金融业数据应用发展报告(2023)
AI智能总结
金融业数据应用发展报告(2023) 北京金融科技产业联盟 2024年5月 版权声明 本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 编制委员会 编委会成员: 何军聂丽琴孔宇左燕刘刚 编写组成员: 蒙永明蔡睿张少敏金银玉单进勇蔡超超韩杰卞阳杨天雅陈嘉俊张敬之曹旭涛郑华祥李博吴红力姚明陈聪张艳君黄淼王鹏达胡翔鹰黄翠婷陈涛康和意李伟男毛智琪陈明李克鹏李如先刘维静李杰叶旭发秦凯徐集优王超赵可王慧敏 编审: 黄本涛国钰郭栋刘宝龙 参编单位: 中国农业银行股份有限公司中国银行股份有限公司 北京数牍科技有限公司上海富数科技有限公司浙商银行股份有限公司平安银行股份有限公司青岛银行股份有限公司 北京金融资产交易所有限公司深圳市洞见智慧科技有限公司北京银联金卡科技有限公司北京冲量在线科技有限公司同盾科技有限公司 蚂蚁科技集团股份有限公司 深圳市腾讯计算机系统有限公司联易融数字科技集团有限公司中电金信软件有限公司 蓝象智联科技有限公司 目录 一、概述1 二、发展背景3 (一)政策指引3 (二)标准引导15 三、发展现状29 (一)数据治理29 (二)数据资产管理34 (三)数据运营37 (四)数据要素流通48 (五)流通技术57 四、面临的挑战68 (一)政策标准有待进一步完善68 (二)数据应用风险管控亟待加强71 (三)数据服务能力评价机制仍需完善74 (四)系统建设与数据应用仍然存在割裂76 (五)数据产品创新能力不足79 五、发展建议81 (一)加大政策支持与标准供给82 (二)推进数据安全体系落地85 (三)构建数据服务闭环91 (四)建设数据友好型系统93 (五)加强数据驱动型产品建设97 六、典型案例104 七、结语147 八、附录150 一、概述 随着数字经济席卷全球,数据作为一种新型生产要素已成为重要战略资源。各行业纷纷增设信息科技部门,加大信息化建设力度,以期利用大数据技术提高服务能力和水平。在我国,互联网、政府、金融是大数据融合产业发展的重点行业。其中互联网和金融行业信息化水平高、研发力量雄厚,在业务数字化转型方面处于领先地位。除此之外,金融数据是大数据商业应用最早的数据源之一,面对如今快速增长的海量网络数据和复杂的网络社群关系,如何从大数据中提取有价值的信息,最大化提高数据服务能力,是金融行业不可避免的难题。 在此背景下,中央多次发文表示要加强数据的感知、传输、 存储和运算能力。《国民经济和社会发展第十四个五年规划》中,明确指出要加快构建全国一体化大数据中心体系,建设若干国家级大数据中心集群;激活数据要素潜能,加快建设数字经济、数字社会、数字政府;充分发挥海量数据和丰富应用场景优势,推动数据赋能全产业协同转型;加强数据开放共享,建立健全数据要素市场,开展数据跨境传输安全管理试点。《金融科技发展规划(2022—2025年)》提出新时期金融科技发展指导意见,明确金融数字化转型的总体思路、发展目标、重点任务和实施保障。解决金融科技发展不平衡不充分等问题,推动金融科技健全治理体 系,完善数字基础设施,促进金融与科技更深度融合、更持续发展,更好地满足数字经济时代提出的新要求、新任务。 本报告通过对数据应用技术在2021至2023年间的发展进行分析探索,希望能够对大数据在金融行业的应用提供参考。报告一共分为六章。第一章概述,介绍了本报告的研究内容与意义。第二章发展背景,从政策及标准的背景、内容、影响等方面介绍2021年到2023年新出台的对金融行业影响较大的行业政策和行业标准,以及金融行业机构对新政策的解读。第三章发展现状,从数据要素流通、数据资产管理、数据治理、流通技术等角度对金融行业数据应用现状进行详细介绍。第四章面临的挑战,提出了政策标准不够完善、数据应用存在安全风险、数据服务能力评价体系不完善、系统建设与数据应用仍然存在割裂、数据产品创新乏力等数据应用面临的挑战及难题。