面临挑战,积聚风险。
随着信息科技的飞速发展,以数据为核心的数字经济正成为 驱动全球经济增长的新动力。金融领域也是如此,国务院金融稳 定发展委员会的数次会议上均提到要大力发展数字金融,数字技 术驱动金融业变革和发展已是大势所趋。
数字经济的不断发展,催生出海量数据。据 IDC 预测1,2025 年全球数据量将高达 175ZB2,其中中国的数据量预计将达 48.6ZB, 占比 27.8%。面对数据量的爆炸式增长,数据来源的日益丰富, 数据类型的不断创新,金融数据保护治理的广度、深度和难度与 日俱增。金融业主体依据业务运营需要对个人和组织数据的获取、 传递、使用、管理等诸多方面都不断推陈出新。数据在人们的金 融生活中扮演越来越多样的角色,发挥越来越重要的作用。
时至今日,不论是个人支付还是企业贷款,不论是城镇建设 还是国家发展,不论是货币流通还是进出口贸易,社会生活的方 方面面都流淌着金融数据的“血液”。包括互联网公司在内的泛 金融机构利用自身的平台优势和业务粘性吸附并留存了大量的 个人信息数据,不时有某某互联网公司数据泄露的新闻见诸报端,对合规监管带来了极大的挑战,安全风险不言而喻。美国 Verizon3公司发布的《2020 年数据泄露调查报告 DBIR》 4指出, 55%的数据泄露事件涉及有组织犯罪,30%的数据安全事件源自企 业内部。
(1) 金融数据安全风险的识别难度不断增大 。由于“科技赋能金融”的金融科技发展迅速,不论新技术还 是新场景都催生出新的安全风险。区块链、人工智能等新兴技术 在金融科技领域的快速应用,疫情、洪灾等公共卫生事件和气象 自然灾害的爆发带来的远程办公需求,臭名昭著的勒索软件等新 兴攻击技术的持续演化等,内嵌新兴技术的创新应用场景在某种 程度上增大了金融数据安全风险的识别难度,对金融数据保护治 理提出了更高的要求。
(2) 金融数据安全风险的管控复杂度不断增加 。金融数据安全概念范畴广泛,既有私密性又有公共性,例如 个人金融信息带有强烈的私密属性,相较而言,金融监管过程中 收集的数据又具有明显的公共属性。因此,金融数据特有的多重 概念属性增大了金融数据保护治理的复杂度。
(3) 金融数据安全风险的危害程度不断提升。 从业务的形态、逻辑和内涵等视角审视,当下的金融业务具 有纷繁多样、交错关联、复杂深厚等特性,业务产生和涉及的各类数据在业务内外部交互多、交互过程复杂,这给数据流转的管 控增加了极大的难度。因此,金融业务的不断融合创新客观上提 升了金融数据安全风险的危害程度。
综上,金融数据的安全与否所关乎的利益愈发的纷繁复杂, 带来的影响愈发地长久深远。金融数据生命周期的链条串起的数 据流转节点上,每一家金融主体、每一位个体、每一个监管实体 既是数字金融的受益者,也是金融风险的责任人与应对挑战的参 战方。
金融数据保护治理需依靠全面科学的框架规范、准确合理的 技术手段、完整有效的落实方式,才能不断应对挑战,化解风险。 2021 年 7 月,国家互联网信息办公室发布通知称,某出行 APP 存 在严重违法违规收集使用个人信息问题。依据《中华人民共和国 网络安全法》5相关规定,通知应用商店下架某出行 APP,这正是 数据保护治理箭在弦上,势在必行的体现。
近年来,随着数据价值提升和数据安全事件频发,社会经济 和国家安全面临严峻的挑战。个人信息泄露、行业间数据外泄等 安全挑战不断发生。因此,全球主要国家和地区先后出台了数据 安全与隐私保护的相关政策与标准,对数据的采集、传输、存储、 使用、删除、销毁等全生命周期管理进行拘束和指引。这些政策 法规的出台,一方面可以有效确保数据经济的良性发展,规避伴随数据经济发展可能造成的权利纠纷和侵害,破除数据内部潜在 的深层次犯罪基础;另一方面,政策法规对数据安全提出了严格 的要求,对各机构数据保护治理提出了新挑战。
