2023金融数据保护治理白皮书.pdf
《2023金融数据保护治理白皮书.pdf》由会员分享,可在线阅读,更多相关《2023金融数据保护治理白皮书.pdf(141页珍藏版)》请在咨信网上搜索。
1、金融数据保护治理白皮书 金融数据保护治理白皮书 目 录 一、概述.1(一)发展背景.1(二)发展现状.7 二、国内外数据保护政策、法律和标准.18(一)国际数据保护政策和法律.18(二)国内数据保护政策和法律.25(三)国内相关标准.31 三、金融数据保护治理重要关注领域.38(一)分类分级识别与保护.38(二)数据出域探究.46 四、金融数据保护治理体系.65(一)数据保护治理主要框架介绍.65(二)金融数据保护治理总体框架建议.71(三)组织建设.73(四)管理体系建设.75(五)技术支撑建设.89 五、发展展望.103 金融数据保护治理白皮书(一)聚焦实操问题,加快数据保护实施标准建设.
2、103(二)优化数据保护技术,推动数据共享良性循环.104(三)强化数据安全评估,建立闭环式管控体系.104 附录 A:金融业数据保护治理实践案例.106 案例一:工商银行数据保护治理实践.106 案例二:光大银行数据保护治理实践.111 案例三:中国人寿数据保护治理实践.116 案例四:蚂蚁集团数据保护治理实践.119 附录 B:其他行业数据保护治理实践案例.127 案例一:沪杭甬高速工业互联网数据保护治理方案.127 案例二:基于隐私计算技术的政务数据保护和应用.132 附录 C:数据出域相关法律法规标准.137 金融数据保护治理白皮书 摘要:摘要:目前业界已出台数据保护方面的治理模型,但
3、围绕金融数据保护治理的实践指导等尚不成熟,本课题围绕数据保护治理的金融实践、发展现状,探索和标准化相关能力要求,归纳总结相关建设范式,推进数据保护、治理在金融领域的研究应用。金融数据保护治理白皮书 1 一、概述(一)发展背景(一)发展背景 1.1.面临挑战,积聚风险面临挑战,积聚风险 随着信息科技的飞速发展,以数据为核心的数字经济正成为驱动全球经济增长的新动力。金融领域也是如此,国务院金融稳定发展委员会的数次会议上均提到要大力发展数字金融,数字技术驱动金融业变革和发展已是大势所趋。数字经济的不断发展,催生出海量数据。据 IDC 预测1,2025年全球数据量将高达175ZB2,其中中国的数据量预
4、计将达 48.6ZB,占比 27.8%。面对数据量的爆炸式增长,数据来源的日益丰富,数据类型的不断创新,金融数据保护治理的广度、深度和难度与日俱增。金融业主体依据业务运营需要对个人和组织数据的获取、传递、使用、管理等诸多方面都不断推陈出新。数据在人们的金融生活中扮演越来越多样的角色,发挥越来越重要的作用。时至今日,不论是个人支付还是企业贷款,不论是城镇建设还是国家发展,不论是货币流通还是进出口贸易,社会生活的方方面面都流淌着金融数据的“血液”。包括互联网公司在内的泛金融机构利用自身的平台优势和业务粘性吸附并留存了大量的个人信息数据,不时有某某互联网公司数据泄露的新闻见诸报端,1 IDC,全称
5、International Data Corporation,是信息技术、电信行业和消费科技市场咨询、顾问和活动服务专业提供商。2 ZB 是一种大数据容量存储单位。金融数据保护治理白皮书 2 对合规监管带来了极大的挑战,安全风险不言而喻。美国Verizon3公司发布的2020 年数据泄露调查报告 DBIR4指出,55%的数据泄露事件涉及有组织犯罪,30%的数据安全事件源自企业内部。(1)金融数据安全风险的识别难度不断增大 由于“科技赋能金融”的金融科技发展迅速,不论新技术还是新场景都催生出新的安全风险。区块链、人工智能等新兴技术在金融科技领域的快速应用,疫情、洪灾等公共卫生事件和气象自然灾害的
6、爆发带来的远程办公需求,臭名昭著的勒索软件等新兴攻击技术的持续演化等,内嵌新兴技术的创新应用场景在某种程度上增大了金融数据安全风险的识别难度,对金融数据保护治理提出了更高的要求。(2)金融数据安全风险的管控复杂度不断增加 金融数据安全概念范畴广泛,既有私密性又有公共性,例如个人金融信息带有强烈的私密属性,相较而言,金融监管过程中收集的数据又具有明显的公共属性。因此,金融数据特有的多重概念属性增大了金融数据保护治理的复杂度。(3)金融数据安全风险的危害程度不断提升 从业务的形态、逻辑和内涵等视角审视,当下的金融业务具有纷繁多样、交错关联、复杂深厚等特性,业务产生和涉及的各 3 Verizon 是
