编者按/企业非法爬取用户数据、违规交易客户隐私信息、金融机构“内鬼”倒卖客户信息、金融APP违规过度收集个人信息……大数据时代,金融机构积极利用数据赋能的同时,也面临着由数据行业乱象带来的新的考验,客户及金融机构对保护金融信息与数据安全的诉求越来越强烈。在此背景下,自2021年9月1日起,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行。这部法律分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制。
本报记者张漫游北京报道
数字经济、金融创新的根基是数据,随着9月1日我国关于数据安全的首部律法——《数据安全法》的正式实施,一场关于数据安全的变革正在金融机构中悄然展开。
《数据安全法》落地后,将对金融机构产生哪些影响?金融机构目前面对的数据安全隐患有哪些?下一步应该如何夯实数据风险防控根基?针对上述问题,《中国经营报》记者专访了中国邮政储蓄银行信息科技管理部总经理李朝晖、中国光大银行信息科技部副总经理王磊、Visa中国区风险管理部总经理曹明。
多位金融业人士指出,商业银行在加快数字化转型的过程中,积累了海量、高价值的客户数据,这些数据一直以来是网络安全防护的重点和难点,面对数据安全是一项长期性、系统性工程,需要持之以恒,不断提升。
金融机构数据安全治理应变
《中国经营报》:《数据安全法》的出台,对金融机构在个人金融信息保护上提出了哪些新要求?
李朝晖:《数据安全法》提出的系列新要求主要体现在:一是对“数据”范围做出界定,既包括“网络数据”,又包括以纸质等其他形式记载的“信息”,将其统一纳入《数据安全法》的规制,有利于法律执行的统一性,也符合数字经济时代下的网络安全要求。
二是构建国家数据安全基本制度,覆盖数据全生命周期,重点明确了数据分类分级及重要数据保护目录、数据安全风险评估、数据安全审查、数据出口管制和域外管理等方面的要求。
三是规定了数据安全保护义务,要求重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,涵盖数据收集、存储、使用、加工、传输、提供、公开等处理过程,并强化了国家核心数据和重要数据的保护要求和法律责任。
四是提出数据交易安全要求,明确数据交易中介服务机构的主要义务、数据交易的原则性要求和政务数据开放规定。
五是体现数据伦理内容,要求数据的开发利用应充分考虑老年人、残疾人的需求,不得对其造成障碍,充分体现了国家对特殊群体的关怀,有利于增强全民的幸福感和获得感。
王磊:《数据安全法》实施后,金融机构面临的新要求主要有:在坚持总体国家安全观的原则下,充分保护个人数据主体权益;规范个人信息的数据处理活动,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力;明确数据安全负责人和管理机构,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,落实数据安全保护责任。
《中国经营报》:《数据安全法》出台后,金融机构将面临哪些主要的调整?
李朝晖:数据安全涉及链条长、范围广,又是动态变化的,需要技术、业务部门以及风险、审计等二、三道防线持续推动落实。
对标《数据安全法》等法律法规和监管要求,金融机构首先要建立健全数据安全管理制度体系,细化数据分类分级机制,补充完善重要数据管理、数据安全风险评估、数据安全审查和出境管理等方面要求,并加强监督落实。其次要持续完善数据安全技术防护措施,参照有关标准规范和最佳实践,做细做实数据分类分级和全生命周期安全防护建设,从源头上加强技术安全防护。最后要不断加强数据合规使用,规范数据采集和外部数据使用,加大政务数据的采集和开发利用,同时做好动态管理,针对数据采集、委托、融合、共享、披露等关键环节,组织开展数据安全风险评估,对涉及国家安全的,及时申报数据安全审查。
王磊:金融机构的数据治理体系建设核心将转向以保护数据主体权益的数据安全治理体系,从组织架构、管理流程、技术工具、人才培养等多个方面自上而下进行推动。
重点关注的内容包括管理机构的明确、数据合规机制的建立与运转、数据安全创新技术的引入与研究、培训宣贯与人才培养。
数字时代安全问题升级
《中国经营报》:在数字化转型大潮下,数据作为重要的资产,存在被集中泄露的风险。在防范数据泄露风险方面,金融机构主要面临哪些难点?如何应对?
