商业银行国际化需做好跨境信息安全管理
移动支付网2020/11/10 9:20:14

长期以来,支持企业跨境对外贸易融资都是商业银行国际化经营的重要内容,当前新冠肺炎疫情冲击下使得外部国际形势愈加复杂多变,对银行跨境国际化业务提出了严峻挑战,一方面企业仍然有跨境贸易融资的需求,境内外跨境信息交互不可避免;另一方面随着中美贸易摩擦以及美国、欧盟等主要经济区相继出台了信息安全相关法律条例,对隐私保护、防止信息泄露的要求愈发严格。在这种情况下,银行需要同时满足境内与境外不同的监管部门的要求,信息安全就是其中一项重要内容。

境内外信息安全监管现状。目前境内外监管对于跨境信息保护的法案主要有我国的《网络安全法》,欧盟的通用数据保护法(GDPR),美国NYDFS500法案等。其中我国《网络安全法》于2017年6月1日起正式生效,是我国数据出境管理的主要法律依据,规定了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。欧盟GDPR是专门针对个人信息的保护法案,对于个人信息采集、信息出境、信息主体授权都提出了明确要求。美国NYDFS500目前并未限制跨境数据传输,但强调适用于美国法律的数据在离开美国后仍然适用,阐明了长臂管辖原则。可见信息出境严监管的趋势已经越来越明显,银行必须做出适应性调整,尽可能降低合规要求所带来的影响。

跨境信息传输安全评估。以往境内外跨境信息直接传递的方式已经无法适应监管要求,境内外业务往来必须根据业务场景明确具体交互的内容,境内外机构均需要对跨境传输的信息进行安全评估,确认相关信息可以出境,必要时向当地监管部门报备,并取得许可后再进行信息跨境传输。目前国内各主要商业银行均已开展针对不同境外地区的跨境信息安全评估工作,与境内外相关法律机构合作开展信息安全研究课题,形成评估报告,并注重在不同业务领域的评估信息共享,用于指导境内外系统建设部署及信息交互。

建立灵活的跨境系统架构。各国监管对信息安全的要求复杂多样,例如俄罗斯、泰国要求系统必须在当地部署,客户信息数据不允许出境;而其他国家有些明确信息可以出境,但要经过合规性评估或客户主体授权,有些要求出境信息存储的系统均纳入监管管辖范围,有些则未做明确要求。采用统一部署的系统架构,虽然部署和运维成本较低,但面对差异越来越大的境外监管要求往往捉襟见肘,通过打补丁方式调整的代价巨大。如今支持国际化业务的系统建设越来越朝着专业、灵活、分布式方向发展,首先做到流程专业,跨境信息按照传输路径最短、知悉范围最小原则开展系统建设,针对境外不同监管要求进行合法合规的跨境信息收集,将影响控制在最小范围,避免对境内其他系统产生影响。其次做到系统快速、灵活部署,采用数据分表存储、集群松耦合等模式,能够快速拆分、合并系统版本,灵活应对境外各地区监管要求的变化。在部署环境方面,开辟境外数据传输的外联专用区域,与其他系统部署隔离,并对信息交互采取监控机制,真正做到安全可控。

筑牢跨境信息安全防火墙。为进一步规范跨境数据传输流程,加强境内、境外信息安全保护,应当构建境内外信息交互的中间层,筑牢信息安全防火墙。境内外交互信息应先在中间层落地,通过主体授权确认后再将数据发送到接收端,做到系统访问透明。跨境数据采用MD5、DES3等加密技术存储,并采用Https等网络加密传输,配合专用数字证书进行身份合法性识别,所有交互操作均有日志跟踪留痕,并通过双因素认证等手段强化安全级别。通过运用一系列技术手段,确保跨境信息传输可监控、可追溯、可管理,最大程度保护信息安全。跨境中间层起到了隔离境内外系统、满足境内外监管、构建安全传输架构的作用,使跨境信息交互更加规范透明。

从国家战略到企业经营,从业务推广到系统建设,信息安全都是确保各项工作平稳有序发展的重要基础。未来在常态化防疫形势下,商业银行要及时转变经营思路,把稳健合规作为开展跨境业务的重要前提,严防信息泄露,不断提升国际化经营水平,避免出现跨境业务系统性风险。

(本文作者就职于中国农业银行科技与产品管理局)


展开全文
相关阅读
资讯查询取消