高立

（貴州茅臺(tái)集團(tuán)財(cái)務(wù)有限公司，貴州 貴陽(yáng) 550001）

一、金融機(jī)構(gòu)大數(shù)據(jù)管理的現(xiàn)狀

近年來(lái)隨著大數(shù)據(jù)技術(shù)不斷發(fā)展，大數(shù)據(jù)廣泛應(yīng)用于社會(huì)各領(lǐng)域，成為人類經(jīng)濟(jì)社會(huì)、政治生態(tài)、教育文化、法治實(shí)踐等方面的重要組成要素。特別在金融活動(dòng)中，金融機(jī)構(gòu)掌握了大量個(gè)人的身份信息、個(gè)人財(cái)產(chǎn)信息和眾多企業(yè)的運(yùn)用情況和財(cái)務(wù)情況，導(dǎo)致金融機(jī)構(gòu)由于故意或者疏忽，金融大數(shù)據(jù)管理制度不完善等原因，受到各種處罰和賠償損失。例如根據(jù)銀保監(jiān)會(huì)公告，2019 年7 月3 日，銀保監(jiān)對(duì)中信銀行進(jìn)行處罰，罰款2223.7 萬(wàn)元，處罰原因?yàn)椤拔聪虮O(jiān)管部門(mén)報(bào)告重要信息系統(tǒng)運(yùn)營(yíng)中斷事件”和“信息系統(tǒng)控制存在較大安全漏洞，未做到有效的安全控制”；2020年10 月21 日，中國(guó)人民銀行發(fā)布公告，對(duì)六家銀行侵害個(gè)人信息罰款逾4000 萬(wàn)元。

鑒于此，本文試通過(guò)分析金融機(jī)構(gòu)大數(shù)據(jù)風(fēng)險(xiǎn)狀況，提出金融機(jī)構(gòu)防范該項(xiàng)風(fēng)險(xiǎn)的措施建議。本文探討的金融大數(shù)據(jù)，是指銀行、保險(xiǎn)、證券、互聯(lián)網(wǎng)金融等金融機(jī)構(gòu)在金融業(yè)務(wù)中捕捉、管理和處理的巨量數(shù)據(jù)集合，這些數(shù)據(jù)從多個(gè)維度刻畫(huà)了金融消費(fèi)者的行為特征；通過(guò)對(duì)金融大數(shù)據(jù)的運(yùn)用，金融機(jī)構(gòu)可以提升資源配置效率、強(qiáng)化風(fēng)險(xiǎn)管控能力、促進(jìn)業(yè)務(wù)創(chuàng)新。

二、金融機(jī)構(gòu)大數(shù)據(jù)管理的風(fēng)險(xiǎn)分析

（一）大數(shù)據(jù)收集階段

我國(guó)銀行、證券、保險(xiǎn)等金融機(jī)構(gòu)，經(jīng)歷了從紙質(zhì)數(shù)據(jù)收集到電子化數(shù)據(jù)收集金融消費(fèi)者信息的階段。紙質(zhì)數(shù)據(jù)收集階段，受當(dāng)時(shí)數(shù)據(jù)處理硬件和技術(shù)等客觀條件的限制，金融機(jī)構(gòu)只能對(duì)客戶數(shù)據(jù)做簡(jiǎn)單的憑證歸集、機(jī)械儲(chǔ)存、簡(jiǎn)要分析等工作，金融數(shù)據(jù)分散且總量小，對(duì)應(yīng)的管理風(fēng)險(xiǎn)小，多集中于操作風(fēng)險(xiǎn)范疇；但隨著互聯(lián)網(wǎng)金融的高速發(fā)展和大數(shù)據(jù)技術(shù)的不斷完善，金融機(jī)構(gòu)采集金融消費(fèi)者數(shù)據(jù)更加便利，但也導(dǎo)致金融大數(shù)據(jù)管理面臨諸多風(fēng)險(xiǎn)：一是部分金融機(jī)構(gòu)從業(yè)人員受利益驅(qū)動(dòng)或市場(chǎng)需要，存在違法采集消費(fèi)者數(shù)據(jù)的情況；二是存在部分消費(fèi)者為取得金融機(jī)構(gòu)的支持，通過(guò)隱瞞、捏造等方式向金融機(jī)構(gòu)提供虛假數(shù)據(jù)信息；三是部分互聯(lián)網(wǎng)金融機(jī)構(gòu)由于業(yè)務(wù)拓展需要，客戶識(shí)別流程簡(jiǎn)單或客戶身份審查不嚴(yán)，導(dǎo)致其收集的客戶數(shù)據(jù)對(duì)金融機(jī)構(gòu)后續(xù)的分析和運(yùn)用毫無(wú)價(jià)值甚至可能出現(xiàn)洗錢(qián)風(fēng)險(xiǎn)；四是信息孤島現(xiàn)象仍普遍存在，跨部門(mén)、跨行業(yè)的數(shù)據(jù)共享仍不順暢，有價(jià)值的公共信息資源和商業(yè)數(shù)據(jù)開(kāi)發(fā)程度不夠，導(dǎo)致金融機(jī)構(gòu)難易多方位收集或者驗(yàn)證數(shù)據(jù)的真實(shí)性和判斷信息的價(jià)值。

