金融业数据分类分级与保护应用研究
AI智能总结
金融业数据分类分级与保护应用研究 北京金融科技产业联盟 2023年11月 版权声明 本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 编制委员会 编委会成员: 何军聂丽琴高鸿升 编写组成员: 沈蓓瑾 武利娟 华桊兴 项子林 赵亮 冯德亮 韩杰 王舒倩 梁骏峰 成燕 张海燕 唐辉 赵春华 高强裔 李子达 张澍 郭丽颖 李建彬 钟诚 肖松 罗家铸 刘敬谦 郭瑞峰 李克鹏 陈明 刘妍 陈聪 张艳君 杨波 赵莹 丁克凎 陈豪 何颖琪 刘弦 康和意 编审:黄本涛郭栋刘宝龙 参编单位: 北京金融科技产业联盟秘书处中国工商银行股份有限公司平安银行股份有限公司 中国银行股份有限公司 上海浦东发展银行股份有限公司 北京国家金融科技认证中心有限公司北京天融信网络安全技术有限公司蓝象智联(杭州)科技有限公司 腾讯云计算(北京)有限责任公司国家金融科技测评中心 深圳壹账通智能科技有限公司同盾科技有限公司 目录 前言1 一、背景情况2 (一)国家战略和顶层规划2 (二)立法及金融管理体系5 (三)标准规范10 二、发展概况14 (一)数据分类分级发展概况14 (二)数据保护发展概况16 三、挑战与对策19 (一)海量金融数据分类分级打标面临成本与时效的挑战与措施19 (二)数据生命周期安全保护全覆盖和有效性存在的挑战与措施20 (三)数据分类分级结果准确性的挑战与措施22 (四)客户信息敏感数据使用的挑战与措施23 (五)个人信息敏感数据保护的挑战与措施25 四、未来展望27 (一)技术趋势27 (二)应用趋势29 (三)策略联动30 (四)发展建议31 附录A:金融机构数据分类分级与保护实践案例33 案例一:工商银行数据分类分级实践33 案例二:中国银行数据分类分级实践36 案例三:平安银行数据分类分级实践41 案例四:浦发银行数据分级运用实践场景47 附录B:科技公司数据分类分级与保护实践案例50 案例一:腾讯数据分类分级实践50 案例二:壹账通在某集团数据分类分级的实践52 案例三:天融信在某银行基于敏感数据识别与分类分级技术的探索与实践54 案例四:天融信在某消费金融开展数据分类分级与风险评估与实践57 案例五:蓝象智联普惠金融联邦定制的风险评估方案61 案例六:同盾在某大型国有银行数据安全项目的实践65 前言 《数据安全法》1《个人信息保护法》2已正式实施一年多,各金融机构在数据安全体系建设中积累了丰富经验的同时也遇到了一些问题和挑战。通过该课题的研究,希望联盟各金融机构共同分享数据分类分级体系建设的经验,探索存在的问题和挑战,促进金融业数据安全发展。 报告从金融业数据分类分级与保护的发展概况、挑战与对策、未来展望、实践案例四个方面展开论述。其中,发展概况主要介绍了数据安全相关的国家战略、立法体系、规范标准、分类分级和保护的发展现状等,挑战与对策总结了各机构在数据分类分级和保护的工作开展过程中遇到的共性问题及应对策略,未来展望则对数据分类分级与保护的技术趋势和管理机制的发展做了展望,实践案例部分汇集了参编单位在金融领域开展数据分类分级与保护工作落地实践案例介绍。 该课题选取数据分类分级与保护这一典型数据安全领域总结典型实践案例经验,对于推进金融机构完善数据分类分级保护机制、加强数据全生命周期管理闭环、促进数据要素流通和进一步释放数据价值具有重要意义。 1《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次 会议于2021年6月10日通过,自2021年9月1日起施行。 2《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,自2021年11月1日起施行。 一、背景情况 (一)国家战略和顶层规划 当前,数据已成为重要的生产要素,大数据产业作为以数据生成、采集、存储、加工、分析、服务为主的战略性新兴产业,是激活数据要素潜能的关键支撑,是加快经济社会发展质量变革、效率变革、动力变革的重要引擎。