导语
近日,《中国银行保险报》推出“金融数据治理专题”,关注中电金信《金融数据安全治理白皮书》发布及数据治理观点洞察,以下为系列报道。
【媒体观点】
以高质量数据支撑高质量数字化转型
编者按:
数字经济时代,数据已成为国家基础性战略资源和关键生产要素、发展新质生产力的核心驱动要素以及企业的核心战略资产。发挥数据要素推动经济发展的效应,需充分释放数据价值。而建立健全数据要素基础制度,破解数据要素市场化配置难题,是业界共同的问题和挑战。本专题将探讨金融数据治理的发展历程,回顾金融数据治理取得的系列成绩,并展望金融数据治理未来努力的方向与潜在的挑战。
金融业作为数据密集型行业,对数据的依赖日益加深。在追求数据价值创造的同时,金融机构越发重视数据治理,并积极加大在该领域的投入。而《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等的出台,也对数据安全管理提出了更高要求。
在中国银行业协会首席信息官高峰看来,对于数据治理应当具备全新的认知。原来,数据治理仅从一个企业、一个行业的角度考虑,如今则要从全社会、全生态的视角考虑数据治理问题。
01金融数据治理取得积极进展
在金融业数字化转型的过程中,数据驱动了业务创新、风险管理和决策。金融数据涉及客户详情、交易流水、风险测评及信用档案等各类高度敏感信息,加强数据治理、确保数据安全,不仅关系到金融消费者和金融机构的利益,还关乎维护金融系统稳定与健康发展。
国内的金融数据治理主要经历了3个发展阶段:第一阶段始于原银保监会于2018年印发的《银行业金融机构数据治理指引》,这一阶段侧重于数据服务监管;第二阶段以《关于银行业保险业数字化转型的指导意见》为突破口,强调数据治理是数字化转型的重要前提;第三个阶段以“数据二十条”和财政部发布的数据资产入表有关规定为标志,数字化转型进入加速阶段。
在上述历程中,金融业围绕数据治理作出了诸多努力,并在关键层面取得积极进展。例如,金融机构逐渐建立了包含决策层、管理层、执行层和监督层的组织架构,明确了各层级的数据安全职责;一些金融机构创建了涵盖数据安全管理、使用、传输、存储、销毁等环节的管理制度体系,确保了数据安全管理的有序进行;部分金融机构引入了数据加密、访问控制、数据脱敏等技术,并对隐私计算、区块链等新技术的研发和应用进行了初步探索;金融机构初步构建了实时监测系统和快速响应机制,能够一定程度上监控数据安全风险,应对数据安全事件;部分机构还开展定期的安全评估和审计,确保数据安全治理符合法律法规和行业标准;部分机构开始梳理自身所涉及的数据跨境流动场景,并遵循各国法律法规,加强数据出境的安全管理。
02与最佳实践仍存差距
一段时间以来,我国金融机构的数据治理水平有所提高,经历了从依赖传统物理安全措施到逐步采用先进技术手段的进步。例如,渤海银行在2024年半年度报告中介绍,该行持续提升数据管理能力,强化数据赋能作用,持续深化数据治理,长效释放数据价值,让全行业务经营的各个领域、各个条线都能够自由安全地使用数据,清晰干净地共享数据,最大限度发挥数据应用效力,高效支撑数据赋能业务转型,助力全行数智化高质量发展。
而地方性银行也在积极推进数据治理能力的提升。民丰农商银行相关负责人介绍,该行构建了完善的数据治理体系,通过制定严格的数据管理制度和流程,确保各部门在数据治理上能够协同配合,形成合力。在数据质量方面,民丰农商银行通过运用先进的数据清洗、验证和纠错技术,成功提升了数据的准确性和可靠性,同时,还加强了数据安全管理,通过加密技术、定期备份和快速恢复机制,确保数据资产安然无虞。
但从整体来看,金融业的数据治理仍处在基础水平,与理想中的最佳实践还存在一定差距。具体来说,近期中电金信发布的《金融数据安全治理白皮书》(以下简称《白皮书》)指出,一是生产环境下的安全管控不足:目前金融机构在生产环境中的数据安全管控措施还不够全面和深入,往往在权衡业务和安全需求上存在一定困难;二是数据安全尚未贯穿整个生命周期:数据安全左移的理念尚未充分落实,部分机构针对系统开发生命周期能够考虑数据安全管理要求,但针对存量系统则需要继续考虑业务和安全的权衡,推进存在困难;三是数据安全运营体系尚未完全实现:金融机构尚未建立起全面的数据安全运营管理体系,未能有效实现数据安全的全面监控和运营;新技术的使用和融合不足:针对人工智能等新技术的使用和融合还处于初步探索阶段,未能充分发挥新技术在数据安全管理中的作用。
