2023金融业数据应用发展报告.pdf

《2023金融业数据应用发展报告.pdf》由会员分享，可在线阅读，更多相关《2023金融业数据应用发展报告.pdf（166页珍藏版）》请在咨信网上搜索。

1、金融业数据应用发展报告（2023）北京金融科技产业联盟 2024 年 5 月 编制委员会 编委会成员：何 军 聂丽琴 孔 宇 左 燕 刘 刚 编写组成员：蒙永明 蔡 睿 张少敏 金银玉 单进勇 蔡超超 韩 杰 卞 阳 杨天雅 陈嘉俊 张敬之 曹旭涛 郑华祥 李 博 吴红力 姚 明 陈 聪 张艳君 黄 淼 王鹏达 胡翔鹰 黄翠婷 陈 涛 康和意 李伟男 毛智琪 陈 明 李克鹏 李如先 刘维静 李 杰 叶旭发 秦 凯 徐集优 王 超 赵 可 王慧敏 编 审：黄本涛 国 钰 郭 栋 刘宝龙 参编单位：中国农业银行股份有限公司 中国银行股份有限公司 北京数牍科技有限公司 上海富数科技有限公司 浙商银行

2、股份有限公司 平安银行股份有限公司 青岛银行股份有限公司 北京金融资产交易所有限公司 深圳市洞见智慧科技有限公司 北京银联金卡科技有限公司 北京冲量在线科技有限公司 同盾科技有限公司 蚂蚁科技集团股份有限公司 深圳市腾讯计算机系统有限公司 联易融数字科技集团有限公司 中电金信软件有限公司 蓝象智联科技有限公司 目 录 一、概述.1 二、发展背景.3（一）政策指引.3（二）标准引导.15 三、发展现状.29（一）数据治理.29（二）数据资产管理.34（三）数据运营.37（四）数据要素流通.48（五）流通技术.57 四、面临的挑战.68（一）政策标准有待进一步完善.68（二）数据应用风险管控亟待加

3、强.71（三）数据服务能力评价机制仍需完善.74（四）系统建设与数据应用仍然存在割裂.76（五）数据产品创新能力不足.79 五、发展建议.81（一）加大政策支持与标准供给.82（二）推进数据安全体系落地.85（三）构建数据服务闭环.91（四）建设数据友好型系统.93（五）加强数据驱动型产品建设.97 六、典型案例.104 七、结语.147 八、附录.150 1 一、概述 随着数字经济席卷全球，数据作为一种新型生产要素已成为重要战略资源。各行业纷纷增设信息科技部门，加大信息化建设力度，以期利用大数据技术提高服务能力和水平。在我国，互联网、政府、金融是大数据融合产业发展的重点行业。其中互联网和金融

4、行业信息化水平高、研发力量雄厚，在业务数字化转型方面处于领先地位。除此之外，金融数据是大数据商业应用最早的数据源之一，面对如今快速增长的海量网络数据和复杂的网络社群关系，如何从大数据中提取有价值的信息，最大化提高数据服务能力，是金融行业不可避免的难题。在此背景下，中央多次发文表示要加强数据的感知、传输、存储和运算能力。国民经济和社会发展第十四个五年规划 中，明确指出要加快构建全国一体化大数据中心体系，建设若干国家级大数据中心集群；激活数据要素潜能，加快建设数字经济、数字社会、数字政府；充分发挥海量数据和丰富应用场景优势，推动数据赋能全产业协同转型；加强数据开放共享，建立健全数据要素市场，开展数

5、据跨境传输安全管理试点。金融科技发展规划(20222025 年)提出新时期金融科技发展指导意见，明确金融数字化转型的总体思路、发展目标、重点任务和实施保障。解决金融科技发展不平衡不充分等问题，推动金融科技健全治理体 2 系，完善数字基础设施，促进金融与科技更深度融合、更持续发展，更好地满足数字经济时代提出的新要求、新任务。本报告通过对数据应用技术在2021至2023年间的发展进行分析探索，希望能够对大数据在金融行业的应用提供参考。报告一共分为六章。第一章概述，介绍了本报告的研究内容与意义。第二章发展背景，从政策及标准的背景、内容、影响等方面介绍2021 年到 2023 年新出台的对金融行业影响

6、较大的行业政策和行业标准，以及金融行业机构对新政策的解读。第三章发展现状，从数据要素流通、数据资产管理、数据治理、流通技术等角度对金融行业数据应用现状进行详细介绍。第四章面临的挑战，提出了政策标准不够完善、数据应用存在安全风险、数据服务能力评价体系不完善、系统建设与数据应用仍然存在割裂、数据产品创新乏力等数据应用面临的挑战及难题。第五章发展建议，针对第四章提出的挑战进行了逐一分析建议，提出了加强政策引导与制定应用标准、保障数据安全体系落地、形成数据服务闭环、建设数据友好型系统、数据驱动产品建设等对策建议。第六章典型案例，介绍了金融业数据应用的实践案例。第七章结语，总结课题情况及数据专委会重点工

