首页新闻

首页新闻

证券业数字化转型专题 | 面向个人客户信息保护的数据安全治理体系研究

时间:2022-11-03 来源:中国证券业协会

【编者按】为深入贯彻落实党的二十大精神,推动《证券期货业科技发展“十四五”规划》落地见效,促进行业数字化转型,按照证监会总体工作安排,定于2022年11月在全行业开展“证券期货业数字化转型主题宣传月”活动。通过开展“证券期货业数字化转型主题宣传月”活动,搭建交流平台,促进经验分享,繁荣行业金融科技生态,推动行业金融科技进步,营造行业金融科技创新氛围。该篇为“证券期货业数字化转型主题宣传月”系列宣传之二。

面向个人客户信息保护的数据安全治理体系研究

 

一、引言

在大数据时代,随着云计算、人工智能、区块链、联邦学习等新兴技术快速推进数字化发展进程,人们无时无刻不在享受着数字化所带来的便利,数据价值的挖掘也在不断深入。

但数据是一把双刃剑,个人客户信息等重要数据信息化后,既可以得到快速、便捷、有效的利用,也面临着被非法收集、窃取、泄露、篡改、破坏等风险。

我国于2021年先后发布了《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),从国家层面确立了数据安全和个人信息保护的原则、责任和义务。为了使《数据安全法》《个人信息保护法》的配套落地,一些上级机关和地方政府也先后发布了相关制度,例如中央网信办起草或者发布了《网络数据安全管理条例(征求意见稿)》《数据处境安全评估办法》,深圳市政府发布了《深圳经济特区数据条例》。可以预见,后续各级单位和各行各业也将不断完善各级法律法规和政策制度,推动统一公平、竞争有序、成熟完备的数据经济市场发展。

证券行业作为典型的数据规模巨大、数据价值高、数据应用场景复杂的行业,面向个人投资者提供着众多金融产品和服务,对数据安全治理有着天然的诉求。然而,在开展数据安全和个人信息保护政策落地时,往往面临着一系列问题和挑战。例如,多法并轨下数据安全实施细则尚不完善,越来越多的个人客户信息泄露来源于内部人员,海量数据导致资产梳理和分类分级难度大,数据的职责权属尚不明确,缺乏长期有效的运营机制来持续保障等。结合近年来个人信息保护的政策法规以及信息泄露事故,可以发现,这些问题和挑战可能是出于管理、技术、运营等多方面的原因。

为了解决个人信息保护和数据安全面临的这些痛点难点,我们也需要在企业内从管理、技术和运营三个方面,建立有效的数据安全治理体系,推动企业内外部数据的合规使用、有序开放和共享。

二、数据安全治理体系建设框架分析

数据安全治理体系以个人客户数据为中心,自上而下搭建企业数据安全的管理、技术和运营体系,并贯穿数据的采集、存储、传输、使用、共享、销毁全生命周期,典型的数据安全治理体系框架见图1。

 

(一)数据安全治理管理体系

在数据安全治理的管理层面,需要深入结合国家、行业监管和企业自身发展的诉求,制定公司数据安全战略、成立数据安全组织、发布数据安全管理制度。

数据安全战略指明了企业数据安全工作的愿景、目标、规划和工作框架,是开展数据安全工作的纲领,是数据安全的顶层设计。数据安全战略首先要求保障公司内各类数据资产全生命周期的安全,避免遭到泄露或者非法篡改破坏,保障数据的机密性、完整性和可用性,践行企业社会责任,保障客户、企业和员工的利益。

数据安全组织包含了决策层、管理层、执行层和监督层。决策层通常由公司数据安全最高负责人及各业务、职能部门、信息化分管领导组成,负责对公司数据安全战略、范围、重大事项进行决策。管理层一般由数据安全或者信息安全管理部门或团队组成,负责数据安全治理体系的规划、建设、持续运营、推广和培训。执行层一般由各个业务、职能和IT部门的成员组成,是数据安全各项制度、策略和流程规范的主要执行者,也多是数据的提供方和消费方。他们最能发现数据安全管理的漏洞和潜在风险,也直接关系着数据安全治理体系是否能有效落地和持续保障。监督层通常由数据安全审计或者内控部门组成,负责定期对数据安全的战略、制度、策略、流程等工作的贯彻落实情况进行审查考核,发现问题和风险并负责向决策层进行结果汇报。

基于数据安全战略和组织架构,数据安全管理制度也可以分为三级,分别是数据安全治理总则、管理办法和各项细则。数据安全治理总则与数据安全战略相契合,是通过决策层审定的数据安全工作的指导文件。数据安全管理办法明确了数据安全的组织与人员、数据确权、各生命周期的保护策略、应急响应、监控预警、审计评估、培训宣导等制度。数据安全各项细则属于流程规范性文件,偏向流程落地和操作指引,包括数据分类分级模板、敏感数据申请流程、数据安全事件响应工单等流程模板和表单文件。

