北京 作者: 陆 敏 在人工智能、大数据等互联网技术迭代加快的当下,守护金融数据安全面临更为复杂严峻的形势。近年来,伴随着金融业数字化转型高速推进,各种高危漏洞、复杂攻击导致的金融数据泄露、勒索等问题频频出现。尤其是2024年之后,出现了很多结合最新AI技术的新型攻击,攻击成本越来越低、频次越来越高,让金融机构不胜其扰。
有市场研究机构发布报告显示,仅在2024年上半年,金融行业数据泄露事件就超过8400起,接近2023年全年的总和。其中,影响较大的一起是2024年10月份,国内某贷款平台超过4万条用户数据被放到境外网站售卖,引发了业内机构和众多金融消费者的担忧。
守护金融数据安全需要筑牢“防火墙”。国家金融监督管理总局近期发布的《银行保险机构数据安全管理办法》(以下简称《办法》)正是在这一背景下出台的。《办法》要求银行保险机构制定数据分类分级保护制度,在数据安全管理方面设置“防火墙”,并对数据加工、委托处理、共同处理、数据转移、数据跨境等具体的数据处理场景分别提出了相应要求,等等。另外,个人金融数据安全关系到广大消费者的切身利益,同样在《办法》中得到强调。此次《办法》为金融消费者单独设置“个人信息保护”章节,以进一步落实数据安全法、个人信息保护法等上位法要求,体现了保护消费者信息和权益的政策导向。《办法》明确,发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施。
强化金融数据安全管理,要发挥好监管“指挥棒”作用。我国银行保险机构超过4000家,机构数量多、管理难度大。此次《办法》具有很强的指导性和针对性,有助于不同类型的银行保险机构根据自身实际提升数据安全管理能力,保障客户信息和金融交易数据安全,牢牢守住不发生系统性风险的底线。
下一步,银行保险机构要根据监管要求进一步落细落实。首先,银行保险机构要压实主体责任,完善内部机制。落实数据安全责任制,明确数据安全归口管理部门,要按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。其次,要将数据安全风险纳入全面风险管理体系。根据监管要求,银行保险机构应明确管理流程,主动评估风险,对数据安全风险进行有效监测。风险管理、内控合规和审计部门要定期对数据安全开展审计、监督检查与评价。最后,要建立完善数据安全事件应急响应与处置机制。一旦发生数据安全事件或者使