2023年中国金融数据安全发展与研究报告

北京前沿金融监管科技研究院 2023年 中国金融数据安全发展与研究报告 前言数据安全已经成为数字经济发展的重大挑战 多种方式和途径的数据泄露已经给整个中国数字化经济的发展和社会的前进带来严重影响加强数据安全建设抵御非法和恶意数据安全破坏成为当前整个数字经济发展的重大挑战 近几年国内发生的部分数据安全事件 数据安全事件 发生时间 发生方式 数据规模 南京公务员泄露居民信息 2018年 内部人员副主任科员刘某 82万条 国家宏观经济数据泄露 2010年~2011年 原国家统计局干部孙振等 多次泄露 教育考试信息泄露 2016年 黑客入侵 - 疾控中心信息泄露 2016年 黑客入侵 30个省的275例 上海新生儿信息外泄 2016年 原上海疾控中心工作人员韩某等 20万新生儿信息 篡改退休人员数据非法牟利 2010年~2011年 某市社保局退管中心蔡某等 - 非法获得养老金 2005年~2008年 某区社保事业管理处副主任王某等 - 博士黑客贩卖公民信息 2018年 某国有大型科技公司数据库员工 500余万条60G容量 Source信通院 前言中国政府非常重视数据安全的建设与立法工作 在大数据环境下数据作为重要的生产资料具有数据量大数据变化快等特征大数据分析及应用场景日趋复杂数据安全相关法律法规的制定是保障数据不被窃取破坏和滥用以及确保大数据系统安全可靠运行的基础良好安全的数据运行环境是促进数据发挥最大作用和价值的保障 中国部分数据安全相关立法 政策名称 颁布时间 颁布机构 内容概要 个人信息出境安全评估办法 2019年6月 国家互联网信息办公室 明确网络运营者向境外提供在中国境内运营中收集的个人信息时需进行安全评估极大地扩大了个人信息主体的权益加强了出境数据非法利用的限制保护个人数据安全 数据安全管理办法(征求意见稿) 2019年5月 国家互联网信息办公室 维护国家安全社会公共利益,保护公民法人和其他组织在网络空间的合法权益保障个人信息和重要数据安全 科学数据管理办法 2018年4月 国务院办公厅 加强科学数据全生命周期管理将数据安全放在首要位置加强和规范科学数据管理通过提升中国科学数据工作水平为提高科技创新保障国家数据安全提供支撑 信息安全技术大数据交易服务安全要求 2017年12月 国家标准化管理委员会 有助干理清数据交易安全界限促进数据交易行为合法合规推动中国数据交易机构的安全建设促进数据交易行为合法合规促进全国数据要素有序流通充分释放数据红利助力数字中国建设 信息安全技术数据安全能力成熟度模型 2017年8月 全国信息安全标准化技术委员会 帮助各行业组织机构基于统一标准来评估其数据安全能力发现数据安全能力短板查漏补缺促进大数据参与方的数据安全能力评估与提升促进大数据在组织间的交换共享与流转发挥大数据的价值促进中国大数据产业的健康发展 中华人民共和国网络安全法2016年11月全国人民代表大会常务委保障网络安全维护网络空间主权和国家安全社会公共利益保护公民法人和其他组织的合法权益促进经 员会济社会信息化健康发展制定的法律 前言金融数据安全的内涵与重要性概况 金融数据安全指通过采取必要的措施确保金融业务体系所包含的数据被有效的保护和利用状态以及具备保持持续安全状态的能力 数据被有效的保护 数据被合理的利用 采集传输存储使用交易销毁 数据持续安全状态 数据 金融数据是金融机构的核心资产之一其安全性直接关系到金融机构的利益和声誉也涉及到广大用户的切身利益因此金融数据安全对于金融机构和用户来说都至关重要必须通过采取必要的措施确保金融数据在采集传输存储使用和销毁等过程中的机密性完整性和可用性 前言金融数据安全的内涵与重要性概况 金融行业是产生和积累数据量最大数据类型最丰富的领域之一金融数据不仅具备数据的一般特性更包含了 国民的个人信息企业资金流转社会经济活动等重要内容并且在业务运营过程中涉及到大量的业务数据包括客户信息交易数据市场信息等等 