7、作。本报告在北京金融科技产业联盟数据专委会组织下，由农业银行牵头，中国银行、数牍科技、富数科技、浙商银行、平安银行、洞见科技、银行卡检测中心、冲量在线、青岛银行、同盾科技、北京金融资产交易所、蚂蚁集团、腾讯、联易融、中电金信、蓝象智联等机构共同编写完成。3 二、发展背景 在数据要素建设全面提速的背景下，数据赋能金融机构数字化转型已成为大数据时代的必然选择，全面加强数据能力建设势在必行。当前，金融机构对数据能力的要求和关注日益提升，监管部门也加强了对数据能力建设及数据治理的要求和指引。本章节主要从政策背景、内容、影响等角度对中华人民共和国数据安全法 中共中央国务院关于构建数据基础制度更好发挥数据

8、要素作用的意见 金融科技发展规划（20222025 年）金融数据安全 数据生命周期安全规范 金融数据安全 数据安全分级指南金融业数据能力建设指引等政策法规、行业标准进行解读。（一）（一）政策指引政策指引 1.1.中华人民共和国数据安全法中华人民共和国数据安全法（1）政策背景 2021 年 6 月 1 日，中华人民共和国数据安全法（以下简称数据安全法）经第十三届全国人民代表大会常务委员会第二十九次会议表决通过，于 2021 年 9 月 1 日正式施行。数据安全法 是我国首部以规制数据安全为核心内容的专项法案，其施行既有利于弥补我国数据安全保护领域的法律空白，为保护我国数据安全以及维护数据主权提供

9、法律支持，又有 4 利于推动以数据为核心的数字经济的发展，实现我国产业的数字化转型升级。该法案对于数据采取的治理逻辑为保护加利用，一方面，基于国家安全战略对数据的审查、评估、管理等制定了严格的政策与措施，另一方面，为数据的要素化、充分挖掘数据的巨大潜能提供了重要的制度保障。这是整个数据行业的基本法，更加强调总体国家安全观，该法以数据为核心，对信息社会、数据时代起基础性支持作用，其本质是以安全为基础和起点，终极目标是数据作为生产要素能够加速流通。数据安全法不仅回应了国内外重要的数据安全问题，还体现了我国数据安全保护的决心。一方面，进入信息全球化时代以来，数据安全问题频发，世界重要国家与国际组织先

10、后通过立法对数据安全问题进行规制。另一方面，近年来我国产业的数字化转型升级加快，对数据安全保护提出了新的要求。我国当前针对数据安全问题的立法存在空白，法律体系尚不完善，数据安全受到严重威胁。在数字经济蓬勃发展的时代，应当建立起我国统一的数据安全法律体系，提升数据安全保护效力，为推动数字经济发展打下坚实的法律基础。因此，数据安全法的出台具有深刻的时代意义。（2）政策内容 a.具体内容 数据安全法是我国在数据安全领域的专门立法，与网 5 络安全法 个人信息保护法以及其他专项及地方立法共同构成我国数据安全保护法律体系。数据安全法主要包括以下四个方面的内容：第一，数据安全法确立了我国坚持数据安全保护与

11、发展并举的原则。安全是法律保护的秩序价值，发展是法律追求的重要目标。就数据规制而言，需要更好地平衡安全与发展的关系，以实现数据安全与发展的动态平衡。丧失了安全保障，数据发展将失去稳定运行的前提，甚至会由于缺乏监管而带来不可承受的风险与损害。因此，我国坚持数据安全保护与发展并举，在确保数据安全的前提下，鼓励数据依法合理有效利用，促进以数据为核心的数字经济发展。第二，数据安全法 设立了多样的数据安全保护机制。数据安全法出台前，我国多从技术控制的角度对数据安全问题进行规制，强调通过技术手段保障数据安全，缺乏相应的配套制度。该法第三章以专章形式规定了数据分级分类保护、数据安全审查、数据出口管制、对等措

12、施以及跨境流动审批等制度，强调以完善的体制机制维护数据安全。数据安全法设立的数据安全保护机制，弥补了过去重技术轻制度建设的情况，减少了因制度建设不完善而产生的数据安全问题。第三，数据安全法明晰了数据安全保护义务。与该法设立的数据安全保护机制相衔接，数据安全保护义务强调在数据安全保护机制下实行多元主体协作机制。在保护义务的具体实施方面，数据安全法第四章规定了数据内部及外部控制、风险监 6 测、风险评估以及数据交易等机制，明确了各级各类主体应当承担的义务以及采取的必要措施。考虑到政务数据具备的特殊价值，数据安全法第五章对政务数据安全与开放问题进行了单独规定。明晰的义务有利于规范数据处理活动，进一步