（二）大數(shù)據(jù)儲(chǔ)存階段

在現(xiàn)階段大數(shù)據(jù)廣泛應(yīng)用的背景下，金融數(shù)據(jù)儲(chǔ)存呈現(xiàn)出多元化態(tài)勢(shì)，使得大數(shù)據(jù)管理難度加大。大型金融機(jī)構(gòu)采用數(shù)據(jù)庫(kù)集群或大數(shù)據(jù)一體機(jī)等硬件設(shè)施儲(chǔ)存數(shù)據(jù)，部分金融機(jī)構(gòu)采用云技術(shù)儲(chǔ)存信息，雖然數(shù)據(jù)儲(chǔ)存更加便利，但數(shù)據(jù)儲(chǔ)存介質(zhì)的多樣化使得數(shù)據(jù)的輸入和導(dǎo)出路徑較多，任意一種儲(chǔ)存介質(zhì)只要被黑客攻破就會(huì)使金融數(shù)據(jù)暴露于風(fēng)險(xiǎn)之中；而實(shí)力較弱的金融機(jī)構(gòu)，數(shù)據(jù)儲(chǔ)存的底層框架非自主構(gòu)建，內(nèi)部技術(shù)人才缺乏，通過(guò)信息技術(shù)外包等方式委托第三方機(jī)構(gòu)運(yùn)營(yíng)和維護(hù)，但目前第三方機(jī)構(gòu)質(zhì)量參差不齊，很難確保金融大數(shù)據(jù)到達(dá)第三方后能夠得到妥善的保管，同時(shí)若第三方機(jī)構(gòu)對(duì)大數(shù)據(jù)儲(chǔ)存過(guò)程中潛在的系統(tǒng)漏洞不能及時(shí)發(fā)現(xiàn)并修復(fù)，將使這部分金融數(shù)據(jù)遭受外部攻擊或泄露，對(duì)金融機(jī)構(gòu)和金融消費(fèi)者造成損失。

（三）大數(shù)據(jù)分析與應(yīng)用階段

一是存在大數(shù)據(jù)認(rèn)知局限的問(wèn)題。部分金融機(jī)構(gòu)對(duì)大數(shù)據(jù)的認(rèn)知停留在數(shù)據(jù)中心等物理設(shè)施建設(shè)上，將大數(shù)據(jù)的儲(chǔ)存視為大數(shù)據(jù)管理和大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的重點(diǎn)，盲目追求硬件設(shè)施建設(shè)投資，忽視了數(shù)據(jù)資源的整理、分析和判斷處理能力的建設(shè)。二是數(shù)據(jù)分析技術(shù)滯后使得數(shù)據(jù)“看得見(jiàn)，用不著”，無(wú)法發(fā)揮其功能；或者金融機(jī)構(gòu)只是擁有金融、會(huì)計(jì)、財(cái)務(wù)管理的人員，缺乏綜合掌握數(shù)學(xué)、統(tǒng)計(jì)、計(jì)算機(jī)等相關(guān)學(xué)科及綜合應(yīng)用的專業(yè)人才，導(dǎo)致金融機(jī)構(gòu)即時(shí)持有大數(shù)據(jù)資源也沒(méi)法分析出金融消費(fèi)者的投資偏好、甄別出金融消費(fèi)者的經(jīng)濟(jì)狀況、識(shí)別出金融消費(fèi)者是否存在洗錢(qián)等違規(guī)活動(dòng)的信息，造成金融機(jī)構(gòu)決策失誤形成風(fēng)險(xiǎn)。