王磊:在防范数据泄露风险方面,金融机构的难点主要有四方面:一是数据分布情况难以掌握,分布在不同类型的物理设备,不同的环境(生产、办公、开发测试)、不同的形式(库表、文件、图像、音频)等。二是个人信息等敏感数据或文件识别准确率不高。一般是按照规则识别,识别率大约在50%以下。三是数据溯源难度大,数据以不同形式在企业内外进行流转、变形,一旦泄露,很难找到源头,尤其外部报告的数据泄露事件更难找到源头。四是数据访问权限控制规则复杂度极高,精细化成本巨大。
应对数据泄露风险可从四个方面入手:一是识别数据泄露高风险场景并建立相应的管理机制,例如办公环境数据使用场景,识别办公环境的敏感数据文件并要求加密的区域中,文件流转、导出等均有审计日志。二是建立数据安全态势感知平台,监测、分析并预测各类敏感数据访问行为、违规行为等。三是研究并引入零信任、数据沙箱、脱敏(静态、动态)及数字水印、DLP等数据安全创新架构与技术。四是建立数据泄露安全事件的应急处置机制,及时找到泄露源头,通知相关客户以防范因数据泄露可能引发的其他风险。
李朝晖:邮储银行高度重视数据安全工作,为保障全行数据安全和客户合法权益,重点从以
下五项措施着手:
一是加强数据安全治理,在总行层面建立了信息科技风险管理委员会和数据治理委员会,制定了数据安全有关制度规范,需要邮银协同、总分联动,技术和业务部门、风险管理部门、审计部门“三道防线”各司其职,联防联控,共同推进落实数据安全管理。
二是构建数据安全纵深防御体系,在传统网络安全防护的基础上,强化一体化运维安全建设和漏洞处置能力,部署沙箱、云桌面、数据脱敏和防泄漏、态势感知等安全产品;同时,加强应用安全防护,将数据安全要求嵌入业务需求和系统建设各个环节,通过系统固化业务流程,利用认证、校验、加密、脱敏、屏蔽、访问控制、备份恢复、安全审计等措施,从源头上加强保护。
三是强化数据使用安全,通过优化业务流程,进一步规范员工合规操作;通过推进数据分类分级,增强数据精细化管理;通过建设数据实验室、搭建大数据门户、统一外部数据管理等措施,保障数据安全使用;通过开展舆情监测、强化敏感数据监测、组织外包检查等措施,防范供应链安全风险。
四是引导数据安全文化建设。一方面,面向全行员工组织开展消费者权益保护、安全保密、个人金融信息安全等方面的培训,开展案例警示教育,在全行营造安全合规氛围;另一方面,积极参加国家网络安全宣传周活动,利用网点、网站、社区等多种渠道,持续宣传数据安全与个人金融信息保护内容,提高公众安全意识。
五是加强审计监督,组织开展年度信息科技风险检查、评估与审计,将网络数据与个人金融信息安全作为工作重点,加大问题整改和处罚力度,坚持零容忍态度,对违规行为进行严肃处理。
曹明:从支付领域看,由于新冠疫情导致的封闭和人们行动受限,消费者的消费模式从传统的面对面购物转向电子商务,这也导致支付欺诈朝着同一方向发展。枚举攻击已成为当今电子商务中影响全球金融机构和商家的最常见的支付欺诈手段之一。网络犯罪分子使用大数据和人工智能技术批量上传包含枚举值的交易,希望找到合法的账户详细信息或发起1~2笔小额试刷交易,以此来验证账户是否处于激活状态,然后伺机接管它。一旦获得有效的支付信息,犯罪分子就会在网络犯罪网站上出售这些信息。
安全一直是Visa的重中之重,对于枚举攻击欺诈,我们也非常重视。Visa的风险运营中心(Risk Operations Centre,ROC)是由我们安全专家团队运营的一个7×24小时全天候实时欺诈侦测和缓释系统。ROC每天分析数百万笔交易,探测那些已知的和新发生的紧急欺诈威胁。此外,我们还在继续针对枚举欺诈风险特征构建新的体系和能力,以期快速识别和报告枚举欺诈攻击。
尽管如此,我们仍无法靠一己之力彻底防止欺诈攻击。为了确保整个生态系统的安全,我们需要所有参与者采用反枚举攻击和账户测试的最佳实践,升级基础设施,并持续致力于欺诈风险管理,以保护数据的安全。
《中国经营报》:随着科技更深地渗透百姓的生活,目前普通民众面临的主要数据安全风险还有哪些?在金融领域,近期又有哪些值得重视的数据安全风险问题?
