金融行业满足《数据安全法》监管要求的建议与应对机制
作者: 日期:2022年04月27日 阅:3,492

2021年6月10日,我国正式颁布了《中华人民共和国数据安全法》(以下简称“《数据安全法》”),并于2021年9月1日起正式实施。《数据安全法》的出台,与我国民事领域《中华人民共和国民法典》,网络空间安全领域《中华人民共和国网络安全法》(以下简称“网络安全法”)、《网络安全审查办法》,个人信息领域《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)等法律法规有着密切联系,填补了我国数据安全的法律空白,《数据安全法》的实施,对进一步加快推动数字经济、数字政府、数字中国的建设有着重要意义。

01 主要法规要求解读

1)数据安全法规总体框架

《数据安全法》分为七章,共五十五条,分别从目标、策略、管理、义务、责任五个层面展开,对数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等做出了明确要求。

总体框架

主要内容

适用范围

《数据安全法》适用于国家网信部门、国家安全机关、国家工作人员、中介服务机构、组织和个人,《数据安全法》明确了数据安全管理原则:谁生产,谁负责;谁收集,谁负责;谁主管、谁负责。

2)数据安全与金融产业发展

数据产业化包括但不限于:5G、集成电路、软件、人工智能、大数据、云计算、区块链等技术、产品及服务,数字经济快速发展带动数字产业化逐步进入成熟期。数字经济要求金融产业加快数字化转型步伐,构建更加安全的金融体系,着力解决个人隐私、信息采集、使用和销毁等数据安全问题、数字技术滥用问题、国家金融安全的数据跨境流动问题。

3)数据安全制度建设

《数据安全法》明确提出在数据流通中构建数据分类分级保护制度,提出要建立数据安全风险评估、报告、信息共享和监测预警机制,构建数据安全应急处置机制和国家数据安全审查制度,为增强我国数据安全领域的风险发现和抵御、处置能力提供了坚实制度保障。

4)数据安全与民生保障

数字民生主要体现在数字教育、数字医疗、数字就业、数字文旅四个方面,数字技术与民生的深度融合赋予了民生建设新动能,大数据、人工智能、区块链、互联网等技术应用提高了民生保障的供给能力。

5)数字中国的战略布局

《数据安全法》的出台,为数字中国建设打下坚实的法律基础和保障,数字中国建设从数字经济、数字社会、数字政府建设出发,整体布局。数字经济加速纵深发展,发展数据安全技术是对我国数字经济的保护。国家“十四五”规划中强调“充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,壮大经济发展新引擎”。

数字中国建设布局

02 金融行业应对机制

1)加强数据安全立法学习,全面落实法律要求

企业数据安全防护常态化,需要对《数据安全法》深度学习,加强立法认识,提升企业和个人数据安全保护意识,《数据安全法》明确了企业在保护数据安全方面的责任,对企业的数据安全提出了严格要求。

2)制定大数据发展战略,顶层推动数据安全治理体系建设

数字经济时代,数据已成为主要生产要素,将替代资本成为金融业核心资产。大数据产业作为以数据生成、采集、存储、加工、分析、服务为主的战略性新兴产业,是激活数据要素潜能的关键支撑,是加快经济社会发展质量变革、效率变革、动力变革的重要引擎。金融行业既是数据使用者,也是数据生产者,金融数字化,可以从自身数据资产的治理和使用开始,结合本区域、本行业外部数据,逐步发挥内外部数据的价值。

 “三大战略”支撑驱动关系

大数据发展战略

3)健全数据安全治理组织架构,充分落实数据保护职责

加强数据安全治理,要加强体制机制建设,构建完善的数据安全治理组织架构是重要基础工作之一。要打通信息和职能壁垒,建立跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务的组织架构体系。

