劉宇

摘 要：金融科技的迅猛發(fā)展改變了金融業(yè)的創(chuàng)新思路和經(jīng)營理念，數(shù)據(jù)作為基礎(chǔ)生產(chǎn)資料，在金融科技發(fā)展過程中起了關(guān)鍵的推動(dòng)作用。金融領(lǐng)域的數(shù)據(jù)重要且敏感，在金融科技發(fā)展的同時(shí)做好數(shù)據(jù)安全保護(hù)顯得尤為重要。文章從近年來發(fā)生的重大數(shù)據(jù)安全事件出發(fā)，介紹了國內(nèi)外主要數(shù)據(jù)安全法律要求，分析了當(dāng)前金融科技創(chuàng)新發(fā)展中數(shù)據(jù)利用存在的風(fēng)險(xiǎn)，最后提出了新時(shí)代金融領(lǐng)域加強(qiáng)數(shù)據(jù)安全保護(hù)的建議。

關(guān)鍵詞：金融科技;數(shù)據(jù)安全;數(shù)據(jù)治理

中圖分類號(hào)：TP309.2????????? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

近年來，以“大智移云”為代表的新技術(shù)與金融業(yè)交互融合，新興金融產(chǎn)品不斷涌現(xiàn)，金融經(jīng)營模式正在發(fā)生著深刻變革，金融科技已成為引領(lǐng)金融機(jī)構(gòu)實(shí)現(xiàn)創(chuàng)新發(fā)展和轉(zhuǎn)型升級(jí)的核心力量。數(shù)據(jù)是金融機(jī)構(gòu)最基礎(chǔ)的生產(chǎn)資料，金融科技應(yīng)用離不開大量數(shù)據(jù)的收集、聚合和分析，高質(zhì)量數(shù)據(jù)整合和利用已成為金融科技創(chuàng)新的原動(dòng)力和助推劑。與此同時(shí)，無論是金融機(jī)構(gòu)，還是金融科技公司，通過不同渠道和方式收集了大量機(jī)構(gòu)數(shù)據(jù)和個(gè)人信息，具有極大的分析和利用價(jià)值。若管理水平和防護(hù)措施不到位，導(dǎo)致數(shù)據(jù)丟失、損壞或者泄露，會(huì)給機(jī)構(gòu)和個(gè)人帶來難以估量的損失。因此，做好數(shù)據(jù)安全治理，對(duì)于維護(hù)金融穩(wěn)定、保障人民權(quán)益具有極其重要意義。

2 數(shù)據(jù)安全形勢(shì)日益嚴(yán)峻

數(shù)據(jù)是數(shù)字經(jīng)濟(jì)時(shí)代最重要的生產(chǎn)要素之一，大數(shù)據(jù)高速發(fā)展的同時(shí)，其安全問題也日益凸出。國內(nèi)外數(shù)據(jù)破壞、泄露事件屢有發(fā)生，并且規(guī)模和嚴(yán)重程度越來越大，數(shù)據(jù)安全問題已成為金融科技創(chuàng)新發(fā)展的制約因素之一。鎖定、破壞計(jì)算機(jī)數(shù)據(jù)的勒索病毒在2017年開始大規(guī)模爆發(fā)，從WannaCry、Petya到GlobeImposter及其變種，勒索病毒更新迭代速度越來越快，攻擊方式花樣翻新，其攻擊目標(biāo)也從個(gè)人用戶逐漸轉(zhuǎn)向大型機(jī)構(gòu)和企業(yè)用戶，成為近年來網(wǎng)絡(luò)數(shù)據(jù)安全最大的威脅。2018年，芯片代工企業(yè)臺(tái)積電遭受勒索病毒攻擊，短時(shí)間內(nèi)生產(chǎn)線全部停擺，損失高達(dá)17.6億元;華住旗下酒店發(fā)生大規(guī)模信息泄露，被公開售賣的信息包括網(wǎng)站注冊(cè)和酒店客人的姓名、身份證、手機(jī)號(hào)碼等共約5億條信息，堪稱近年來國內(nèi)規(guī)模最大最嚴(yán)重的信息泄露事件。國外近幾年也經(jīng)常發(fā)生數(shù)據(jù)泄漏事件：美國信用評(píng)估巨頭Equifax于2017年遭到黑客攻擊，導(dǎo)致美國一半人口的個(gè)人信息被泄露，此次攻擊的主要原因是Equifax未能及時(shí)修補(bǔ)Apache發(fā)布的Struts高危漏洞補(bǔ)丁;2018年，印度國家身份認(rèn)證系統(tǒng)Aadhaar被爆遭到網(wǎng)絡(luò)攻擊，該系統(tǒng)存儲(chǔ)了印度11.2億人的重要身份信息，包括指紋、虹膜紀(jì)錄等極度敏感個(gè)人特征信息均遭到泄露，因?yàn)閭€(gè)人生物信息的唯一性和不可變更性，此次信息泄露給印度公民帶來了長期持續(xù)和不可預(yù)知的惡劣影響。

