近年来,国内数字经济与实体经济深度融合,各行各业积极开展数字化转型,“互联网+”模式下产生的新业态在全社会得到广泛应用,由此也产生了海量的各类数据,并与土地、劳动力、资本、技术一道,成为推动新经济发展的关键要素。与此同时,数据要素的安全性问题也日益突出。2021年9月1日,《中华人民共和国数据安全法》即将施行,其中包括对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务等内容。作为一家大型互联网企业,腾讯公司始终把数据安全问题放在极其重要的位置,而在金融科技领域更是将数据安全视为业务发展的“生命线”。本文将结合腾讯金融科技在数据安全领域的实践,探讨金融数据安全的制度与技术保障。

金融科技面临的数据安全挑战

在高度数字化的金融业基础设施上,大量存储并高频传输着各种敏感的个人信息和关键的金融数据,是金融行业的特殊之处。移动支付的迅速普及,推动了金融科技的快速发展与模式创新,大数据、云计算、人工智能、区块链等技术的融入给金融业转型升级提供了巨大的可能性,但同时也使市场参与者面临着越发严峻的信息与数据安全风险,特别是对金融科技创新层面的数据安全提出了非常严苛的标准。

2019年以来,监管部门相继出台一系列金融科技细分领域监管政策,其中金融科技的数据安全成为重要主题。同时,监管部门还采取专项行动,以重点检查、随时抽查等多种方式,对金融科技产业中数据的安全问题进行点对点式的密切监管。更重要的是,广大消费者及金融产品用户越来越关注自身的个人信息与数据安全权益,维权意识日益增强。随着近年来金融数据库被恶意攻击导致信息泄露、金融机构“内鬼”倒卖客户信息牟利、金融App违规过度收集用户信息等乱象频频曝光,社会上对保护金融信息与数据安全的诉求越来越强烈。有效保障用户的数据安全,已成为各个金融机构或金融信息使用者的当务之急。

根据普华永道、中国信息通信研究院和平安金融安全研究院联合发布的《2018—2019年度金融科技安全分析报告》(以下称《报告》),71%的被调研企业认为“数据安全及隐私保护”是当前及未来的头等大事,同时金融机构和大型科技企业正在加大数据安全方面的投入。但《报告》同时指出,16%的被调研企业需要14天以上才能发现已发生的数据安全事件,13%的被调研企业需要花14天以上才能完成对应的漏洞修补。由此表明,即便企业有充分的意愿强化数据安全治理,但在实践中仍缺乏相关的制度保障与技术手段。

具体地说,当前金融数据安全保护在实践层面普遍存在如下突出问题:一是数据安全工作的实施尚未形成与机构自身相匹配的系统化方法,尤其缺乏从组织与制度层面进行全面梳理与变革的实践;二是对各类数据的敏感级别与保护程度尚未做到精细化区分,导致数据安全保护策略的针对性不强;三是从金融业务全生命周期的维度进行数据保护的覆盖程度不够,导致数据安全保护工作存在明显的短板与漏洞;四是仍然沿用传统的数据安全保护措施,片面借助网络边界防护与阻止网络攻击的方式进行数据保护,使得数据在静态绝对安全的同时,无法产生更多用户价值与社会福利,偏离了“数据要素市场化”的政策目标。

腾讯金融科技数据安全实践

针对金融数据安全方面存在的普遍问题,腾讯金融科技数据安全团队着力在制度与技术两大领域进行了多项探索和实践。

1. 健全数据安全组织,完善安全制度规范

金融机构内部需要明确数据安全责任主体及其相应职责。要打破企业内部壁垒,成立跨业务部门的数据安全管理联合团队,构建由业务部门负责、技术平台部门推动落地的数据安全责任制。在此模式下,技术平台部门重点负责数据存储、管理、运营和维护,充当数据的托管者;各业务部门成为数据的所有者,并对数据安全承担最终责任。为使跨部门协作顺畅开展,可引入第三方数据安全管理团队统筹治理,并制定符合法律法规的安全指引,推动安全方案的落地。

