金融数据保护治理白皮书 北京金融科技产业联盟 2023年6月 本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 编委会成员: 何军聂丽琴高鸿升 编写组成员: 夏雯君 武利娟 邱晓慧 孙璞 李松涛 隆峰 高强裔 吴紫园 马冰珂 秦凯 王云河 靳晨 居崑 何东杰 夏子超 刘巍 曹伟 纪佰川 李武璐 何浩 高志民 马晓丹 俞圣雨 陈明 黄玺磊 杨波 李达 张开 李杰 隗樊 庄媛媛 丁俨 郭栋 孙瑜 刘占明 王雪 靳新 曲远汶 杨扬 编审: 黄本涛 郭栋 刘宝龙 参编单位: 北京金融科技产业联盟秘书处中国工商银行股份有限公司北京银联金卡科技有限公司中金金融认证中心有限公司 北京国家金融科技认证中心有限公司蚂蚁科技集团股份有限公司 中电金信软件有限公司 华控清交信息科技(北京)有限公司成方金融信息技术服务有限公司 中国银联云计算中心交通银行股份有限公司 中国光大银行股份有限公司中国人寿保险(集团)公司建信金融科技有限责任公司深圳市洞见智慧科技有限公司华为技术有限公司 南京三百云信息科技有限公司同盾科技有限公司 深圳市腾讯计算机系统有限公司 目录 一、概述1 (一)发展背景1 (二)发展现状7 二、国内外数据保护政策、法律和标准18 (一)国际数据保护政策和法律18 (二)国内数据保护政策和法律25 (三)国内相关标准31 三、金融数据保护治理重要关注领域38 (一)分类分级识别与保护38 (二)数据出域探究46 四、金融数据保护治理体系65 (一)数据保护治理主要框架介绍65 (二)金融数据保护治理总体框架建议71 (三)组织建设73 (四)管理体系建设75 (🖂)技术支撑建设89 五、发展展望103 (一)聚焦实操问题,加快数据保护实施标准建设103 (二)优化数据保护技术,推动数据共享良性循环104 (三)强化数据安全评估,建立闭环式管控体系104 附录A:金融业数据保护治理实践案例106 案例一:工商银行数据保护治理实践106 案例二:光大银行数据保护治理实践111 案例三:中国人寿数据保护治理实践116 案例四:蚂蚁集团数据保护治理实践119 附录B:其他行业数据保护治理实践案例127 案例一:沪杭甬高速工业互联网数据保护治理方案127 案例二:基于隐私计算技术的政务数据保护和应用132 附录C:数据出域相关法律法规标准137 摘要:目前业界已出台数据保护方面的治理模型,但围绕金融数据保护治理的实践指导等尚不成熟,本课题围绕数据保护治 理的金融实践、发展现状,探索和标准化相关能力要求,归纳总结相关建设范式,推进数据保护、治理在金融领域的研究应用。 一、概述 (一)发展背景 1.面临挑战,积聚风险 随着信息科技的飞速发展,以数据为核心的数字经济正成为驱动全球经济增长的新动力。金融领域也是如此,国务院金融稳定发展委员会的数次会议上均提到要大力发展数字金融,数字技术驱动金融业变革和发展已是大势所趋。 数字经济的不断发展,催生出海量数据。据IDC预测1,2025年全球数据量将高达175ZB2,其中中国的数据量预计将达48.6ZB,占比27.8%。面对数据量的爆炸式增长,数据来源的日益丰富,数据类型的不断创新,金融数据保护治理的广度、深度和难度与日俱增。金融业主体依据业务运营需要对个人和组织数据的获取、传递、使用、管理等诸多方面都不断推陈出新。数据在人们的金融生活中扮演越来越多样的角色,发挥越来越重要的作用。 时至今日,不论是个人支付还是企业贷款,不论是城镇建设还是国家发展,不论是货币流通还是进出口贸易,社会生活的方方面面都流淌着金融数据的“血液”。包括互联网公司在内的泛金融机构利用自身的平台优势和业务粘性吸附并留存了大量的个人信息数据,不时有某某互联网公司数据泄露的新闻见诸报端, 1IDC,全称InternationalDataCorporation,是信息技术、电信行业和消费科技市场咨询、顾问和活动服务专业提供商。 2ZB是一种大数据容量存储单位。 