光大银行王磊:数据共享需重点防范第三方风险
2021/10/29 14:16:23

“第三方数据处理者的数据安全合规能力不足而产生的风险,会直接影响到商业银行本身。光大银行一方面制定了面向全行的《数据共享安全管理办法》,另一方面,针对外部数据服务厂商、集团和子公司、业务合作第三方、海外分行等不同类型的第三方数据处理者,提出严格、差异化的管理要求,并建立了数据共享安全合规审批机制。”10月10日,在新金融联盟举办的“新法规下金融机构的数据合规应用”研讨会上,光大银行信息科技部副总经理王磊在主题发言中表示。

王磊分析了《数据安全法》《个人信息保护法》《征信业务管理办法》等系列新规下,商业银行数据保护工作面临的四方面挑战,并从六个方面阐述了光大银行的数据保护实践。

以下为王磊发言全文:

2021年,随着《数据安全法》《个人信息保护法》的发布与实施,我国基本形成了从“战略-法律法规-部门规章/国家及行业标准”层层递进的数据保护立法体系。借今天的机会,我向大家谈谈光大银行在数据保护方面的思考和策略。

两法实施对商业银行的巨大挑战

“两法”有一些新的定义,比如《数据安全法》中有重要数据处理者,明确要求数据处理者指定负责人和管理机构,定期开展风险评估等工作。《个人信息保护法》中有重要互联网平台的概念,要求个人信息处理者建立健全合规制度体系,成立独立机构进行监督,发布相关社会责任报告等义务。由于商业银行处理大量个人及金融数据,大概率会被定义为重要数据处理者及重要互联网平台。

在刚刚颁布的《征信业务管理办法》里,一方面,是明确的管理要求:商业银行作为金融机构,不得与未取得合法征信业务资质的市场机构开展商业合作,获取征信服务;另一方面,在实际的业务场景拓展中,商业银行不仅是信息的提供者和信息的使用者,未来很有可能会发展成为征信机构,因为商业银行也向第三方、子公司提供一些个人信用方面的评价信息。所以,《征信业务管理办法》让我们思考“断舍离”。

两法发布并实施,促使商业银行数据保护工作上升至治理体系层面,也使商业银行的数据保护面临巨大挑战。

第一,个人信息保护影响评估(PIA)。《个人信息保护法》明确要求,个人信息处理者事前进行个人信息保护影响评估。这就要求商业银行,在需求开发的整个过程中,加入隐私保护的设计。目前,对项目过程式的研发流程必然带来一些冲击。

第二,数据共享场景。识别大量、类型多样的第三方数据处理者的合法合规性及数据保护能力,对商业银行提出极高要求。

第三,数据出境、入境场景。随着商业银行国际化发展,要求银行全面解析各国数据保护法规的要求,并制定协同一致的应对方案,这对银行来说难度很大。

第四,重要数据处理者与重要互联网平台要求,对商业银行提出了组织架构、责任人、制度体系以及第三方独立监督等变革企业治理架构的诉求。

光大银行数据保护实践

面对挑战,我们积极应对。在这个过程中,商业银行得到了包括央行等监管机构关于金融标准方面的支持,以及对整个数据保护体系建设方面的指导。

在“两法”出台之前,国家标准、金融行业标准已经密集出台。从个人金融信息的保护技术规范,到多方安全技术规范;从数据安全的分级、数据生命周期,到数据能力建设。整个数据保护标准体系相对完整,对商业银行数据保护体系的建设做出了明确的指导。

举个例子,央行今年发布了《金融业数据能力建设指引》,光大银行内部根据这个指引做评估时发现,该指引跟2018年发布的国家标准《数据管理能力成熟度评估模型》有非常好的契合,我们根据国标36073的评估模型,围绕数据能力建设指引做了自评估,分析差距、找出不足,效果非常好。

