随着十四五发展规划的印发,我国数据要素市场发展势头强劲,国家级数据交易所、区域数据交易中心、行业数据交易平台共计已有近50 家。
金融数据安全规范使用
信息安全已上升到国家安全的战略地位,保证安全最根本的方法是基础软件和基础硬件都是自己控制。在无法真正实现软件和硬件全部国产化的情况下,数据安全作为信息安全的重要组成部分,如何保障安全传输就成为了一个重要的议题,而加密算法正是数据传输安全与否的核心。 一方面,随着金融安全上升到国家安全高度,近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。为此,国家密码管理局为了保障商用密码的安全性制定了一系列密码标准,包括SM1、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)等。
另一方面,随着大数据和“互联网+”等新兴技术的拓展,数据的作用也在不断凸显,金融业是产生和积累数据量最大、数据类型最丰富的行业之一,数据安全与个人信息保护在新时代也面临新的风险与挑战。根据《中国银行保险报》与亚信网络安全产业技术研究院发布的《金融行业网络安全白皮书(2020)》显示,金融行业隐私泄露事件大约以每年 35%的数据在增长。其中,金融数据是关乎组织核心竞争力的重要资产,数据信息一旦泄露,不仅会给客户造成直接经济损失,也会给金融业的声誉带来负面影响,甚至会导致金融机构承担相关的法律责任,支付巨额的罚款。而针对金融数据,中国人民银行发布的《金融数据安全 数据安全分级指南》(JR/T 0197-2020)认为金融数据是指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据,该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。2023 年 7 月 24 日,中国人民银行为落实《中华人民共和国数据安全法》有关要求,加强中国人民银行业务领域数据安全管理,起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》。《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条。此外,《中华人民共和国数据安全法》明确,开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
金融数据分类分级
金融数据有着高广泛性、高敏感性的特点,其包含的数字资产来自社会的各行各业,且一旦泄露就有可能对国家、公众、个人、企业造成不良影响。因此,金融数据的分类分级就显得极为关键。其中,数据分类更多针对的是不同属性、不同特征、与不同体量的影响对象进行的分类。而数据分级则是按照一个已经划定的标准,对相同类别对象所遭受的影响程度级别进行的分级。中国人民银行在 2020 年 2 月 13 日发布并实施的《个人金融信息保护技术规范》中,对个人金融信息进行了详细的说明,其中包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和对原始数据进行处理分析形成的支付习惯等各类信息。《个人金融信息保护技术规范》还将个人金融信息按敏感程度从高到低分为 C3、C2、C1 三个类别。C3 类别信息包括了银行卡磁道数据、卡片验证码、卡片有效期、银行卡与网络支付交易密码这几种重要用户鉴别信息。C2 类别信息包含了支付账号、用户名、双重认证因素、个人财产信息、接待信息、家庭地址等。而 C1 类别信息则包括了账户开立时间、开户机构、C2 和 C3 类别信息中未包含的其他个人金融信息。对个人金融信息进行的安全检查和评估应是对该标准定义的生命周期全过程的各个环节分别进行,且每年至少开展一次支付信息安全合规评估。
