劉宇

摘 要：金融科技的迅猛發(fā)展改變了金融業(yè)的創(chuàng)新思路和經(jīng)營理念，數(shù)據(jù)作為基礎(chǔ)生產(chǎn)資料，在金融科技發(fā)展過程中起了關(guān)鍵的推動作用。金融領(lǐng)域的數(shù)據(jù)重要且敏感，在金融科技發(fā)展的同時做好數(shù)據(jù)安全保護顯得尤為重要。文章從近年來發(fā)生的重大數(shù)據(jù)安全事件出發(fā)，介紹了國內(nèi)外主要數(shù)據(jù)安全法律要求，分析了當(dāng)前金融科技創(chuàng)新發(fā)展中數(shù)據(jù)利用存在的風(fēng)險，最后提出了新時代金融領(lǐng)域加強數(shù)據(jù)安全保護的建議。

關(guān)鍵詞：金融科技;數(shù)據(jù)安全;數(shù)據(jù)治理

中圖分類號：TP309.2????????? 文獻標識碼：A

1 引言

近年來，以“大智移云”為代表的新技術(shù)與金融業(yè)交互融合，新興金融產(chǎn)品不斷涌現(xiàn)，金融經(jīng)營模式正在發(fā)生著深刻變革，金融科技已成為引領(lǐng)金融機構(gòu)實現(xiàn)創(chuàng)新發(fā)展和轉(zhuǎn)型升級的核心力量。數(shù)據(jù)是金融機構(gòu)最基礎(chǔ)的生產(chǎn)資料，金融科技應(yīng)用離不開大量數(shù)據(jù)的收集、聚合和分析，高質(zhì)量數(shù)據(jù)整合和利用已成為金融科技創(chuàng)新的原動力和助推劑。與此同時，無論是金融機構(gòu)，還是金融科技公司，通過不同渠道和方式收集了大量機構(gòu)數(shù)據(jù)和個人信息，具有極大的分析和利用價值。若管理水平和防護措施不到位，導(dǎo)致數(shù)據(jù)丟失、損壞或者泄露，會給機構(gòu)和個人帶來難以估量的損失。因此，做好數(shù)據(jù)安全治理，對于維護金融穩(wěn)定、保障人民權(quán)益具有極其重要意義。

2 數(shù)據(jù)安全形勢日益嚴峻

數(shù)據(jù)是數(shù)字經(jīng)濟時代最重要的生產(chǎn)要素之一，大數(shù)據(jù)高速發(fā)展的同時，其安全問題也日益凸出。國內(nèi)外數(shù)據(jù)破壞、泄露事件屢有發(fā)生，并且規(guī)模和嚴重程度越來越大，數(shù)據(jù)安全問題已成為金融科技創(chuàng)新發(fā)展的制約因素之一。鎖定、破壞計算機數(shù)據(jù)的勒索病毒在2017年開始大規(guī)模爆發(fā)，從WannaCry、Petya到GlobeImposter及其變種，勒索病毒更新迭代速度越來越快，攻擊方式花樣翻新，其攻擊目標也從個人用戶逐漸轉(zhuǎn)向大型機構(gòu)和企業(yè)用戶，成為近年來網(wǎng)絡(luò)數(shù)據(jù)安全最大的威脅。2018年，芯片代工企業(yè)臺積電遭受勒索病毒攻擊，短時間內(nèi)生產(chǎn)線全部停擺，損失高達17.6億元;華住旗下酒店發(fā)生大規(guī)模信息泄露，被公開售賣的信息包括網(wǎng)站注冊和酒店客人的姓名、身份證、手機號碼等共約5億條信息，堪稱近年來國內(nèi)規(guī)模最大最嚴重的信息泄露事件。國外近幾年也經(jīng)常發(fā)生數(shù)據(jù)泄漏事件：美國信用評估巨頭Equifax于2017年遭到黑客攻擊，導(dǎo)致美國一半人口的個人信息被泄露，此次攻擊的主要原因是Equifax未能及時修補Apache發(fā)布的Struts高危漏洞補丁;2018年，印度國家身份認證系統(tǒng)Aadhaar被爆遭到網(wǎng)絡(luò)攻擊，該系統(tǒng)存儲了印度11.2億人的重要身份信息，包括指紋、虹膜紀錄等極度敏感個人特征信息均遭到泄露，因為個人生物信息的唯一性和不可變更性，此次信息泄露給印度公民帶來了長期持續(xù)和不可預(yù)知的惡劣影響。