对合规监管带来了极大的挑战,安全风险不言而喻。美国Verizon3公司发布的《2020年数据泄露调查报告DBIR》4指出,55%的数据泄露事件涉及有组织犯罪,30%的数据安全事件源自企业内部。 (1)金融数据安全风险的识别难度不断增大 由于“科技赋能金融”的金融科技发展迅速,不论新技术还是新场景都催生出新的安全风险。区块链、人工智能等新兴技术在金融科技领域的快速应用,疫情、洪灾等公共卫生事件和气象自然灾害的爆发带来的远程办公需求,臭名昭著的勒索软件等新兴攻击技术的持续演化等,内嵌新兴技术的创新应用场景在某种程度上增大了金融数据安全风险的识别难度,对金融数据保护治理提出了更高的要求。 (2)金融数据安全风险的管控复杂度不断增加 金融数据安全概念范畴广泛,既有私密性又有公共性,例如个人金融信息带有强烈的私密属性,相较而言,金融监管过程中收集的数据又具有明显的公共属性。因此,金融数据特有的多重概念属性增大了金融数据保护治理的复杂度。 (3)金融数据安全风险的危害程度不断提升 从业务的形态、逻辑和内涵等视角审视,当下的金融业务具有纷繁多样、交错关联、复杂深厚等特性,业务产生和涉及的各 3Verizon是美国最大的本地电话公司、最大的无线通信公司,全世界最大的印刷黄页和在线黄页信息的提供商。 4Verizon公司自2008年以来的第13份数据泄露调查报告。透过这份报告可以观察到与数据泄露相关活动的趋势,许多重要发现和影响不仅适用于IT安全,同时也适用于OT安全。 类数据在业务内外部交互多、交互过程复杂,这给数据流转的管控增加了极大的难度。因此,金融业务的不断融合创新客观上提升了金融数据安全风险的危害程度。 综上,金融数据的安全与否所关乎的利益愈发的纷繁复杂,带来的影响愈发地长久深远。金融数据生命周期的链条串起的数据流转节点上,每一家金融主体、每一位个体、每一个监管实体既是数字金融的受益者,也是金融风险的责任人与应对挑战的参战方。 金融数据保护治理需依靠全面科学的框架规范、准确合理的技术手段、完整有效的落实方式,才能不断应对挑战,化解风险。2021年7月,国家互联网信息办公室发布通知称,某出行APP存在严重违法违规收集使用个人信息问题。依据《中华人民共和国网络安全法》5相关规定,通知应用商店下架某出行APP,这正是数据保护治理箭在弦上,势在必行的体现。 2.数据立法,标准出台 近年来,随着数据价值提升和数据安全事件频发,社会经济和国家安全面临严峻的挑战。个人信息泄露、行业间数据外泄等安全挑战不断发生。因此,全球主要国家和地区先后出台了数据安全与隐私保护的相关政策与标准,对数据的采集、传输、存储、使用、删除、销毁等全生命周期管理进行拘束和指引。这些政策法规的出台,一方面可以有效确保数据经济的良性发展,规避伴 5网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,自2017年6月1日起施行。 随数据经济发展可能造成的权利纠纷和侵害,破除数据内部潜在的深层次犯罪基础;另一方面,政策法规对数据安全提出了严格的要求,对各机构数据保护治理提出了新挑战。 (1)各国先后出台数据相关政策,加强数据保护 美国分别于2019年12月和2020年10月发布了《联邦数据 战略和2020年行动计划》6和《国防部数据战略》7,阐述了其对数据在国家经济和安全领域的最新定位,同时还包括一系列促进数据发展和保护的战略举措。欧盟在2018年5月发布了约束极为严格的《通用数据保护条例》8(简称“GDPR”),此条例成为全球各国制定数据保护政策的重要参考,在一定程度上加速了数据保护治理领域的发展。2020年2月,欧盟相继发布了《欧盟数字化战略》《欧洲数据战略》9和《欧盟人工智能战略》,表明要建立数据主权。英国政府于2020年9月发布了《国家数据战略》,阐述了数据的作用和保护数据的措施。 (2)国家不断强化数据定位,持续推进法制建设 国家对数据在我国经济社会发展中的作用和意义有着高瞻远瞩的认识。