中国人民银行在 2020 年 9 月 23 日发布的《金融数据安全数据安全分级指南》中,将影响对象与影响程度这两个因素作为确定数据安全级别的重要判断依据,其中影响对象包含了国家安全、公众权益、个人隐私、企业合法权益,而影响程度则被分为了严重损害、一般损害、轻微损害、无损害共四个等级。综合影响对象与影响程度,再结合数据的保密性、完整性、可用性被破坏后所造成的影响后果进行评估,该标准将数据安全等级划分为5 个等级。其中最高级的 5 级数据通常为金融业大型机构在交易过程中被关键业务所使用的重要数据,且在数据安全性遭到破坏后会对国家安全造成影响或对公众权益造成严重影响。4 级数据则为在数据安全遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全,以及个人金融信息中的 C3 类信息。3 级数据则包含了数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全的数据,与个人金融信息中的 C2 类信息。3 级数据则包含了数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全的数据,与个人金融信息中的 C2 类信息。2 级与1 级数据的敏感性与潜在威胁都会如上逐级降低。
然而从现有的制度标准与法律规定中,分类分级仍然更像一个推荐的做法,而不是强制措施。分类分级的目的在于防止安全系数高的数据遭到泄露的基础上,筛选出剩余安全系数低的数据进行数据处理、交易、公开。《金融数据安全 数据安全分级指南》中已给出了若干类几百项的数据定级规则参考,随着《中国人民银行业务领域数据安全管理办法(征求意见稿)》的出台,以及2023 年 9 月 8 日中国资产评估协会印发的《数据资产评估指导意见》,金融数据分类分级已具有实操的政策法规基础与数据质量量化指标,但数据合规程度、数据安全程度、数据敏感程度这几项指标还没有一个明确的分级标准,只能依靠权威的数据服务商进行相关指标的测算,亟需相关的数据特征分类分级标准。
近年来,在政策引领和市场需求推动下,金融数据要素市场呈现出快速发展的趋势。在金融领域,金融行业数据要素助力的人工智能技术广泛应用也正在不断推动行业的变革和发展。于 2023 年 3 月,OpenAI 宣布其GPT-4 技术与摩根士丹利的财富管理部门达成一项重要合作。GPT-4 这一款新型大型语言模型在处理金融领域任务方面具有显著优势,其准确性、处理大量数据的能力以及在回答问题方面的速度均为行业领先,这些特性使得GPT-4 在金融领域具有广泛的应用前景。在合作的具体内容方面,GPT-4 将为摩根士丹利的财富管理部门供全球公司、行业、资产类别、资本市场和不同地区不断更新的最新信息。此外,这次合作还旨在利用人工智能技术优化客户服务,简化业务流程,还能为金融行业的数字化转型注入新的活力。
2023 年 3 月底,全球知名的财经、金融资讯和数据公司彭博(Bloomberg)发布了专为金融界打造的大型语言模型——BloombergGPT,这是一款基于其几十年来收集数据的 AI 系统。BloombergGPT 的训练数据库由一系列英文金融信息组成,包括新闻、文件、新闻稿、网络爬取的金融文件以及提取到的社交媒体消息。彭博称,BloombergGPT 将协助彭博改进现有的金融NLP 任务,如情感分析、命名实体识别、新闻分类和问答等,其准确性和可靠性都比较突出。此外,BloombergGPT 还可以为金融领域的客户提供许多方便快捷的服务,例如智能投资、风险评估、客户支持等。
在数据要素资产化方面,光大银行取得了以下几个方面的成果:数据资产管理平台的构建,数据资产目录的建立,数据资产共享与流通,以及数据资产价值评估。光大银行在数据资产管理平台上进行了大量投入,建立了一套行之有效的管理体系。该平台具备数据整合、数据存储、数据计算、数据分析、数据应用等功能,能够实现数据全生命周期的管控。光大银行还建立了完整的数据资产目录,对所有数据资源进行了分类、编码和标准化。该目录能够清晰地展现数据的来源、含义、关系和价值等信息,为内部用户提供了便捷的数据查找和利用服务。通过构建数据服务总线,光大银行实现了数据资产的内部流通和共享。不同的业务部门之间可以方便地共享和交换数据,从而降低了数据冗余和提高了数据利用效率。在数据要素资产化过程中,通过引入专业的评估方法和工具,对各类数据资源进行量化评估,从而为银行带来了更加全面和准确的数据价值认知。通过建立完善的数据资产管理体系,光大银行实现了数据的高效整合、存储、计算、分析和应用。同时,通过数据共享与流通和价值评估等工作,充分挖掘了数据的内在价值,并为银行业务发展提供了有力的支撑。这一案例也为其他机构提供了具有借鉴意义的范例。
