據(jù)安全治理方面的建議

1.開(kāi)展數(shù)據(jù)安全頂層設(shè)計(jì)

金融數(shù)據(jù)安全的重要性促使金融機(jī)構(gòu)要開(kāi)展數(shù)據(jù)安全的頂層設(shè)計(jì),構(gòu)建全方位的數(shù)據(jù)安全管控體系,并有機(jī)地嵌入到組織的總體網(wǎng)絡(luò)安全規(guī)劃之中,保障數(shù)據(jù)的安全有序流動(dòng),在數(shù)據(jù)全生命周期過(guò)程中確保數(shù)據(jù)不丟失、不泄露、不被篡改、業(yè)務(wù)永遠(yuǎn)在線、可追溯和隱私合規(guī)。

2.完善數(shù)據(jù)安全治理機(jī)制

通過(guò)不斷完善金融主體高管層、安全專業(yè)部門(mén)、全轄機(jī)構(gòu)共同參與的組織體系,實(shí)施數(shù)據(jù)安全全轄全員群防責(zé)任制;通過(guò)建立健全數(shù)據(jù)安全管理制度與流程,形成數(shù)據(jù)安全使用與管理的基本規(guī)范;建立常態(tài)化安全內(nèi)控督查、年度安全合規(guī)內(nèi)控考核、員工安全違規(guī)問(wèn)責(zé)等機(jī)制;不斷強(qiáng)化數(shù)據(jù)安全責(zé)任,明確人員角色和權(quán)限,壓實(shí)崗位職責(zé);健全數(shù)據(jù)安全文化,將自覺(jué)保護(hù)數(shù)據(jù)安全作為全行員工的基本安全意識(shí)與行為規(guī)范。

3.加強(qiáng)數(shù)據(jù)應(yīng)用生命周期中的安全管控

組織根據(jù)自身的業(yè)務(wù)特點(diǎn)及合規(guī)要求,梳理業(yè)務(wù)數(shù)據(jù)應(yīng)用生命周期過(guò)程的收集、存儲(chǔ)、使用、加工、傳輸、提供等環(huán)節(jié)中的數(shù)據(jù)資產(chǎn)、應(yīng)用場(chǎng)景和操作過(guò)程;對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí),形成數(shù)據(jù)保護(hù)目錄,并持續(xù)地對(duì)數(shù)據(jù)資產(chǎn)及資產(chǎn)應(yīng)用場(chǎng)景開(kāi)展風(fēng)險(xiǎn)評(píng)估;對(duì)風(fēng)險(xiǎn)較大的數(shù)據(jù)資產(chǎn)制定數(shù)據(jù)安全保護(hù)計(jì)劃,通過(guò)采用適宜的安全策略和管理流程,綜合采用身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)備份、安全存儲(chǔ)、數(shù)據(jù)銷(xiāo)毀、安全審計(jì)等數(shù)據(jù)安全技術(shù),對(duì)不同安全等級(jí)的數(shù)據(jù)資產(chǎn)實(shí)施差異化管控,并保留數(shù)據(jù)操作的審計(jì)追溯記錄。

4.優(yōu)化數(shù)據(jù)安全運(yùn)營(yíng)體系

數(shù)據(jù)安全管理和技術(shù)體系的落地,離不開(kāi)數(shù)據(jù)安全運(yùn)營(yíng)。首先應(yīng)當(dāng)把數(shù)據(jù)安全納入組織的網(wǎng)絡(luò)安全體系中,然后可從數(shù)據(jù)處理的風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)安全事件管理、數(shù)據(jù)安全應(yīng)急管理、數(shù)據(jù)安全審計(jì)等方面來(lái)建設(shè)運(yùn)營(yíng)體系。金融機(jī)構(gòu)在進(jìn)行數(shù)據(jù)安全管理體系建設(shè)時(shí),要確保與現(xiàn)有安全管理體系的融合,并把數(shù)據(jù)安全管理體系的運(yùn)營(yíng)納入到現(xiàn)有的安全體系運(yùn)營(yíng)中來(lái)。

5.加強(qiáng)金融科技安全人才培養(yǎng)及員工安全意識(shí)教育

長(zhǎng)期以來(lái)網(wǎng)絡(luò)安全人才市場(chǎng)一直處于供不應(yīng)求的狀態(tài),據(jù)工業(yè)和信息化部人才交流中心的估計(jì),我國(guó)網(wǎng)絡(luò)安全專業(yè)人才累計(jì)缺口在140萬(wàn)以上,而每年網(wǎng)絡(luò)安全相關(guān)專業(yè)的高校畢業(yè)生規(guī)模僅2萬(wàn)余人,金融科技安全人才供給也同樣存在“青黃不接”的情況,因此,加強(qiáng)金融科技安全人才的培養(yǎng)迫在眉睫;另一方面,要加強(qiáng)金融從業(yè)人員的安全技能培訓(xùn),增強(qiáng)從業(yè)人員認(rèn)知水平,強(qiáng)化從業(yè)人員風(fēng)險(xiǎn)防范意識(shí)。特別是對(duì)于員工的安全意識(shí)教育可以通過(guò)多媒體開(kāi)展宣傳活動(dòng),結(jié)合線上線下媒體宣傳,不斷提升企業(yè)金融數(shù)據(jù)安全意識(shí),將金融科技形勢(shì)下的數(shù)據(jù)安全納入全員教育,成為一種企業(yè)文化。

