2023年中国金融数据安全发展与研究报告
�中国金融数据安全发展与研究报告� 前言�数据安全已经成为数字经济发展的重大挑战 多种方式和途径的数据泄露�已经给整个中国数字化经济的发展和社会的前进带来严重影响�加强数据安全建设�抵御非法和恶意数据安全破坏成为当前整个数字经济发展的重大挑战� 前言�中国政府非常重视数据安全的建设与立法工作 在大数据环境下�数据作为重要的生产资料具有数据量大�数据变化快等特征�大数据分析及应用场景日趋复杂�数据安全相关法律法规的制定是保障数据不被窃取�破坏和滥用�以及确保大数据系统安全可靠运行的基础�良好安全的数据运行环境是促进数据发挥最大作用和价值的保障� 前言�金融数据安全的内涵与重要性概况 金融数据安全�指通过采取必要的措施确保金融业务体系所包含的数据�被有效的保护和利用状态�以及具备保持持续安全状态的能力� 金融数据是金融机构的核心资产之一�其安全性直接关系到金融机构的利益和声誉�也涉及到广大用户的切身利益�因此�金融数据安全对于金融机构和用户来说都至关重要�必须通过采取必要的措施�确保金融数据在采集�传输�存储�使用和销毁等过程中的机密性�完整性和可用性� 前言�金融数据安全的内涵与重要性概况 金融行业是产生和积累数据量最大�数据类型最丰富的领域之一�金融数据不仅具备数据的一般特性�更包含了 国民的个人信息�企业资金流转�社会经济活动等重要内容�并且在业务运营过程中涉及到大量的业务数据�包括客户信息�交易数据�市场信息等等� 金融数据跟一般的数据相比更加重要�所蕴含的业务价值更加突出�同时�金融业也是对数据安全和隐私保护要求最高的行业之一�因为金融数据涉及到用户的财产安全和隐私�所以金融机构需要采取更加严格的数据安全措施来保护用户的数据安全和隐私� 金融行业业务的发展 为了更好地适应市场和客户需求的变化�金融行业的业务发展呈现6大新特征 业务体系-加速数字转型�金融科技建设-投入增加�数据治理体系-全面完善�银行生态系统建设-开放合作�产业链金融-发展提速数字人民币应用-推广提倡等方面�这些趋势和特点将为金融行业带来新的机遇和挑战� 金融行业业务的发展 金融数据的商业价值凸显 在金融行业�数据已经成为一项重要的资产和资源�对于提高业务效率�降低风险�优化运营等方面具有重要作用�通过合理地利用和分析数据�金融机构可以更好地满足客户需求�提升市场竞争力并实现持续增长� 决策支持 风险管理 金融数据是风险管理的重要手段�通过对历史金融数据的分析�可以识别潜在的风险因素�预测未来可能出现的风险事件�并采取相应的措施进行防范� 金融数据是决策者进行决策的重要依据�通过对金融数据的分析�可以了解市场趋势�评估风险�制定投资策略等� 业务优化 客户画像 监管合规 金融行业受到严格的监管�监管机构要求金融机构按照规定报送相关数据�金融数据是监管机构实施监管�评估市场风险�制定政策的重要依据� 金融数据还可以用来优化业务流程�提高效率和质量�例如�通过对客户交易数据的分析�可以了解客户的交易习惯和需求�优化产品设计和服务流程�提高客户满意度和忠诚度� 金融数据可以用来对客户进行画像�了解客户的需求�偏好和行为特征�从而更好地为客户提供个性化的金融服务和产品� 金融行业业务的发展 随着金融数据作用的不断凸显�数据安全在新时代面临着新的风险和挑战 随着金融行业自身数字化转型的深化发展和提速�对数据的使用和依赖不断增加�数据的安全性和隐私保护在新的时代背景下也变得更加重要�并且信息安全的重心主要围绕�数据安全�展开� 金融行业业务的发展与安全挑战概览 挑战一�数字金融迅猛发展�带来的数据安全风险威胁 截至2023年6月�我国网民规模达10.79亿人�互联网普及率达76.4%�同期�我国网络支付用户规模达9.43亿人�较2022年12月增长3176万人�占网民整体的87.5%� 