（四）大數(shù)據(jù)風(fēng)險(xiǎn)暴露階段

在金融大數(shù)據(jù)的收集、儲(chǔ)存、分析和運(yùn)用的過(guò)程中，若出現(xiàn)收集虛假大數(shù)據(jù)、大數(shù)據(jù)分析失誤和大數(shù)據(jù)泄露事件，將給金融機(jī)構(gòu)帶來(lái)難易估計(jì)的損失。收集虛假大數(shù)據(jù)和分析失誤，金融機(jī)構(gòu)可以通過(guò)既有的模型或者流程計(jì)算和評(píng)估損失；但對(duì)大數(shù)據(jù)泄露造成的損失，我國(guó)現(xiàn)階段沒(méi)有確定的法律法規(guī)對(duì)因大數(shù)據(jù)泄露形成損失的個(gè)體進(jìn)行評(píng)估和補(bǔ)償?shù)姆绞剑瑢?dǎo)致金融機(jī)構(gòu)面臨不確定的損失。例如《民法典》支持金融消費(fèi)者提起個(gè)人隱私權(quán)被侵犯的訴訟請(qǐng)求，但是卻缺少計(jì)算損失和損失包括何種款項(xiàng)的依據(jù)，金融機(jī)構(gòu)有可能在輿論影響下面臨不確定的賠償。

三、金融機(jī)構(gòu)大數(shù)據(jù)管理的風(fēng)險(xiǎn)防范建議

（一）政府層面

在立法層面，我國(guó)政府已陸續(xù)出臺(tái)《網(wǎng)絡(luò)安全法》、《民法典》和《個(gè)人信息保護(hù)法》等關(guān)于大數(shù)據(jù)法治或與大數(shù)據(jù)有關(guān)的文件，結(jié)合即今年9 月1 日實(shí)施的《中華人民共和國(guó)數(shù)據(jù)安全法》，上述法律法規(guī)將作為數(shù)據(jù)安全保護(hù)的基本法律框架，對(duì)各種數(shù)據(jù)處理活動(dòng)產(chǎn)生重大影響。但不可否認(rèn)，更具有操作性和具體細(xì)節(jié)的部門(mén)規(guī)章仍存在立法滯后的現(xiàn)象，特別是涉及金融大數(shù)據(jù)的法治建設(shè)，還需要其他民事、商事法律的配套推進(jìn)。

因此在政府層面，建議相關(guān)部門(mén)進(jìn)一步細(xì)化大數(shù)據(jù)相關(guān)制度和聯(lián)動(dòng)機(jī)制，提高大數(shù)據(jù)立法層級(jí)，確定金融大數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)和指南，在保護(hù)金融消費(fèi)者權(quán)益的同時(shí)，通過(guò)法律規(guī)范、約束和保障金融機(jī)構(gòu)大數(shù)據(jù)管理的權(quán)益和責(zé)任；同時(shí)充分發(fā)揮部門(mén)規(guī)章靈活性、及時(shí)性的特點(diǎn)，修訂或補(bǔ)充相關(guān)規(guī)章解釋和說(shuō)明，與時(shí)俱進(jìn)解決金融大數(shù)據(jù)法治的空白點(diǎn)。例如2020 年 9 月中國(guó)人民銀行發(fā)布的《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》，新增了金融消費(fèi)者權(quán)利，填補(bǔ)了個(gè)人金融信息保護(hù)的制度空缺，但是對(duì)金融機(jī)構(gòu)的責(zé)任規(guī)定仍不完善。

（二）監(jiān)管層面

1.整合監(jiān)管資源，形成金融大數(shù)據(jù)監(jiān)管的統(tǒng)一體系

目前我國(guó)金融機(jī)構(gòu)的監(jiān)管部門(mén)主要為中國(guó)人民銀行、銀保監(jiān)會(huì)、證監(jiān)會(huì)和各地方金融監(jiān)管局等部門(mén)，各部門(mén)均明確了一定的監(jiān)管職責(zé)，但隨著我國(guó)金融市場(chǎng)的不斷發(fā)展，金融業(yè)務(wù)相互交錯(cuò)，傳統(tǒng)的監(jiān)管模式捉襟見(jiàn)肘，既存在監(jiān)管重疊也存在監(jiān)管真空的現(xiàn)象，特別在大數(shù)據(jù)信息時(shí)代，面對(duì)海量的數(shù)據(jù)信息，單一的監(jiān)管主體無(wú)法應(yīng)對(duì)大數(shù)據(jù)金融帶來(lái)的風(fēng)險(xiǎn)與危機(jī)。建議在現(xiàn)有監(jiān)管框架之內(nèi)，明確各監(jiān)管主體職責(zé)，厘清中央和地方、各監(jiān)管部門(mén)之間的監(jiān)管職責(zé)，將各監(jiān)管部門(mén)構(gòu)建成為統(tǒng)一的體系，破除數(shù)據(jù)孤島現(xiàn)象，制定金融機(jī)構(gòu)大數(shù)據(jù)管理的統(tǒng)一標(biāo)準(zhǔn)，規(guī)范和約束金融機(jī)構(gòu)做好大數(shù)據(jù)管理工作