2024年,国家金融监督管理总局起草《银行保险机构数据安全管理办法(征求意见稿)》,对银行保险机构的数据管理能力和合规意识提出了更高要求,金融业迫切需要全面构建数据安全治理体系,以提升整体防护能力。
03新技术或成“双刃剑”
随着大模型、数据合成、隐私计算和同态加密等新技术的出现,数据治理效率有望迎来跃升。以大模型为例,大模型赋能数据治理工作在国内金融业已有开创性实践。比如,江苏银行的数据治理平台就依托该行自主研发的大语言模型服务平台,运用抽象语法树分析算法、启发式搜索、图结构向量匹配等技术,智能分析数据血缘关系与异构数据库SQL语句,高效生成数据血缘关系与重构优化建议,为数据治理人员提供了直观易懂的可视化视图与精准的指标口径。数据治理人员可通过自然语言直接与平台页面进行交互,这大幅度降低了操作门槛与平台使用成本。
但要注意的是,新技术的出现也可能引发新的安全风险。根据《白皮书》,新兴的数据安全威胁已从多个维度浮现,涉及技术伪造、供应链风险、监控权力滥用以及漏洞利用等,对数据安全造成了严重冲击。其中,恶意大模型能运用生成式人工智能编造虚假新闻和社交媒体内容,操纵公众意见或实施诈骗;深度伪造技术的滥用能够结合深度学习和人工智能,生成高度真实的虚假音频、视频和图像,用于欺诈和误导公众。
对此,金融机构需全面评估潜在威胁,更新完善数据安全策略,以实现技术优势与安全治理的平衡。《白皮书》建议,可以采用先进的AI伪造检测工具,利用深度学习和计算机视觉技术,分析视频、音频和图像中的细微特征,精准识别伪造和异常内容。AI技术在身份信任评估体系中发挥着关键作用,实时监测用户访问过程中的安全环境变化,提供强大的异常行为监测和响应机制,确保数据在传输和使用过程中的安全性。此外,还应提升数据保护和管理能力,对敏感数据进行加密处理,并建立完善的数据备份和恢复机制;建立强大的内容审查和验证机制,对生成的新闻和社交媒体内容进行真实性核查等。
【中电金信观点】
从源头解决数据质量问题
金融数据安全治理不仅关乎客户隐私保护和金融资产安全,还关系到整个金融系统的稳定与发展。因此,金融机构迫切需要构建精细化的数据管理体系,确保数据在其整个生命周期的每个阶段都受到严格管理。管理措施应根据数据的分类分级,结合业务场景定制,使数据安全策略能够得到精确高效执行。
数据管理的理想状态是从源头解决数据质量问题。纵观数据的全生命周期,应在数据产生环节打造专门的组织架构设计、流程设计和数据标准体系,确保数据质量良好。当前的趋势是“数据管理前置”或“数据安全左移”,即在业务系统设计阶段便让数据管理部门加入,主要目的包括检查数据标准是否落地、是否能与分析功能相打通。
2024年,国家金融监督管理总局起草《银行保险机构数据安全管理办法(征求意见稿)》,要求银行保险机构按照国家数据安全与发展政策要求,根据自身发展战略,制定数据安全保护策略;根据数据处理目的、性质和范围,依照法律法规和伦理道德规范要求,对相关数据业务处理活动进行安全评估,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性及防控措施的有效性。
这为商业银行提升自身数据管理水平带来了极大推动力,将有效引导商业银行制定全行级的数据安全策略。一方面,从数据规划角度出发,设计组织架构、流程制度和数据标准体系;另一方面,从数据管理模式出发,对冷数据、热数据和归档策略进行统一管理。
而在数据安全管理体系中,明确的组织架构和职责分工是确保管理措施落实的关键。商业银行应根据业务需求和风险特征,设计覆盖各层面的组织架构,并明确各项任务的责任主体。应通过多层次、跨职能的协作,确保数据安全策略在业务环节中的有效执行,同时提高应对数据安全挑战的灵活性和效率。
从实践来看,国有大型银行与股份制银行已经建立了较为完善的架构和管理能力,展现了强大的数据安全实力。与此同时,城商银行和省级农信社正积极推进数据安全能力的提升,显示出稳步发展的良好态势,小规模的农信社和农商银行也在全力夯实基础安全建设,打下坚实的基础。
值得一提的是,这几年来,大中型银行开始设立独立的数据管理部,与科技部门平行,就是希望数据管理部能够直接前后端联动,基于“数据管理前置”和“数据安全左移”的理念,确保从项目启动开始,数据质量和数据安全即作为核心考量因素。
*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。
发布文章
