当前位置: 信息机 >> 信息机市场 >> 数据安全法落地护航金融数字化转型
本报记者张漫游北京报道
编者按/企业非法爬取用户数据、违规交易客户隐私信息、金融机构“内鬼”倒卖客户信息、金融APP违规过度收集个人信息……大数据时代,金融机构积极利用数据赋能的同时,也面临着由数据行业乱象带来的新的考验,客户及金融机构对保护金融信息与数据安全的诉求越来越强烈。在此背景下,自年9月1日起,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行。这部法律分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制。
数字经济、金融创新的根基是数据,随着9月1日我国关于数据安全的首部律法——《数据安全法》的正式实施,一场关于数据安全的变革正在金融机构中悄然展开。
《数据安全法》落地后,将对金融机构产生哪些影响?金融机构目前面对的数据安全隐患有哪些?下一步应该如何夯实数据风险防控根基?针对上述问题,《中国经营报》记者专访了中国邮政储蓄银行信息科技管理部总经理李朝晖、中国光大银行信息科技部副总经理王磊、Visa中国区风险管理部总经理曹明。
多位金融业人士指出,商业银行在加快数字化转型的过程中,积累了海量、高价值的客户数据,这些数据一直以来是网络安全防护的重点和难点,面对数据安全是一项长期性、系统性工程,需要持之以恒,不断提升。
金融机构数据安全治理应变
《中国经营报》:《数据安全法》的出台,对金融机构在个人金融信息保护上提出了哪些新要求?
李朝晖:《数据安全法》提出的系列新要求主要体现在:一是对“数据”范围做出界定,既包括“网络数据”,又包括以纸质等其他形式记载的“信息”,将其统一纳入《数据安全法》的规制,有利于法律执行的统一性,也符合数字经济时代下的网络安全要求。
二是构建国家数据安全基本制度,覆盖数据全生命周期,重点明确了数据分类分级及重要数据保护目录、数据安全风险评估、数据安全审查、数据出口管制和域外管理等方面的要求。
三是规定了数据安全保护义务,要求重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,涵盖数据收集、存储、使用、加工、传输、提供、公开等处理过程,并强化了国家核心数据和重要数据的保护要求和法律责任。
四是提出数据交易安全要求,明确数据交易中介服务机构的主要义务、数据交易的原则性要求和政务数据开放规定。
五是体现数据伦理内容,要求数据的开发利用应充分考虑老年人、残疾人的需求,不得对其造成障碍,充分体现了国家对特殊群体的关怀,有利于增强全民的幸福感和获得感。
王磊:《数据安全法》实施后,金融机构面临的新要求主要有:在坚持总体国家安全观的原则下,充分保护个人数据主体权益;规范个人信息的数据处理活动,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力;明确数据安全负责人和管理机构,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,落实数据安全保护责任。
《中国经营报》:《数据安全法》出台后,金融机构将面临哪些主要的调整?
李朝晖:数据安全涉及链条长、范围广,又是动态变化的,需要技术、业务部门以及风险、审计等二、三道防线持续推动落实。
对标《数据安全法》等法律法规和监管要求,金融机构首先要建立健全数据安全管理制度体系,细化数据分类分级机制,补充完善重要数据管理、数据安全风险评估、数据安全审查和出境管理等方面要求,并加强监督落实。其次要持续完善数据安全技术防护措施,参照有关标准规范和最佳实践,做细做实数据分类分级和全生命周期安全防护建设,从源头上加强技术安全防护。最后要不断加强数据合规使用,规范数据采集和外部数据使用,加大政务数据的采集和开发利用,同时做好动态管理,针对数据采集、委托、融合、共享、披露等关键环节,组织开展数据安全风险评估,对涉及国家安全的,及时申报数据安全审查。
王磊:金融机构的数据治理体系建设核心将转向以保护数据主体权益的数据安全治理体系,从组织架构、管理流程、技术工具、人才培养等多个方面自上而下进行推动。