3 國內(nèi)外數(shù)據(jù)安全保護(hù)情況

數(shù)據(jù)安全關(guān)系到金融機(jī)構(gòu)資產(chǎn)安全、個(gè)人隱私安全和社會(huì)安全穩(wěn)定，是當(dāng)前網(wǎng)絡(luò)安全的重要議題之一。近年來，面對(duì)嚴(yán)峻的數(shù)據(jù)安全態(tài)勢(shì)，世界各國相繼出臺(tái)法律、法規(guī)和政策，規(guī)范數(shù)據(jù)使用，加強(qiáng)敏感信息和重要數(shù)據(jù)保護(hù)。

3.1 國外重要數(shù)據(jù)法律法規(guī)

近年來最著名的數(shù)據(jù)保護(hù)法律當(dāng)數(shù)歐盟在2018年5月25日出臺(tái)的《一般數(shù)據(jù)保護(hù)條例》（GDPR），它取代了1995年頒布的《數(shù)據(jù)保護(hù)指令》，一統(tǒng)歐盟內(nèi)零散的個(gè)人數(shù)據(jù)保護(hù)規(guī)則，統(tǒng)一明確了歐盟內(nèi)相關(guān)組織機(jī)構(gòu)處理隱私和數(shù)據(jù)保護(hù)的要求。該法律管轄范圍不但包括了歐盟境內(nèi)的企業(yè)，還包括收集處理歐盟公民信息的其他全球企業(yè)，對(duì)于違反數(shù)據(jù)保護(hù)規(guī)定的企業(yè)最高處罰可達(dá)到2000萬歐元或者該企業(yè)上一年度全球營業(yè)額的4%。GDPR的實(shí)施讓歐盟企業(yè)真正開始將數(shù)據(jù)保護(hù)列為企業(yè)經(jīng)營的必選項(xiàng)，主動(dòng)滿足合規(guī)要求，也為其他地區(qū)企業(yè)加強(qiáng)數(shù)據(jù)保護(hù)敲響了警鐘。美國的數(shù)據(jù)和個(gè)人隱私保護(hù)法有1974年頒布的《隱私權(quán)法》，闡明了政府機(jī)構(gòu)應(yīng)如何收集和儲(chǔ)存?zhèn)€人信息，它是世界上第一部保護(hù)隱私的法律?！都永Ｄ醽喼菹M(fèi)者隱私保護(hù)法案》（CCPA）將在2020年1月1日正式實(shí)施，該法案授權(quán)消費(fèi)者可以有條件控制公司收集和管理的個(gè)人信息，比如數(shù)據(jù)訪問權(quán)、數(shù)據(jù)刪除權(quán)、數(shù)據(jù)泄露私人訴訟權(quán)等，并規(guī)定了數(shù)據(jù)泄露的賠償責(zé)任和金額。

3.2 國內(nèi)數(shù)據(jù)法規(guī)標(biāo)準(zhǔn)

