樊敬

中國農(nóng)業(yè)銀行股份有限公司北京宣武支行 北京 100000

1 商業(yè)銀行數(shù)字化的本質(zhì)

信息化和數(shù)字化正促使各行各業(yè)重新定義業(yè)務模式和服務體驗，商業(yè)銀行數(shù)字化就是依靠先進的數(shù)字技術(shù)進行業(yè)務與科技深度融合、對商業(yè)銀行基礎(chǔ)設(shè)施軟硬件改造、建設(shè)相應的團隊和組織架構(gòu)實現(xiàn)體制機制轉(zhuǎn)型，來滿足客戶便捷、高效、普惠、安全的定制化、多樣化、人性化的產(chǎn)品和服務需求，而數(shù)字化實施的關(guān)鍵在于數(shù)據(jù)量化和反饋，否則客戶的體驗模式與傳統(tǒng)的客戶服務體系無異。簡而言之，商業(yè)銀行數(shù)字化的核心就是真正地踐行”以客戶為中心”。工業(yè)時代，人們物質(zhì)水平低下，主要是生存型消費。但隨著經(jīng)濟發(fā)展，數(shù)字經(jīng)濟時代下人們不再局限于生存問題，需求不斷地升級，商業(yè)銀行傳統(tǒng)的” 坐商” 式經(jīng)營模式已經(jīng)不再適用。過去的經(jīng)營模式主要是針對客戶的財產(chǎn)保障等安全需求，客戶辦理業(yè)務更多是主動到線下網(wǎng)點或者使用網(wǎng)上銀行等渠道。而且商業(yè)銀行貸款、信用卡等業(yè)務審批手續(xù)麻煩，等待時間長，客戶對于自己能否獲得授信也不清楚，許多客戶的這種高層次的需求并不能被很好地滿足。產(chǎn)業(yè)經(jīng)濟大規(guī)模數(shù)字化之后，多數(shù)商業(yè)銀行不再坐等客戶上門，而是主動出擊接觸目標客戶，這種 “行商” 的經(jīng)營模式賦予了客戶更多的選擇權(quán)與尊重，業(yè)務辦理更加高效，客戶的自我認知和自我實現(xiàn)也得以提升[1]。

2 商業(yè)銀行數(shù)字化轉(zhuǎn)型過程中面臨的主要信息風險

2.1 生產(chǎn)交易系統(tǒng)資金安全風險

互聯(lián)網(wǎng)金融的發(fā)展使得大量商業(yè)銀行業(yè)務轉(zhuǎn)為線上辦理，雖然用戶可以通過手機、電腦等移動端隨時隨地享受服務，業(yè)務辦理更加方便快捷，但交易系統(tǒng)安全風險也大大增加了。線上業(yè)務交易鏈條不斷延伸，具有交易連接模式復雜，與外部合作機構(gòu)信息交互多的特點，所以商業(yè)銀行要加強安全風險防范意識和內(nèi)控管理，升級技術(shù)支持和管理手段，否則，很容易發(fā)生業(yè)務數(shù)據(jù)被篡改、替換，產(chǎn)品系統(tǒng)被入侵造成資金損失等安全事件。

2.2 信息系統(tǒng)業(yè)務連續(xù)性風險

（1）系統(tǒng)安全漏洞威脅上升。越來越多的業(yè)務處理和信息系統(tǒng)通過互聯(lián)網(wǎng)來完成，信息安全高危漏洞也越來越多。2017 年美國征信巨頭Equifax 有1．46 億美國消費者個人信息被盜，甚至英國和加拿大居民也受到波及，Equifax 面臨7 億美金的巨額賠償，而黑客就是利用其系統(tǒng)中未修復的Apache Struts漏洞發(fā)起的攻擊。

（2）移動端安全風險突出。目前網(wǎng)上銀行、手機銀行等移動端APP 線上服務已經(jīng)基本覆蓋了大多數(shù)基礎(chǔ)類金融服務需求，然而這些移動應用程序大多都沒有安裝防病毒軟件，導致利用移動端進行欺詐和盜竊的風險概率達到了最高。種種網(wǎng)絡安全事件警示我們，互聯(lián)網(wǎng)大環(huán)境下，加強網(wǎng)絡安全風險預警和監(jiān)控，強化網(wǎng)絡深度安全測試才能提升網(wǎng)絡抵御攻擊和快速應對的能力[2]。