13、明确数据安全监管责任，降低数据安全风险。第四，数据安全法建立了追责制度。针对不同的义务主体，数据安全法在第六章规定了不同的法律责任。针对我国有关主管部门，明确了其监管责任以及对违反数据安全保护义务的组织和个人可以采取的措施。对进行数据处理活动的有关组织和个人而言，应当配合主管部门的监管，遵守数据安全保护制度，否则将根据其违法的程度不同，给予警告、停业整顿、吊销营业执照以及罚款等惩戒措施。与上述措施不同，对不履行监管义务的国家机关工作人员以及责任人员主要给予行政处分以示惩戒。数据安全法以分级分类的形式明确了不同主体的法律责任，使得数据安全法的执行力更强，能够有效预防、制止以及惩罚危害数据安全的各

14、类行为。总体而言，数据安全法明确数据安全主管机构的监管职责，建立健全数据安全协同治理体系，提高数据安全保障能力，促进数据出境安全和自由流动，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，让数据安全有法可依、有章可循，为数字化经济的安全健康发展提供了有力支撑。b.落地方案 7 对标数据安全法等法律法规和监管要求，金融机构首先要建立健全数据安全管理制度体系，细化数据分类分级机制，补充完善重要数据管理、数据安全风险评估、数据安全审查和出境管理等方面的要求，并加强监督落实。其次要持续完善数据安全技术防护措施，参照有关标准规范和最佳实践，做细做实数据分类分级和全生命周期安全防

15、护建设，从源头上加强技术安全防护。最后要不断加强数据合规使用，规范数据采集和外部数据使用，加大政务数据的采集和开发利用，同时做好动态管理，针对数据采集、传输、融合、共享、发布等关键环节，组织开展数据安全风险评估，对涉及国家安全的，及时申报数据安全审查。金融机构的数据治理体系建设核心将转向以保护数据主体权益的数据安全治理体系，从组织架构、管理流程、技术工具、人才培养等多个方面自上而下进行推动。重点关注的内容包括管理机构的明确、数据合规机制的建立与运转、数据安全创新技术的引入与研究、培训宣贯与人才培养。为落实数据安全法，可以在如下几个方面，进行落地：一是加强数据安全治理，制定数据安全有关制度规范，

16、技术部门和业务部门、风险管理部门、审计部门“三道防线”各司其职，联防联控，共同推进落实数据安全管理。二是构建数据安全纵深防御体系，在传统网络安全防护的基础上，强化一体化运维安全建设和漏洞处置能力，部署沙箱、云桌面、数据脱敏和防泄漏、态势感知等安全产品；同时，加强应 8 用安全防护，将数据安全要求嵌入业务需求和系统建设各个环节，通过系统固化业务流程，利用认证、校验、加密、脱敏、屏蔽、访问控制、备份恢复、安全审计等措施，从源头上加强保护。三是强化数据使用安全，通过优化业务流程，进一步规范员工合规操作；通过推进数据分类分级，强化数据精细化管理；通过建设数据实验室、搭建大数据门户、统一外部数据管理等措

17、施，保障数据安全使用；通过开展舆情监测、强化敏感数据监测、组织外包检查等措施，防范供应链安全风险。四是引导数据安全文化建设。一方面，组织开展消费者权益保护、安全保密、个人金融信息安全等方面的培训，开展案例警示教育，营造安全合规氛围；另一方面，利用网点、网站、社区等多种渠道，持续宣传数据安全与个人金融信息保护内容，增强公众安全意识。五是加强审计监督，组织开展年度信息科技风险检查、评估与审计，将网络数据与个人金融信息安全作为工作重点，加大问题整改和处罚力度，坚持零容忍态度，对违规行为进行严肃处理。（3）政策影响 数据安全法的出台，对金融机构在数据安全、个人金融信息保护上提出了新要求：第一，对“数据

18、”范围作出界定，既包括“网络数据”，又包括以纸质等其他形式记载的“信息”，将其统一纳入数据安全法的规制，有利于法律执行的统一性，也符合数字经济时代下的网 9 络安全要求。第二，构建国家数据安全基本制度，覆盖数据全生命周期，重点明确了数据分类分级及重要数据保护目录、数据安全风险评估、数据安全审查、数据出口管制和域外管理等方面的要求。第三，规定了数据安全保护义务，要求重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任，涵盖数据收集、存储、使用、加工、传输、提供、公开等处理过程，并强化了国家核心数据和重要数据的保护要求和法律责任。第四，提出数据交易安全要求，明确数据交易中介服务机