3 國內(nèi)外數(shù)據(jù)安全保護情況

數(shù)據(jù)安全關(guān)系到金融機構(gòu)資產(chǎn)安全、個人隱私安全和社會安全穩(wěn)定，是當(dāng)前網(wǎng)絡(luò)安全的重要議題之一。近年來，面對嚴峻的數(shù)據(jù)安全態(tài)勢，世界各國相繼出臺法律、法規(guī)和政策，規(guī)范數(shù)據(jù)使用，加強敏感信息和重要數(shù)據(jù)保護。

3.1 國外重要數(shù)據(jù)法律法規(guī)

近年來最著名的數(shù)據(jù)保護法律當(dāng)數(shù)歐盟在2018年5月25日出臺的《一般數(shù)據(jù)保護條例》（GDPR），它取代了1995年頒布的《數(shù)據(jù)保護指令》，一統(tǒng)歐盟內(nèi)零散的個人數(shù)據(jù)保護規(guī)則，統(tǒng)一明確了歐盟內(nèi)相關(guān)組織機構(gòu)處理隱私和數(shù)據(jù)保護的要求。該法律管轄范圍不但包括了歐盟境內(nèi)的企業(yè)，還包括收集處理歐盟公民信息的其他全球企業(yè)，對于違反數(shù)據(jù)保護規(guī)定的企業(yè)最高處罰可達到2000萬歐元或者該企業(yè)上一年度全球營業(yè)額的4%。GDPR的實施讓歐盟企業(yè)真正開始將數(shù)據(jù)保護列為企業(yè)經(jīng)營的必選項，主動滿足合規(guī)要求，也為其他地區(qū)企業(yè)加強數(shù)據(jù)保護敲響了警鐘。美國的數(shù)據(jù)和個人隱私保護法有1974年頒布的《隱私權(quán)法》，闡明了政府機構(gòu)應(yīng)如何收集和儲存?zhèn)€人信息，它是世界上第一部保護隱私的法律?！都永Ｄ醽喼菹M者隱私保護法案》（CCPA）將在2020年1月1日正式實施，該法案授權(quán)消費者可以有條件控制公司收集和管理的個人信息，比如數(shù)據(jù)訪問權(quán)、數(shù)據(jù)刪除權(quán)、數(shù)據(jù)泄露私人訴訟權(quán)等，并規(guī)定了數(shù)據(jù)泄露的賠償責(zé)任和金額。

3.2 國內(nèi)數(shù)據(jù)法規(guī)標準

隨著我國移動互聯(lián)網(wǎng)的迅猛發(fā)展，個人信息泄露也呈現(xiàn)愈演愈烈的趨勢，相關(guān)部門通過制定法律法規(guī)和行業(yè)規(guī)范，不斷加強我國數(shù)據(jù)安全和個人隱私保護。2015年《刑法修正案（九）》明確了侵犯公民個人信息罪的判罰依據(jù)。2017年正式實施的《網(wǎng)絡(luò)安全法》第四章明確規(guī)定了網(wǎng)絡(luò)運營者要防止數(shù)據(jù)被泄露篡改，任何個人不得竊取重要數(shù)據(jù)和個人敏感信息，在法律上進一步完善了網(wǎng)絡(luò)數(shù)據(jù)和個人信息保護的要求。《信息安全技術(shù) 個人信息安全規(guī)范》于2018年5月1日正式實施，該規(guī)范對企業(yè)收集、使用、共享個人信息等行為提出了詳細、明確的指引和參考，為企業(yè)規(guī)范使用個人數(shù)據(jù)提供了標準?！躲y行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》要求金融機構(gòu)依法合規(guī)收集和應(yīng)用數(shù)據(jù)，保護客戶隱私并改進數(shù)據(jù)安全技術(shù)?！兑苿咏鹑诨诼暭y識別的安全應(yīng)用技術(shù)規(guī)范》是我國金融行業(yè)第一個生物識別技術(shù)標準，明確了金融領(lǐng)域聲紋信息采集、傳輸、存儲、處理、刪除等全生命周期數(shù)據(jù)安全要求，為生物識別技術(shù)在金融領(lǐng)域的安全、可靠應(yīng)用奠定了良好基礎(chǔ)。