3 對策建議

3.1 科技賦能的同時加強信息風險防范

新科技賦予了商業(yè)銀行和用戶諸多方便的同時，各個商業(yè)銀行不論是客戶資源穩(wěn)定的大銀行，還是快速擴張的中小銀行都面臨著數(shù)據(jù)安全管理難度增大的問題，一旦數(shù)據(jù)泄露，商業(yè)銀行不止會流失客戶，更面臨著道德和法律風險，因此金融基礎(chǔ)設(shè)施網(wǎng)絡安全的重要性不言而喻。而信息安全事件爆發(fā)的根源在于安全意識淡薄和運維投入不足。一方面，商業(yè)銀行要加強系統(tǒng)安全防護，可以通過部署系統(tǒng)的異常流量監(jiān)測、審計數(shù)據(jù)庫用戶的操作行為、關(guān)注防護設(shè)備的警報等提前修補漏洞，避免不必要的風險。另一方面，商業(yè)銀行也要加大對IT 運維人員的教育培訓，使其網(wǎng)絡安全意識、數(shù)據(jù)安全管理能力以及安全事件處理能力隨著大數(shù)據(jù)的發(fā)展得到相應的提高[3]。

3.2 依法合規(guī)加強客戶數(shù)據(jù)信息保護

金融機構(gòu)的數(shù)字化轉(zhuǎn)型離不開國家對互聯(lián)網(wǎng)金融市場秩序的規(guī)范管理，隨著互聯(lián)網(wǎng)金融的發(fā)展，國家對消費者權(quán)益保護與個人信息安全的重視力度越來越大。數(shù)據(jù)作為商業(yè)銀行的重要資產(chǎn)，是商業(yè)銀行經(jīng)營管理特別是風險管理的重點。2018 年銀監(jiān)會起草的《商業(yè)銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引（征求意見稿）》中明確要求商業(yè)銀行要秉持數(shù)據(jù)真實客觀的原則建立良好的數(shù)據(jù)文化，強化數(shù)據(jù)意識與安全事宜，合法科學用數(shù)。為防止過度采集、濫用數(shù)據(jù)致使客戶隱私泄露，商業(yè)銀行在個人信息采集、保管、使用等環(huán)節(jié)要規(guī)范操作，強化內(nèi)部員工的信息保護意識，建立客戶信息安全保護制度。

3.3 審慎對待新技術(shù)的應用與第三方機構(gòu)合作

數(shù)字化轉(zhuǎn)型需要決策層具有一定的前瞻性，商業(yè)銀行對待新技術(shù)的態(tài)度應該既積極又謹慎，尤其對于是否要把商業(yè)銀行核心數(shù)據(jù)交付給尚不成熟的新技術(shù)時要持謹慎態(tài)度。新技術(shù)確實能給行業(yè)帶來管理和服務上的創(chuàng)新，但金融產(chǎn)品與新技術(shù)的融合往往面臨預期與現(xiàn)實的差距，前沿技術(shù)由于自身發(fā)展階段的限制未必完全適用當前的金融領(lǐng)域，且用戶的產(chǎn)品體驗也未必達到理想預期。由于新技術(shù)的成熟與普及需要時間，商業(yè)銀行可以先采用試點性應用來降低風險，將更為成熟的技術(shù)應用于現(xiàn)有的金融服務中，在保證服務安全性的同時又能提升數(shù)字化服務能力。商業(yè)銀行由于相關(guān)技術(shù)相對滯后往往會與第三方信息科技公司合作來彌補此類問題，與第三方機構(gòu)合作一定程度上能拓寬其數(shù)據(jù)維度，將金融產(chǎn)品和金融科技更完美融合。但第三方機構(gòu)質(zhì)量參差不齊，商業(yè)銀行要謹慎挑選合作伙伴，對其質(zhì)量進行把關(guān)，特別是在打造開放商業(yè)銀行、開放數(shù)據(jù)與端口時要謹慎考量其風控能力，避免風險傳染與信息泄露事件。