19、构的主要义务、数据交易的原则性要求和政务数据开放规定。第五，体现数据伦理内容，要求数据的开发利用应充分考虑老年人、残疾人的需求，不得对其造成障碍，充分体现了国家对特殊群体的关怀，有利于增强全民的幸福感和获得感。2.2.中共中央国务院关于构建数据基础制度更好发挥数中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见据要素作用的意见（1）政策背景 数据作为新型生产要素，具有无形性、非消耗性等特点，可以接近零成本无限复制，对传统产权、流通、分配、治理等制度提出新挑战，亟需构建与数字生产力发展相适应的生产关系，不断解放和发展数字生产力。按照党中央、国务院决策部署，国家发展改革委牵头研究起草“数

20、据二十条”，组建跨学科专家队伍，赴多地深入调研，并吸纳了各方面有关意见。习近平总书记主持 10 召开中央全面深化改革委员会第二十六次会议，审议通过了“数据二十条”。“数据二十条”主旨是构建数据基础制度，保障数据要素的安全和发展。（2）政策内容“数据二十条”强调探索建立数据产权制度，推动数据产权结构性分置和有序流通，结合数据要素特性强化高质量数据要素供给。在国家数据分类分级保护制度下，建立公共数据、企业数据、个人数据的分类分级确权授权制度和市场化流通交易机制，建立数据资源持有权、数据加工使用权、数据产品经营权的“三权”分置的产权运行机制，健全各参与方合法权益保护制度，推进“共同使用，共享收益”新

21、模式。加大个人信息保护力度，推行匿名化个人数据合理使用，健全数据要素权益保护制度。在流通和交易方面，要完善和规范数据流通规则，构建促进使用和流通、场内场外相结合的交易制度体系，培育壮大场内交易；有序发展数据跨境流通和交易，建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系。在收益分配方面，要顺应数字产业化、产业数字化发展趋势，充分发挥市场在资源配置中的决定性作用，更好地发挥政府作用。完善数据要素市场化配置机制，扩大数据要素市场化配置范围和按价值贡献参与分配渠道。完善数据要素收益的再分配调节机制，让全体人民更好共享数字经济发展成果。11 在数据要素治理方面，要把

22、安全贯穿数据治理全过程，构建政府、企业、社会多方协同的治理模式，创新政府治理方式，明确各方主体责任和义务，完善行业自律机制，规范市场发展秩序，形成有效市场和有为政府相结合的数据要素治理格局。在保障措施方面，要加大统筹推进力度，强化任务落实，创新政策支持，鼓励有条件的地方和行业在制度建设、技术路径、发展模式等方面先行先试，鼓励企业创新内部数据合规管理体系，不断探索完善数据基础制度。切实加强组织领导、加大政策支持力度、积极鼓励试验探索、稳步推进制度建设。（3）政策影响“数据二十条”指出数据基础制度建设事关国家发展和安全大局，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通使用、赋能实体

23、经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。这一重要论述，为我们加快构建数据基础制度体系，进一步释放数据要素价值，激活数据要素潜能指明了方向。构建数据基础制度体系，是新时代我国改革开放事业持续向纵深推进的标志性、全局性、战略性举措，有利于充分发挥数据要素作用，赋能实体经济，推动高质量发展；有利于做强做优做大数字经济，应对科技革命和产业变革，构筑国际竞争新优势；有利于统筹分配效率与公平，推动全民共享数字经济发展红利，促进实现共同富裕；有利于提高数据要素治理效能，助力国家治 12 理体系和治理能力现代化。3.3.金融科技发展规划（金融科技发展规划（2022202

24、5 年）年）（1）政策背景 在金融科技（FinTech）发展规划（20192021 年）引领下，我国金融科技发展取得举世瞩目的成就，已成为金融数字化转型的核心驱动力，在深化金融供给侧结构性改革、增强金融服务实体经济能力等方面发挥重要作用。人民银行认真贯彻落实党中央、国务院决策部署，从战略全局不断加强顶层设计和统筹规划，接续出台金融科技发展规划（20222025 年），提出新时期金融科技发展指导意见，明确金融数字化转型的总体思路、发展目标、重点任务和实施保障，为新时期金融数字化转型谋定方向、明晰路径。（2）政策内容 金融科技发展规划（20222025 年）明确了金融数字化转型总体思路、目标方向和

25、实施路径，系统提出 8 大类 28 项重点任务，勾勒“十四五”时期金融科技发展蓝图。金融机构要以规划为引领，着力在补短板、强弱项、固底板、扬优势上下功夫，重点做好五方面工作。充分激活金融数据要素潜能。充分激活金融数据要素潜能。一是加强数据治理。建立健全协调一致、涵盖全生命周期的数据治理体系，统一数据编码规则和接口规范，编制企业级数据字典和数据资源目录，做好数据分级分类。二是深化融合应用。建立多元化数据共享和权属判定机 13 制，搭建企业级数据交换技术通道，综合运用隐私计算、联合建模、差分隐私等技术对海量多样化多维度数据资源进行价值挖掘和关联分析。三是做好信息保护。严格落实数据安全保护法律法规与