4 金融科技數(shù)據(jù)安全存在的主要問題

通過大數(shù)據(jù)、云計算、人工智能等技術(shù)的應(yīng)用，數(shù)據(jù)在助力金融機構(gòu)實現(xiàn)精準客戶營銷、優(yōu)化客戶服務(wù)、創(chuàng)新智能產(chǎn)品、完善風(fēng)險防控等方面展現(xiàn)出了巨大價值，數(shù)據(jù)是核心戰(zhàn)略資產(chǎn)的地位得到越來越多的認同。如何最大程度地挖掘數(shù)據(jù)價值，高質(zhì)量開展數(shù)據(jù)治理是金融機構(gòu)完成數(shù)字化轉(zhuǎn)型、實現(xiàn)持續(xù)健康發(fā)展的核心動能之一。金融機構(gòu)掌握了大量的金融交易數(shù)據(jù)和客戶敏感信息，既是數(shù)據(jù)的生產(chǎn)者，也是數(shù)據(jù)的分析和存儲者，規(guī)范合理利用數(shù)據(jù)，保護重要數(shù)據(jù)安全有義不容辭的義務(wù)和不可推卸的責(zé)任。目前，我國金融科技總體發(fā)展水平還處于初級階段，相關(guān)法規(guī)標準也不健全，行業(yè)還存在野蠻生長、無序發(fā)展的亂象，數(shù)據(jù)保護不力，非法使用，違規(guī)交易等現(xiàn)象時有發(fā)生。

4.1 數(shù)據(jù)濫用

目前，金融行業(yè)還沒有關(guān)于個人數(shù)據(jù)信息收集、使用的明確監(jiān)管規(guī)則，在金融科技領(lǐng)域濫用個人數(shù)據(jù)的現(xiàn)象相對其他行業(yè)更加嚴重。大數(shù)據(jù)殺熟、過度營銷、數(shù)據(jù)倒賣等現(xiàn)象在金融科技領(lǐng)域可謂是屢見不鮮。比如，為了實現(xiàn)精準營銷而非法采集個人消費行為數(shù)據(jù)，為了降低信貸風(fēng)險而過度收集個人交易和信用信息等，一些所謂的金融科技大數(shù)據(jù)公司就是以數(shù)據(jù)買賣和非法采集起家，甚至直接從外部購買黑灰產(chǎn)數(shù)據(jù)。

4.2 數(shù)據(jù)泄露

金融科技領(lǐng)域匯集了海量的機構(gòu)市場數(shù)據(jù)、客戶行為數(shù)據(jù)和交易數(shù)據(jù)，是金融機構(gòu)掌握的核心數(shù)字資產(chǎn)，也是別有用心者覬覦窺探的寶藏。個人資產(chǎn)信息、征信信息、生物特征信息等都關(guān)系到每個人的切身利益和幸福生活，一旦泄露，會給個人和家庭造成不可挽回的損失。特別是個人的生物識別特征，因為具有唯一性，也很容易被復(fù)制，一旦泄露就無法挽回，會嚴重危害個人隱私和財產(chǎn)安全。從近年來重大數(shù)據(jù)泄露事件來看，泄露原因既有外部黑客攻擊，也有內(nèi)部管理疏漏;既有安全意識薄弱，也有安全防護措施不到位等原因。

4.3 數(shù)據(jù)污染

大數(shù)據(jù)、人工智能、深度學(xué)習(xí)等技術(shù)應(yīng)用均離不開適當(dāng)?shù)乃惴ā⒖煽康哪Ｐ秃秃侠淼臄?shù)據(jù)，一旦訓(xùn)練樣本數(shù)據(jù)不全，或者被惡意污染導(dǎo)致“中毒”，訓(xùn)練的結(jié)果都會大相徑庭，甚至是產(chǎn)生完全相反的結(jié)果。數(shù)據(jù)污染具有很大的隱蔽性，一項數(shù)據(jù)受到污染，將導(dǎo)致一連串的嚴重后果。做好數(shù)據(jù)治理，規(guī)范、統(tǒng)一內(nèi)外部數(shù)據(jù)標準，加強數(shù)據(jù)安全保護是避免數(shù)據(jù)污染的切實有效途徑。