李朝晖:目前看,除了数据泄露风险外,百姓还面临数据被窃取、非授权使用、篡改或丢失的风险。在金融领域,非法人员通过APP二次打包、发布钓鱼网站或短信、购买黑产数据等手段,私自窃取或过度采集客户个人金融信息的现象屡禁不止,涉及精确定位、账号密码、短信验证码、个人生物特征及行为特征等数据,引发电信网络诈骗、资金盗刷等事件或案件,甚至有攻击人员利用个人照片数据和人工智能技术伪造人脸攻击,利用社会工程学和大数据分析,从第三方渠道窃取银行账号、手机号等个人敏感信息,进而对金融服务实施精准攻击,严重侵害消费者合法权益。
针对这些风险问题,金融机构也在不断升级安全防护措施,持续增强交易风险监测和处置能力,守好百姓的“钱袋子”。我们建议,广大客户要从正规渠道下载安装和及时更新金融APP,不向任何人泄露个人密码和短信验证码等私密信息,不访问地址不可靠的网站,不点击来历不明的链接,不扫描用途不明的二维码,持续提高自身安全意识。
王磊:除了数据泄露方面的风险,数据安全方面的隐患还有很多,比如过度采集与存储个人信息的风险,企业因营销与风控等管理需要,采集超出业务场景目的的个人信息;个人生物识别信息多头采集以及滥用风险;数据汇聚融合使得个人信息敏感度上升,个人隐私权受到侵犯,企业融合了内外部多个数据源对个人客户画像进行刻画,个人画像标签的数据分级会上升,例如根据客户购买药品、浏览网站、搜索等各类信息可能给个人打上身体状况的标签;算法的合规及道德风险等。
对于金融企业而言,除了上述问题外,与第三方合作过程中风险更要引起高度重视,主要包括外部数据服务商数据来源合法合规性、第三方业务合作公司的安全合规保障能力、第三方外包服务公司的安全合规保障能力等。
数据安全管控精细度待完善
《中国经营报》:在加强数据风险防控的过程中,银行机构需要夯实的核心技术是什么?
李朝晖:未来一段时间,隐私计算技术将成为银行需要强化的重要技术。隐私计算技术不是一种单一的技术,它是一套包含人工智能、密码学、数据科学等众多领域交叉融合的跨学科技术体系,比如联邦学习、安全多方计算、同态加密等。隐私计算技术将数据持有权与使用权分离,在保障数据持有者对数据控制的前提下,实现了数据的“可用不可见”,保障了数据要素的流通共享与协同应用,进一步激发了数据要素的
价值赋能,有利于数字经济发展,对提振实体经济也具有重要意义。目前,邮储银行正在推进隐私计算技术的研究与应用,基于该项技术开展金融科技创新,将在保障数据安全合规的前提下,为广大客户提供更加优质便捷的服务。
王磊:在《数据安全法》公布后,金融机构在数据安全相关的重点技术布局,主要有以下四个方面:一是人工智能及大数据技术。例如,智能化敏感数据识别与定级、相关各类法律法规知识库及图谱、智能化隐私影响性评估模型,各类用户访问敏感数据行为流量、日志等海量数据存储、处理、展示,以及违规访问行为的分析、挖掘、预测等。
二是隐私计算技术,包括多方安全计算、联邦学习、可信计算等。数据“可用不可见”,实现在原始数据不出域条件下的数据价值流动,是数据共享中的数据合规与安全问题。
三是区块链技术,去中心化、分布式账本、不可篡改及可追溯等特性,是适合构建可信、安全的数据交易市场机制的主要技术框架。
四是零信任技术,零信任是一种网络安全防护架构,默认不信任企业网络内外的任何人、设备和系统,以身份为中心,基于持续的身份认证和授权重新构建访问控制的信任基础。采用零信任技术,对来自任何区域、设备及员工的访问进行严格的动态访问控制及安全监测,以帮助企业在IT架构边界不断扩展的情况下实现对设备、资源与数据的持续安全保护。
曹明:新冠疫情加速了数字化转型。我们也看到,从数字商务增长中获益最多的公司,正是那些在新冠疫情流行前在数字化能力建设方面进行投入的公司。由于每个机构都以不同的方式管理业务风险,所以没有“一刀切”的数据安全方法。对于从事支付业务的金融机构而言,Visa认为应该考虑三种通行措施:
第一是部署风险管理解决方案,帮助在提升客户购物体验和保护企业免受欺诈之间取得平衡。基于Visa标记服务(Visa Token Service,VTS)等行业标准的解决方案将敏感支付数据(如卡号和账户详细信息)转换为随机标记,从而降低数据价值,使数据即使被盗也变得无用和没有价值。
第二是支付中最难解决的问题之一是欺诈和数据安全管理。如果金融机构没有正确的工具来确定交易是否真实,他们最终可能会阻止所有交易并且失去收入。而如果他们授权批准包括可疑交易在内的所有交易,数据泄露势必会对他们造成影响。为了帮助金融机构及其客户应对电子商务环境下的欺诈,Visa推出了基于EMV⑧3-DSecure2.0最新标准的VisaSecure 解决方案,确保金融机构客户的交易是真实的。它的工作原理是验证请求交易的客户是真实的持卡人。这个解决方案在提高金融机构的安全性和收入的同时,改善了消费者的整体支付体验。
第三是采用人工智能技术对交易进行实时分析,以阻止欺诈交易。这是Visa早在1993年就开始探索的,我们的解决方案称之为Visa高级授权服务(Visa Advanced Authorization,VAA)。Visa数据显示,VAA每年可成功阻止250亿美元的欺诈交易。VAA是一套复杂
且综合的风险管理工具,利用AI技术监测和评估全球所有经过Visa网络的授权交易,帮助金融机构实时监测识别和应对新兴的欺诈模式和趋势。目前,全球有超过8000家金融机构使用Visa高级授权服务,Visa高级授权服务可以针对欺诈指标的500多个属性,对Visa交易进行100%的全面实时检测;生成与账户持有人的金融机构共享的风险评分,它可以决定是否批准或拒绝一笔交易,或标记该交易并跟进该账户持有人的后续交易;使用预测分析提供实时授权,以识别和防范欺诈。
《中国经营报》:面对数据安全风险,金融机构在应对时需要解决的主要问题有哪些?
李朝晖:在做好技术防护,保障数据安全性、保密性和可用性的基础上,金融机构还需要解决三方面的问题:一是建立覆盖各级机构的数据安全专业人才队伍,准确识别数据资产,包括电子和非电子数据,明确数据安全基线,建立线上线下协调联防的日常工作机制。二是建立良好的数据安全文化,数据是属于整个机构的,而不是某个部门某些人员的,数据安全需要全员参与,各司其职,及时主动发现和防范风险。三是加强技术储备,依托产、学、研、用合作模式,加强新技术研究与应用,通过技术手段优化、固化业务流程,提高数据全生命周期的监测预警、应急处置和溯源取证能力。
王磊:我认为,金融机构需要解决的问题集中在三方面,一是组织架构及职责分工问题。数据安全治理体系建设区别于传统数据安全,并包含个人信息保护,对于多数金融机构来说这是全新的治理体系,明确数据安全责任部门及职责是首要问题。目前,多数银行都处在组织架构调整中。
二是数据安全人员能力问题。数据安全治理体系建设是合规+数据+管理+技术的复合性工作,对人员能力要求较高且需要专职的团队。金融机构应尽早布局人员引入及培养。
三是数据安全合规意识问题。数据安全合规是全行层面的工作,每一个员工都是数据处理者,培养数据安全合规意识是至关重要的工作。除通过传统的培训宣贯、考试等手段外,金融机构还需要将数据安全合规要求纳入产品/服务的设计流程,从源头贯彻隐私政策的要求。
曹明:由于新冠疫情的流行,许多企业不得不向线上迁移,并在一夜之间成为数字化商家。伴随这种快速变革,我们需要提升整个行业的标准,以便我们都能从蓬勃发展的数字化机遇中受益。为了实现这一目标,协同合作是关键,行业需要以一套共同的举措为指导。
安全是一项全行业共同的责任,我们的重点主要聚焦于四个战略支柱,从而为未来的商业生态系统奠定基础:即数据保护,通过实施行业标准和保护措施来保护个人数据和账户信息;数据脱敏,通过移除生态系统中的敏感支付数据,使被盗账户的详细信息变得无用,从而降低被盗数据的价值;数据利用,通过在发生之前识别潜在欺诈交易来增强批准真实交易的信心;协同应对,赋权每个参与方,包括账户持有人和商家,在安全支付中发挥积极作用。