7、美国最大的本地电话公司、最大的无线通信公司,全世界最大的印刷黄页和在线黄页信息的提供商。4 Verizon 公司自 2008 年以来的第 13 份数据泄露调查报告。透过这份报告可以观察到与数据泄露相关活动的趋势,许多重要发现和影响不仅适用于 IT 安全,同时也适用于 OT 安全。金融数据保护治理白皮书 3 类数据在业务内外部交互多、交互过程复杂,这给数据流转的管控增加了极大的难度。因此,金融业务的不断融合创新客观上提升了金融数据安全风险的危害程度。综上,金融数据的安全与否所关乎的利益愈发的纷繁复杂,带来的影响愈发地长久深远。金融数据生命周期的链条串起的数据流转节点上,每一家金融主体、每一位个体
8、、每一个监管实体既是数字金融的受益者,也是金融风险的责任人与应对挑战的参战方。金融数据保护治理需依靠全面科学的框架规范、准确合理的技术手段、完整有效的落实方式,才能不断应对挑战,化解风险。2021 年 7 月,国家互联网信息办公室发布通知称,某出行 APP 存在严重违法违规收集使用个人信息问题。依据中华人民共和国网络安全法5相关规定,通知应用商店下架某出行 APP,这正是数据保护治理箭在弦上,势在必行的体现。2.2.数据立法,标准出台数据立法,标准出台 近年来,随着数据价值提升和数据安全事件频发,社会经济和国家安全面临严峻的挑战。个人信息泄露、行业间数据外泄等安全挑战不断发生。因此,全球主要国
9、家和地区先后出台了数据安全与隐私保护的相关政策与标准,对数据的采集、传输、存储、使用、删除、销毁等全生命周期管理进行拘束和指引。这些政策法规的出台,一方面可以有效确保数据经济的良性发展,规避伴 5 网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,自 2017 年 6 月 1 日起施行。金融数据保护治理白皮书 4 随数据经济发展可能造成的权利纠纷和侵害,破除数据内部潜在的深层次犯罪基础;另一方面,政策法规对数据安全提出了严格的要求,对各机构数据保护治理提出了新挑战。(1)各国先后出台数据相关政策,加强数据保护 美国分别于 2019 年 12 月和 2020 年 10 月发布了
10、 联邦数据战略和 2020 年行动计划6和国防部数据战略7,阐述了其对数据在国家经济和安全领域的最新定位,同时还包括一系列促进数据发展和保护的战略举措。欧盟在 2018 年 5 月发布了约束极为严格的通用数据保护条例8(简称“GDPR”),此条例成为全球各国制定数据保护政策的重要参考,在一定程度上加速了数据保护治理领域的发展。2020 年 2 月,欧盟相继发布了 欧盟数字化战略 欧洲数据战略9和欧盟人工智能战略,表明要建立数据主权。英国政府于2020年9月发布了 国家数据战略,阐述了数据的作用和保护数据的措施。(2)国家不断强化数据定位,持续推进法制建设 国家对数据在我国经济社会发展中的作用和
11、意义有着高瞻远瞩的认识。2017 年 12 月,习近平总书记在中共中央政治局就实施国家大数据战略进行的第二次集体学习中提出,“要构建以 6 2019 年 12 月 23 日,美国白宫行政管理和预算办公室(OMB)发布联邦数据战略与 2020 年行动计划。7 2020 年 10 月 8 日,美国国防部发布了首份数据战略,宣布要将国防部建设成为“以数据为中心的机构”。8 2018 年 5 月正式生效的(General Data Protection Regulation,简称 GDPR)标志着欧盟个人数据保护的力度升级,前身是欧盟在 1995 年制定的计算机数据保护法。9 2020 年 2 月 1
12、9 日,欧盟委员会发布欧洲数据战略(AEuropeanStrategyfordata),该数据战略概述了欧盟未来五年实现数据经济所需的政策措施和投资策略。金融数据保护治理白皮书 5 数据为关键要素的数字经济。要切实保障国家数据安全,要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力”。随后,2019 年 10 月,党的十九届四中全会审议并通过的 中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定中指出,“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。推进要素市场制度建
13、设,实现要素价格市场决定、流动自主有序、配置高效公平。”,首次给出了“数据”作为生产要素的定位。2020 年 4 月印发的中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见首次将数据定义成为同土地、劳动力、资本,和技术同等重要的第五大生产要素,并提出加快培育数据要素市场的三点意见。同年 5 月印发的中共中央国务院关于新时代加快完善社会主义市场经济体制的意见 进一步明确了加快培育数据要素市场,建立数据资源管理清单机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值等。法律法规层面,全国人大常委会先后出台了国家安全法10网络安全法11,并于 2021 年 6 月的