26、标准规范，建立健全数据全生命周期安全管理机制，运用匿踪查询、去标记化、可信执行环境、随机化等手段严防数据逆向追踪、隐私泄露、数据篡改与不当使用，切实保护数据主体合法权益不受侵害。着力打造数字化经营新动能。着力打造数字化经营新动能。在战略部署方面，建立健全企业级数字化转型组织架构和治理机制，通过数字化能力成熟度评价等方式科学衡量转型质效，构建涵盖规划、生产、管理等职能的特色化发展矩阵。在敏捷创新方面，探索数字化工厂、创新实验室等创新模式，建立技术与业务高效联动、前中后台密切协作、决策与执行高度统一的创新协同网络。在中台建设方面，采用低耦合、高内聚架构搭建便捷易用的技术中台，构建集成数据整合、提纯

27、加工、建模分析、质量管控、可视交互等功能的综合型数据中台。在业务赋能方面，运用知识图谱、机器人流程自动化等技术构建环节无缝衔接、信息实时交互、资源协同高效的运营模式，构建覆盖用户全生命周期、业务全流程的数字化经营能力。不断深化关键核心技术应用。不断深化关键核心技术应用。一是加强核心技术应用攻关，聚焦金融科技应用前沿问题和主要瓶颈，通过行业组织、孵化平台、专项合作等方式加大关键软硬件技术金融应用的前瞻性与战略性研究攻关。二是切实保障供应链稳定可靠。强化关键核心技术标准符合性和安全性把关，确保技术路径与自身需求高度匹 14 配。三是构建开放创新产业生态。以金融机构为主体，广泛联合高等院校、科研院所

28、、高新技术企业等搭建金融科技产用对接平台，加强共性技术、资源和服务的开放合作、互惠共享，推动技术共研、场景共建、标准共商、成果共用、知识产权共享。加快推动金融服务智慧再造。加快推动金融服务智慧再造。在惠民方面，运用 5G、虚拟现实、智能物联网（AIoT）等技术推动实体网点智慧升级与线上服务渠道迭代优化，深化跨界合作、消除渠道壁垒，不断扩展金融在公共缴费、社保服务、医疗保障、交通出行等领域的应用场景。在利企方面，有序推动跨领域、跨地域信用信息互联互通和归集共享，打通金融机构与实体企业融资对接的数字通道，在绿色金融、农业金融、供应链金融、小微金融、科创金融等领域打造精细化、定制化数字信贷产品。切实

29、加强金融科技审慎监管。切实加强金融科技审慎监管。一是强化金融科技创新行为监管。加快出台符合国情、国际接轨的金融科技伦理制度规则，不断扩大金融科技创新监管工具应用的广度与深度。二是筑牢金融与科技风险防火墙。健全智能算法管理规则，加强算法备案管理、安全评估和运行监测，着力提升算法可解释性、透明性、公平性和安全性。三是加快数字化监管能力建设。深化监管科技在金融市场、支付结算、征信、消费者保护等领域的应用，打造权威专业化风控基础设施。（3）政策影响 金融科技发展规划明确了治理体系、数据要素、基础设 15 施、核心技术、激活动能、智慧再造、审慎监管、发展基础等八个方面的目标；并在试点示范、支撑保障、监测

30、评估、营造环境、组织统筹等五个方面提出要求。金融机构需要做好整体规划，完善相关的配套细则，推动金融科技深度应用，加快全方位数字化转型。在发展金融科技的过程中，金融机构需要着重关注数据风险管理、模型风险管理、场景风险管理，在风险可控的前提下创造价值。除此之外，金融机构还要强化人才培养，完善培养机制、确立培养目标，来应对金融科技未来的挑战。（二）（二）标准引导标准引导 1.1.金融数据安全金融数据安全 数据生命周期安全规范数据生命周期安全规范（1）标准背景 随着大数据、人工智能、云计算等新技术在金融行业深入应用，金融数据逐步实现从信息化资产到生产要素的转变，其蕴含的极高的商业价值和重要性日益凸显。

31、同时，数据泄露、滥用、篡改等安全威胁的影响也在不断增加，逐步从机构内转移扩大至机构间和行业间，甚至影响国家安全、社会秩序、公众利益和金融市场稳定。如何在满足金融业务基本需求的基础上，强化数据保护能力，保障金融数据安全流动，已成为当前亟待解决的问题。金融数据复杂多样，对数据实施生命周期安全管理，能够进一步明确数据生命周期各阶段的保护要求，有助于金融业机构合理分配数据保护资源和成本，建立完善的数据生命周期防护机 16 制。为指导金融业机构合理制定和有效落实数据生命周期安全管理策略，进一步提升金融业机构的数据管理和安全防护水平，确保金融数据安全应用，2021 年 4 月，中国人民银行发布并实施JR/