2017年12月,习近平总书记在中共中央政治局就实施国家大数据战略进行的第二次集体学习中提出,“要构建以 62019年12月23日,美国白宫行政管理和预算办公室(OMB)发布《联邦数据战略与2020年行动计划》。 72020年10月8日,美国国防部发布了首份《数据战略》,宣布要将国防部建设成为“以数据为中心的机构”。 82018年5月正式生效的(GeneralDataProtectionRegulation,简称GDPR)标志着欧盟个人数据保护的力度升级,前身是欧盟在1995年制定的《计算机数据保护法》。 92020年2月19日,欧盟委员会发布《欧洲数据战略》(AEuropeanStrategyfordata),该数据战略概述了欧盟未来五年实现数据经济所需的政策措施和投资策略。 数据为关键要素的数字经济。要切实保障国家数据安全,要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力”。随后,2019年10月,党的十九届四中全会审议并通过的《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》中指出,“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。推进要素市场制度建设,实现要素价格市场决定、流动自主有序、配置高效公平。”,首次给出了“数据”作为生产要素的定位。2020年4月印发的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》首次将数据定义成为同土地、劳动力、资本,和技术同等重要的第五大生产要素,并提出加快培育数据要素市场的三点意见。同年5月印发的《中共中央国务院关于新时代加快完善社会主义市场经济体制的意见》进一步明确了加快培育数据要素市场,建立数据资源管理清单机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值等。 法律法规层面,全国人大常委会先后出台了《国家安全法》 10《网络安全法》11,并于2021年6月的第十三届全国人民代表大会常务委员会第二十九次会议上通过了《数据安全法》12,2021 102015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过,中华人民共和国主席令第29号公布《中华人民共和国国家安全法》(简称《国家安全法》),自公布之日起施行。 11《中华人民共和国网络安全法》(简称《网络安全法》)是我国第一部全面规范网络空间安全管理方面问题的基 础性法律,自2017年6月1日起施行。 12《中华人民共和国数据安全法》(简称《数据安全法》),自2021年9月1日起施行。 年8月历经三次审议的《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)获十三届全国人大常委会第三十次会议表决通过。这四部法律共同构成了我国整体数据保护体系的顶层设计。 (3)金融数据关系国计民生,监管要求日臻清晰 金融数据保护方面,在数次会议上都提到金融基础设施、金融安全、金融数据保护治理、金融科技监管之间的交错关系,强调了在国家总体部署下,金融监管部门对金融数据保护治理的守土责任。为此,中国人民银行、银保监会、证监会等金融监管部门先后出台了一系列关于金融数据治理与安全的法规、意见和标准。 2018年5月,原银保监会发布《银行业金融机构数据治理指引》13。2018年9月,中国证监会发布了《证券期货业数据分类分级指引》14《证券期货业机构内部企业服务总线实施规范》15 《期货市场客户开户数据接口》16《证券发行人行为信息内容格式》17等四项金融数据标准。中国人民银行分别于2020年2月至 2021年4月期间,发布了《个人金融信息保护技术规范》18《金 融数据安全数据分级指南》1《9 多方安全计算金融应用规范》20、 132018年5月,原