吴晓光:三话金融大数据安全
2018/3/2 17:27:53

本文作者吴晓光系中国人民银行金融信息中心标准研究部副主任

金融行业是信息密集型、知识密集型和价值密集型行业,金融机构在经营过程中与整个社会各行业构成了巨大的交织网络,沉淀了大量数据。无论是以创新为目标的金融科技(FinTech),还是以合规为目标的监管科技(RegTech),大数据的深入应用能从海量数据中发现价值、识别风险、加速创新以及推动行业健康发展。而与此同时,数据的安全问题尤为重要,一旦发生信息泄露事件,容易引发电信网络诈骗等违法犯罪活动,危及公众生命财产安全,给行业带来负面影响,更有甚者还可能危及国家利益及国家安全。

法律法规的制定情况

随着各国对大数据安全重要性认识的不断加深,包括美国、英国、欧盟和中国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护,在政府数据开放、数据跨境流通和个人信息保护等方向进行了探索与实践。

2017年6月,《中华人民共和国网络安全法》正式实施,这部网络安全领域的基础性法律,对个人信息保护和惩治非法买卖个人信息等方面做出了明确规定,表明我国个人信息保护的法律防线正处于逐步构建和巩固的过程中。

在法律法规的框架之下,还需要通过标准来明确可操作的实施规则,充实、细化法律法规中规定的义务,以指导政府部门、各行业、各机构更加有效地开展大数据应用实施。

目前,金融行业已发布了信息安全等级保护相关的标准规范,如《金融行业信息系统信息安全等级保护实施指引JR/T 0071-2012》等,用于指导金融机构开展系统建设、测评和运维管理,大多数金融机构参照国际标准ISO 27001来构建和完善自身的信息安全管理体系,并取得一定成效。

而在大数据时代,大量的数据在脱离数据所有者的控制范围内活跃着,面临着如何对数据使用者授权,如何保证数据共享、融合等过程中的保密性、完整性和可用性(CIA),以及在新的技术路线下如何保障系统的安全性等问题。针对这些问题,需要制定体系化的、操作性强的标准规范,以保障金融大数据战略的稳步实施。

金融大数据安全标准的不同维度

金融大数据安全管理涉及主体多、涵盖范围广,可从数据所有者、数据使用者、技术、应用场景等维度入手梳理大数据安全管理过程中的关键点,并探索建立金融大数据安全标准框架,对金融机构实施大数据战略予以指导、约束和规范。

数据所有者维度

范围和权利。从数据源类型来看,主要包括公共数据源、社会数据源、商业数据源和个人数据源等四大类。其中,公共数据资源、社会数据源的开放利用具有经济社会价值潜能,对大数据产业的发展起着至关重要的作用,而个人数据源则是大数据环境下保护的重点。个人信息能够单独或者与其他信息结合识别用户,基于个人信息的收集和使用与个人的利益、权利息息相关。因此,要通过立法明确个人信息的范围和权利,提出个人信息分类的标准,并针对如何有效识别、支配和控制个人信息并防止他人侵害等,制定保护策略和实施指南。

数据授权。随着移动互联网和物联网技术的发展,对个人信息收集的手段变得更加密集和隐蔽,数据所有者往往在不知情或者无意识的情况下被外部获取信息。针对这类情况,在明确数据所有者权利的基础上,要考虑数据所有者如何向使用者有效授权的问题,通过标准来规范在数据采集过程中数据使用者与数据所有者之间的沟通和交互。如,数据所有者必须做出声明,或者清晰的肯定性动作,授权才被认为有效。在《ISO/IEC 29151个人可识别信息保护指南》中,就明确提出了数据控制者(Data Controller)对数据主体(Data Subject)履行告知时,应当告知的内容、告知的方式、告知的时机等。此外,在授权过程中,数据使用者还应向数据所有者就数据的使用范围、与所开展业务的相关性,如何对数据进行有效管理以及违约后如何处置等问题做出响应和承诺。

数据使用者维度

责任和义务。《网络安全法》中明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。金融机构是数据使用的直接获利者,同时也是数据安全的责任主体,一旦有信息泄露事件发生,可依法追究其责任。金融机构应采用合适的技术和组织方面的措施,以保证一定的数据安全水平;不得过度采集监管部门所规定范畴之外的、且与提供服务内容无关的个人信息;对数据处理活动形成详细的记录,确保数据处理活动的可跟踪、可追溯和不可篡改,便于开展审计和取证;同时,还应接受行业主管部门和社会各界的检查和监督。

数据治理。在金融机构内部,数据的处理流程包括采集、汇总、存储、加工、建模、分析、利用、归档、销毁等,经手的部门和环节较多,任何一个环节管理不当都可能引发信息泄露的风险,越是靠后的环节,数据挖掘越充分,信息泄露所带来的影响将越大。总体而言,金融机构要建立权责清晰的数据治理机制,使数据管理规范、使用安全、利用充分。数据治理机制包括但不限于:在对数据进行分类分级,设置不同的安全防护策略,包括管理和技术层面;确定不同角色、不同数据使用部门的责任和行为规范,在数据处理的整个周期中做好身份认证、访问授权、安全审计等方面的管理,从根本和源头上防止数据泄露行为发生。

数据分级。一般来说,单点信息的价值和可利用性较低,不会直接暴露用户隐私,但用户在网络环境下产生的各类数据具有累积性和关联性,将不同来源的数据汇聚在一起,经过关联分析之后,可以更加清晰地获取用户行为轨迹和画像,价值和可利用性大幅提升。金融机构需要从各类金融业务的监管要求、实际业务开展情况和社会影响程度出发,对所收集到的个人信息进行分类、设定不同的安全级别,数据的融合程度越高,能挖掘的信息量越大,一旦被窃取后危害和影响越大,所对应的安全级别越高。

