金融数据安全治理，要从基础做起

2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，要求“加快培养数据要素”，将数据作为新型生产要素，正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新要素之一。

中国人民银行副行长范一飞表示，金融业作为数据密集型行业要深刻认识数据重要意义、深化研究数据管理机制、深度挖掘数据内在价值，为金融装上数据引擎，实现多向赋能。

同时，范一飞强调，目前部分消费者和金融机构数据保护意识相对不足，对数据泄露环节和危害认识不到位，而不法分子窃取数据的手段却不断翻新，从面对面诱骗到远程网络攻击，从木马病毒到短信嗅探，个人隐私泄露等安全事件频频发生，甚至危及人民群众生命财产安全，数据安全保护刻不容缓。

此外，范一飞进一步指出数据及数据安全对于金融行业的重要意义，数据已经成为了金融行业发展的新引擎，在使用数据之前要做好数据安全保护。金融机构不仅仅要做好数据治理，更要做好数据安全治理。这对于金融机构来说不是简单的事情。

以银行为例，根据《中小银行数据安全治理报告》显示，虽然92.5%的银行已经开展了数据安全治理工作，但是采用成熟的方法论几乎是0%。

《报告》指出，目前中国中小银行数据安全治理的总体态势存在三大短板：数据安全体系建设成效参差不齐；未遵循科学的方法论；知识和能力不足。

采用科学的、正确的方法，才能少走弯路，更容易成功。那么什么是数据安全治理的方法论？数据安全治理该怎么做呢？

分级指南：数据安全治理的基础

2020年9月23日，中国人民银行正式发布《金融数据安全 数据安全分级指南》（JR/T 0197-2020）（以下简称《指南》）。

《指南》给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。值得注意的是，《指南》虽为推荐性行业标准，但数据分类分级是金融机构所必须进行的重要工作。

《网络安全法》第二十一条规定网络运营者应当采取数据分类、重要数据备份和加密等措施，以防止网络数据泄露或者被窃取、篡改。

2020年4月9日，中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确提出“要推动完善适用于大数据环境下的数据分类分级安全保护制度”。

标准主要起草人、国家金融科技测评中心（银行卡检测中心）的陈聪博士表示，对数据资产进行梳理并开展数据安全分级是机构开展数据安全管理的起始点。对数据实施分级管理，能够进一步明确数据保护对象，有助于金融机构合理分配数据保护资源和成本，是金融机构建立完善的数据生命周期保护框架的基础，也是有的放矢地实施数据安全管理的前提条件。

有了分级的框架，后续才能够对数据采集和使用等情形进行界定，例如何种金融服务能采集哪些数据、数据如何存储及其留存期限、哪些数据必须加密或脱敏、机构内部和机构之间哪些数据在何种情况下能够进行跨部门、跨机构、跨行业，甚至跨国境的数据共享和传输等等。

因此，《指南》是解决金融行业数据安全应用和数据价值发掘痛点的根本，主要作用是敲地基，是数据安全相关标准制定和实施的基础和前提。换句话说，《指南》是数据安全治理方法论的基础。

数据使用和数据安全的两全之法

对数据的争夺，就是对商机和客户的争夺，而是否能够在这场争夺战中占据优势地位，取决于金融机构自身的数据安全治理能力。

对金融数据的使用和安全，中国人民银行科技司司长李伟曾表示，要制定数据分级标准，基于全局数据资产目录将数据进行分级。针对不同等级数据采取差异化的控制措施，实现数据精细化管理。规范数据共享流程，确保数据使用方在依法合规、保障安全前提下，根据业务需要申请使用数据。

由此可以看出，金融数据不是不能共享，也不是不能使用，而是在依法合规、保障安全前提下有序进行。也就是数据使用和数据安全的两全之法。

当前，数据安全能力已经成为金融机构核心竞争力的代表。金融机构自身数据资产安全梳理和数据安全分级作为数据安全管理的第一步，是切实保障金融数据安全应用、强化金融机构数据安全能力的有力保障。

相对体量庞大、业务复杂的机构，从厘清数据资产的难度角度，中小型金融机构落地指南的难度相对较低。

但是从数据安全管理工作一致性和完整性的角度，大型机构具备相对更为完善的组织、岗位和制度体系，以及更为丰富的资源和更加雄厚的资本，数据安全分级落地实施的过程中，能够进行更为全面和有力的统筹和规划，并能够获得更加专业、多样的外部支援力量（如专业人才、外部专家、第三方机构等），能够将数据安全分级与后续数据安全管理有机结合起来，在完成本阶段金融数据安全分级的同时，更加规范、有效地部署和实现覆盖数据生命周期全过程的金融数据安全管理体系。

因此，对于各类型金融机构，数据安全分级工作没有例外、更没有捷径可走。

数据分级首先需要对数据资产进行安全梳理，包括数据资产全面梳理、数据合规资料整理、不同数据安全需求分析以及对数据安全影响情况的评估等工作，即便是对于中小型机构，特别是此前没有将数据安全纳入机构日常安全管理规划中的机构来说，仍然是一项需要给予足够重视和投入才能完成好的工作。

因此可以考虑借助工具、第三方测评机构的技术能力和实施经验等，结合自身数据资产、机构特点、业务情况等，开展数据安全分级，以确保数据安全分级工作合法合规的同时，节约成本，提高效率。

国家金融科技测评中心在数据安全领域深耕多年，在密切关注当前时代数据安全保护价值的同时，深刻认识到数据安全能力对于金融机构核心竞争力提升的重要意义，认为金融机构应及早采取应对措施，通过进行技术交流、引进咨询项目、开展数据安全评估等渠道，充分理解和掌握数据安全分级方法及其应用，并应尽早开展数据安全分级工作，在全面梳理自身数据资产的基础上，完成好数据安全定级工作，为下一步开展覆盖数据生命周期全过程的数据安全管理体系建设提供坚实的基础，服务数据的安全应用和安全流动，为数据价值的全面、充分释放提供安全保障。