基于实践,我从六个方面谈谈光大银行数据保护实施应对策略。

第一,设计保护数据主体权益的数据保护治理体系。

光大银行构建了数据全生命周期和管理闭环协同的数据保护治理体系框架。主要有两个层次:一是在数据全生命周期过程中落地数据保护工程,将控制手段、电子化项目系统落地在整个数据的全生命周期;二是围绕数据保护的运营体系,通过计划、实施、评估、监测包括行动,不断的优化、评估管理闭环效果。这样使我们具备充分的保护个人信息以及其合法权利的能力。

第二,搭建数据保护组织架构与制度体系。

“两法”中对数据治理架构提出明确要求,要有责任人和具体管理机构。

光大银行基于现有组织架构,建立决策、协调、执行三层数据保护组织架构及制度体系。同时成立数据保护小组,负责数据保护工作的协调推进。数据保护小组由信息科技部,法律合规部、消费者权益保护部等部门组成,负责全行的数据保护牵头组织、推动和监督工作。

从制度体系方面,按照政策、办法、细则、规范等层次建立起完整的制度体系,成为保障数据保护的一个基础。《数据政策》已经上升为全行数据基本法,它的修订需要董事会的批准。针对重要领域,比如数据安全管理、个人信息保护管理、数据共享安全管理等制定相关办法。另外还会制定一些开发细则、数据保护细则和具体的规范,从不同层面落地数据保护的要求。

第三,个人信息保护影响评估机制先行先试。

《个人信息保护法》对我们挑战最大的可能就是PIA,我们尝试参考国家标准的《个人信息安全影响评估指南》,建立起个人信息保护评估机制,梳理了100多项相关的规章、标准、规范,形成光大银行自身的评估要点,重点关注个人信息、APP相关信息以及金融领域的规范性要求,要点形成后落地在整个项目开发过程中。在需求阶段做需求的合规评估,在分析、设计、开发阶段,进行安全技术评估,需求评估和安全技术评估都是随着开发过程不断地开展。在系统或功能上线之前,通过数据保护小组审批,事前有效地把个人信息保护工作的要求落地。

第四,数据共享安全,重点防范第三方风险。

数据共享、委托处理、转让过程中,第三方数据处理者的数据安全合规能力不足而产生的风险会直接影响到商业银行本身。所以,光大银行一方面制定了面向全行的《数据共享安全管理办法》,另一方面总结了四种数据的共享对象。

第一种,外部数据服务厂商,我们针对四家提供个人信息服务的供应商以及我行7个APP中合作第三方的安全合规性进行了检查评估。

第二种,集团和子公司,我们组织全行各部门签订了《集团数据共享治理框架协议》,并基于场景推进相关补充协议签订。

第三种,业务合作第三方,比如蚂蚁金服、腾讯等业务合作伙伴。

第四种,海外分行,我们组织开展了GDPR的专项培训,并签订了海外分行与总行的《数据处理者协议》。

我们针对不同类型的第三方数据处理者,提出严格、差异化的管理要求,并建立数据共享安全合规审批机制。

第五,数据要素融合安全。

光大银行于2021年8月底上线业内首家企业级多方安全计算平台,在集团财富E-SBU的潜在高净值客户联合营销场景应用中落地实施,走出数据要素安全融合并实现价值释放的重要一步。

第六,数据保护运营。

光大银行已启动数据安全分级工具以及数据安全审计平台的实施。对敏感数据进行识别与定级,采集各类环境、场景下的操作日志与流量,统一进入安全数据湖进行加工分析,对各类数据访问行为进行监测、分析与预警等。

商业银行数据保护工作刚刚起步,数据保护是金融机构数据能力建设的核心内容,治理架构、人才以及文化意识是各项工作顺利推进的基础保障与关键要素。

最后,我们也希望监管不断优化数据保护能力的标准化体系建设,从标准的制定、贯标、落标、评估、评测,包括资质认证,来提高商业银行以及相关数据处理者进入整个数据生态的必要条件。这样可以督促商业银行不断地加快数据保护能力建设步伐,同时防范合作第三方的风险,为繁荣整个数据生态提供一个安全合规的底座。

谢谢大家。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消