32、T 02232021金融数据安全 数据生命周期安全规范。（2）标准内容 金融数据安全 数据生命周期安全规范规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，建立了覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架，适用于指导金融业机构开展电子数据安全防护工作，并为第三方测评机构开展数据安全检查与评估工作提供参考。图 1 数据生命周期安全框架 金融数据安全 数据生命周期安全规范建立的安全框架 17 如图 1 所示。首先，为防范和抵御金融数据安全风险，要求金融业机构在开展业务和日常经营管理过程中，遵循以下数据安全基本原则：合法正当原则、目的明确原则、选择同意原则

33、、最小够用原则、全程可控原则、动态控制原则以及权责一致原则。数据安全分级是建立完善的数据生命周期安全防护体系的基础，对机构的数据资产进行全面梳理，按照 JR/T 01972020相关要求，根据数据安全性遭到破坏后的影响范围和影响程度，将金融数据安全级别从高到低划分为 5 级、4 级、3 级、2 级、1级。数据生命周期包括数据采集、传输、存储、使用、删除和销毁等环节，金融数据安全 数据生命周期安全规范针对各个环节，依据不同数据安全级别的安全保护需求，对数据安全防护做出了详细的规定。在金融业机构数据安全防护实践中，各个环节均有其侧重的关键技术。在数据采集环节，数据源的真实性至关重要，需根据采集的数

34、据安全级别，采用不同的技术措施如口令密码、设备指纹、数字签名等对数据源进行鉴别和认证；在数据传输环节，存在着数据传输中断、篡改、伪造及窃取等安全风险，需根据不同的数据传输模式和数据安全级别，采用相应的技术措施如加密传输、身份认证、可信物理信道和通信协议约定等加强传输过程中的安全防护；在数据存储环节，为应对数据泄露、篡改、丢失、不可用等安全风险，数据加密、权限控制和备份恢复是保障数据安全的重要手段；数据使用环节包括数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、18 委托处理、数据共享等活动，这些过程中存在着数据非授权访问、窃取、泄漏、篡改、损毁等安全风险，需采用访问控制、

35、身份认证、数据脱敏、数据加密、多方安全计算以及跟踪溯源等技术保障数据安全；在数据生命周期的结尾，通过数据清理和数据介质销毁形成闭环。最后，金融数据安全 数据生命周期安全规范对数据安全组织保障和信息系统运维保障进行了详细规定，如要求金融业机构建立健全包括决策层、管理层、执行层以及监督层的数据安全管理体系，加强在边界管控、访问控制、安全监测、安全审计、检查评估、应急响应与事件处置等过程中的数据安全风险防控能力等，构成了数据生命周期安全防护机制能够有效落实和严格执行的基石。（3）标准影响 一方面，金融数据安全 数据生命周期安全规范为金融业机构开展金融数据生命周期安全防护提供了具体实施指导，其发布推动

36、金融业机构逐步落实金融业数据安全管理要求，提升金融业数据安全保护工作的规范化和标准化程度，为金融业机构有效防范数据安全风险及应对数据安全事件提供科学依据和指导，为金融数据的应用和流动提供有力保障。另一方面，金融数据安全 数据生命周期安全规范的发布能够促进金融科技的安全发展，明确了整个金融数据生命周期的安全要求，使金融业机构在数据安全治理方面的需求得到快速 19 提升，从而推动一系列安全技术的发展。近年来，以多方安全计算、可信执行环境、联邦学习等为代表的隐私计算技术为数据交换共享过程中数据的“可用不可见”提供了解决方案，并已在金融、政务、医疗等领域开始推广应用。另外，一些传统技术如数据脱敏、基于

37、角色的数据授权方式等也在效率和适用性等方面面临着升级压力，从而催生出敏感信息自动识别、动态鉴权等新技术，为金融数据提供更加有力的安全保障。2.2.金融数据安全金融数据安全 数据安全分级指南数据安全分级指南（1）标准背景 为落实中共中央、国务院加强数据资源整合和安全保护相关工作要求，指导金融业机构合理开展金融数据安全定级工作，有效落实金融数据生命周期全过程安全管理策略，进一步提高金融业数据管理和安全防护水平，确保金融数据的安全应用。2020年 9 月，中国人民银行发布金融数据安全 数据安全分级指南（JR/T01972020）金融行业标准（以下简称“分级标准”），有助于金融业机构明确金融数据保护对