具体而言,可从以下几个方面着手。第一,加强制度建设,严格执行数据安全的各项规章制度,并根据金融科技和金融业务发展趋势动态完善数据安全制度。第二,管理层必须高度重视数据安全问题,明确金融数据保护是所有员工的职责,各业务部门要主动承担相应的安全管理职能。第三,关注人员管理及流程建设。除了加强平时的安全宣导与培训,在流程上也应预设相应的控制措施,严防人为数据安全事故。第四,风险控制和业务效率之间需要达到平衡,应基于风险评估结论及业务部门的风险承受能力,建立适宜恰当的风控机制和补偿措施。

2. 数据精细分级分类,数据资产梳理打标

做好数据分类分级是确保金融数据安全的基础。中国人民银行于2020年2月和9月分别发布《个人金融信息保护技术规范》和《金融数据安全 数据安全分级指南》,其中依据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,明确了金融数据的安全级别,并定义其分类依据。相关机构应据此明确本机构的具体数据项和敏感分类等级,通过建立切实可行的标准化流程规范,对不同敏感等级的金融数据制定更为具体的保护和管控要求,并随着合规要求和技术手段的更新持续完善迭代。

基于金融数据定级标准,在对不同敏感等级的金融数据采取安全管控措施之前,需要对数据资产进行梳理打标。对于金融机构和大型科技公司而言,数据资产状况梳理是一项浩大繁复的工作,需要尽可能通过自动化手段来摸清数据的存储和使用现状。通过对数据资产进行梳理和打标后,敏感等级就作为该金融数据的属性标签,随着数据流转在各个系统中进行传递,从而可实现依据等级标签,设置更加精细化的安全管控措施。例如,腾讯金融科技依据分级结果,实施高敏数据在传输及存储阶段,全量加密,确保其安全及合规;在满足合规的前提下,针对不同敏感级别数据的共享使用,设置了不同层级的审批流程,同时对需求进行详尽的安全性评估及优化;将权限细分为功能权限和数据权限,依据数据敏感级别去定义角色的敏感程度并区分授权流程。除此以外,应定期进行自身风险评估及合规检测,复核数据定级分类的准确性与实时性,排查保护敏感数据过程中依然存在的控制薄弱环节,并进行针对性的补偿优化。

实践证明,基于金融数据敏感等级对安全措施进行精细化设置,有利于在确保安全的前提下,最大化满足业务效率的要求,从而实现安全高效两大经营目标。

3. 信息安全平台升级,覆盖数据生命周期

腾讯金融科技在现有网络安全理论的基础上,构建了有别于传统模式的信息安全管理系统,在主机安全、应用安全、物理安全、网络安全、数据安全、开发与运维安全等横向维度之外,纵向深挖数据生命周期各阶段管理及操作要点,形成了以数据安全为中心的信息安全管理平台体系。

具体地说,为确保应用系统在上线时满足数据安全的防护要求,在设计之初就应进行数据安全合规评估,确保针对数据生命周期的采集、传输、存储、使用、删除及销毁阶段均符合相关法规要求及内部制度指引。强化数据使用权限管控、数据加密以及日志审计等方面的工作。针对权限管控,应设置最小授权、期限授权、职责分离及登录失败限制等安全机制;针对加密及密钥管理,应尽量确保密钥生命周期安全,同时避免私有加密算法的使用,并确保加密算法的强度与分级结果的匹配;针对日志审计,应确保日志记录信息的完整性。同时,采用诸如密钥管理平台、统一权限管理平台或审计平台去统筹设置规则及标准,做到集中管控。

技术平台是各类制度与流程得以顺利落地与有效运作的重要保障,金融科技数据安全工作应与时俱进,及时迭代,不断完善,打造一个安全性高、可扩展性好数据安全平台。

结语

当前,数据要素作为驱动企业和政府决策与创新的重要生产资料,已成为各类组织的核心资产之一。数据安全问题如不能很好地解决,将无法发挥好数据要素对其他要素效率的倍增作用,从而降低“数字中国”建设进程中的资源配置效率。因此,金融机构和相关科技企业应齐心协力,发挥各自优势,从制度和技术两大方面共同探索行之有效数据要素治理体系,切实保障金融数据的安全性。