数据量大 01金融业在运营过程中会产生大量的数据包括客户信息交易数据市场信息等等 02 数据类型丰富 金融业涉及到的数据类型非常丰富包括结构化数据非结构化数据半结构化数据等 金融数据跟一般的数据相比更加重要所蕴含的业务价值更加突出同时金融业也是对数据安全和隐私保护要求最高的行业之一因为金融数据涉及到用户的财产安全和隐私所以金融机构需要采取更加严格的数据安全措施来保护用户的数据安全和隐私 数据质量高 03 由于金融数据的敏感性和重要性金融机构需要保证数据的质量和准确 性避免数据泄露和误用 北京前沿金融监管科技研究院 01金融数据安全发展现状与新规 为了更好地适应市场和客户需求的变化金融行业的业务发展呈现6大新特征 业务体系-加速数字转型金融科技建设-投入增加数据治理体系-全面完善银行生态系统建设-开放合作产业链金融-发展提速数字人民币应用-推广提倡等方面这些趋势和特点将为金融行业带来新的机遇和挑战 金融行业数字化转型加速数字化服务数字化经营数字化管理等方面得到了广泛应用 金融科技投入是衡量金融行业数字化转型的重要指标之一银行证券保险等金融机构在金融科技投入方面均加大了力度积极推进数字化转型 数字化转型带来了业务模式的创新也使得风险形态路径和安全边界发生了变化为了应对这些新风险和挑战金融机构需要完善数据治理体系加强数据安全和隐私保护 开放银行是金融行业的一个重要趋势通过将银行产品和服务嵌入到其他场景中提高客户体验和业务效能 产业链金融是针对制造业绿色经济科技创新普惠金融等领域的金融服务模式通过对产业链上下游企业的金融服务支持促进实体经济发展 数字人民币是央行推出的数字货币具有安全便捷高效的特点数字人民币正在逐步推广应用未来有望成为金融行业的一个重要趋势 例如银行业通过引入人工智能大数据等技术实现网点数字化转型构建全场景全渠道全天候的客户服务体系全面提升客户体验和业务效能 例如银行业金融科技投入最多数字技术应用较为成熟证券业金融科技投入增速最快数字化进程明显提速 例如银行机构在数据治理方面加大了投入力度加强了对客户信息的安全保护 例如头部银行机构正在积极布局产业数字金融将金融服务嵌入到企业产业链中提供更加个性化的金融服务 例如一些金融机构通过与核心企业合作为上游供应商提供应收账款融资服务为下游经销商提供供应链金融服务 例如一些城市已经开始试点数字人民币支付一些金融机构也正在积极探索数字人民币的应用场景 金融数据的商业价值凸显 在金融行业数据已经成为一项重要的资产和资源对于提高业务效率降低风险优化运营等方面具有重要作用通过合理地利用和分析数据金融机构可以更好地满足客户需求提升市场竞争力并实现持续增长 决策支持 风险管理 金融数据是决策者进行决策的重要依据 通过对金融数据的分析可以了解市场趋势评估风险制定投资策略等 金融数据是风险管理的重要手段通过对历史金融数据的 分析可以识别潜在的风险因素预测未来可能出现的风险事件并采取相应的措施进行防范 监管合规 客户画像 业务优化 金融行业受到严格的监管监管机构要求金融机 构按照规定报送相关数据金融数据是监管机构 金融数据可以用来对客户进行画像了解客户 的需求偏好和行为特征从而更好地为客户 金融数据还可以用来优化业务流程提高效率 和质量例如通过对客户交易数据的分析 金融数据的重要性和业务价值 实施监管评估市场风险制定政策的重要依据 提供个性化的金融服务和产品 可以了解客户的交易习惯和需求优化产品设计和服务流程提高客户满意度和忠诚度 随着金融数据作用的不断凸显数据安全在新时代面临着新的风险和挑战 过去 现在及未来 随着金融行业自身数字化转型的深化发展和提速对数据的使用和依赖不断增加数据的安全性和隐私保护在新的时代背景下也变得更加重要并且信息安全的重心主要围绕数据安全展开 数据少互联弱物理/地理隔绝影响大 超大数据实时联动物物互联全球交互 信息安全重心数据安全 身份鉴别 