数字化时代,有人将“数据”的重要性类比为“黄金和石油”,需要去开采、冶炼、精炼、提纯、加工,直至成型。
更有人将“数据”誉为“土壤”,因为数据具有可复制性、易传播性、虚拟性,永远在那里,并且越用越多,经过沉淀、采集、分析能够实现更高的价值。
数据的价值与重要性已经不言而喻,然而数据真正用起来却并没有那么容易,技术手段、监管合规以及数据伦理等问题仍是掣肘因素,因“数据”获罪的人或者企业更不在少数。
《数据二十条》原则之一:“强化优质供给,促进合规流通。实现数据流通全过程动态管理,在合规流通使用中激活数据价值”。
释放数据产能的第一要务,便是做好数据使用环节的安全合规。
01 数据即资产,但“用不明白”
以城商行、农商行、民营银行等为代表的中小银行的数据资产现状,可以说是数字化转型背景下众多金融机构的缩影。
“内部数据资产的数据项近 20 万个,外部数据资产百余类,企业信息、个人信息、风险信息等类别交叉重叠,数据资产梳理难度太大……” “银行研发、测试环境要拿数据进行业务分析和开发测试,手机号码、账户信息、资金信息、交易记录...等敏感数据需要进行脱敏处理后交付使用,但脱敏需求日益多元化现有脱敏手段开始无法满足业务需求……” “AI 部门想要拿数据进行数据训练,数据管理部却无法给,因为包含了众多的敏感数据,现有的技术手段无法动态实时脱敏……” “开放数据的上传需要进行人工审核才能发布,一不小心很容易将敏感数据上传公开泄露,费时费力……”
一方面,数据资产成为关键生产要素支撑数据产业化升级,成为政企银行等机构实现跨越式发展的不二选择;
另一方面,面临金融数字化催生的技术、业务与服务的“新”要求、“新”变化,中小银行的真实情况却是,数据字段很多,但真正能发挥价值的数据并不多,还需要紧跟监管动态要求,绝大部分数据“用不好”,也“不敢用”。
数据使用的安全合规成为了“卡脖子”的问题。
02 中小银行的困境:数据价值释放难
中小银行积累了大量的客户数据、交易数据、外部数据等,具备数字化转型的天然优势。对于中小银行来说,把握数字化转型的机遇,释放数据产能是对传统业务模式重构升级的最好助推器。因此,只有落实好数据使用环节的安全合规,才能更好地释放数据价值,并改进决策、缩减成本、降低风险,助推银行业数字化转型高质量发展。
中小银行数据资产量级大、流动广且分布分散,数据挖掘和应用难;指标标准不统一,缺少统一开发规范,技术口径与业务口径不统一,管理难度大;安全合规要求愈发细化严格,却缺失有效的管控手段,导致数据应用难、数据价值释放难。
安全合规要求愈发细化严格
网信办发布的《个人信息保护合规审计管理办法(征求意见稿)》及《个人信息保护合规审计参考要点》,就个人信息保护合规审计要求提供了落地指引,标志着监管的常态化;以及近期发布的《中国人民银行业务领域数据安全管理办法(征求意见稿)》,聚焦银行业务领域数据安全问题,对于金融行业数据处理者开展数据处理活动、保障数据安全、高效流通方面提出更进一步要求。
缺乏有效的管控手段
受地域、经营成本限制,中小银行较于大型银行,在科技人才与技术实力方面存在不足,更多依赖于外部机构合作、第三方数据公司等。这些合作也带来了数据安全方面的挑战,首先,第三方机构数据安全保障能力及管理机制落实不足,可能存在自身安全隐患或可能存在数据窃取或篡改的风险;其次,银行传输至第三方的信息数据需要遵循满足业务需求的最小、必须原则(数据最小化、权限最小化),中小银行缺乏敏感数据自动发现技术,对外包风险评估与管控不足,与第三方合作过程中的数据共享、传输、转让过程中很容易存在违规操作。
03 做好数据使用安全合规的切入点
从敏感数据保护切入
随着监管机构对金融消费者权益保护持续重视,中小银行在严格落实相关法律法规和监管要求的基础上,需要提升敏感数据使用的规范性和标准化,妥善保护个人信息安全。具体而言,中小银行可将敏感数据保护作为数据使用安全合规的切入点。
银行数据包含大量敏感数据,例如客户身份信息、联系方式、账户信息、交易信息等,在海量数据规模下,快速、准确、全面的敏感数据保护策略尤为重要。敏感数据保护的主要工作可分为三项:
一是梳理敏感数据并分类分级形成资产目录;部署数据分类分级自动化工具,自动识别并标注敏感数据类型及安全级别,提升可见度,实时掌握敏感数据的分布与变化;
二是细粒度的访问控制权限;敏感数据的访问和使用遵循“最小必须原则”与“权责对应原则”,能够自定义配置并执行访问控制策略, 能够允许、拒绝或告警特定用户对特定数据集的访问;
三是实施全链路的敏感数据访问审计;尤其在外采第三方科技服务时,应注意选择能够全面记录敏感数据访问审计功能的产品和服务商,确保委托处理的数据受加密或脱敏保护,确保敏感数据专事专用、最小够用、未经许可不得留存。
一体化的思路构建数据使用安全合规新路径
与大型银行相比,中小银行在开展数据安全体系建设工作中存在一定的掣肘,但也有明显的优势空间。数字化转型背景下金融机构新业务、新场景、新应用的不断产生,对于中小银行来说有着可灵活调整的空间。一方面,中小银行在金融科技上经营决策机制更加灵活,存在试错空间;另一方面,在数据安全建设上有更多的弹性和选择,能够探索更为合理、更适合自身发展的路径。
传统的数据安全产品种类与数量众多,但传统的数据安全产品往往是单点能力,本应该协调一致的数据安全策略往往被割裂为不同数据安全产品上配置的多个不同策略;例如数据库防火墙中的访问控制策略、数据脱敏产品中的脱敏策略等,需要跨数据类型、跨业务部门、跨不同应用等去协调。其次,传统单点产品往往对人员技术能力要求高、产品本身成本投入高,对于中小银行现有的多元化业务场景需求与数据保护场景已经难以满足。
对此,中小银行应注意选择轻量级、低成本、一站式的数据安全产品,一体化的数据安全平台能够将多个安全策略整合为统一的数据安全策略,通过配置统一的数据集合、数据交付策略、数据访问策略达到对不同数据源的统一安全管控,降低数据安全风险范围,构建数据使用安全合规的新路径。