第五章发展建议,针对第四章提出的挑战进行了逐一分析建议,提出了加强政策引导与制定应用标准、保障数据安全体系落地、形成数据服务闭环、建设数据友好型系统、数据驱动产品建设等对策建议。第六章典型案例,介绍了金融业数据应用的实践案例。第七章结语,总结课题情况及数据专委会重点工作。 本报告在北京金融科技产业联盟数据专委会组织下,由农业 银行牵头,中国银行、数牍科技、富数科技、浙商银行、平安银行、洞见科技、银行卡检测中心、冲量在线、青岛银行、同盾科技、北京金融资产交易所、蚂蚁集团、腾讯、联易融、中电金信、蓝象智联等机构共同编写完成。 二、发展背景 在数据要素建设全面提速的背景下,数据赋能金融机构数字化转型已成为大数据时代的必然选择,全面加强数据能力建设势在必行。当前,金融机构对数据能力的要求和关注日益提升,监管部门也加强了对数据能力建设及数据治理的要求和指引。本章节主要从政策背景、内容、影响等角度对《中华人民共和国数据安全法》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《金融科技发展规划(2022—2025年)》《金融数据安全数据生命周期安全规范》《金融数据安全数据安全分级指南》《金融业数据能力建设指引》等政策法规、行业标准进行解读。 (一)政策指引 1.《中华人民共和国数据安全法》 (1)政策背景 2021年6月1日,《中华人民共和国数据安全法》(以下简称《数据安全法》)经第十三届全国人民代表大会常务委员会第二十九次会议表决通过,于2021年9月1日正式施行。 《数据安全法》是我国首部以规制数据安全为核心内容的专项法案,其施行既有利于弥补我国数据安全保护领域的法律空白,为保护我国数据安全以及维护数据主权提供法律支持,又有 利于推动以数据为核心的数字经济的发展,实现我国产业的数字化转型升级。 该法案对于数据采取的治理逻辑为保护加利用,一方面,基于国家安全战略对数据的审查、评估、管理等制定了严格的政策与措施,另一方面,为数据的要素化、充分挖掘数据的巨大潜能提供了重要的制度保障。这是整个数据行业的基本法,更加强调总体国家安全观,该法以数据为核心,对信息社会、数据时代起基础性支持作用,其本质是以安全为基础和起点,终极目标是数据作为生产要素能够加速流通。 《数据安全法》不仅回应了国内外重要的数据安全问题,还体现了我国数据安全保护的决心。一方面,进入信息全球化时代以来,数据安全问题频发,世界重要国家与国际组织先后通过立法对数据安全问题进行规制。另一方面,近年来我国产业的数字化转型升级加快,对数据安全保护提出了新的要求。我国当前针对数据安全问题的立法存在空白,法律体系尚不完善,数据安全受到严重威胁。在数字经济蓬勃发展的时代,应当建立起我国统一的数据安全法律体系,提升数据安全保护效力,为推动数字经济发展打下坚实的法律基础。因此,《数据安全法》的出台具有深刻的时代意义。 (2)政策内容 a.具体内容 《数据安全法》是我国在数据安全领域的专门立法,与《网 络安全法》《个人信息保护法》以及其他专项及地方立法共同构成我国数据安全保护法律体系。《数据安全法》主要包括以下四个方面的内容: 第一,《数据安全法》确立了我国坚持数据安全保护与发展并举的原则。安全是法律保护的秩序价值,发展是法律追求的重要目标。就数据规制而言,需要更好地平衡安全与发展的关系,以实现数据安全与发展的动态平衡。丧失了安全保障,数据发展将失去稳定运行的前提,甚至会由于缺乏监管而带来不可承受的风险与损害。因此,我国坚持数据安全保护与发展并举,在确保数据安全的前提下,鼓励数据依法合理有效利用,促进以数据为核心的数字经济发展。 第二,《数据安全法》设立了多样的数据安全保护机制。《数 据安全法》出台前,我国多从技术控制的角度对数据安全问题进行规制,强调通过技术手段保障数据安全,缺乏相应的配套制度。