4.4 數(shù)據(jù)保護力度不夠

金融科技是新興事物，總體發(fā)展仍處于初級階段，不同機構(gòu)對金融科技理解水平不一致，數(shù)據(jù)安全保護意識參差不齊，仍然存在重發(fā)展、輕安全，重利益、輕風(fēng)險的經(jīng)營理念。特別是一些中小機構(gòu)，身份鑒別、加密存儲、容災(zāi)備份等傳統(tǒng)的數(shù)據(jù)安全保護手段都不到位，一旦發(fā)生黑客攻擊、系統(tǒng)故障或自然災(zāi)害，信息泄露和數(shù)據(jù)丟失將不可避免，不但對個人數(shù)據(jù)安全是一大威脅，也給金融機構(gòu)經(jīng)營帶來了巨大風(fēng)險。

5 金融科技數(shù)據(jù)安全治理建議

數(shù)據(jù)治理是金融科技時代數(shù)字化轉(zhuǎn)型升級的基礎(chǔ)，而數(shù)據(jù)安全則是數(shù)據(jù)治理工作的前提。金融機構(gòu)存儲的數(shù)據(jù)蘊含大量私人信息和商業(yè)秘密，如果忽略數(shù)據(jù)治理中的數(shù)據(jù)安全問題，會埋下巨大安全隱患和風(fēng)險。只有保障數(shù)據(jù)安全、做好數(shù)據(jù)安全治理，金融科技才能真正發(fā)揮其巨大的創(chuàng)新價值，助力金融機構(gòu)實現(xiàn)轉(zhuǎn)型發(fā)展的時代目標。

5.1 完善金融領(lǐng)域數(shù)據(jù)安全法規(guī)標準

金融機構(gòu)存儲的數(shù)據(jù)不但包括客戶基本信息、交易行為數(shù)據(jù)，還包括金融機構(gòu)自身的財務(wù)、憑證、市場等重要數(shù)據(jù)，相對于其他行業(yè)而言，金融業(yè)對業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全有更加嚴格的需求。應(yīng)在我國現(xiàn)行數(shù)據(jù)安全法律、辦法、規(guī)范和指南的基礎(chǔ)上，結(jié)合我國金融行業(yè)數(shù)據(jù)管理的要求和特點，參照國外相關(guān)數(shù)據(jù)保護要求，制定適合我國金融科技發(fā)展的數(shù)據(jù)安全法規(guī)和制度。在數(shù)據(jù)安全管理和數(shù)據(jù)保護技術(shù)上更加嚴格要求，比如明確個人隱私和重要數(shù)據(jù)采集范圍、存儲方式、加密手段、使用原則、留存期限、備份方法等。應(yīng)形成行業(yè)強制性標準，加大違規(guī)懲罰力度，在遵循國家數(shù)據(jù)安全保護的前提下，進一步滿足金融行業(yè)業(yè)務(wù)特殊性的要求。

5.2 強化金融領(lǐng)域數(shù)據(jù)安全合規(guī)監(jiān)管

要充分發(fā)揮新技術(shù)在促進金融監(jiān)管、強化數(shù)據(jù)風(fēng)險防控方面的作用。利用監(jiān)管科技引導(dǎo)金融機構(gòu)規(guī)范數(shù)據(jù)安全治理，實現(xiàn)監(jiān)管要求的自動化、流程化和規(guī)范化管理，提升監(jiān)管效率，降低監(jiān)管成本。以金融機構(gòu)或者互聯(lián)網(wǎng)企業(yè)行為為導(dǎo)向，按照只要涉及金融業(yè)務(wù)數(shù)據(jù)均應(yīng)該納入監(jiān)管范圍的原則實施監(jiān)管，被監(jiān)管單位通過監(jiān)管科技自動匹配監(jiān)管要求，實現(xiàn)數(shù)據(jù)全生命周期和全流程監(jiān)督和監(jiān)測。特別是要嚴懲并曝光侵犯個人隱私、違規(guī)采集數(shù)據(jù)、非法數(shù)據(jù)買賣等行為，發(fā)揮警示威懾作用，建立行業(yè)數(shù)據(jù)使用自律機制，形成對金融監(jiān)管的有效配合和有力支撐。