14、第十三届全国人民代表大会常务委员会第二十九次会议上通过了 数据安全法12,2021 10 2015 年 7 月 1 日,第十二届全国人民代表大会常务委员会第十五次会议通过,中华人民共和国主席令第 29 号公布中华人民共和国国家安全法(简称国家安全法),自公布之日起施行。11 中华人民共和国网络安全法(简称网络安全法)是我国第一部全面规范网络空间安全管理方面问题的基础性法律,自 2017 年 6 月 1 日起施行。12 中华人民共和国数据安全法(简称数据安全法),自 2021 年 9 月 1 日起施行。金融数据保护治理白皮书 6 年 8 月历经三次审议的中华人民共和国个人信息保护法(以下简称“个
15、人信息保护法”)获十三届全国人大常委会第三十次会议表决通过。这四部法律共同构成了我国整体数据保护体系的顶层设计。(3)金融数据关系国计民生,监管要求日臻清晰 金融数据保护方面,在数次会议上都提到金融基础设施、金融安全、金融数据保护治理、金融科技监管之间的交错关系,强调了在国家总体部署下,金融监管部门对金融数据保护治理的守土责任。为此,中国人民银行、银保监会、证监会等金融监管部门先后出台了一系列关于金融数据治理与安全的法规、意见和标准。2018 年 5 月,原银保监会发布银行业金融机构数据治理指引13。2018 年 9 月,中国证监会发布了证券期货业数据分类分级指引14证券期货业机构内部企业服务
16、总线实施规范15期货市场客户开户数据接口16证券发行人行为信息内容格式17等四项金融数据标准。中国人民银行分别于 2020 年 2 月至2021 年 4 月期间,发布了个人金融信息保护技术规范18金融数据安全 数据分级指南19多方安全计算金融应用规范20、13 2018 年 5 月,原银保监会发布银行业金融机构数据治理指引,为商业银行搭建完善的数据治理体系提供了指引。14 证券期货业数据分类分级指引(JR/T 0158-2018)15 证券期货业机构内部企业服务总线实施规范(JR/T 0159-2018)16 期货市场客户开户数据接口(JR/T 0160-2018)17 证券发行人行为信息内容
17、格式(JR/T 0163-2018)18 个人金融信息保护技术规范(JR/T 01712020)19 金融数据安全 数据分级指南(JR/T 01972020)20 多方安全计算金融应用规范(JR/T 01962020)金融数据保护治理白皮书 7 金融业数据能力建设指引21和金融数据安全 数据生命周期安全规范22等多部金融数据保护领域的技术标准。金融监管部门结合各自金融业务特点从金融数据保护治理的多个角度对涉及金融数据保护的诸多方面出台了具体标准,并且仍在不断丰富和完善中。政策的出台,一方面为金融业各方指明了金融数据应用的方向和边界,另一方面有效保护了金融数据权属主体的合法权益,对数据治理提出了
18、新的要求。监管日渐趋严的内外部环境下,有必要对金融数据保护治理的要求进行梳理明晰,对数据保护治理的方式方法进行剖析论证,为管理、维护、使用金融数据的上下游机构和企业,推出符合当前政策要求和应用实际的金融数据保护治理体系建设策略。(二)发展现状(二)发展现状 1.1.分类分级是数据保护治理基础分类分级是数据保护治理基础 国家十四五规划和 2035 年远景目标建议中明确提出“加快数字化发展”,并强调了完善数据分类分级保护制度,制定数据隐私保护和安全审查制度,加强政务数据、企业商业秘密和个人信息保护的重要性。数据安全法一审稿对地方、部门制定重要数据目录做了规定。经宪法和法律委员会研究,建议在二审稿相
19、关条款中规定,21 金融业数据能力建设指引(JR/T02182021)22 金融数据安全 数据生命周期安全规范(JR/T 0223-2021)金融数据保护治理白皮书 8 国家建立数据分类分级保护制度,确定重要数据目录,加强对重要数据的保护;各地区、各部门按照规定确定本地区、本部门,以及相关行业、领域的重要数据具体目录。在法律层面,国家已将分类分级作为数据保护治理的基础性要求,从强调重点管理提升为体系化管理。金融行业是数据密集型行业,金融数据作为生产要素的价值日益凸显。同时,金融业相关机构和实体存在数据质量不高、数据使用不当、数据保护不周、数据流转不畅等问题。金融数据内涵丰富,种类繁多,金融数据