4)建设数据管理制度,夯实数据安全保护基础

各金融企业可依据《金融数据安全 数据生命周期安全规范 JRT 0223-2021》对数据全生命周期:采集、传输、存储、使用、删除、销毁等进行规范化的安全管控。在数字化转型的大背景下,建立大数据发展战略,并明确三级数据安全制度建设框架,第一级:大数据战略、数据安全策略;第二级:数据分类分级安全管理办法、数据全生命周期安全管理办法、数据安全监测和检查管理办法、数据安全风险评估管理办法、数据安全事件应急管理办法、数据安全培训管理办法、数据共享与交换管理办法、数据防泄露管理办法、数据销毁安全管理办法、外部数据管理办法、监管数据报送管理办法等;第三级:数据采集管理操作规程、取数安全管理操作规程、数据备份与恢复操作规程、数据脱敏安全操作规程、数据安全销毁操作规程、监管数据报送操作规程等。

5)实施企业数据分类分级,落实差异化安全保护机制

各金融企业可依据《JRT 0197-2020金融数据安全 数据安全分级指南》要求,开展金融数据分类分级工作,明确数据资产分级保护策略和要求,针对不同级别的数据建立差异化的安全管控措施。

数据安全定级范围

数据分类分级规则

6)识别数据服务场景,落实数据保护管理和技术措施

在数字化转型过程中,数据是基础,围绕数字化发展新趋势,金融企业数字化转型要充分释放数据价值,以应用场景为驱动,以业务赋能为目标,构建企业级数据管控、数据处理和数据服务能力。

7)加强普惠金融建设,充分履行金融企业社会价值

增强金融普惠性,需要各银行结合规模差异,以大带小、公私联动,协同发展,以实施普惠金融服务能力提升,激发市场活力。

数字营商环境评价指标体系

普惠金融服务框架

8)积极对接政企数据,丰富场景提供百姓数字生活

在国家政策的推动下,各地积极探索数据产业化的模式,政府背景的大数据运营公司应运而生,各金融单位密切跟踪各地政府数据开放动向,参与数据要素市场建设,积极对接政府大数据平台,参与政府大数据公司化运作,深度整合外部数据与银行内部数据,推进数据开放合作和应用模式创新,强化数据赋能。

政企开放平台建设示例

03 总结与展望

我国“十四五”期间,数字化发展进程加快,已正式进入数字中国建设的新阶段,站在百年的历史交汇点构建普惠便捷的数字民生保障体系,推动数字民生高质量发展是我国的重点任务之一。我国数字经济规模跃居全球第二位,增速实现全球领跑,但在数字经济规模快速扩张的同时,寡头垄断、设置技术壁垒、压制中小企业发展等不正当竞争问题涌现,大数据杀熟、个人信息过度采集、电信网络诈骗等侵害用户权益现象屡见不鲜,规范发展已成为数字经济高质量发展的迫切要求。

随着我国《数据安全法》的颁布,以金融行业为代表的各行业对于数据安全的重视程度都在不断加深,数据安全保护意识逐步提高。此法律实施后,在填补我国数据安全法律空白的基础上,为数据安全产业发展指出了前进的道路,未来围绕数据安全的厂商、咨询及审计机构、中间数据服务商等将迎来更为广阔的天空,数字教育、医疗、出行、旅游、餐饮等一系列产业也将在《数据安全法》的保护下蓬勃发展。

作者简介

王志超,谷安天下金融审计负责人,10多年的信息安全、科技风险、科技审计、业务连续性、科技外包、数据治理、金融科技等咨询及审计服务经验,获得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对科技外包、业务连续性、数据治理、大数据、人工智能、数字化转型等领域均有着较为深入的研究,多次与银行共同参与银保监会组织的信息科技风险管理课题研究,并获得多个奖项。

周颖,谷安天下咨询经理,10多年的金融业信息科技咨询及审计工作经验,获得CISA、CISP、PMP、ISO 27001、COBIT、ITIL等证书,熟悉金融业的各项业务流程和风险要点,熟悉行业监管及地方监管标准,对敏捷开发、重要系统效能、数据治理、数据安全、数字化转型等领域均有着较为深入的研究。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章