2.做好金融大數(shù)據(jù)壟斷的監(jiān)管工作

同時(shí)，由于一些巨型金融機(jī)構(gòu)憑借其在金融領(lǐng)域的固有優(yōu)勢(shì)，掌握大量數(shù)據(jù)，客觀上可能會(huì)產(chǎn)生金融數(shù)據(jù)寡頭的現(xiàn)象，甚至產(chǎn)生數(shù)據(jù)壟斷。建議監(jiān)管部門(mén)對(duì)大型金融危機(jī)掌握大量金融消費(fèi)者個(gè)人信息、行為信息、消費(fèi)信息的數(shù)據(jù)進(jìn)行分級(jí)分類分領(lǐng)域監(jiān)管，制定反對(duì)數(shù)據(jù)壟斷的監(jiān)管處罰條例。

3.發(fā)揮行業(yè)自律組織作用，多渠道保障金融大數(shù)據(jù)管理

加強(qiáng)行政部門(mén)監(jiān)管的同時(shí)，建議充分發(fā)揮行業(yè)自律組織的作用。行業(yè)自律組織具有許多監(jiān)管部門(mén)不具備的優(yōu)勢(shì)，例如其具備較強(qiáng)的制度彈性，能迅速根據(jù)大數(shù)據(jù)科技發(fā)展面臨的難題制定相應(yīng)的行業(yè)應(yīng)對(duì)政策；其可以通過(guò)教育培訓(xùn)增強(qiáng)金融主體對(duì)金融大數(shù)據(jù)合規(guī)管理的主動(dòng)意識(shí)，遠(yuǎn)比法律法規(guī)對(duì)金融主體的被動(dòng)約束更有助于提高金融機(jī)構(gòu)大數(shù)據(jù)管理的能力。

（三）金融機(jī)構(gòu)層面

金融機(jī)構(gòu)應(yīng)當(dāng)依照法律法規(guī)，結(jié)合自身業(yè)務(wù)特點(diǎn)和金融平臺(tái)特性，在大數(shù)據(jù)采集、存儲(chǔ)和處理、分析和使用、歸檔和銷(xiāo)毀等數(shù)據(jù)生命周期全流程中建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，履行金融大數(shù)據(jù)應(yīng)用和風(fēng)險(xiǎn)防范主體責(zé)任。

1.大數(shù)據(jù)采集階段

金融數(shù)據(jù)安全的第一道坎就是數(shù)據(jù)資產(chǎn)識(shí)別。金融機(jī)構(gòu)應(yīng)該結(jié)合自身業(yè)務(wù)特點(diǎn)，建立可實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)收集的電子系統(tǒng)，完善數(shù)據(jù)資產(chǎn)目錄和管理機(jī)制，可以識(shí)別出金融消費(fèi)者的姓名、手機(jī)號(hào)碼、身份證號(hào)、地址、銀行卡號(hào)、客戶號(hào)等個(gè)人身份信息，或者結(jié)合人行征信中心、法院、工商、稅務(wù)等政府部門(mén)、電力供水等企業(yè)收集企業(yè)客戶的信用、納稅、電費(fèi)水費(fèi)等情況，有效落實(shí)數(shù)據(jù)分類分級(jí)和元數(shù)據(jù)管理工作，便于金融機(jī)構(gòu)能準(zhǔn)確、高效獲取經(jīng)授權(quán)的金融大數(shù)據(jù)；同時(shí)建立對(duì)違規(guī)收集金融大數(shù)據(jù)、配合客戶提供虛假大數(shù)據(jù)的金融從業(yè)人員，建議各金融機(jī)構(gòu)在行業(yè)監(jiān)督管理框架下，制定更加詳細(xì)的大數(shù)據(jù)收集操作細(xì)則和處罰辦法。

