摘要

7月27日,“2022中关村金融科技系列活动——第六届金融科技与金融安全峰会暨2022‘光大杯’中关村‘凡提克’金融科技国际创新大赛金融安全峰会”成功举办。本次峰会由中关村金融科技产业发展联盟、中关村互联网金融研究院、中国互联网金融三十人论坛联合主办。清华大学金融科技研究院金融安全研究中心主任周道旭出席并发表题为“加强金融数据安全治理,夯实金融业发展基础”的演讲。他指出,金融数据安全不再是行业内的自律要求,而是全方位、多层次、立体化的数据安全建设体系。当前金融数据安全治理存在三个突出问题。首先,随着数字技术的快速发展,金融数据成为网络攻击的首选目标。第二,金融机构在个人信息保护和网络安全方面管理不到位而被监管部门处罚的情况并不少见。三是跨境金融数据流动越来越频繁,带来的潜在安全风险越来越大。然而,中国在跨境数据安全评估、认证和保护方面的法律法规有待完善。周道旭对金融机构加强数据安全治理提出了五点建议。第一,开展数据安全的顶层设计;第二,完善数据安全的治理机制;第三,加强数据应用生命周期中的安全控制;第四,优化数据安全运营体系;第五,加强金融科技安全人才培养和从业人员安全意识教育。周道旭就国家和金融行业加强数据安全治理提出四点建议。一是加快配套标准规范建设;二是开展数据安全认证和数据安全IT审计;第三,加快数据安全产业生态建设;第四,推动建立跨境监管国际合作机制,提高国际话语权。
清华大学金融科技学院金融安全研究中心主任周道旭以下嘉宾的所有发言:女士们,先生们,早上好!感谢中关村互联网金融研究院的邀请!很高兴参加第六届金融科技与金融安全峰会!随着经济和金融的发展,特别是科学技术的进步,金融科技的安全性变得越来越重要,所以今天关于金融科技发展安全性的话题是非常有意义和必要的。中关村互联网金融研究院在六年前就开始了一系列关于金融科技的风险和安全性的持续讨论,坚持了六年。这是一种战略眼光,是对金融市场的深刻洞察。我今天演讲的题目是“加强金融数据安全治理,夯实金融业发展基础”。我的这篇文章已经发表在微信官方账号,清华大学金融数据安全研究院。所以,为了节省大家的时间,我今天就现场给大家汇报一下要点。我要报告三个要点。一、什么是金融数据安全及其重要性;二是当前金融数据安全治理存在的突出问题;第三,关于加强金融数据安全治理的思考和建议。1.什么是金融数据安全及其重要性?金融数据安全是指采取必要措施确保数据得到有效保护和利用,并保持持续安全状态的能力。金融数据不仅具有数据的一般特征,还包含公民个人信息、企业资金流转、社会经济活动等重要内容。所以财务数据比一般数据更重要。由于财务数据的特殊性,在财务数据的安全性方面,我们不仅要求在输入时进行严格的审核和频繁的维护,还要求在传输和使用过程中采取相应的管理措施和技术手段对财务数据进行保护,以避免非法访问、窃取、篡改和破坏的风险。资金安全的重要性不仅被业界广泛认可,还体现在法律和监管上。

首先,审批越来越严。目前有79个有效的数据相关标准,其中23个发布于2020年和2021年。这些数据标准涵盖了金融数据的分类,以及金融数据的生命周期安全评估、个人金融数据保护、金融数据安全建设等各个方面。这些标准细化了细节,有效完善了金融安全保障体系,筑牢了金融安全屏障。其次,“三法一规”带来的数据需求是网络安全法、数据安全网络法、个人信息保护法,该法规是针对关键数据基础设施安全保护的法规。“三法一规”体现了我们国家对信息安全的重视,表明了我们保护数据安全的决心。在这样的条件下,法律对金融数据安全提出了严格的要求,要求我们高度重视金融数据安全,确保国家金融体系的稳定。