该法第三章以专章形式规定了数据分级分类保护、数据安全审查、数据出口管制、对等措施以及跨境流动审批等制度,强调以完善的体制机制维护数据安全。《数据安全法》设立的数据安全保护机制,弥补了过去重技术轻制度建设的情况,减少了因制度建设不完善而产生的数据安全问题。 第三,《数据安全法》明晰了数据安全保护义务。与该法设立的数据安全保护机制相衔接,数据安全保护义务强调在数据安全保护机制下实行多元主体协作机制。在保护义务的具体实施方面,《数据安全法》第四章规定了数据内部及外部控制、风险监 测、风险评估以及数据交易等机制,明确了各级各类主体应当承担的义务以及采取的必要措施。考虑到政务数据具备的特殊价值,《数据安全法》第五章对政务数据安全与开放问题进行了单独规定。明晰的义务有利于规范数据处理活动,进一步明确数据安全监管责任,降低数据安全风险。 第四,《数据安全法》建立了追责制度。针对不同的义务主体,《数据安全法》在第六章规定了不同的法律责任。针对我国有关主管部门,明确了其监管责任以及对违反数据安全保护义务的组织和个人可以采取的措施。对进行数据处理活动的有关组织和个人而言,应当配合主管部门的监管,遵守数据安全保护制度,否则将根据其违法的程度不同,给予警告、停业整顿、吊销营业执照以及罚款等惩戒措施。与上述措施不同,对不履行监管义务的国家机关工作人员以及责任人员主要给予行政处分以示惩戒。 《数据安全法》以分级分类的形式明确了不同主体的法律责任,使得《数据安全法》的执行力更强,能够有效预防、制止以及惩罚危害数据安全的各类行为。 总体而言,《数据安全法》明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。 b.落地方案 对标《数据安全法》等法律法规和监管要求,金融机构首先要建立健全数据安全管理制度体系,细化数据分类分级机制,补充完善重要数据管理、数据安全风险评估、数据安全审查和出境管理等方面的要求,并加强监督落实。 其次要持续完善数据安全技术防护措施,参照有关标准规范和最佳实践,做细做实数据分类分级和全生命周期安全防护建设,从源头上加强技术安全防护。最后要不断加强数据合规使用,规范数据采集和外部数据使用,加大政务数据的采集和开发利用,同时做好动态管理,针对数据采集、传输、融合、共享、发布等关键环节,组织开展数据安全风险评估,对涉及国家安全的,及时申报数据安全审查。 金融机构的数据治理体系建设核心将转向以保护数据主体权益的数据安全治理体系,从组织架构、管理流程、技术工具、人才培养等多个方面自上而下进行推动。重点关注的内容包括管理机构的明确、数据合规机制的建立与运转、数据安全创新技术的引入与研究、培训宣贯与人才培养。 为落实《数据安全法》,可以在如下几个方面,进行落地:一是加强数据安全治理,制定数据安全有关制度规范,技术 部门和业务部门、风险管理部门、审计部门“三道防线”各司其职,联防联控,共同推进落实数据安全管理。 二是构建数据安全纵深防御体系,在传统网络安全防护的基础上,强化一体化运维安全建设和漏洞处置能力,部署沙箱、云桌面、数据脱敏和防泄漏、态势感知等安全产品;同时,加强应 用安全防护,将数据安全要求嵌入业务需求和系统建设各个环节,通过系统固化业务流程,利用认证、校验、加密、脱敏、屏蔽、访问控制、备份恢复、安全审计等措施,从源头上加强保护。 三是强化数据使用安全,通过优化业务流程,进一步规范员工合规操作;通过推进数据分类分级,强化数据精细化管理;通过建设数据实验室、搭建大数据门户、统一外部数据管理等措施,保障数据安全使用;通过开展舆情监测、强化敏感数据监测、组织外包检查等措施,防范供应链安全风险。 四是引导数据安全文化建设。一方面,组织开展消费者权益保护、安全保密、个人金融信息安全等方面的培训,开展案例警示教育,营造安全合规氛围;另一方面,利用网点