数字技术的快速发展深刻改变了经济发展、社会治理和个人生活的方方面面,全球经济逐步由工业经济向数字经济转型,“十三五”以来,我国高度重视数字经济发展,先后出台了一系列政策文件,以促进传统经济与数字经济深度融合,实现数字化转型;“十四五”时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。 1.国家关于金融数据发展整体规划 国家关于金融数据发展的规划立足新发展阶段、贯彻新发展理念、构建新发展格局,统筹问题导向和目标导向,统筹短期目标和中长期目标,统筹全面规划和重点部署,聚焦突出问题和明显短板,充分激发数据要素价值潜能,夯实产业发展基础,构建稳定高效产业链,统筹发展和安全,培育自主可控和开放合作的产业生态,打造数字经济发展新优势,为建设制造强国、网络强国、数字中国提供有力支撑。主要有以下几点: 释放数据要素价值。我国金融数据发展整体规划坚持数 据要素观,以释放数据要素价值为导向,推动数据要素价值 的衡量、交换和分配,加快大数据容量大、类型多、速度快、精度准、价值高等特性优势转化,支撑数据要素市场培育,激发产业链各环节潜能,以价值链引领产业链、创新链,推动产业高质量发展。 完善数字经济治理体系。新业态、新模式的不断涌现, 宏观政策重点需要主动顺应新形势、新规律和新要求,更加强调发展与规范并重,在鼓励继续发展壮大的同时,系统排除隐患和风险,统筹发展与安全,确保数字经济行稳致远。 筑牢数据安全保障防线。加强数据安全管理能力。推动建立 数据安全管理制度,制定相关配套管理办法和标准规范,组织开展数据分类分级管理,制定重要数据保护目录,对重要数据进行备案管理、定期评估与重点保护。建设数据安全监测系统,形成敏感数据监测发现、数据异常流动分析、数据安全事件追踪溯源等能力。 科学制定实施数字化转型战略。加强顶层设计和统筹规 划,围绕服务实体经济目标和国家重大战略部署,科学制定和实施数字化转型战略,将其纳入机构整体战略规划,明确分阶段实施目标,长期投入、持续推进。 积极发展产业数字金融。积极支持国家重大区域战略、 战略性新兴产业、先进制造业和新型基础设施建设,打造数字化的产业金融服务平台,围绕重大项目、重点企业和重要产业链,加强场景聚合、生态对接,实现“一站式”金融服务。 2.国家关于数据金融相关举措 “在十四五”时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。为应对新形势新挑战,把握数字化发展新机遇,拓展经济发展新空间,推动我国数字经济健康发展,国家制定以下相关举措为建设制造强国、网络强国、数字中国提供有力支撑。 加强数据“高质量”治理。围绕数据全生命周期,通过 质量监控、诊断评估、清洗修复、数据维护等方式,提高数据质量,确保数据可用、好用。完善数据管理能力评估体系,实施数据安全管理认证制度,持续提升企事业单位数据管理水平。强化数据分类分级管理,推动数据资源规划,打造分类科学、分级准确、管理有序的数据治理体系,促进数据真实可信。 强调数据“多样性”处理。提升数值、文本、图形图像、 音频视频等多类型数据的多样化处理能力。促进多维度异构数据关联,创新数据融合模式,提升多模态数据的综合处理水平,通过数据的完整性提升认知的全面性。建设行业数据资源目录,推动跨层级、跨地域、跨系统、跨部门、跨业务数据融合和开发利用。 金融大数据“高质量”利用。金融大数据是通过大数据 精算、统计和模型构建,助力完善现代金融管理体系,补齐监管制度短板,在审慎监管前提下有序推进金融创新。优化风险识别、授信评估等模型,提升基于数据驱动的风险管理能力。 深化数字技术金融应用。健全安全与效率并重的科技成 果应用体制机制,不断壮大开放创新、合作共赢的产业生态,打通科技成果转化“最后一公里”。 健全安全高效的金融科技创新体系。