金融网络安全分论坛探讨数据共享与安全挑战

4月24日下午，2021西湖论剑·网络安全大会召开了“金融网络安全分论坛”。中国人民银行科技司安全处副处长沈筱彦在会上指出，金融机构缺乏双向的安全保护与共享应用激励机制，导致一些机构担心自身数据被抢占，宁愿独自持有数据，也不愿意推进数据合作。

专家们认为，在开放银行体系下，引入大量第三方机构带来了关联风险，需要将防护能力延伸到第三方。他们呼吁，在不同应用场景下细化现有制度，除了国家层面和行业层面，还需要根据具体场景和应用方向制定操作指南。

金融机构担忧数据被抢占，不愿推进合作

近年来，数据作为数字经济的关键要素，其经济属性和价值属性越来越受到重视。对于拥有海量高价值数据资源的金融行业而言，数据安全风险与数字经济发展紧密相连。隐私保护、分类分级、生命周期保护等问题在一定程度上制约了相关业务的发展。

沈筱彦透露，根据央行对金融机构的调研，金融机构面临的数据安全难题主要体现在法律、标准和技术三个方面。

在法律层面，金融机构缺乏双向的安全保护与共享应用的法律激励机制，如何平衡金融数据的安全与应用、识别重要数据、规范数据交易与流通、处理数据泄露和权责分配等问题仍然存在很多模糊地带。

在既往通过共享提升服务质量的过程中，金融机构担心竞争对手利用自身数据抢占市场，同时也怀疑数据共享是否合规。缺乏激励机制的情况下，金融机构权衡利弊后选择保守，不愿意推进数据合作。

在标准层面，金融机构普遍希望加快数据安全标准的制定。目前，有178家机构缺少标准指导，主要需求集中在分类分级、全生命周期安全、安全评估、安全日志记录与审计、共享质量评价、共享数据统一描述等方面。

在技术层面，技术创新为金融数据带来了新的安全风险，同时也提供了提升风控能力的技术工具，但金融机构在应对和研究这些技术变革方面仍存在不足。

中国建设银行信息安全管理处处长陈德锋分析认为，银行面临的数据风险分为两类：一是外部威胁，如黑客通过攻击信息系统窃取数据，或通过网络钓鱼获取客户信息；二是内部威胁，即银行内部人员违规操作，利用职务便利非法采集客户信息并出售。

沈筱彦认为，金融业的特性决定了其在数据安全方面面临的挑战更为突出。主要原因有四点：经济利益驱动增加了金融数据安全风险，新兴技术的应用加大了风险识别难度，多种属性增加了数据管理复杂度，业务交叉增加了数据安全风险。

第三方机构技术不足增加银行关联风险

在开放银行体系下，银行引入了大量第三方关联机构，这些机构的技术水平和网络安全防护水平参差不齐。实际上，即使是同业金融机构之间的关联，也会带来关联风险。

中国农业银行科技与产品管理局信息安全与风险管理处处长何启翱举例说，银行在智慧旅游、智慧医疗等项目中，会与旅游机构、医疗机构、学校签订协议，接入它们的系统。然而，由于学校系统被攻破或地市级数据中心被攻破，导致了两次信息泄露事件。

“开放银行后，大量交易接口与第三方机构关联，一旦他们的系统被攻破，就会给银行带来数据损失。”他表示，农行采取的策略是尽可能将防护能力延伸到第三方，从互联网加强防护水平。

例如，业务部门与第三方交易时会逐字段审查，明确哪些接口查询哪些信息，查询到什么程度，哪些信息是加密的，哪些是非加密的，以设定更细致的规范。

除了被动防护，农行还会通过日志分析识别超权限查询，用数据管理数据。例如，基于柜员在一定周期内访问的客户信息数量设定阈值，如果访问量超过正常范围，系统会发出警报。此外，通过对比普通人查看报告的合理时间来判断异常行为，同样会触发警报。

何启翱介绍，去年农行收到监管部门通报及网上查到的泄露事件共计53起，通过逐一排查发现，这些事件中没有一起是通过农行直接泄露的，大部分是因为小额贷款平台、P2P融资平台，甚至钓鱼网站导致客户主动泄露信息。

作为应对措施，农行会向客户发送预警短信，提醒他们信息可能已被泄露，并建议修改密码，同时加强对客户隐私保护的教育。

金融数据能力等级认证正在积极筹备

近年来，金融数据呈现爆发式增长，种类变得更加复杂多样，安全风险也从机构外部扩展到行业内，对社会民生和国家安全产生了重大影响。在此背景下，保障金融数据安全已经成为亟待解决的问题。

北京国家金融科技认证中心安全测评部负责人李凡表示，据统计，截至去年10月，因个人金融信息违规行为开出的罚单近200张，罚款金额接近两亿元，包括数据违规明文存储、数据安全管理粗放、存在数据泄露风险、互联网门户网站泄露敏感信息等违规行为。

金融业在数据安全保护方面存在一些痛点，例如数据类型多、存储分散；数据泄露途径多；数据保护策略不清晰、重点不明确，金融机构没有制定明确的数据分级分类标准和相应的保护要求，无法根据数据的重要性和价值进行重点保护。

为解决上述问题，金融监管部门陆续出台了相关标准规范。北京国家金融科技认证中心高级审查员唐立军提到，金融行业最早发布的《个人金融信息保护技术规范》主要对标国家标准《信息安全技术 个人信息安全规范》。

他指出，两份文件在原则上基本相同，都涵盖了个人信息全生命周期保护，但国标中有专门的投诉管理部分，而规范中没有。在安全制度体系方面，规范比国标更加全面，包括制度建立、组织架构、岗位设置、人员管理、安全检测与风险评估、安全事件处理等。

“金融行业标准中增加了个人金融信息分类，更加注重技术要求，这是两者的主要区别。”唐立军还提到，国标有一个材料型附录，详细列出了实现个人信息主体自主意愿的具体方法，“非常实用”。

何启翱也认为，数据安全保护需要细化现有制度。“在不同应用场景下，如第三方交互、促进，还有很多需要细化的信息。除了国家层面和行业层面，还需要根据具体场景和应用方向制定操作手册。”

在认证方面，唐立军介绍，2020年北京国家金融科技认证中心首次在国推产品认证中增加了个人金融信息保护的内容，今年又在非银行支付机构支付业务设备技术认证和银行清算组织业务设备技术认证中加入了这一内容。

“今年4月，我们向金融行业推出了个人金融信息保护能力认证，并根据新发布的国家标准积极筹备金融数据能力等级认证。”他透露。