38、象，合理分配数据保护资源和成本，是金融机构建立完善的金融数据生命周期安全框架的基础，能够进一步促进金融数据在机构间、行业间的安全流动，有利于金融数据价值的充分释放和深度利用。（2）标准内容 a.分级分类管理细则制度出台 为规范管理和使用数据，保障数据安全，参考“分级标准”20 中给出的金融数据安全分级的目标、原则和范围，数据安全定级的要素、规则和定级过程，以及金融业机构典型数据定级规则，并基于单位的实际组织机构和业务情况等，制定并发布自己的分级分类管理细则，对组织与职责、分级分类规则、分级分类流程、分级分类新增与修订等做出管理说明。b.分级分类台账形成 根据数据分级分类细则，形成数据分级分类台

39、账。台账主要依据数据的重要程度以及数据发生丢失、泄露、被篡改、被毁损事件的影响范围和程度将数据划分为 5、4、3、2、1 共五个安全级别。定级规则。定级规则。5 级数据：涉及国家秘密的数据，依据国家和中国人民银行涉密相关标准和规定执行；4 级数据：一旦丢失、泄露、被篡改、被毁损会对金融市场稳定、上级单位业务造成严重影响的数据，在非涉密数据中安全控制等级最高；3 级数据：一旦丢失、泄露、被篡改、被毁损会对社会公众、单位本身、单位客户利益造成影响的数据，应实施较强安全控制；2 级数据：一旦批量丢失、泄露、被篡改、被毁损会对社会公众、单位本身、单位客户利益造成影响的数据，执行基本的安全控制；1 级数

40、据：批量丢失、泄露、被篡改、被毁损，不会对社会公众、单位本身、单位客户利益造成影响的数据，对安全控制不作要求。定级考虑因素。定级考虑因素。一是从数据应用场景初步梳理数据使用概要情况，根据概要情况，初步判断数据安全级别。比如可以广泛公开的数据定为 1 级，可以公司范围内公开或者不宜广泛公开的定 21 为 2 级，仅针对特定人员公开的定为 3 级。二是参照“分级标准”中的数据安全级别，将涉及单位核心业务相关数据内容安全级别设置为对应的级别。三是分析各项业务内容发生数据丢失、泄露对市场、客户、单位的影响范围与影响程度。并综合平衡业务开展实际情况，对数据进行定级。定级步骤。定级步骤。一是数据资产盘点，

41、对相关业务数据进行盘点、梳理与分类，形成统一的数据资产清单。二是参考统一数据资产清单，根据数据业务属性和特征进行数据分类，形成多级数据目录，便于后续台账使用查找和管理。三是按照业务条线、业务环节、业务形态和业务数据可公开范围，划分数据类别并按照类别设置默认的数据安全级别。四是参照“分级标准”中的“金融业机构典型数据定级规则参考表”调整数据安全级别。五是其余数据内容综合数据影响范围和影响程度分析判断数据安全级别，形成台账初稿。最后，综合业务部门对台账初稿意见完善数据分类和级别，形成待评审稿。（3）标准影响 在数据发展成为重要生产资源的当下，数据处理活动日益复杂，数据处理涉及的主体和环节越发多样化

42、，企业内部数据可能存在各种被泄露、滥用、篡改的安全风险。对数据进行分类分级保护，有利于企业对其持有的数据“摸家底”，对不同重要和敏感程度的数据采取不同的管控和保护措施，建立、完善数据风险管理内部流程，对企业控制、处理的数据按照分类分级结 22 果采取适当的安全措施。除此之外，实施数据分类分级保护亦有助于企业应对各类业务场景下的网络安全与数据合规义务。3.3.金融业数据能力建设指引金融业数据能力建设指引（1）标准背景 数字技术的快速发展和新冠疫情的全球肆虐深刻改变了经济发展、社会治理和个人生活的方方面面，全球经济逐步由工业经济向数字经济转型，“十三五”以来，我国高度重视数字经济发展，先后出台一系

43、列政策文件，以促进传统经济与数字经济深度融合，实现数字化转型。为做好金融业数据安全防护，充分释放金融业数据要素潜能，推动金融行业数据规范共享和综合应用，中国人民银行组织编制并发布了金融业数据能力建设指引，进一步明确了金融业数据能力建设遵循用户授权、安全合规、分类施策、最小够用等五大基本原则，同时也为金融机构开展数据工作指明方向、提供依据。通过数据能力建设提升金融数据的规范性和科学性，释放数据生产力，充分激活数据资产潜能，自上而下推动金融业数字化转型。（2）标准内容 a.具体内容 金融业数据能力建设指引规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能

44、力域划分，明确了相关能力项，提出了每个能力项的建设目标和思路。金融业数据能力建设指引能力域主要分 23 为以下八个方面：一是数据战略，包括数据战略规划、数据战略实施、数据战略评估三个能力项。数据战略规划是基于金融机构对数据的需求，经相关方充分协商达成一致后拆解出可评估、可衡量、可操作的目标，最终形成数据战略内容的过程。数据战略具有一定前瞻性和统领性，内容覆盖数据管理工作愿景、目标、原则、任务、路径等要素，做到内容全面、目标合理、范围明确、路径清晰，可操作性强，能够指导未来一段时间有效开展数据管理工作。数据战略实施是按照既定目标和路线持续执行数据战略工作任务的过程，做好工作任务责任分解和措施保障

