金融数据安全技术现状与趋势研究.pdfVIP

随着新一轮科技革命和产业变革的不断推进，以大数据为代表的数据资源正向

生产要素的形态演进，对生产力发展、生产关系变化都产生了深远影响。2020

年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体

制机制的意见》，把数据从重要资源提升为关键生产要素，将促进大数据发展

作为国家战略。同时，我国数据安全和保护的法律法规也日益完善，网络信息

治理和数据保护基础法律的“三驾马车”——《中华人民共和国网络安全法》

(以下简称《网络安全法》)《中华人民共和国数据安全法》(以下简称《数据安

全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)

均已施行，为数据要素的有效保护和合法利用提供了制度保障。

在银行的经营发展中，数据要素具有基础性、全局性和引领性作用。如何完善

数据治理方法和制度，促进数据要素合法、安全、有效流通，充分发挥数据要

素价值，是新时代银行面临的重要课题，也对金融数据安全技术提出了新的挑

战。

一、金融行业数据能力与合规建设指导体系

1.上位法的行业对标分析

《网络安全法》明确提出了有关国家网络空间安全战略和重要领域安全规划等

问题的法律要求，宣示了我国的网络空间主权;《数据安全法》为数字经济合规

发展保驾护航;《个人信息保护法》从国家层面建立健全个人信息保护制度。上

述法律共同构成了我国网络安全与数据保护领域的基本法律框架。

我国金融业当前实施的行业标准、规范，也是根据相关法律或征求意见稿，立

足金融行业制定的推荐性标准(如图1所示)。《数据安全法》强调数据分级分

类和数据生命周期管理，而《金融数据安全数据安全分级指南》提出了金融数

据安全分级的目标、原则和范围，明确了数据安全定级的要素、规则和定级过

程。在数据的生命周期管理方面，《金融数据安全数据生命周期安全规范》在

数据分级的基础上，明确了金融数据生命周期的安全框架，构建涵盖数据采

集、传输、存储、使用、销毁全生命周期的数据安全治理体系。《网络安全

法》明确了我国实施网络安全等级保护制度，且金融领域在实施等级保护的基

础上实行重点保护;《金融行业网络安全等级保护测评指南》对此进行了细化，

并给出了相关指导意见。此外，《个人金融信息保护技术规范》在《个人信息

保护法》的基础上为个人的金融数据保护打上了补丁，作为行业标准，其在部

分口径上与《个人信息保护法》有少许差异(见表1)。

图1我国数据安全建设体系

对于金融机构来说，法律条款中明确提及的数据分级分类保护、数据治理、风

险评估、监测预警、应急处置等体系要求，必须遵守并强制执行。而目前的行

业规范，后续也可能作为强制执行的标准。金融机构需跟踪相关法律动向和权

威解读，重新审视、梳理本机构相关的管理制度和技术方法，在规范的指导下

制定符合自身特色的内部管理制度。

2.行业规范和标准实施现状

近年来，人民银行及相关机构颁布的一系列金融行业数据安全规范支撑起了金

融数据安全的体系框架，为金融数据能力和安全建设提供了依据和指引(见表

2)。

《金融数据安全数据安全分级指南》给出了金融数据安全分级的目标、原则和

范围，明确了数据安全定级的要素、规则和定级过程。《金融业数据能力建设

指引》为金融机构内部进行金融数据能力建设提供了全面指导。在目前已经实

施的规范中，《金融数据安全数据生命周期安全规范》定义了数据全生命周期

的安全框架，以数据安全原则为指导，将数据分类分级的基本精神贯彻于数据

生命周期各个环节。底层通过贯穿数据生命周期的组织保障和运维保障来实现

安全防护，为金融业机构开展内部数据安全保护工作提供了实施上的指导。

为保护自然人的隐私和权益，《个人金融信息保护技术规范》从安全技术和安

全管理两个方面，对个人金融信息全生命周期的保护提出了规范性要求。《多

方安全计算金融应用技术规范》保障多个数据方在数据相互保密的前提下进行

高效数据融合计算，为数据开放共享、交易流通和数据要素化奠定技术基础。

另外，银保监会发布的《银行业金融机构数据治理指引》旨在要求银行业金融

机构加强数据治理，提高数据管理和数据质量质效，进一步通过组织架构来保

障金融机构的数据安全。

可以看出，鉴于金融行业在国民经济中的枢纽地位，在整个顶层的建设指导体

系中，一方面，要求企业从组织、制度、技术等各方面保障金融安全，明确安

全和保护是重中之重；另一方面，大力促进数据使用环节新技术的应用推广，

为盘活数据要素市场发挥示范先行效应。

二、金融行业数据安全技术现状

金融行业作为一个数据密集型、高安全标准和强监管的行