守住隐私！银行数据安全治理升级在行动

守住隐私！银行数据安全治理升级在行动字体：小中大分享到：守住隐私！银行数据安全治理升级在行动2021-11-11 10:06:17来源：上海证券报

今年夏天，家住北京的吴女士因为没钱装修房子，通过某城商行申请了消费贷款。没想到，她很快就陆续接到各种自称银行或贷款机构的推销电话。“一天能收四五个。”她向记者抱怨，向贷款银行举报解决不了问题。

大数据时代个人信息的广泛泄露引起了社会各界的密切关注。今年，随着《个人信息保护法》、《数据安全法》等相关法律法规的实施，此类问题有望逐步得到解决。业内人士表示，作为典型的“数据密集型”行业，这种庞大的数据量不仅是助推银行生产力不断增长的因素，也是考察其更好发展的关键命题。

记者近日调查了解到，在《个人信息保护法》和《数据安全法》实施后，包括数据安全和合规在内的数据治理问题目前已经上升到银行的战略层面，部分银行已经开始从治理、管理、技术等方面重构数据安全治理体系。当然，银行也面临许多挑战——数据缺乏标准，在生产过程中具有流动性。如何在每个环节形成有效的保护和管理，将数据合理赋能到业务场景？这些问题也需要金融机构进一步探索。隐私计算作为一项前沿技术，有望成为有效保护个人数据安全的突破口。

数据安全保卫战如火如荼。

随着数据安全升级的趋势日益明显，银行业金融机构升级数据治理体系的行动正在如火如荼地进行。

"去年，我们根据《个人信息保护法(草案)》开始改革相关制度."某大行金融科技部门人士向记者透露，该行首先进行了自查，对手机银行App的内容进行合规改革，如手机权限、相册权限、隐私协议等。他说，今年该行成立了数据管理部，是行内一级部门，堪称“顶配”。

据了解，平安银行、浦发银行等股份行对涉及个人信息安全的数据治理体系较为重视。

平安银行相关负责人近日表示:“年初，平安银行成立了个人信息保护委员会。该委员会包括风险、业务、技术、合规、消费者保护、人力资源等各个领域的专家。，统筹管理全行个人信息保护相关工作。”

他说，我行以个人信息保护的法律、部门规章和监管政策为准绳，建立健全个人信息保护制度，明确职责分工和管理要求，将个人信息保护要求内化、固化在制度建设和业务操作过程中，同时安排员工定期考核，开展自查自纠。“在技术层面，我们做了大量努力，探索新的技术保护措施，确保个人信息数据采集、传输、存储、使用、删除、销毁全生命周期的安全。”

浦发银行信息科技部相关负责人也向记者表示，今年该行从治理、管理、技术三个层面实施数据采集、传输、存储、使用、删除、销毁的全生命周期安全控制，保障数据安全。“已经采取了三项主要措施。一是构建全面的安全治理框架，建立常态化的安全内控标准机制；二是实施数据生命安全管理，加强个人信息保护和隐私管控；三是建立多层次的数据安全技术架构，采取纵深防御策略，不断升级网络安全防护体系。”他说。

在全方位的动作下，用户最直接感受到的变化就是手机银行App的转型。记者查看了招商银行、平安银行等多家银行的手机app，发现均已做出相关改革。比如有“隐私政策更新”、“移动应用端用户交互页面调整”等提示。用户需要同意后才能使用手机app，等等。

数据治理还有很多难点。

简单来说，上述行为蔓延的原因有两个，一是法律层面的合规要求，二是银行自身的数据治理和合理使用要求。

“这是行业的发展趋势。银行积累了大量的数据，之前没有使用，造成闲置浪费，安全性也是问题。随着金融科技的发展和法律的完善，为什么、如何、怎样使用数据必须提上日程。”上述大银行人士告诉记者，是时候为隐私“买单”了。