中国蚂蚁金服集团于 2018 年推出了“蚂蚁金服乡村信用”这一农村信用体系创新项目。中国农村的金融服务长期以来一直存在覆盖面不广、服务质量不高、授信难度大等问题。许多农村用户无法享受到正规金融机构的服务,导致他们在生产、生活等方面面临诸多不便。为了解决这一问题,蚂蚁金服通过大数据技术,将农村用户的各类信息转化为信用数据,为农村用户建立信用档案,并提供信用贷款、支付、保险等金融服务。蚂蚁金服乡村信用自推出以来,已经在中国的许多农村地区得到推广和应用。通过大数据技术的支持,该项目成功地将现代金融服务引入到农村地区,使更多农村用户享受到便捷、优质的金融服务。同时,蚂蚁金服乡村信用也有助于提高农村金融服务的竞争力和创新力,推动中国农村金融事业的发展。
3.1 可信互联技术
谈到金融数据要素市场上的应用,我们把其分为个人金融数据要素和产业金融数据要素,近几年国家出台的《数据安全法》及《个人信息保护法》等法律法规对金融数据要素涉及个人信息的要求,在各类金融机构内已经做到了严格的监管和监控。我们主要来看产业市场中的供应链金融涉及的产业金融数据要素领域中技术应用的发展。 在实体企业融资难、融资贵的大背景下,互联网和大数据技术的深度应用,使供应链金融越来越受到关注。中共中央、国务院高度重视供应链金融工作,各部委围绕供应链金融发展问题制定出台了一系列政策措施大力支持供应链金融创新、提升服务实体经济效率等。供应链金融业务以其强场景化属性、与产业链紧密结合,可服务到核心企业上下游企业等特性,得到金融机构、核心企业、上下游企业等市场主体的青睐。
但多数供应链金融业务,在开展过程中仍面临风险控制难、操作效率低、实施成本高等问题。随着以人工智能、区块链、云计算、大数据、物联网等为代表的信息技术逐步深入应用,实现了从风险控制、效率提升、成本降低等方面对传统金融业务进行优化升级。供应链金融的本质是金融,而金融经营的是风险,科技不能杜绝风险,但可以识别风险、监测风险、量化风险,并提供金融风险定价的支持。 首先,在新一轮科技革命和产业变革的背景下,伴随互联网、人工智能、大数据、云计算、物联网、区块链等信息技术与金融业务深度融合,金融领域的科技应用逐步从信息化建设往数字化发展。金融行业的数字化转型可以分为金融行业自身转型和科技行业带动金融行业转型两个方向,两个方向殊途同归,都将带动金融行业内的数字化技术应用登上一个新的台阶。
其次,对于供应链金融而言,宏观经济、行业趋势及企业管理层面不确定性一直在。对大数据、云计算、人工智能、物联网、区块链等整合运用并形成综合性分析工具及解决方案,可以解决较多供应链金融领域的痛点问题。根据供应链金融流程的特性进行分析,前述科技手段可在供应链金融贷前风险评估、贷中资产审核、贷后运营监管三个环节,实现供应链金融的风险控制、效率提升、成本降低的管理。
3.2 数据流通技术
数据从“资源”到“资产”到“要素”的转变,关键在于流通,然而,数据流通共享将导致数据安全形势更为严峻,威胁个人隐私、商业秘密,甚至国家机密。隐私计算对保障数据安全流通和发挥数据资源价值具有重要意义。隐私计算可以从三个方面赋能数据要素流通:一是隐私计算“数据可用不可见,数据不动价值动”的特性可有效保障数据安全和用户隐私;二是隐私计算可提供监管接口实现“数据可监管可追溯”,保障数据全生命周期安全;三是隐私计算可有效分离数据所有权与使用权,让数据交易与价值核算合理化。金融业是数据密集型行业,金融业借助隐私计算技术,基于内外部数据进行联合建模,可实现智能风控、精准营销、保险联合营销、金融反欺诈、反洗钱、中小微企业金融服务、存量客户运营,解决金融数据利用过程中面临的数据安全问题、数据孤岛障碍和金融监管限制,促进数据价值释放。隐私计算不是单一的技术,而是一个技术体系,主流技术路线可以分为三类:基于密码学的多方安全计算、基于分布式机器学习的联邦学习和基于可信硬件的可信执行环境,三大技术经常协同融合,优势互补,以满足不同场景下的隐私计算需求。