5.3 同步開展數(shù)據(jù)安全治理

數(shù)據(jù)安全是數(shù)據(jù)治理的前提，數(shù)據(jù)治理是數(shù)據(jù)安全的保障。各金融機構(gòu)應(yīng)按照國家和行業(yè)法律法規(guī)要求，在進行數(shù)據(jù)治理的同時，同步規(guī)劃、建設(shè)和使用保護措施以確保數(shù)據(jù)的安全規(guī)范利用。應(yīng)建立統(tǒng)一規(guī)范的內(nèi)外部數(shù)據(jù)標準，根據(jù)數(shù)據(jù)的重要性對數(shù)據(jù)進行分級分類，對不同層次的數(shù)據(jù)采取不同的安全保護措施，突出重點，有的放矢。打通數(shù)據(jù)內(nèi)外邊界，實現(xiàn)數(shù)據(jù)的透明性和可追溯性，確保外部數(shù)據(jù)合理合規(guī)和安全可靠。通過完善的安全管理和有效的安全技術(shù)保證數(shù)據(jù)更加廣泛的共享和應(yīng)用，使安全成為競爭力，讓安全成為發(fā)展的新動能。

5.4 加強數(shù)據(jù)安全技術(shù)研究和應(yīng)用

保護數(shù)據(jù)安全就是要保證數(shù)據(jù)的機密性、完整性和可用性。數(shù)據(jù)安全保護與網(wǎng)絡(luò)安全防護緊密相關(guān)，應(yīng)加大數(shù)據(jù)安全技術(shù)研發(fā)力度，積極推動新技術(shù)在金融領(lǐng)域數(shù)據(jù)保護和操作審計中的應(yīng)用，從源頭切斷數(shù)據(jù)泄露、濫用和污染的可能性。比如，在數(shù)據(jù)流通和數(shù)據(jù)存儲階段，通過差分隱私、同態(tài)加密等技術(shù)可以實現(xiàn)不泄露個人隱私條件下的數(shù)據(jù)分析處理。區(qū)塊鏈技術(shù)可以提供可信的多方計算環(huán)境，實現(xiàn)高效、安全的利益分配機制。同時，區(qū)塊鏈技術(shù)先天還具備日志記錄、可追溯、不可篡改等特性，非常適合做數(shù)據(jù)安全的追溯審計。安全多方計算技術(shù)可以確保在保護數(shù)據(jù)隱私的前提下，實現(xiàn)多方安全協(xié)同計算，并確保各參與方得到正確的數(shù)據(jù)結(jié)果。

6 結(jié)束語

金融作為國家重要信息基礎(chǔ)設(shè)施，是國家安全的重要組成部分。金融科技時代金融數(shù)據(jù)安全不但關(guān)系到金融機構(gòu)自身的健康發(fā)展，更關(guān)系到國家社會穩(wěn)定和人民切身利益。監(jiān)管層應(yīng)盡快建立金融領(lǐng)域數(shù)據(jù)保護標準和規(guī)范，利用監(jiān)管科技加強數(shù)據(jù)全生命周期監(jiān)管，嚴懲違法違規(guī)行為。金融機構(gòu)應(yīng)把數(shù)據(jù)安全作為企業(yè)發(fā)展的核心價值，主動滿足合規(guī)要求，積極布局實踐安全可信通信和加密存儲技術(shù)，切實維護國家利益和保障金融安全穩(wěn)定。

參考文獻

[1]?杜躍進.數(shù)據(jù)安全治理的幾個基本問題[J].大數(shù)據(jù)，2018，4（06）：85-91.

[2]?周季禮，李德斌.國外大數(shù)據(jù)安全發(fā)展的主要經(jīng)驗及啟示[J].信息安全與通信保密，2015（06）：40-45.

[3]?胡文華.沖擊與應(yīng)對：GDPR與《網(wǎng)絡(luò)安全法》比較視野下的企業(yè)合規(guī)[J].中國信息安全，2018（07）：77-81.

[4]?吳沈括，孟潔，薛穎，趙小琳.《2018年加州消費者隱私法案》中的個人信息保護[J].信息安全與通信保密，2018（12）：83-100.

[5]?卞雨茗.商業(yè)銀行數(shù)字化轉(zhuǎn)型下的數(shù)據(jù)治理[J].銀行家，2018（04）：76-78.

[6]?周丹.大數(shù)據(jù)時代個人數(shù)據(jù)民法保護問題研究[D].華中師范大學(xué)，2015.

[7]?董祥千，郭兵，沈艷，段旭良，申云成，張洪.一種高效安全的去中心化數(shù)據(jù)共享模型[J].計算機學(xué)報，2018，41（05）：1021-1036.