数字化时代数据安全防护体系的实践与思考

数字化时代数据安全防护体系的实践与思考 在数字化时代，数据作为新的生产要素和基础性战略资源，其地位的重要性不断突显，已成为拉动经济增长和科技驱动业务的重要引擎。伴随国内外数据泄露和数据滥用的安全事件屡见不鲜，近年来美国、英国、德国等全球多个国家纷纷颁布数据安全法律法规，对信息安全与隐私保护相关问题进行严格的规范与引导，我国也正在不断推进数据安全的相关立法工作，构建数据安全法治保障体系。面对现如今日益严峻的数据安全形势，民生银行严格落实国家和行业监管部门的法律法规要求，将个人金融信息等数据安全保护作为维护国家安全和保障广大人民群众权益的重要工作，建立适应新形势、新战略、新架构的数据安全防护体系，实施数据全生命周期的安全管控措施，守住数据风险防范底线，持续完善数据安全保护机制，为推动我行数据化转型的战略发展提供坚实保障。 金融机构构建数据安全 防护体系的意义 在开放、互联、共享的数字化时代，银行等金融机构在提供金融产品和服务的过程中，积累了海量的个人身份信息、金融交易信息、金融财产及账务信息等数据，已成为金融机构的核心资产资源、创新关键要素和核心竞争力。通过金融科技技术，赋能业务转型与经营模式创新，实现数据价值的最大化，对推进数字化时代金融机构的业务发展转型具有重要意义。 数据安全作为实施数字化转型的重要基础保障，也是筑牢数字经济发展的法治底线，数据安全与业务发展的动态平衡已成为数字经济领域各类新业态、新产业、新模式创新发展的关键。随着大数据、云计算、5G、人工智能、物联网、移动互联网技术的不断应用，数据的采集、存储、使用呈现集中化的特点，伴随而来的客户信息安全、个人隐私保护等数据安全问题不断突显，数据未授权收集、违规滥用、随意外泄等事件层出不穷，严重影响用户人身财产安全和数字经济的持续发展。 1.金融行业为金融产品和多元化服务场景提供数据安全保障。随着互联网金融的快速发展，金融机构不断挖掘数据价值，全方位嵌入到客户的金融产品和服务中，在精准营销、决策经营、风险管控等多元化场景中发挥着数据的重要作用。在开放银行的业务扩展过程当中，积累了海量客户信息、金融信息、业务信息等“价值不菲”的数据，金融科技在改变金融生态的同时，金融数据的采集、共享、使用所面临的数据安全威胁也不断严峻，数据泄露、数据滥用的安全事件频发。金融数据安全为推动金融、科技生态融合共进，促进金融科技发展带来新的业务应用和支付场景，为客户提供更加专业、智能的数据安全保障，保障了金融消费者的合法权益。 2.金融行业落实数据安全法律法规的合规性需要。习近平总书记强调“没有网络安全就没有国家安全，没有信息化就没有现代化”。近年来，国家和行业层面深刻数据安全的重要性和紧迫性，对数据安全和隐私保护高度重视，陆续发布了网络安全法数据安全法信息安全技术个人信息安全规范个人金融信息保护技术规范APP违法违规收集使用个人信息行为认定方法等一系列法律法规和标准规范，其数据安全网络法制环境不断健全，法律合规要求不断增多，已将个人信息和个人金融信息等保护明确为银行必须履行的责任与义务，满足金融机构数据合规性应用的需要。 3.金融行业顺应业务发展趋势，积极推进企业数字化转型进程。当前，金融行业经济数字化转型已是大势所趋，正加速迈入一个与数字经济相对应的数字化新时代，移动互联、大数据、5G、人工智能等数字技术的场景应用，不断提升企业数据化水平。而数据安全作为金融机构实施企业数字化转型的重要基础保障，也是筑牢数字经济发展的法治底线，追求数据安全与业务发展之间的动态平衡成为了企业新模式创新、新产业升级、新场景优化的关键之举，务必会成为推动整个金融业数字化转型和业务高速发展的必然趋势要求。 民生银行数据安全防护体系介绍 为切实加强金融数据安全防护，民生银行从组织架构设计、制度体系建设、安全技术防护三个方面，不断提升全行数据资产安全和个人金融信息保护能力，形成以组织为基石，以合规为底线、以技术为保障的数据安全防护体系。 1.建立多位一体、职责明确的数据安全组织架构，形成多部门协同联动的工作机制。金融机构金融数据安全工作贯穿于企业经营管理的各个环节，涉及多个主体及部门。为贯彻落实好国家及监管法律法规与公司内部制度要求，民生银行明确了金融数据安全保护的岗位责任，形成多方相互配合、合力协同保护的机制，全面保障了金融信息的采集、存储、传输、使用、删除、销毁等数据生命周期全过程的安全。 目前，总行信息科技部负责全行数据治理工作，建立数据安全管理制度、标准和规范，在技术层面对个人金融数据进行采集、存储、传输、使用、销毁等流程进行安全管控和监测，实现“数据进不了、拿不走、看不懂、改不了、跑不掉”的目的，确保合规运用信息科技技术，守住数据安全底线；零售质量控制部/消费者权益保护部按照法律法规和制度规范确定的职责，负责组织落实客户信息保护方面各项工作，并建立个人客户的授权管理，对客户投诉进行跟踪处理，保证消费者的合法权益不受损害；法律合规部负责客户隐私协议和客户权益相关文件的法律审查，保障业务经营管理过程中的合法合规性和有效性，防范和控制金融信息和个人客户信息相关的法律合规风险；总行一线业务部门负责定义所属金融数据资产的业务标准、将数据保护管控措施纳入业务操作流程和产品服务当中，协助完善数据全生命周期管控措施。通过明确数据安全保护的主体责任，切分金融数据的归属人、管理人和使用人等多角色，形成多部门协同联动的数据安全管理工作机制。 2.建立完善的数据安全管理制度体系，促进金融数据安全保护的落地执行。近年来，国家和行业监管关于数据安全的法律法规、标准规范、监管要求不断发布，加快金融领域个人数据监管立法，持续提升金融数据安全、个人金融信息保护的规范层级，围绕数据的全生命周期管控要求，不断完善、规范金融数据安全的保护规范。如网络安全法数据安全法银行业金融机构数据治理指引个人信息保护法个人信息安全规范个人金融信息技术保护规范金融数据安全数据生命周期安全规范等。 我行认真贯彻国家和监管部门的各项法律法规和规章制度，结合行业最佳实践，在集团统一的管理原则下，借鉴DSMM（数据安全能力成熟度模型）过程维度的思想，在数据全生命周期（采集、传输、存储、处理、交换、销毁）六个阶段建立相应的管理规范和流程，形成完善的数据安全制度体系，并推动制度体系的落地执行。如中国民生银行数据分级管理办法中国民生银行客户信息安全管理办法中国民生银行数据需求管理办法中国民生银行外部数据资源管理办法中国民生银行客户信息安全管理实施细则等十余项数据安全相关制度。 3.构建全方位、立体式的数据安全防护体系，形成统一管理、分层部署的数据安全技术一体化能力。随着民生银行“技术数据”双轮驱动实现全行的数字化、网络化、智能化目标的不断推进，金融数据的线上化程度不断加深，我行数据安全防护体系遵循主动防御思想，引入“零信任”安全范式，秉承“内生安全”理念，在物理、网络、主机、应用、终端、数据六个层面，部署相应的平台、设备、工具进行技术管控，实现纵深防御体系下各层级全方位的数据安全保护。