随着互联网的普及在线支付使用率逐渐增大�数字身份信息作为数字金融产业的基础元素面临着极大的安全风险挑战�此类数据包含大量用户个人信息和交易数据等敏感信息�而且数字金融业务量的上升进一步加快了金融数据的产生和积累�在金融数据安全法律法规尚不健全的情况下�数据窃取�篡改�勒索事件频发�催生庞大的数据非法贩卖产业链� 金融行业业务的发展与安全挑战概览 挑战二�巨大的价值金矿�导致严重的网络攻击与安全事件发生 VMware在2022年2月对全球130名金融部门首席信息安全官和安全领导者进行的调查显示�过去的一年中�66%的金融机构经历过以商业机密窃取为目的的攻击�74%的受访金融机构在过去一年中至少经历过一次勒索软件攻击�30%的机构经历了多次勒索攻击�其中超过六成选择支付赎金� 金融行业业务的发展与安全挑战概览 挑战三�在用户信息保护与网络安全方面的管理挑战 金融机构发生的违规行为集中于用户信息保护与信息网络安全两大类�主要涉及�未按规定收集使用个人信息���未经同意查询个人信息或企业信贷信息���提供部分个人不良信息时未事先告知信息主体���泄露客户信息���网络授权访问控制不到位�存在信息科技风险隐患���重要岗位及外包机构管理存在缺陷���发生重要信息系统突发事件未向监管报告�等�近几年因自身管理不到位而受监管部门处罚的案例屡见不鲜�仅2021年全年�在央行�银保监会�外管局发布的行政处罚名单中�涉及信息处理等违规问题的罚单共计119张�罚款金额合计约4654万元� 2023年1月 蓝海银行�因�未按规定履行消费者金融信息保护义务��未按规定保存客户身份资料和交易记录�等4项违法行为�被警告�并被罚款76.66万元� 金融行业业务的发展与安全挑战概览 挑战四�金融数据跨境流动�潜在安全隐患凸起�相关立法及安全评估机制有待完善 全球贸易往来�金融投资和技术交流的日益频繁�跨境流动数据的种类和数量不断增加�涉及个人隐私�企业商业机密�社会治理�国防安全等方方面面�海量数据跨境流动给国家安全带来隐患�如果商业机密信息�经济运行状况�金融科技发展水平�金融创新产品等高度敏感数据若被外国政府获取并恶意利用�将削弱我国金融业核心竞争力�严重破坏我国金融市场稳定�威胁国家和人民财产安全�我国现有法律法规虽已经形成了基本的数据跨境流动的制度框架�但数据跨境相关的法律细则还在研究制定过程中�个人信息安全及金融数据安全的认证机制还未建立起来�数据出境和入境安全评估还未真正实施�数据出境管理的具体模式�审查机构和配套保障机制等关键问题还有待解决� 金融行业业务的发展与安全挑战概览 挑战五�市场与数据资源向行业寡头过度聚集�数据垄断导致数据安全风险凸出 在数字经济时代�个人身份信息被进一步收集整理�大型科技公司凭借显著的网络外溢效应形成规模经济�使用前沿科技手段拓展消费者群体�将业务范围从构建互联网商务平台逐渐拓展到身份信息服务�移动支付业务�投资理财�保险销售等领域�积累了大量个人信息和金融交易数据�逐渐形成数据垄断的趋势�容易引发数据安全风险� 金融数据安全规范与新规 金融数据安全的重要性不仅得到了各行业广泛的认同�更是在法律和监管中有所体现 金融数据安全是国家安全的重要组成部分�也是金融行业的重要工作之一�因此国家出台了一系列法律法规�行业监管机构提升了监管的力度�业内也出于数据安全的治理提出了相应的标准�同时要求金融机构基于�安全用数�的底线稳健运行与创新发展并重�实现内外部动力双重驱动�保障金融数据体系的安全� 严法律带来强要求 高标准带来严要求 强监管带来高要求 严守�安全用数�的底线 无论是�合规化���标准化�及�严监管��都是外部力量的要求�真正的内在驱动力是�金融机构业务稳定运行和创新发展离不开�安全用数��银行业金融机构的业务数据已成为最本质�最核心�最关键的生产要素�银行业金融机构应当通过对业务数据的汇集�分析与挖掘�不断提高经营效率�提升客户服务水平�实现业务创新�产品创新和服务创新� �安全用数�是银行当前业务稳定运行和创新发展的最迫切需要� 