45、，强化过程监督管理，确保达成预期目标。数据战略评估是在数据战略实施期间和实施后，对照目标和实施情况全面综合评价数据战略实施的效果，并进行闭环反馈。二是数据治理，包括组织建设、制度建设、流程规范、技术支撑四个能力项。组织建设包括组织架构、岗位设置、团队建设、数据责任等内容，是各项数据职能工作开展的基础。其目标是对数据管理和应用进行职责规划与控制，指导各项数据职能的执行，以确保有效落实数据战略目标。制度建设是数据管理和数据应用各项工作有序开展的基础，是数据治理的依据。制度建设分层次设计，遵循严格的发布流程，并定期检查和更新。技术支撑是指为开展数据治理工作而建设的相关系统或平台。三是数据架构，包括元

46、数据管理、数据模型、数据分布、数据集成四个能力项。元数据管理是关于元数据的创建、存储、整 24 合、控制等一整套流程的集合。数据模型使用结构化的语言将收集到的业务经营、管理和决策中使用的数据需求进行综合分析，并按照模型设计规范将数据需求重新组织。数据模型分为企业级数据模型和系统应用级数据模型。企业级数据模型包括主题域模型、概念模型和逻辑模型，系统应用级数据模型包括逻辑模型和物理模型。四是数据规范，包括数据元、参考数据和主数据、明细数据、指标数据四个能力项。数据元是由一组属性规定其定义、标识、表示和允许值的数据单元。通过制定核心数据元的统一规范，提升数据相关方对数据理解的一致性。参考数据是一组增

47、强数据可读性、可维护性、可理解性的数据集合。借助参考数据可实现对其他数据的合理分类。主数据是企业中需要跨系统、跨部门共享的核心业务实体数据。主数据管理是对主数据规范和内容进行管理，实现主数据跨系统、跨部门的一致、共享使用。明细数据是日常生产经营等活动中直接产生或获取的未经任何加工的初始数据。指标数据是在经营分析过程中衡量某一个目标或事物的数据，由明细数据按照统计需求和分析规则加工生成，一般由管理属性、业务属性、技术属性等组成。五是数据保护，包括数据保护策略、数据保护管理、数据保护审计三个能力项。数据保护策略是数据保护的核心内容，在制定的过程中结合企业管理需求、行业监管要求以及相关制度规范等统一

48、制定。数据保护管理是通过开展数据保护等级划分、数据访问权限控制、用户身份认证和访问行为监控、数据安全风险防 25 护、数据隐私保护等管理工作，满足数据保护的业务需求和监管要求，实现对数据生存周期的安全管理。数据保护审计是一项控制活动，负责定期分析、验证、讨论、改进数据保护管理相关的策略、规范和活动。审计工作可由企业内部或外部审计人员执行，并且审计人员独立于审计所涉及的数据和流程。六是数据质量，包括数据质量需求、数据质量检查、数据质量分析、数据质量提升四个能力项。数据质量需求是根据业务、数据需要制定的一种衡量数据质量的规则，是度量和管理数据质量的依据，包括技术指标、业务指标以及相应的校验方法。数

49、据质量需求符合相关规范，依据数据管理目标、业务管理需求和行业监管要求统一制定和管理。数据质量检查是根据数据质量规则中的技术指标、业务指标、校验方法等对数据质量进行有效监控、发现问题并及时反馈的一种方法。数据质量分析作为数据质量提升的参考依据，通过对检查过程中发现的数据质量问题及相关信息进行分析，找出影响数据质量的原因，并定义数据质量问题的优先级。数据质量提升针对数据质量分析结果，制定实施数据质量改进和数据问题预防方案，确保数据质量改进工作有效落实。七是数据应用，包括数据分析、数据交换、数据服务三个能力项。数据分析是对企业各项经营管理活动提供数据决策支持而进行的数据挖掘、建模、成果交付推广等活动

50、，有助于促进业务发展。数据交换是指数据在企业内外部的流转交互，包括按一定策略引入外部数据供内部应用以及有选择地对外提供企业内部数据等。数据交换的主要目的是通过及时高效获取外部数据和安 26 全合规分享内部数据，从而更好地发挥数据价值。开展数据交换需建立明确的交换目录和策略，并做好交换合作方的管理。数据服务是通过对企业内外部数据的统一加工和分析，结合公众、行业和企业的需要，以数据分析结果的形式提供服务。数据服务一般需经过需求分析、服务开发、服务部署、服务监控、用户管理等过程。八是数据生存周期管理，包括数据需求管理、数据开发管理、数据维护管理、历史数据管理四个能力项。数据需求是指企业在业务运营、经