2.大數(shù)據(jù)儲(chǔ)存和處理階段

金融大數(shù)據(jù)儲(chǔ)存目前儲(chǔ)存呈現(xiàn)多元化方式，大型金融機(jī)構(gòu)可以設(shè)立科技部門(mén)或者子公司儲(chǔ)存和維護(hù)大數(shù)據(jù)；部分金融機(jī)構(gòu)采用信息技術(shù)外包（ITO）模式將大數(shù)據(jù)儲(chǔ)存和維護(hù)交由第三方管理。第一種模式金融大數(shù)據(jù)的儲(chǔ)存和處理風(fēng)險(xiǎn)相對(duì)較低，但由于大數(shù)據(jù)的儲(chǔ)存和管理涉及金融機(jī)構(gòu)內(nèi)部多個(gè)部門(mén)，建議金融機(jī)構(gòu)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。而對(duì)于外包模式，信息外包使金融機(jī)構(gòu)減少了對(duì)電子硬件系統(tǒng)和人力成本的投入，但同時(shí)也大大提高了金融機(jī)構(gòu)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。業(yè)務(wù)外包后，金融機(jī)構(gòu)必然向第三方提供金融消費(fèi)者的大數(shù)據(jù)，金融機(jī)構(gòu)對(duì)大數(shù)據(jù)的控制力度弱化但是第三方機(jī)構(gòu)質(zhì)量參差不齊，很難確保金融大數(shù)據(jù)在第三方能夠得到妥善的保管。建議金融機(jī)構(gòu)根據(jù)數(shù)據(jù)分類，首先明確什么數(shù)據(jù)必須自主管理，什么數(shù)據(jù)可以外包管理；大數(shù)據(jù)移交外包機(jī)構(gòu)后，金融機(jī)構(gòu)應(yīng)制定定期和不定期的對(duì)外包機(jī)構(gòu)的監(jiān)督和評(píng)價(jià)機(jī)制，及時(shí)預(yù)防和發(fā)現(xiàn)問(wèn)題；最后需明確大數(shù)據(jù)風(fēng)險(xiǎn)暴露后雙方的詳盡責(zé)任。

3.大數(shù)據(jù)分析和使用

“進(jìn)不來(lái)、拿不走、看不懂、改不了”是網(wǎng)絡(luò)信息安全建設(shè)的目的，同樣也是金融大數(shù)據(jù)安全管理的目標(biāo)。這就要求金融機(jī)構(gòu)對(duì)大數(shù)據(jù)加密管理，解密使用，即滿足業(yè)務(wù)和性能要求，也滿足安全要求。建議金融機(jī)構(gòu)建立完善的數(shù)據(jù)管理和數(shù)據(jù)安全組織架構(gòu)，例如設(shè)立數(shù)據(jù)管理委員會(huì)或者數(shù)據(jù)安全管理小組，負(fù)責(zé)金融機(jī)構(gòu)數(shù)據(jù)安全工作的開(kāi)展和落實(shí)，其中可以對(duì)金融機(jī)構(gòu)全體員工設(shè)置大數(shù)據(jù)處理權(quán)限，IT系統(tǒng)可以根據(jù)業(yè)務(wù)流程和員工崗位職責(zé)，遵循知所必需和最小權(quán)限原則，對(duì)使用大數(shù)據(jù)的人員分配處理大數(shù)據(jù)的范圍和時(shí)限。同時(shí)，金融機(jī)構(gòu)要不斷創(chuàng)建數(shù)據(jù)挖掘模型和深度剖析獲取的金融大數(shù)據(jù)，提高整合各渠道數(shù)據(jù)、判斷數(shù)據(jù)有效性、預(yù)測(cè)金融消費(fèi)者行為的能力，設(shè)置因大數(shù)據(jù)錯(cuò)誤分析而造成決策失誤和形成金融機(jī)構(gòu)損失的補(bǔ)償辦法。

4.加強(qiáng)大數(shù)據(jù)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)防范知識(shí)的教育

金融機(jī)構(gòu)對(duì)外應(yīng)當(dāng)注重提高消費(fèi)者的金融素養(yǎng)，強(qiáng)化金融消費(fèi)者的防風(fēng)險(xiǎn)意識(shí)?？梢越Y(jié)合群體特性和區(qū)域特性開(kāi)展對(duì)應(yīng)的金融教育活動(dòng)，通過(guò)各類途徑宣傳金融大數(shù)據(jù)相關(guān)的法律法規(guī)，提高其風(fēng)險(xiǎn)識(shí)別能力、防范風(fēng)險(xiǎn)意識(shí)和維權(quán)意識(shí)，并引導(dǎo)金融消費(fèi)者通過(guò)法定途徑尋求大數(shù)據(jù)風(fēng)險(xiǎn)暴露后的權(quán)利救濟(jì)。對(duì)內(nèi)，應(yīng)該通過(guò)教育培訓(xùn)的方式，提升金融機(jī)構(gòu)全員大數(shù)據(jù)安全意識(shí)和專業(yè)人員大數(shù)據(jù)管理的技術(shù)能力。