再次,从监管方面,监管要求越来越高。目前,所有监管部门都意识到了数据安全的复杂性,他们进一步加强了整体协调,以避免安全漏洞和死角。2021年9月,我国颁布《征信业务管理办法》,规定收集个人信息应当采取合法、正当的方式,遵循最低限度和必要性原则,不得过度收集。自2021年《办法》实施以来,中国人民银行及其分支机构已向违反数据安全规定的三家经营主体和一家支付机构开出了数千万元的罚单。这些举动不仅体现了我国对个人信息保护的重视,也体现了我国保护金融数据安全的决心。以前是金融监管套利的惩罚,现在数据泄露的惩罚越来越重,罚款金额前所未有,这是外部原因。对内,无论是业务的合规规范,还是数据的严格监管,都是对外的要求。真正的内在驱动力是行业本身,银行、保险等金融机构需要安全使用。只有安全使用,才能带来高质量的开发,产生效益。因此,安全使用是当前金融机构稳健经营和创新发展的最迫切需要。以上都说明了金融数据安全的重要性。金融数据安全不再是行业的自律要求,而是全方位、多层次、立体化的要求,包括政府监管部门、行业、企业、用户的内在和迫切需要。2.当前金融数据安全治理存在哪些突出问题?首先,随着数字技术的快速发展,金融数据成为网络攻击的首选目标。到2021年6月,中国网络支付用户规模已达8.72亿,占互联网用户数据总量的86.3%。数字信息是数字金融行业发展的基本要素,其中包含大量用户个人信息、交易数据等敏感信息。数字金融业务进一步加速了金融数据的积累。在金融数据安全法律法规不完善的情况下,数据窃取、篡改等事件频发,催生了大量数据灰色产业链。金融数据复杂,隐蔽,容易传播。为防范新技术带来的数据泄露、数据污染等一系列潜在风险,金融机构应在数据采集、存储、使用、处理、传输、提供和披露等环节提高安全意识,依靠安全和管理技术降低各种风险。第二个突出的问题是金融机构在数据方面违规,在数量、范围、类型方面。主要涉及不按规定使用个人信息、未经同意查询个人信息或企业信用信息、提供部分个人信息时未提前告知信息主体、泄露客户信息等。存在信息科技风险隐患,重要岗位和外部机构存在管理缺陷,重要信息泄露时未向监管部门报告。2021年,金融监管机构共开出119张罚单,罚款金额4654万元。第三个突出问题是监管数据跨境流动越来越频繁,带来越来越多的安全隐患。然而,中国在跨境数据安全评估、认证和保护方面的法律法规有待完善。随着全球贸易、金融投资和技术交流的日益频繁,跨境移动数据的种类和数量不断增加,涉及个人隐私、商业秘密、社会治理、国防安全等多个方面。海量的跨境数据流动给国家安全带来隐患。如商业机密信息、经济运行状况、金融科技发展水平、金融创新产品等高度敏感数据。被外国政府获取并恶意利用,将削弱我国金融业的核心竞争力,严重破坏我国金融市场的稳定,威胁国家和人民的财产安全。我国现行法律法规已形成数据跨境流动的基本制度框架,但相关法律规则仍在研究制定中,个人信息安全和金融数据安全的认证机制尚未建立,数据出入境安全评估尚未真正落实,数据出境管理模式、审查和保障机制等关键问题尚待解决,这对日益频繁的数据跨境流动提出了更多挑战。前不久,我参加了跨国金融机构的贸易座谈会,他们觉得目前的数据跨境流动,实施起来还是很困难的。第四个突出问题是监管政策不完善加剧了数据和资金向互联网寡头的聚集,数据垄断风险明显。目前,我国对以银行为主体的传统金融行业的监管体系较为完善,但金融科技型企业普遍相对薄弱,尤其是在疫情时代,个人身份信息被进一步收集整理,大型科技公司借助网络溢出效益和规模经济,利用前沿科技手段扩大消费群体。