隨著我國移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展，個(gè)人信息泄露也呈現(xiàn)愈演愈烈的趨勢(shì)，相關(guān)部門通過制定法律法規(guī)和行業(yè)規(guī)范，不斷加強(qiáng)我國數(shù)據(jù)安全和個(gè)人隱私保護(hù)。2015年《刑法修正案（九）》明確了侵犯公民個(gè)人信息罪的判罰依據(jù)。2017年正式實(shí)施的《網(wǎng)絡(luò)安全法》第四章明確規(guī)定了網(wǎng)絡(luò)運(yùn)營者要防止數(shù)據(jù)被泄露篡改，任何個(gè)人不得竊取重要數(shù)據(jù)和個(gè)人敏感信息，在法律上進(jìn)一步完善了網(wǎng)絡(luò)數(shù)據(jù)和個(gè)人信息保護(hù)的要求?！缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范》于2018年5月1日正式實(shí)施，該規(guī)范對(duì)企業(yè)收集、使用、共享個(gè)人信息等行為提出了詳細(xì)、明確的指引和參考，為企業(yè)規(guī)范使用個(gè)人數(shù)據(jù)提供了標(biāo)準(zhǔn)?！躲y行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》要求金融機(jī)構(gòu)依法合規(guī)收集和應(yīng)用數(shù)據(jù)，保護(hù)客戶隱私并改進(jìn)數(shù)據(jù)安全技術(shù)?！兑苿?dòng)金融基于聲紋識(shí)別的安全應(yīng)用技術(shù)規(guī)范》是我國金融行業(yè)第一個(gè)生物識(shí)別技術(shù)標(biāo)準(zhǔn)，明確了金融領(lǐng)域聲紋信息采集、傳輸、存儲(chǔ)、處理、刪除等全生命周期數(shù)據(jù)安全要求，為生物識(shí)別技術(shù)在金融領(lǐng)域的安全、可靠應(yīng)用奠定了良好基礎(chǔ)。

4 金融科技數(shù)據(jù)安全存在的主要問題

通過大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)的應(yīng)用，數(shù)據(jù)在助力金融機(jī)構(gòu)實(shí)現(xiàn)精準(zhǔn)客戶營銷、優(yōu)化客戶服務(wù)、創(chuàng)新智能產(chǎn)品、完善風(fēng)險(xiǎn)防控等方面展現(xiàn)出了巨大價(jià)值，數(shù)據(jù)是核心戰(zhàn)略資產(chǎn)的地位得到越來越多的認(rèn)同。如何最大程度地挖掘數(shù)據(jù)價(jià)值，高質(zhì)量開展數(shù)據(jù)治理是金融機(jī)構(gòu)完成數(shù)字化轉(zhuǎn)型、實(shí)現(xiàn)持續(xù)健康發(fā)展的核心動(dòng)能之一。金融機(jī)構(gòu)掌握了大量的金融交易數(shù)據(jù)和客戶敏感信息，既是數(shù)據(jù)的生產(chǎn)者，也是數(shù)據(jù)的分析和存儲(chǔ)者，規(guī)范合理利用數(shù)據(jù)，保護(hù)重要數(shù)據(jù)安全有義不容辭的義務(wù)和不可推卸的責(zé)任。目前，我國金融科技總體發(fā)展水平還處于初級(jí)階段，相關(guān)法規(guī)標(biāo)準(zhǔn)也不健全，行業(yè)還存在野蠻生長、無序發(fā)展的亂象，數(shù)據(jù)保護(hù)不力，非法使用，違規(guī)交易等現(xiàn)象時(shí)有發(fā)生。

4.1 數(shù)據(jù)濫用

目前，金融行業(yè)還沒有關(guān)于個(gè)人數(shù)據(jù)信息收集、使用的明確監(jiān)管規(guī)則，在金融科技領(lǐng)域?yàn)E用個(gè)人數(shù)據(jù)的現(xiàn)象相對(duì)其他行業(yè)更加嚴(yán)重。大數(shù)據(jù)殺熟、過度營銷、數(shù)據(jù)倒賣等現(xiàn)象在金融科技領(lǐng)域可謂是屢見不鮮。比如，為了實(shí)現(xiàn)精準(zhǔn)營銷而非法采集個(gè)人消費(fèi)行為數(shù)據(jù)，為了降低信貸風(fēng)險(xiǎn)而過度收集個(gè)人交易和信用信息等，一些所謂的金融科技大數(shù)據(jù)公司就是以數(shù)據(jù)買賣和非法采集起家，甚至直接從外部購買黑灰產(chǎn)數(shù)據(jù)。