现行有效的数据相关标准79条�其中2020年和2021年发布了23条�如�金融业数据能力建设指引��金融数据安全数据生命周期安全规范��金融数据安全数据安全分级指南��金融大数据平台总体技术要求��个人金融信息保护技术规范�和�证券期货业数据分类分级指引�等�涵盖了金融数据分类分级�金融数据生命周期安全评估�个人金融信息保护等方面�这些标准细化了执行细节�有效完善了整个安全保障体系�筑牢了数据安全屏障� �中华人民共和国网络安全法���中华人民共和国个人信息保护法���中华人民共和国数据安全法��关键信息基础设施安全保护条例�在内的�三法一条例�共同构筑了中国金融行业数据保护的基础法律框架� 2021年9月�我国颁布了�征信业务管理办法���办法�中明确规定��采集个人信用信息�应当采取合法�正当的方式�遵循最小�必要的原则�不得过度采集��自2022年�办法�施行以来�中国人民银行及各地分行对违反数据安全监管规定的3家金融主体�1家支付机构开出千万级罚单�这些行动不仅体现出我国对个人信息保护的重视�更体现了我国对金融数据安全维护的决心� 金融行业数据安全治理与实施之道0202 打造数据安全的铠甲�金融行业数据安全治理与实施之道 要从数据安全治理体系建设和数据安全监管体系建设两个层面入手�打造金融数据安全的铠甲 打造金融数据安全的铠甲 面向金融服务机构�数据安全治理体系建设 ①组建专门的数据安全团队�负责数据安全策略的制定�实施和监控 首先�随着金融行业信息化的加速和数字化转型的推进�金融数据量呈爆炸性增长�数据类型也日益复杂�这些数据不仅包含大量的个人隐私信息�还涉及到企业的商业机密和核心竞争力�因此�保障数据安全已经成为金融行业的一项重要任务�其次�组建专门的数据安全团队可以更好地应对金融行业日益复杂多变的安全威胁�这些威胁包括黑客攻击�内部人员误操作或恶意行为�病毒感染�网络故障等�数据安全团队可以通过对安全策略的制定和实施�以及对监控过程中发现问题的及时处理�有效提高金融数据的安全性� 提升金融机构的信誉度和竞争力�增强客户的信任感 制定全面的数据安全策略 实施严格的数据访问控制 建立完善的数据备份机制 强化数据加密和传输安全 持续监控和检测 数据安全策略应该覆盖数据的收集�存储�传输和处理等各个环节�明确数据的保密等级和保护措施�以及应对各类安全威胁的策略和流程 针对不同类型的数据和不同角色的用户�设定不同的访问权限�实施严格的访问控制策略�避免未经授权的访问和泄露 定期对重要数据进行备份�确保在发生故障或意外事件时�能够快速恢复数据并恢复正常运营 通过建立完善的安全监控体系�实时监测和分析网络流量�用户行为等数据�及时发现并应对潜在的安全威胁 对于敏感信息和重要数据�应采用加密技术进行保护�确保数据在传输过程中的安全性和完整性 面向金融服务机构�数据安全治理体系建设 ②建立统一的金融数据安全管理制度体系�明确各层级部门与相关岗位数据安全工作职责�规范工作流程 建立统一的金融数据安全管理制度体系�明确各层级部门与相关岗位数据安全工作职责�规范工作流程是指在金融行业中建立一个统一的�全面的�层次清晰的数据安全管理制度体系�确保所有相关部门和岗位都能够按照规范的流程进行数据安全工作� 数据安全政策和规范 数据安全责任分工 数据分类和分级 数据安全培训和意识提升 数据安全监控和审计 对金融机构的数据进行分类和分级�明确不同类型和级别的数据需要采取的安全措施和管理要求 建立完善的数据安全监控和审计机制�对金融机构的数据进行实时监控和定期审计�及时发现和解决安全问题 为所有员工提供必要的数据安全培训�提高他们的安全意识和技能水平�使他们能够正确理解和执行相关的数据安全规定 明确各层级部门和相关岗位在数据安全工作中的职责和权限�确保每个人都清