业务范围从搭建互联网项目平台逐步扩展到身份信息服务、移动支付服务、投资理财、保险销售等领域,积累了大量的个人信息和金融交易数据,逐渐形成数据垄断趋势,容易造成数据安全风险。然而,数据的高度集中不仅会增加大型科技公司的安全和防御能力,还会成为不法分子的目标,增加数据的风险,为非法出售数据实现商业变现提供机会。在防范外部风险的同时,也要重视内部的数据管理和使用。数据寡头一旦滥用市场支配地位,就可以通过限制数据访问和共享、限制用户转移、扼杀大数据、搭售数据服务等算法共谋利益。,这会损害消费者的合法权益。如果他们利用自己的数据垄断优势维护行业地位,阻碍竞争对手收集和购买数据,提高竞争对手进入市场的门槛,将破坏数字经济市场的公平竞争秩序。可见,金融数据占市场主导地位的平台滥用问题突出,潜在风险高。因此,构建与之相匹配的金融数据反垄断立法和监管机制迫在眉睫。2021年2月7日,国务院反垄断委员会发布《平台经济反垄断指南》,新修订的《中华人民共和国反垄断法》将于2022年8月1日正式实施。这些法律法规对反垄断领域的遵守和执法提出了更加具体的要求。比如新《反垄断法》第九条规定“经营者不得利用数据和算法、技术、资金优势、平台规则从事本法禁止的垄断行为”。已公布的基本反垄断法律法规还有待通过规范性规则和监管措施尽快付诸实施,以确保金融市场公平竞争机制的建立。三。关于加强金融数据安全治理的思考和建议一、金融机构加强数据安全治理的五点建议。第一个建议是制定数据安全的顶层设计。第二个建议是完善数据安全治理机制。第三个建议是加强数据应用生命周期中的安全控制。第四个建议是优化数据安全运营体系。第五点建议,加强金融科技安全人才培养和从业人员安全意识教育。这是个人层面的。

其次,从国家和金融行业层面加强数据安全有四点建议。一是加快配套标准建设。目前,随着金融数据监管各项新规的实施,金融数据的安全管理开始进入有法可依的阶段。但是,财务数据的使用涉及到工作生活的方方面面,大量的具体细节和执行标准仍需进一步丰富。其次,建议开展金融数据安全认证和数据安全的IT审计。2022年6月9日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于开展数据安全管理认证的公告》,表示国家主管部门将加强数据安全规范管理,开展统一认证。还发布了《数据安全管理认证实施细则》,明确了网络运营者网络数据采集、存储、使用、加工、传输、提供、披露等处理活动认证的基本原则和要求。由于数据的敏感性和管理的复杂性,建议金融机构率先响应国家主管部门的号召,尽快开展金融数据安全的认证工作,促进金融数据安全管理体系的建立和完善。第三,加快数据安全产业生态建设。数据安全治理是一项系统性的工作,需要各参与方共同努力,构建生态,共同合作,才能更有效地夯实数据安全基础。第四,推动建立跨境国际合作机制,提高国际话语权,在金融数据安全监管领域,需要从国际秩序大局出发,建立国际合作机制,共同应对金融数据跨境流动的新挑战。积极参与和推动跨境数据流动监管规则体系的制定和完善,开展用户、行业和技术团体多线国际谈判与合作,推动制定符合国家利益和经济发展需要的政策体系,加强跨境执法国际合作,夯实域外管辖和法律跨境适用基础,提高跨境监管能力和执法水平,推动建设良好的国际金融数据要素市场,共同促进全球金融市场稳定发展。谢谢大家!
*本文是作者在7月27日中关村互联网金融研究院暨中国互联网金融三十人论坛“2022中关村金融科技系列活动——第六届金融科技与金融安全峰会暨2022“光大杯”中关村凡提克金融科技国际创新大赛金融安全峰会”上的主题演讲。