20、分类分级工作的开展过程实际上是金融业机构按照一定标准对其所拥有的数据资产进行梳理的过程。个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。金融数据安全 数据安全分级指南特别强调金融业机构应高度重视个人金融信息相关数据,在数据安全定级过程中从高考虑。不仅是国家法律和行业规范对数据分类分级提出相关要求,随着数据分类分级制度构建不断深化,越来越多的文件开始探索数据分类分级具体标准的明确,证监会于 2018 年 9 月 27 日发布的证券期货业数据分类分级指引(JR/T 0158-2018)、中国人民银行于 2020 年 2 月 13 日发布的 个人金融
21、信息保护技术规范(JR/T 0171-2020)及工信部于 2020 年 2 月 27 日发布的工业数据分类分级指南(试行)、2020 年 9 月 28 日,中国人民银行印发金融数据安全 数据安全分级指南(JR/T 0197-2020),根金融数据保护治理白皮书 9 据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别由高到低划分为五级。因此,对数据资产进行梳理并开展数据安全分级是机构开展数据安全管理的起始点,是金融机构建立完善数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。“安全+利用”是数据治理的共生形态,数据安全是总体国家安全的重要立足点,不
22、同的数据类型对国家安全的影响度悬殊。关系国家安全、国民经济命脉、重要民生、重大公共利益等领域的数据属于国家核心数据,理应采取更加严格的管理制度进行保护。金融行业不仅要遵循国家法律法规的相关要求,推进数据分级分类保护体系的落地,更加需要结合金融业自身特点,科学合理的厘定级别和类别的层次和界限,为金融数据保护治理的有效实施提供坚实基础。2.2.个人信息保护是数据保护治理重要方面个人信息保护是数据保护治理重要方面 2021 年 1 月 1 日,中华人民共和国民法典正式实施,其中人格权编设立“隐私权和个人信息保护”专章,是构建数字时代个人信息和隐私保护的民法基础;个人信息保护法于 2021年 11 月
23、 1 日起生效实施,明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规定,完善个人信息保护投诉、举报工作机制等。个人信息保护法构建以“告知-同意”为核心的个人信息处理规则,规范自动化决策中个人金融数据保护治理白皮书 10 信息处理规则,赋予个人关于个人信息保护的各项权利,强化个人信息处理者的义务,加大对侵犯个人信息行为的惩处力度。个人信息保护法明确了个人信息保护、合法正当诚信、处理必要、目的特定、知情同意、个体参与、保证质量、公开透明、安全保障和决策公平等十大原则。该法强调社会各界对待个人信息应采取必要的保护措施,并合法、正当、诚信地处理个人信息。该法同时对个人信息的收
24、集、处理、保存等作出了严格限制,并强调使用个人信息目的的合理性和明确性,以及个体在个人信息处理中具有的法律地位和拥有的合法权益。个人信息保护作为金融数据保护的重要组成部分,其核心宗旨在于对个人意志的尊重,这也是金融数据保护治理的核心要义之一。金融数据保护治理从广义上讲是为了保障国家金融安全,从狭义上看,同样与我们每一个公民的信息保护息息相关,因此,个人信息保护在金融数据保护治理中承担着个人保护与总体安全的双重内涵。3.3.框架建设是数据保护治理范式框架建设是数据保护治理范式 数据保护是我国各行各业信息化建设的薄弱环节,在金融行业,生产数据被保护的比例仅有 15%;在政府,数据被保护的比例还不到
25、 10%。2021 年全球数据保护指数(GDPI)显示,有 88%的中国 IT 决策者(全球 82%)担心其现有的数据保护解决方案无法满足未来所有的业务挑战。在数据治理与隐私保护的政策法金融数据保护治理白皮书 11 规上进行前瞻性研究,探索确立数据治理与隐私保护的中国原则、制度与框架,加快形成中国方案,已经刻不容缓。随着数字经济立法的逐步完善,以及数据保护技术的全方位发展,系统化的数据保护治理框架不断涌现,逐渐成为各行业数据保护治理建设实践的有效范式。数据保护治理是一项复杂的社会工程,涉及数据公开与隐私保护的关系、数据共享与数据权属的关系、数据权利与数据公平的关系,知识产权与数据产权的关系,需
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 金融 数据 保护 治理 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。