□关铁军
银行业作为关乎国家安全和经济金融发展的重要命脉和保障社会大众智能化公共服务的重要主体,既是海量数据的采集和存储地,也是重要、敏感数据的主要应用场所或验证源头,同时还是探索推动服务、经营、管理等各层次数字化经营模式转型升级的金融行业主阵地。
对于银行而言,《数据安全法》的合规利用数据、谋求业务发展主旨,大大扩展了数据安全工作的内涵和外延,将其从科技系统、应用技术、运行保障及应急等技术层面,扩展到贯穿客户权益保障、业务发展、智能化服务和经营、业务及应急管理,以及数字化智能化监管的全方位和全流程。
如何提高数据合规治理能力
去年以来,各级监管部门针对各类APP应用所作的用户权益保护检查整治情况看,涉及的问题包括强制、频繁、过度索取用户权限、欺骗误导强迫客户、超范围收集个人信息等等。应该说,近年来,在各级监管部门的组织领导下,银行业对于手机银行APP等线上渠道的服务能力建设重视程度普遍提升,因此银行业对于自身APP管理显然更为缜密审慎,违规情况相较其他行业少之又少。由于手机银行等线上渠道事实上已经成为承载服务和经营的主阵地,同时也是数据安全和个人信息保护的主战场,因此,银行业整体都在不断增强线上专业化服务能力和人才储备,建立线上体验设计规范,建成线上渠道智能机器人等直客服务体系,以及客户声音采集和面向客户的咨询、投诉、宣教支撑体系,建立并持续完善线上渠道数据埋点及应用基础规范,强化深化线上数字化服务和经营能力,同时构建线上智能化风控体系,并不断优化用户隐私保护协议内容。
另一方面,《数据安全法》明确了对数据应用的事前风险评估报告、事中监测预警、事后应急处置机制等的工作要求;《个人信息保护法》则进一步对包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等做了细化,尤其是对通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,所进行的自动化决策,提出了要保持透明度、公平公正性、禁止不合理差别待遇,要同时提供不针对个人特征的选项或者向个人提供便捷拒绝方式安排,以及就对个人权益产生重大影响的自动化决策提供说明的权益保障安排。以上对于银行业数字化转型发展提出了更高要求。
如何做好数据分级分类与重要数据识别
《数据安全法》第二十一条给出的建立数据分类分级保护制度基本原则包括对于经济社会发展重要程度和破防后的危害程度两个核心方面。2020年10月人民银行正式发布《金融数据安全数据分级分类指南》,根据金融机构数据安全性遭受破坏后,对国家安全、公众权益、个人隐私、企业合法权益等所造成的影响程度,将数据安全级别由高到低划分为五级,影响程度从高到低划分为非常严重、严重、中等和轻微,并给出了建议的最低安全级别,并特别强调对于个人数据信息的安全定级应从高考虑。
在实操中,要确定各级各类数据颗粒度和识别数据安全等级关键要素,不断明晰和完善数据分级分类标准和定级工作流程;对于存量系统和数据,要建立跨系统的数据映射关系,实施数据清理,形成存量数据资产清单;对增量数据而言,尤其要结合当前线上渠道是数据采集和应用主战场的趋势和特点,从建立埋点采集和客户隐私保护规范开始,贯穿基于客户画像的千人千面智能化服务、关联引流等智能化推荐、场景化情景化智能营销以及智能风控等各类智能化应用,实施起自源头的全生命周期数据管理,形成标准化数据资产和应用规范,进而促成数据资产确权,成为可定价、可转移、可交易数据生产要素,进一步向数据资产共享、流通和数据价值变现迈进。
因此,银行必须以客户服务和业务导向,不断建立健全覆盖线上渠道数据隐私保护政策、千人千面智能化服务、产品和营销推荐以及应急保障等业务层面,线上智能风控体系和能力建设及数据应用监测管理层面,以及系统、架构、算法等技术部署及底层安全保障层面的全流程穿透式分类分级防御体系,和必要的自律惩戒合规管理安排,从业务管理的视角做出资源、制度、工作体系等全方位安排,而不再仅局限于技术层面。
此外,数据交易的前提是确权和数据资产标准化,各行各业统一数据标准和管理强度,将是极具潜力也是极为挑战的工作。因此,在数据管理相对规范,技术应用能力相对较强,业务发展场景丰富的银行业内,围绕普惠服务、绿色低碳和填补数字鸿沟,率先探索特定领域或场景下的数据资产交易或数据权益抵质押安排,有利于逐步摸索形成更为成熟可控的市场化进程推动路径。
坚持怎样的数据安全合规策略
各行各业都在积极挖掘数字化服务、经营、管理潜力,以期打破产能瓶颈,实现转型升级。对于银行业来说,基于线上化连接和数字化应用,不断延展线上平台化经营能力,聚合对公对私等各类服务生态;在依法合规前提下,加强自有数据整合应用,以及必要的数据引入和输出,形成可对外开放的标准化服务输出能力;在自身转型发展的同时,支撑数字化产业和促进产业数字化发展,是提升行业竞争力的必选安排。
随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的陆续出台和施行,合规使用数据和有效防控风险日益重要,这客观上促进了数据领域的各种新兴应用探索,同时也对数据匿名化、信息脱敏、数据共享以及算法、算力、计算效率、置信度、计算成本、安全保护等各方面提出了更多要求。在技术尚待证明成熟或前景尚待证明确凿时,以有效落实个人信息保护和防控金融风险作为前提条件和基本原则,让技术服务于人,体现金融科技金融本质,应成为银行保障数据安全合规的基本遵循。
(作者单位:广发银行网络金融部总经理)