(二)對(duì)國(guó)家與金融行業(yè)在加強(qiáng)數(shù)據(jù)安全治理方面的建議

1.加快配套標(biāo)準(zhǔn)規(guī)范建設(shè)

當(dāng)前隨著各項(xiàng)金融數(shù)據(jù)監(jiān)管新規(guī)的落地,標(biāo)志著金融數(shù)據(jù)安全管理開(kāi)始“有法可依”,但金融數(shù)據(jù)的利用涉及到工作生活中的方方面面,還有大量的具體細(xì)節(jié)和執(zhí)行標(biāo)準(zhǔn)有待于進(jìn)一步豐富。特別是加快強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的制定和發(fā)布,更細(xì)致地明確數(shù)據(jù)生命周期各階段的保護(hù)要求、安全管理策略和數(shù)據(jù)生命周期防護(hù)機(jī)制。

2.開(kāi)展數(shù)據(jù)安全認(rèn)證與針對(duì)數(shù)據(jù)安全的IT審計(jì)工作

2022年6月9日,國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布了“關(guān)于開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作的公告”,表明了國(guó)家主管部門(mén)將加強(qiáng)對(duì)數(shù)據(jù)安全的規(guī)范化管理,開(kāi)展統(tǒng)一的認(rèn)證工作,并發(fā)布了《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》來(lái)明確對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。金融機(jī)構(gòu)由于其數(shù)據(jù)的敏感性和管理的復(fù)雜性,建議帶頭響應(yīng)國(guó)家主管部門(mén)的號(hào)召,盡快開(kāi)展金融數(shù)據(jù)安全的認(rèn)證工作,以促進(jìn)金融數(shù)據(jù)安全管理體系的建立與健全。

同時(shí),建議金融機(jī)構(gòu)除了按照信息系統(tǒng)審計(jì)的規(guī)范與要求,階段性開(kāi)展數(shù)據(jù)安全的內(nèi)部IT審計(jì)工作,也應(yīng)當(dāng)常態(tài)化地聘請(qǐng)獨(dú)立的第三方機(jī)構(gòu)對(duì)組織的數(shù)據(jù)安全進(jìn)行IT審計(jì)。根據(jù)內(nèi)外部相結(jié)合的IT審計(jì)結(jié)論,管理層可以了解組織當(dāng)前數(shù)據(jù)安全管控狀態(tài),對(duì)于重大風(fēng)險(xiǎn)領(lǐng)域與環(huán)節(jié)及時(shí)進(jìn)行整改。

3.加快數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)建設(shè)

數(shù)據(jù)安全治理是一個(gè)體系化的工程,需要所有的參與者共同努力、共建生態(tài)、共同協(xié)作,才能更加有力地夯實(shí)數(shù)據(jù)安全。在國(guó)家層面,要加強(qiáng)各部門(mén)間的工作協(xié)調(diào),建立更加完善的橫向聯(lián)系聯(lián)動(dòng)的共享和治理體制,充分調(diào)動(dòng)各部門(mén)的優(yōu)勢(shì)資源,形成多方聯(lián)動(dòng),齊抓共管的安全格局。就金融行業(yè)層面而言,依據(jù)金融行業(yè)數(shù)據(jù)應(yīng)用的特點(diǎn),制定增加全面詳細(xì)的數(shù)據(jù)安全標(biāo)準(zhǔn),以填補(bǔ)相應(yīng)的監(jiān)管空白,加快監(jiān)管技術(shù)發(fā)展和應(yīng)用,不斷提升監(jiān)管的穿透性和智能化,以適應(yīng)快速變化的監(jiān)管制度,為日趨復(fù)雜的數(shù)據(jù)安全形勢(shì)做好充足的準(zhǔn)備。

4.推動(dòng)建立跨境監(jiān)管?chē)?guó)際合作機(jī)制,提高國(guó)際話語(yǔ)權(quán)

在金融數(shù)據(jù)安全監(jiān)管領(lǐng)域,需要各國(guó)從國(guó)際秩序大局出發(fā),建立國(guó)際合作機(jī)制,共同應(yīng)對(duì)金融數(shù)據(jù)跨境流動(dòng)新挑戰(zhàn)。積極參與并推動(dòng)跨境數(shù)據(jù)流動(dòng)監(jiān)管規(guī)則體系的制定與完善,開(kāi)展政府間、行業(yè)間、技術(shù)群體間多線條國(guó)際談判與合作,推動(dòng)制定符合國(guó)家利益和經(jīng)濟(jì)發(fā)展需求的政策體系。加強(qiáng)跨境監(jiān)管執(zhí)法國(guó)際合作,夯實(shí)域外管轄和跨境適用法律基礎(chǔ),提高跨境監(jiān)管能力和執(zhí)法水平,推動(dòng)構(gòu)建良好的國(guó)際金融數(shù)據(jù)要素市場(chǎng)秩序。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論