(1) 各国先后出台数据相关政策,加强数据保护 。美国分别于 2019 年 12 月和 2020 年 10 月发布了《联邦数据 战略和 2020 年行动计划》6和《国防部数据战略》7,阐述了其对 数据在国家经济和安全领域的最新定位,同时还包括一系列促进 数据发展和保护的战略举措。欧盟在 2018 年 5 月发布了约束极 为严格的《通用数据保护条例》8(简称“GDPR”),此条例成为 全球各国制定数据保护政策的重要参考,在一定程度上加速了数 据保护治理领域的发展。2020 年 2 月,欧盟相继发布了《欧盟数 字化战略》《欧洲数据战略》9和《欧盟人工智能战略》,表明要 建立数据主权。英国政府于2020年9月发布了《国家数据战略》, 阐述了数据的作用和保护数据的措施。
(2) 国家不断强化数据定位,持续推进法制建设 。国家对数据在我国经济社会发展中的作用和意义有着高瞻 远瞩的认识。2019 年 10 月,党的十 九届四中全会审议并通过的《中共中央关于坚持和完善中国特色 社会主义制度、推进国家治理体系和治理能力现代化若干重大问 题的决定》中指出,“健全劳动、资本、土地、知识、技术、管 理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。 推进要素市场制度建设,实现要素价格市场决定、流动自主有序、 配置高效公平。”,首次给出了“数据”作为生产要素的定位。 2020 年 4 月印发的《中共中央国务院关于构建更加完善的要素 市场化配置体制机制的意见》首次将数据定义成为同土地、劳动 力、资本,和技术同等重要的第五大生产要素,并提出加快培育 数据要素市场的三点意见。同年 5 月印发的《中共中央国务院关 于新时代加快完善社会主义市场经济体制的意见》进一步明确了 加快培育数据要素市场,建立数据资源管理清单机制,完善数据 权属界定、开放共享、交易流通等标准和措施,发挥社会数据资 源价值等。
法律法规层面,全国人大常委会先后出台了《国家安全法》 10《网络安全法》11,并于 2021 年 6 月的第十三届全国人民代表 大会常务委员会第二十九次会议上通过了《数据安全法》12,2021年 8 月历经三次审议的《中华人民共和国个人信息保护法》(以 下简称“个人信息保护法”) 获十三届全国人大常委会第三十次 会议表决通过。这四部法律共同构成了我国整体数据保护体系的 顶层设计。
(3) 金融数据关系国计民生,监管要求日臻清晰。 金融数据保护方面,在数次会议上都提到金融基础设施、金 融安全、金融数据保护治理、金融科技监管之间的交错关系,强 调了在国家总体部署下,金融监管部门对金融数据保护治理的守 土责任。为此,中国人民银行、银保监会、证监会等金融监管部 门先后出台了一系列关于金融数据治理与安全的法规、意见和标 准。 2018 年 5 月,原银保监会发布《银行业金融机构数据治理 指引》13。
2018 年 9 月,中国证监会发布了《证券期货业数据分 类分级指引》14《证券期货业机构内部企业服务总线实施规范》15 《期货市场客户开户数据接口》16《证券发行人行为信息内容格 式》17等四项金融数据标准。中国人民银行分别于 2020 年 2 月至 2021 年 4 月期间,发布了《个人金融信息保护技术规范》18《金 融数据安全 数据分级指南》19《多方安全计算金融应用规范》20、《金融业数据能力建设指引》21和《金融数据安全 数据生命周期 安全规范》22等多部金融数据保护领域的技术标准。金融监管部 门结合各自金融业务特点从金融数据保护治理的多个角度对涉 及金融数据保护的诸多方面出台了具体标准,并且仍在不断丰富 和完善中。
政策的出台,一方面为金融业各方指明了金融数据应用的方 向和边界,另一方面有效保护了金融数据权属主体的合法权益, 对数据治理提出了新的要求。监管日渐趋严的内外部环境下,有 必要对金融数据保护治理的要求进行梳理明晰,对数据保护治理 的方式方法进行剖析论证,为管理、维护、使用金融数据的上下 游机构和企业,推出符合当前政策要求和应用实际的金融数据保 护治理体系建设策略。