□关铁军
银行业作为关乎国家安全和经济金融发展的重要命脉和保障社会大众智能化公共服务的重要主体,既是海量数据的采集和存储地,也是重要、敏感数据的主要应用场所或验证源头,同时还是探索推动服务、经营、管理等各层次数字化经营模式转型升级的金融行业主阵地。
对于银行而言,《数据安全法》的合规利用数据、谋求业务发展主旨,大大扩展了数据安全工作的内涵和外延,将其从科技系统、应用技术、运行保障及应急等技术层面,扩展到贯穿客户权益保障、业务发展、智能化服务和经营、业务及应急管理,以及数字化智能化监管的全方位和全流程。
如何提高数据合规治理能力
去年以来,各级监管部门针对各类APP应用所作的用户权益保护检查整治情况看,涉及的问题包括强制、频繁、过度索取用户权限、欺骗误导强迫客户、超范围收集个人信息等等。应该说,近年来,在各级监管部门的组织领导下,银行业对于手机银行APP等线上渠道的服务能力建设重视程度普遍提升,因此银行业对于自身APP管理显然更为缜密审慎,违规情况相较其他行业少之又少。由于手机银行等线上渠道事实上已经成为承载服务和经营的主阵地,同时也是数据安全和个人信息保护的主战场,因此,银行业整体都在不断增强线上专业化服务能力和人才储备,建立线上体验设计规范,建成线上渠道智能机器人等直客服务体系,以及客户声音采集和面向客户的咨询、投诉、宣教支撑体系,建立并持续完善线上渠道数据埋点及应用基础规范,强化深化线上数字化服务和经营能力,同时构建线上智能化风控体系,并不断优化用户隐私保护协议内容。
另一方面,《数据安全法》明确了对数据应用的事前风险评估报告、事中监测预警、事后应急处置机制等的工作要求;《个人信息保护法》则进一步对包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等做了细化,尤其是对通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,所进行的自动化决策,提出了要保持透明度、公平公正性、禁止不合理差别待遇,要同时提供不针对个人特征的选项或者向个人提供便捷拒绝方式安排,以及就对个人权益产生重大影响的自动化决策提供说明的权益保障安排。以上对于银行业数字化转型发展提出了更高要求。
如何做好数据分级分类与重要数据识别
《数据安全法》第二十一条给出的建立数据分类分级保护制度基本原则包括对于经济社会发展重要程度和破防后的危害程度两个核心方面。2020年10月人民银行正式发布《金融数据安全数据分级分类指南》,根据金融机构数据安全性遭受破坏后,对国家安全、公众权益、个人隐私、企业合法权益等所造成的影响程度,将数据安全级别由高到低划分为五级,影响程度从高到低划分为非常严重、严重、中等和轻微,并给出了建议的最低安全级别,并特别强调对于个人数据信息的安全定级应从高考虑。
在实操中,要确定各级各类数据颗粒度和识别数据安全等级关键要素,不断明晰和完善数据分级分类标准和定级工作流程;对于存量系统和数据,要建立跨系统的数据映射关系,实施数据清理,形成存量数据资产清单;对增量数据而言,尤其要结合当前线上渠道是数据采集和应用主战场的趋势和特点,从建立埋点采集和客户隐私保护规范开始,贯穿基于客户画像的千人千面智能化服务、关联引流等智能化推荐、场景化情景化智能营销以及智能风控等各类智能化应用,实施起自源头的全生命周期数据管理,形成标准化数据资产和应用规范,进而促成数据资产确权,成为可定价、可转移、可交易数据生产要素,进一步向数据资产共享、流通和数据价值变现迈进。
因此,银行必须以客户服务和业务导向,不断建立健全覆盖线上渠道数据隐私保护政策、千人千面智能化服务、产品和营销推荐以及应急保障等业务层面,线上智能风控体系和能力建设及数据应用监测管理层面,以及系统、架构、算法等技术部署及底层安全保障层面的全流程穿透式分类分级防御体系,和必要的自律惩戒合规管理安排,从业务管理的视角做出资源、制度、工作体系等全方位安排,而不再仅局限于技术层面。
此外,数据交易的前提是确权和数据资产标准化,各行各业统一数据标准和管理强度,将是极具潜力也是极为挑战的工作。因此,在数据管理相对规范,技术应用能力相对较强,业务发展场景丰富的银行业内,围绕普惠服务、绿色低碳和填补数字鸿沟,率先探索特定领域或场景下的数据资产交易或数据权益抵质押安排,有利于逐步摸索形成更为成熟可控的市场化进程推动路径。
坚持怎样的数据安全合规策略
各行各业都在积极挖掘数字化服务、经营、管理潜力,以期打破产能瓶颈,实现转型升级。对于银行业来说,基于线上化连接和数字化应用,不断延展线上平台化经营能力,聚合对公对私等各类服务生态;在依法合规前提下,加强自有数据整合应用,以及必要的数据引入和输出,形成可对外开放的标准化服务输出能力;在自身转型发展的同时,支撑数字化产业和促进产业数字化发展,是提升行业竞争力的必选安排。
随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的陆续出台和施行,合规使用数据和有效防控风险日益重要,这客观上促进了数据领域的各种新兴应用探索,同时也对数据匿名化、信息脱敏、数据共享以及算法、算力、计算效率、置信度、计算成本、安全保护等各方面提出了更多要求。在技术尚待证明成熟或前景尚待证明确凿时,以有效落实个人信息保护和防控金融风险作为前提条件和基本原则,让技术服务于人,体现金融科技金融本质,应成为银行保障数据安全合规的基本遵循。
(作者单位:广发银行网络金融部总经理)