自然，吴女士遇到的问题并非孤例，也证明了数据安全等治理工作非一日之功——许多困难和挑战需要一一克服。

根本原因主要是银行数据复杂多样的特点，缺乏标准，缺乏元数据管理。而且数据在生产过程中是流动的，从生产、采集、存储、使用、传输，每个环节都要进行相应的处理和管理。“数据的多样性和复杂性使得很难识别数据资产和对数据进行分层分类。”浦发银行上述人士表示。

这导致了数据治理在实践层面的困难。比如在个人信息保护方面，前述平安银行人士表示，相关法律法规、标准指南等管理要求是近年来逐步提出的。但是银行的场景很多，如何重新规范业务流程数据是难点之一。再者，银行出于业务发展或风险管理的需要，需要引入外部数据，提供外部数据，但银行很难全面掌握外部合作伙伴个人信息保护工作的执行情况，增加了数据保护工作的难度。而且外部方并没有完全受到金融业监管的限制，这使得银行与外部方在客户个人信息方面的合作风险难以得到充分有效的缓释。

其实这可能是个人信息泄露的一个重要原因。一位长期从事贷款中介的人士告诉记者，很多贷款中介和渠道商都是通过大数据获取银行客户信息，然后盲目给客户打电话。“一天三四百个电话，能转化三四个客户。”她透露。

记者在调查中获悉，各家银行的数据治理工作进展不一，尤其是中小银行行动缓慢，原因在于技术力量不足、对法律法规了解不够等因素。

同盾科技行业安全专家读伟表示，目前国内大部分银行的内部it风险建设仍处于初级阶段或待完善阶段，“内鬼”导致的数据泄露事件相对较多，急需构建内部IT系统的风险防范体系。

金诚同达律师事务所高级合伙人彭凯表示，根据他近半年与银行的接触，商业银行业务条线广泛，部门繁多，但个人信息保护合规发展具有“牵一发而动全身”的特点，要做到完全合规会比较缓慢。“法律法规影响的评估，多场景可能触发的人脸识别的合规性，敏感个人信息的处理，个人信息主体权利响应机制的构建等。都不是一蹴而就的。”他说。

隐私被认为是一个突破

在数据合规政策的要求下，数据安全和合规问题对银行的重要性在空之前就凸显出来了。

记者在调查中了解到，一项前沿技术——隐私计算有望成为有效保护个人数据的突破口。据悉，招商银行、交通银行、浦发银行等。都开展了隐私计算的研究，并在一些情况下开始试点应用。

所谓隐私计算，也可以说是多方安全计算，就是让数据“可用，不可见”。在这个前提下，技术上可以实现数据安全共享和协作。2020年11月，央行发布《多方安全计算金融应用技术规范》后，为隐私计算提供了实践参考。

前述浦发银行人士表示，隐私计算是业内普遍关注和可验证的前沿技术，能够在数据元素的流通和整合中有效保护个人数据的隐私。在技术上，可以实现数据“价值”和“知识”流通的目标，不离开原始数据的域，促进多维数据跨域融合，构建“数据可用、不可见”的新型合作模式。

在反欺诈和风险控制领域，隐私计算得到了一定程度的应用。但是隐私计算有很高的技术门槛，目前还处于不断完善和发展的过程中。做好场景服务，甚至大规模应用，都需要时间。

上述银行人士表示，该行也在测试隐私计算应用，但主要是验证如何最大限度地利用隐私数据。

好消息是，行业共识已经形成。因为银行在营销和客户拓展、反欺诈、信用风险评估、反洗钱、信用评估、内控合规等主要业务场景都需要与外部机构合作，即存在跨机构的数据流通，因此存在额外的数据泄露风险。“为了消除这些风险，通过隐私计算、同态加密等前沿技术升级现有数据安全技术体系，确保可信数据授权管理和数据价值转移可控，将成为促进金融数据有效利用、兼顾数据保护和价值转移的关键。”阅读微表情。

【纠错】