数据披露。金融机构本质上不属于数据中介,在未经法律授权或者客户同意的情况下,不得将所掌握的客户信息提供给其他机构。而在一些情况下,如将数据应用于国家治理、学术研究、公共服务等领域,且无害于数据主体重大利益的,可考虑在征得客户同意的前提下,与数据提供对象签署框架合作协议,对数据进行脱敏处理达到无法识别个人、且不能复原的程度后,可予以提供数据。

技术维度

基础平台安全。大部分大数据平台软件在设计之初,只考虑在可信的内部网络中使用,对用户身份识别、授权访问、数据加密传输、密钥管理以及安全审计等方面考虑较少,在软件的升级过程中应不断完善这些安全管理功能,并形成符合行业监管要求的、可评估的产品测试规范,确保安全可信。大数据平台一般采用分布式计算和存储架构,需要依照分布式系统的安全防护策略对平台进行运维加固。此外,账户管理也是平台安全的重要部分,应建立密码健壮性保障、账户回收、登录失败限制、操作人员审计等安全机制。

数据安全。数据安全包括数据存储安全、数据传输安全和数据访问等方面。大数据平台中包含了大量不同来源的数据,不同数据的安全级别和防护策略不同,在技术实现上应重点关注分布式环境下的数据完整性验证、数据标签、细粒度访问控制、区块链、数据脱敏等技术。

网络安全。相对于传统的数据,大数据具有体量大(Volume)、速度快(Velocity)、多样化(Variety)、难辨识(Veracity)和价值密度低(Value)等特征,加上新形势下不断有新的外部攻击出现,这都意味着要分析和处理比以往更多的数据。针对这种情况,传统网络安全防御手段难以应对,可运用大数据技术来进行网络安全入侵检测、安全态势感知、网络攻击取证、威胁情报分析等,更加主动、弹性地去应对新型复杂的威胁,提高网络设备的综合防御能力。

应用场景维度

数据共享。从金融监管和金融服务角度看,数据在开放和共享的过程中会产生更大的价值,可提高综合决策水平,为政府部门、司法机关、金融机构及社会公众提供不同层面的数据服务。出于对市场竞争、信息安全和投入成本等方面的考虑,金融机构数据共享的意愿并不强烈,金融领域的数据共享往往是在特定制度框架下推动的,如征信、反洗钱等领域颁布的法规和制度。随着业务创新和监管科技的不断深入,将会陆续开发出新的数据共享场景,满足不同金融监管和金融服务的要求,这一方面离不开监管政策和制度层面的支持,另一方面,还需要有安全技术的发展和管理机制的不断健全完善作为保障,确保数据在流转过程中得到充分保护、可追溯且不可被篡改,保障各类主体的合法权益,很好地解决数据共享中的安全和隐私保护问题。

跨境数据传输。为降低跨境数据流动潜在的安全风险,《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”针对金融行业而言,有必要在《网络安全法》的框架下,进一步研究数据出境安全评估的主要风险指标、数据属性等特征指标,判断出境数据的重要性,综合评判出境活动的风险,为金融机构开展数据跨境安全风险自评估提供规范指南,为国家开展数据出境安全评估审查的工作机制提供标准支撑。

与标准配套的保障机制

一是完善法规制度建设。《网络安全法》是我国网络安全领域第一部基础性法律,是我国网络安全基本法,也是当前大数据安全防护领域最权威和全面的上位法。在《网络安全法》的基础上,进一步研究完善个人信息保护、数据共享安全、跨境数据传输安全、大数据安全等级保护等领域的法律法规,以及金融行业相关制度规范,加强对行业重点信息、个人敏感信息和关键基础设施的保护,建立问责机制,联合司法部门加大对各类违法违规行为的打击力度。

二是加强大数据产业支撑力度。当前大数据技术以开源为主,尚未有任何国家形成绝对垄断,这对于我国而言,既是机遇也是挑战。在国家战略层面,应支持国内科研机构和企业加强对大数据技术的研究,实现产品的自主可控,培养专业人才。在产业发展层面,在完善技术标准的基础上,建立配套的检测认证机制,保障产品质量。在金融行业内部,稳步推进大数据、云计算等新技术和新产品的行业应用,发现问题及时反馈至产业部门予以改进,使新技术更加安全地服务于金融科技和监管科技,为社会经济发展创造良好条件。

三是加强与国际标准化组织的沟通。国际标准化组织(ISO)和国际电工委员会(IEC)联合技术委员会(ISO/IEC JTC1)、美国国家标准与技术研究院(NIST)、欧盟数据保护和隐私工作组(CEN/ISSS WS-DPP)等标准化组织在数据安全与隐私保护方面已取得了一定成果。国内标准化组织应加强与国际组织的交流协作,借鉴其中的成功经验和先进理念,在跨境数据传输安全、大数据技术安全等方面开展风险联防联控,增加国际标准制定的话语权。

四是强化金融消费者安全防护意识。通过教育、培训、宣传等手段,普及网络安全防护知识,同时鼓励社会公众对国家网络安全防护的参与和监督。对广大金融消费者而言,应该加强对信息安全法律法规、标准规范的学习,选择在社会上具有一定认可度、使用较为广泛的社交和支付工具,尽量避免在网络上留下身份证、银行卡等敏感信息,在遇到信息泄露事件时及时用法律手段维护自身合法权益。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消