数据分类 客户信息泄露 数据不当使用 人端点力安保全护反设病备毒加固VP零N信任防网火络墙ID终S端管SIE控M 数据确权 数据泄露 网络攻击窃取客户信息 数据审计 内部篡改交易数据 内部非法获取客户信息 数据态势 网络攻击篡改交易数据 数据跨境流动 破坏金融系统 存储加密 虚假网站 通信加密 第三方合作方风险 伪装成正规网站钓鱼攻击 社交工程攻击 密级标识 恶意软件攻击 泄露检测 系统漏洞和恶意攻击 常见数据安全风险及隐患场景 解密细控 信息安全重心边界防护 人端点力安保全护反设病备毒加固VP零N信任防网火络墙I终DS端管SIE控M 挑战一数字金融迅猛发展带来的数据安全风险威胁 截至2023年6月我国网民规模达10.79亿人互联网普及率达76.4%同期我国网络支付用户规模达9.43亿人较2022年12月增长3176万人占网民整体的87.5% 随着互联网的普及在线支付使用率逐渐增大数字身份信息作为数字金融产业的基础元素面临着极大的安全风险挑战此类数据包含大量用户个人信息和交易数据等敏感信息而且数字金融业务量的上升进一步加快了金融数据的产生和积累在金融数据安全法律法规尚不健全的情况下数据窃取篡改勒索事件频发催生庞大的数据非法贩卖产业链 网民规模与互联网普及率单位万人网络支付用户规模与使用率单位万人 101074 103195 105114 106744 75.6% 10785300% 76.4% 87.6% 87.5% 86.3% 86.0% 85.4% 94319 90363 90444 91144 87221 74.4% 73.0% 71.6% 2021年6月2021年12月2022年6月2022年12月2021年6月2021年12月2022年6月2022年12月 网民规模互联网普及率网络支付用户规模使用率 Source中国互联网络信息中心发布的第52次中国互联网络发展状况统计报告 userid:414195,docid:145525,date:2023-11-13,sgpjbg.com 挑战二巨大的价值金矿导致严重的网络攻击与安全事件发生 付赎金 VMware在2022年2月对全球130名金融部门首席信息安全官和安全领导者进行的调查显示过去的一年中66%的金融机构经历过以商业机密窃取为目的的攻击74%的受访金融机构在过去一年中至少经历过一次勒索软件攻击30%的机构经历了多次勒索攻击其中超过六成选择支 对全球130名金融部门首席信息安全官和安全领导者进行的调查 中国网民遭遇的各类网络安全问题比例 30% 经历了多次勒索攻击 个人信息泄露 账号或密码被盗 5.2% 5.6% 23.2% 19.6% 66% 经历过以商业机密窃取为目的的攻击 设备中毒或木马 7.0% 9.0% 网络欺诈 20.0% 16.4% 74% 至少经历过一次勒索软件攻击 以上都没有 62.4% 65.9% 2023年6月2022年12月 SourceVMware2022年2月对全球130名金融部门首席信息安全官和安全领导者进行的调查中国互联网络信息中心发布的第52次中国互联网络发展状况统计报告 挑战三在用户信息保护与网络安全方面的管理挑战 金融机构发生的违规行为集中于用户信息保护与信息网络安全两大类主要涉及未按规定收集使用个人信息未经同意查询个人信息或企业信贷信息提供部分个人不良信息时未事先告知信息主体泄露客户信息网络授权访问控制不到位存在信息科技风险隐患重要岗位及外包机构管理存在缺陷发生重要信息系统突发事件未向监管报告等 近几年因自身管理不到位而受监管部门处罚的案例屡见不鲜仅2021年全年在央行银保监会外管局发布的行政处罚名单中涉及信息处理等违规问题的罚单共计119张罚款金额合计约4654万元 2023年6月 2023年2月 2023年1月 2023年7月 国家金融监管总局浙江监管局发布的一则行政处罚信息公开表显示中国银行嘉兴市分行因存在多项违法违规事实