4.2 數(shù)據(jù)泄露

金融科技領(lǐng)域匯集了海量的機(jī)構(gòu)市場數(shù)據(jù)、客戶行為數(shù)據(jù)和交易數(shù)據(jù)，是金融機(jī)構(gòu)掌握的核心數(shù)字資產(chǎn)，也是別有用心者覬覦窺探的寶藏。個(gè)人資產(chǎn)信息、征信信息、生物特征信息等都關(guān)系到每個(gè)人的切身利益和幸福生活，一旦泄露，會(huì)給個(gè)人和家庭造成不可挽回的損失。特別是個(gè)人的生物識(shí)別特征，因?yàn)榫哂形ㄒ恍?，也很容易被?fù)制，一旦泄露就無法挽回，會(huì)嚴(yán)重危害個(gè)人隱私和財(cái)產(chǎn)安全。從近年來重大數(shù)據(jù)泄露事件來看，泄露原因既有外部黑客攻擊，也有內(nèi)部管理疏漏;既有安全意識(shí)薄弱，也有安全防護(hù)措施不到位等原因。

4.3 數(shù)據(jù)污染

大數(shù)據(jù)、人工智能、深度學(xué)習(xí)等技術(shù)應(yīng)用均離不開適當(dāng)?shù)乃惴ā⒖煽康哪Ｐ秃秃侠淼臄?shù)據(jù)，一旦訓(xùn)練樣本數(shù)據(jù)不全，或者被惡意污染導(dǎo)致“中毒”，訓(xùn)練的結(jié)果都會(huì)大相徑庭，甚至是產(chǎn)生完全相反的結(jié)果。數(shù)據(jù)污染具有很大的隱蔽性，一項(xiàng)數(shù)據(jù)受到污染，將導(dǎo)致一連串的嚴(yán)重后果。做好數(shù)據(jù)治理，規(guī)范、統(tǒng)一內(nèi)外部數(shù)據(jù)標(biāo)準(zhǔn)，加強(qiáng)數(shù)據(jù)安全保護(hù)是避免數(shù)據(jù)污染的切實(shí)有效途徑。

4.4 數(shù)據(jù)保護(hù)力度不夠

金融科技是新興事物，總體發(fā)展仍處于初級(jí)階段，不同機(jī)構(gòu)對(duì)金融科技理解水平不一致，數(shù)據(jù)安全保護(hù)意識(shí)參差不齊，仍然存在重發(fā)展、輕安全，重利益、輕風(fēng)險(xiǎn)的經(jīng)營理念。特別是一些中小機(jī)構(gòu)，身份鑒別、加密存儲(chǔ)、容災(zāi)備份等傳統(tǒng)的數(shù)據(jù)安全保護(hù)手段都不到位，一旦發(fā)生黑客攻擊、系統(tǒng)故障或自然災(zāi)害，信息泄露和數(shù)據(jù)丟失將不可避免，不但對(duì)個(gè)人數(shù)據(jù)安全是一大威脅，也給金融機(jī)構(gòu)經(jīng)營帶來了巨大風(fēng)險(xiǎn)。

5 金融科技數(shù)據(jù)安全治理建議

數(shù)據(jù)治理是金融科技時(shí)代數(shù)字化轉(zhuǎn)型升級(jí)的基礎(chǔ)，而數(shù)據(jù)安全則是數(shù)據(jù)治理工作的前提。金融機(jī)構(gòu)存儲(chǔ)的數(shù)據(jù)蘊(yùn)含大量私人信息和商業(yè)秘密，如果忽略數(shù)據(jù)治理中的數(shù)據(jù)安全問題，會(huì)埋下巨大安全隱患和風(fēng)險(xiǎn)。只有保障數(shù)據(jù)安全、做好數(shù)據(jù)安全治理，金融科技才能真正發(fā)揮其巨大的創(chuàng)新價(jià)值，助力金融機(jī)構(gòu)實(shí)現(xiàn)轉(zhuǎn)型發(fā)展的時(shí)代目標(biāo)。