搭建业务、技术、 数据融合联动的一体化运营中台,建立智能化风控机制,全面激活数字化经营新动能。 (二)立法及金融管理体系 数据作为一种新型生产要素,其流动为科技产业、社会经济发展带来了巨大的动能与创新。同时数据安全也面临着前所未有的挑战。近年来,全球数据泄露事件层出不穷,致使公众深受个人隐私曝光与骚扰诈骗的困扰,相关企业面临资产与声誉的重大损失,甚至危害到社会稳定与国家安全。数据保护成为世界各国的共同需求,各国对此高度重视,纷纷通过立法保障数据安全,开展数据治理,维护国家、社会与个人权益。 1.国际数据保护相关立法 早在二十世纪,欧盟与美国就开启了个人隐私保护立法进程。进入到大数据时代,世界各国围绕数据安全与个人信息保护,相继发布了一系列相关法律。 其中最具有代表性的是欧盟于2016年发布的《通用数据保护条例》3(以下简称GDPR),其为个人数据创造了一套具体的保护与监管制度,成为大数据监管新时代的标志。欧盟各成员国基于GDPR,结合本国国情制定或修订本国的个 3《通用数据保护条例》是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人数据出口。在2018年5月25日强制执行。 人数据保护法,如德国《联邦数据保护法》、法国《个人数据保护法》等。 美国联邦与各州立法各成体系,联邦立法如《美国数据隐私和保护法案》4(讨论稿)《澄清境外数据的合法使用法》 (云法案)等,各州立法如《加州消费者隐私法案》《科罗拉多州隐私法案》等。 英国早在1998年发布《数据保护法》,为加强数据经济时代的个人数据保护,2018年发布了新的《数据保护法2018》。2022年英国通过了《数据保护和数字信息法案》(5“143 号法案”),是对英国现有多个法案的改革。日本于2003 年发布《个人信息保护法》,并在2021年5月发布修订案。 韩国于2020年发布“数据三法”——《个人信息保护法》 《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》。印度于2018年发布《个人数据保护法案》……据统计,全球已有一百多个国家出台了数据保护相关法律。 2.我国数据保护立法体系 与国际上发达国家及地区相比,我国在数据保护立法方面起步较晚。近年来,随着数据要素市场化建设,我国数据保护立法取得突飞猛进的进展。 在基础性法律方面,《网络安全法》6《数据安全法》《个人信息保护法》共同构筑了我国数据安全与个人信息保护的 42022年6月3日,美国众议院和参议院发布了《美国数据隐私和保护法案》讨论稿,这是首个获得两党两院支持的全面的联邦隐私立法草案,内容涉及国会近20年来隐私辩论的方方面面。 52022年7月8号,英国下议院提交《数据保护和数字信息法案》,法案对数据保护框架进行了更新,使其更利于保护国家利益,保护公民权益。 6《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。 顶层设计框架。《网络安全法》对网络运营者收集、使用个人信息作出了规范,并首次提出重要数据的概念。《数据安全法》要求建立一系列数据安全保护制度,如数据分级分类保护制度、数据安全审查制度等。《个人信息保护法》聚焦于可识别自然人的个人信息保护,建立了权责明确、保护有效、利用规范的个人信息保护机制。除此之外,《未成年人保护法》《民法典》等多项法律文件也对数据与个人信息保护进行了相关规定。如表1列举了我国主要的数据保护相关基础性法律文件。 表1我国数据保护相关基础性法律 发布时间 文件名称 相关内容 1991年首次发布 《未成年人保护法》 未成年人个人信息保护 2015年7月 《国家安全法》 重要领域信息系统及数据保护 2016年11月 《网络安全法》 网络数据安全及个人信息保护 2020年5月 《民法典》 个人信息、数据权益保护 2021年6月 《数据安全法》 数据安全保护 2021年8月 《个人