(二)数据安全治理技术体系

在数据安全治理技术层面,数据安全面临着国家、各级政府、行业监管、业务发展和客户体验等日益复杂的合规要求和场景需要,国密算法、AI、区块链、云平台等大数据技术也在飞速发展 ,数据安全治理的技术体系也愈加全面和多样,并非由单一平台和技术可以实现。与网络安全相比,数据安全技术发展较晚,目前主流的数据安全技术包括数据访问控制、数据加密、数据脱敏、数据防泄漏、隐私保护、数据安全溯源、数据可用性保护、数据备份和数据销毁技术等。企业需要围绕数据全生命周期的风险场景,与企业内数据安全组织人员、策略、制度规范相配套,打造可落地的数据安全技术工具,并发挥“1+1>2”的效果,及时发现风险,反哺和优化数据安全治理的管理体系和运营体系。对于个人信息的保护,一些新兴的隐私计算保护技术需要加大投入和研究,如差分隐私、联邦学习、多方安全计算等,这些都为个人信息的隐私保护提供了新的解决方案和思路。

纵观数据安全技术的相关发展和挑战,海量、多元和非结构化数据已经愈发成为常态,数据呈现多样化、复杂化的趋势。例如,在证券行业非现场开户中的视频“双录”数据、呼叫中心通话记录、客户人脸识别数据等,多样的数据形态和业务要求,给数据的存储、安全和管理都带来了巨大的压力。另外,数据实时性的需求在证券行业内也更为迫切,这也是新生业务和效率提升的必然结果。例如,反欺诈风险评估、业务推广中的实时竞价,需要依赖实时、安全可靠的数据采集、同步和分析处理。云平台、物联网、5G等新型基础技术和设施的演进,对如何安全高效地支撑数据中心的建设也提出了挑战。

(三)数据安全治理运营体系

在数据安全治理运营层面,主要基于数据安全管理和技术层面的要求和工具,落实数据安全各项管控措施,持续开展数据资产梳理、安全风险监测、应急事件响应、培训宣贯四方面的工作。在数据资产梳理方面,主要是借助数据分类分级、敏感数据识别等数据资产盘点工具,基于前期调研梳理制定的数据分类分级策略,对数据库表、字段、数据文件进行自动扫描,记录和统计敏感数据、重要数据的分布、流向,打上分类分级标签,并对数据项的归属部门、责任人等信息进行权责归属登记在安全风险监测方面,通过数据流量监测、数据库账号检测等手段,持续监测数据流程和使用风险,针对异常事件进行告警和记录,方便事前、事中和事后的风险溯源和处置。在应急事件响应方面,基于数据安全应急工单和流程,定期开展数据安全应急演练,并对每一个工单形成数据安全应急事件报告,归档并作为数据安全知识清单和培训材料。在培训宣贯方面,数据安全的培训可以通过邮件、企业OA、线上培训视频或者会议、线下培训等多种方式,以定期或者不定期的方式展开。培训内容包括内外部数据安全规章制度、数据安全管控流程、个人客户信息保密意识和手段、数据安全事件宣贯等,培训对象既可以是各个业务部门的业务人员和一线人员,也可以指职能内控部门人员和IT人员。数据安全合规是底线,通过不间断的培训宣贯工作,才能在每个人心中树立起安全意识,保护好企业和客户的数据。

三、证券行业数据安全治理体系建设与应用

    证券行业数据安全治理体系的建设并非一蹴而就,并非在一个项目或者团队就可以实现,应根据企业的实际情况有所侧重、分步实施。数据安全治理的整体框架可以通过几个关键阶段来构建(见图2)。

 

(一)个人客户数据资产盘点

第一阶段:以个人客户数据为中心开展数据资产盘点。通过问卷调研、业务访谈、系统自动扫描等方式,对结构化数据、非结构化的个人客户数据,从合规性、业务需求、安全需求方面整理数据资产分布情况,汇总数据资产流转及授权审批情况,为数据分类分级及安全防护建议提供数据支撑。在梳理过程中,应该明确识别对应不同的业务活动、数据活动中所涉及的不同角色,例如数据提供方、数据所有方、数据处理方、数据合作方等。明确在不同场景下各方角色的数据安全义务和责任,才能有针对性地开展后续数据安全治理工作,进行分步实施、分级治理。这项工作的关键在于制定可落地的数据的分类分级和确权策略,并借助系统进行敏感数据识别。现在市场已经有着成熟的工具和技术支持关键字识别、自然语言处理、特征码识别等方式,实现表级和字段级的数据分类定级工作。

(二)数据安全评估和规划

第二阶段:进行数据安全评估和规划。通过第一步,可以了解公司的数据资产现状。结合现状、各级政策法规和监管要求,评估与行业发展要求的差距点,进而对公司数据安全治理体系的建设路径进行规划。数据安全评估和规划的内容包括管理、技术和运营三个层面,每个层面的企业现状不同,下一步工作也会分别有所侧重。在评估个人客户信息数据时,需要注意个人客户数据的类型与敏感程度、个人客户数据全生命周期的情况和现有的保护措施,如果涉及第三方数据的交互共享或者境外客户数据的交互共享,要特别明确各方的隐私保护职责和边界。