5.1 完善金融領(lǐng)域數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)

金融機(jī)構(gòu)存儲(chǔ)的數(shù)據(jù)不但包括客戶基本信息、交易行為數(shù)據(jù)，還包括金融機(jī)構(gòu)自身的財(cái)務(wù)、憑證、市場等重要數(shù)據(jù)，相對(duì)于其他行業(yè)而言，金融業(yè)對(duì)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全有更加嚴(yán)格的需求。應(yīng)在我國現(xiàn)行數(shù)據(jù)安全法律、辦法、規(guī)范和指南的基礎(chǔ)上，結(jié)合我國金融行業(yè)數(shù)據(jù)管理的要求和特點(diǎn)，參照國外相關(guān)數(shù)據(jù)保護(hù)要求，制定適合我國金融科技發(fā)展的數(shù)據(jù)安全法規(guī)和制度。在數(shù)據(jù)安全管理和數(shù)據(jù)保護(hù)技術(shù)上更加嚴(yán)格要求，比如明確個(gè)人隱私和重要數(shù)據(jù)采集范圍、存儲(chǔ)方式、加密手段、使用原則、留存期限、備份方法等。應(yīng)形成行業(yè)強(qiáng)制性標(biāo)準(zhǔn)，加大違規(guī)懲罰力度，在遵循國家數(shù)據(jù)安全保護(hù)的前提下，進(jìn)一步滿足金融行業(yè)業(yè)務(wù)特殊性的要求。

5.2 強(qiáng)化金融領(lǐng)域數(shù)據(jù)安全合規(guī)監(jiān)管

要充分發(fā)揮新技術(shù)在促進(jìn)金融監(jiān)管、強(qiáng)化數(shù)據(jù)風(fēng)險(xiǎn)防控方面的作用。利用監(jiān)管科技引導(dǎo)金融機(jī)構(gòu)規(guī)范數(shù)據(jù)安全治理，實(shí)現(xiàn)監(jiān)管要求的自動(dòng)化、流程化和規(guī)范化管理，提升監(jiān)管效率，降低監(jiān)管成本。以金融機(jī)構(gòu)或者互聯(lián)網(wǎng)企業(yè)行為為導(dǎo)向，按照只要涉及金融業(yè)務(wù)數(shù)據(jù)均應(yīng)該納入監(jiān)管范圍的原則實(shí)施監(jiān)管，被監(jiān)管單位通過監(jiān)管科技自動(dòng)匹配監(jiān)管要求，實(shí)現(xiàn)數(shù)據(jù)全生命周期和全流程監(jiān)督和監(jiān)測。特別是要嚴(yán)懲并曝光侵犯個(gè)人隱私、違規(guī)采集數(shù)據(jù)、非法數(shù)據(jù)買賣等行為，發(fā)揮警示威懾作用，建立行業(yè)數(shù)據(jù)使用自律機(jī)制，形成對(duì)金融監(jiān)管的有效配合和有力支撐。

5.3 同步開展數(shù)據(jù)安全治理

數(shù)據(jù)安全是數(shù)據(jù)治理的前提，數(shù)據(jù)治理是數(shù)據(jù)安全的保障。各金融機(jī)構(gòu)應(yīng)按照國家和行業(yè)法律法規(guī)要求，在進(jìn)行數(shù)據(jù)治理的同時(shí)，同步規(guī)劃、建設(shè)和使用保護(hù)措施以確保數(shù)據(jù)的安全規(guī)范利用。應(yīng)建立統(tǒng)一規(guī)范的內(nèi)外部數(shù)據(jù)標(biāo)準(zhǔn)，根據(jù)數(shù)據(jù)的重要性對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類，對(duì)不同層次的數(shù)據(jù)采取不同的安全保護(hù)措施，突出重點(diǎn)，有的放矢。打通數(shù)據(jù)內(nèi)外邊界，實(shí)現(xiàn)數(shù)據(jù)的透明性和可追溯性，確保外部數(shù)據(jù)合理合規(guī)和安全可靠。通過完善的安全管理和有效的安全技術(shù)保證數(shù)據(jù)更加廣泛的共享和應(yīng)用，使安全成為競爭力，讓安全成為發(fā)展的新動(dòng)能。

5.4 加強(qiáng)數(shù)據(jù)安全技術(shù)研究和應(yīng)用

保護(hù)數(shù)據(jù)安全就是要保證數(shù)據(jù)的機(jī)密性、完整性和可用性。數(shù)據(jù)安全保護(hù)與網(wǎng)絡(luò)安全防護(hù)緊密相關(guān)，應(yīng)加大數(shù)據(jù)安全技術(shù)研發(fā)力度，積極推動(dòng)新技術(shù)在金融領(lǐng)域數(shù)據(jù)保護(hù)和操作審計(jì)中的應(yīng)用，從源頭切斷數(shù)據(jù)泄露、濫用和污染的可能性。比如，在數(shù)據(jù)流通和數(shù)據(jù)存儲(chǔ)階段，通過差分隱私、同態(tài)加密等技術(shù)可以實(shí)現(xiàn)不泄露個(gè)人隱私條件下的數(shù)據(jù)分析處理。區(qū)塊鏈技術(shù)可以提供可信的多方計(jì)算環(huán)境，實(shí)現(xiàn)高效、安全的利益分配機(jī)制。同時(shí)，區(qū)塊鏈技術(shù)先天還具備日志記錄、可追溯、不可篡改等特性，非常適合做數(shù)據(jù)安全的追溯審計(jì)。安全多方計(jì)算技術(shù)可以確保在保護(hù)數(shù)據(jù)隱私的前提下，實(shí)現(xiàn)多方安全協(xié)同計(jì)算，并確保各參與方得到正確的數(shù)據(jù)結(jié)果。

6 結(jié)束語

金融作為國家重要信息基礎(chǔ)設(shè)施，是國家安全的重要組成部分。金融科技時(shí)代金融數(shù)據(jù)安全不但關(guān)系到金融機(jī)構(gòu)自身的健康發(fā)展，更關(guān)系到國家社會(huì)穩(wěn)定和人民切身利益。監(jiān)管層應(yīng)盡快建立金融領(lǐng)域數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和規(guī)范，利用監(jiān)管科技加強(qiáng)數(shù)據(jù)全生命周期監(jiān)管，嚴(yán)懲違法違規(guī)行為。金融機(jī)構(gòu)應(yīng)把數(shù)據(jù)安全作為企業(yè)發(fā)展的核心價(jià)值，主動(dòng)滿足合規(guī)要求，積極布局實(shí)踐安全可信通信和加密存儲(chǔ)技術(shù)，切實(shí)維護(hù)國家利益和保障金融安全穩(wěn)定。

參考文獻(xiàn)

[1]?杜躍進(jìn).數(shù)據(jù)安全治理的幾個(gè)基本問題[J].大數(shù)據(jù)，2018，4（06）：85-91.

[2]?周季禮，李德斌.國外大數(shù)據(jù)安全發(fā)展的主要經(jīng)驗(yàn)及啟示[J].信息安全與通信保密，2015（06）：40-45.

[3]?胡文華.沖擊與應(yīng)對(duì)：GDPR與《網(wǎng)絡(luò)安全法》比較視野下的企業(yè)合規(guī)[J].中國信息安全，2018（07）：77-81.

[4]?吳沈括，孟潔，薛穎，趙小琳.《2018年加州消費(fèi)者隱私法案》中的個(gè)人信息保護(hù)[J].信息安全與通信保密，2018（12）：83-100.

[5]?卞雨茗.商業(yè)銀行數(shù)字化轉(zhuǎn)型下的數(shù)據(jù)治理[J].銀行家，2018（04）：76-78.

[6]?周丹.大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)民法保護(hù)問題研究[D].華中師范大學(xué)，2015.

[7]?董祥千，郭兵，沈艷，段旭良，申云成，張洪.一種高效安全的去中心化數(shù)據(jù)共享模型[J].計(jì)算機(jī)學(xué)報(bào)，2018，41（05）：1021-1036.