(三)数据安全治理组织制度统筹

第三阶段:建设数据安全治理管理体系。结合证券行业数据治理工作开展的情况,证券经营机构数据安全的组织并非一定要单独设置。数据安全组织的决策层、管理层、执行层、监督层通常与数据治理组织存在一定的相似之处,可以与金融科技委员会、数据治理委员会等组织相结合,成立共同的决策、管理、执行和监督组织。在数据安全治理制度体系建设过程中,可以将数据安全总则融入企业数据管理总则中,在细则和流程规范层面,再对数据安全、个人信息保护进行单独的阐释要求。

(四)数据安全治理技术平台建设

第四阶段:建设数据安全治理技术体系与风险识别控制。明确了数据资产、组织职责分工和制度规范后,即可建设数据访问控制、数据流量监控、数据防泄漏、数据库审计等安全管控平台,对各项数据安全管控要求进行落地。通过各类数据安全管控平台识别的风险和潜在问题,需要及时进行优化整改。数据安全治理的技术体系本身也在不断迭代发展,在针对个人客户信息保护方面,有着多种技术来支持不同的场景和需求。例如,零信任访问架构关注针对数据、应用的动态访问授权和细粒度控制,建立先认证再连接的访问机制;差分隐私技术主要用于解决数据发布和分析阶段带来的个人隐私泄露问题;数据加密技术则是传统主流的个人客户信息保护方法。此外,还有匿名化技术、同态加密、多方安全计算、区块链、联邦学习等不断发展和投入应用的数据安全防护技术。

(五)数据安全治理持续运营保障

第五阶段:数据安全持续运营。通过以上四步,已经建立起了公司内数据安全的框架,但必须通过人员、流程和平台的持续运营才能长期有效地保障数据的安全可靠。同时,在数据安全持续运营过程中,需要判断原有的策略规范是否与新的法律法规及监管要求有偏差,要定期配合检查策略规范是否需要更新、是否有新兴安全风险和防范技术,并且要通过培训宣贯向每一位员工灌输数据安全意识,防范安全风险。

四、总结与展望

国际上,数据安全治理最早在2016年由高德纳公司提出,近两年也在国内逐渐兴起。2021年《数据安全法》《个人信息保护法》的发布也使数据安全在各行各业得到了前所未有的重视。

在证券行业日益发展的业务及其海量数据背景下,以个人客户信息保护为中心开展数据安全治理,符合当下的监管和业务发展趋势,也更能找到切入点,推动业务、合规风控和技术部门共同参与数据安全的建设过程。

    行业数据安全治理有以下几个特点:

(一)行业监管指引、标准规范不断推出

目前证券行业尚未基于《数据安全法》《个人信息保护法》出具详细的监管指引或实施指南,但中国人民银行等主管单位已经发布了《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》。可以预见,更多的行业数据安全规范、标准将持续推出。

(二)数据安全保护技术日新月异,需要加速研究和投入应用

这一点和大数据技术的迅速发展相辅相成。随着大数据技术创新与应用日趋活跃,在新技术和场景中对个人客户信息保护的手段也需要推陈出新,对于区块链、零信任、联邦学习、差分隐私等技术进行灵活研究和应用。

(三)侵犯个人客户信息的方式愈加多样,问题愈加严重

以最常见的各类App为例。近年来个人信息数据过度采集、滥用、非法交易及用户数据泄露等问题频繁发生,且已有不少处罚案例。例如,根据《“十四五”信息通信行业发展规划》,2021年工信部针对App违法违规使用个人信息行为进行检查,共发现38款App存在问题。

基于以上特点,数据安全治理的发展也将朝向资产化、智能化和服务化三个方向。

一是资产化。数据资产意味着数据要素需要确权、标准化和定价,只有主权明确、完整规范的数据要素才能成为满足安全合规、风险可控的要求。

二是智能化。智能化是金融企业数据安全治理的必经之路,金融行业数据规模巨大、敏感数据集中、数据使用和交换场景复杂,日数据量可以达到千万级。数据安全治理各类流程需要依赖大量的人力和资源,需要借助智能化、可视化的方法和技术来实现数据安全治理的常态化。

三是服务化。通过与业务场景、用户痛点、应用的处处融合,安全可控与数据价值应用的平衡是数据安全治理保持长效和活力的秘诀。数据的安全管控也是为了更好地进行服务和价值创造。

(作者简介:刘汉西,国信证券股份有限公司首席信息官,中国证券业协会证券科技专业委员会副主任委员;李明军,国信证券股份有限公司首席架构师;左银康,国信证券股份有限公司数据治理负责人。)