今年夏天����,因為裝修房子缺錢�,家住北京的吳女士通過一家城商行申請了一筆消費貸款����。沒想到�,很快她就接二連三接到各種自稱銀行或者貸款中介打來的推銷電話����。“一天可以接到四五個�����?!彼龑τ浾弑г沟?��,向貸款銀行反映也解決不了問題����。
大數據時代廣泛存在的個人信息泄露問題引發各界密切關注�。今年�,隨著個人信息保護法、數據安全法等相關法律法規的落地�,這樣的問題有望逐步得到解決��。業內人士表示,作為典型的數據“密集型”行業��,這些龐大數據既是助推銀行不斷壯大的生產力要素���,也是審視其更好發展的關鍵命題。
從記者近期調研情況看��,個人信息保護法�����、數據安全法這兩大法規施行后���,包括數據安全、合規在內的數據治理問題���,眼下已上升至銀行戰略層面,部分銀行從治理��、管理�、技術等層面已經著手重構數據安全治理體系�����。當然����,銀行遇到的挑戰也不少――數據缺乏標準���,在產生過程中是流動的����,如何在每個環節形成有效保護�����、管理,合理將數據賦能至業務場景�����?這些問題也需要金融機構進行深入探索�����。而隱私計算作為一項前沿技術有望成為有效保護個人數據安全的突破口。
數據安全保衛戰全面打響
在數據安全日益升級趨勢下��,一場升級數據治理體系的行動正在銀行業金融機構全面鋪開�����。
“去年我們就開始對照個人信息保護法(草案)進行相關系統改造��?���!蹦炒笮薪鹑诳萍疾块T人士向記者透露���,銀行先是自查����,對手機銀行App內容進行合規改造,比如手機權限��、相冊權限�、隱私協議等����。他表示����,該行今年成立數據管理部門�����,為行內一級部門,堪稱“頂配”�。
據了解�,平安銀行����、浦發銀行等股份行對涉及個人信息安全等數據治理體系方面的重視度也在全面升級。
平安銀行相關負責人日前表示:“年初�,平安銀行專門成立個人信息保護委員會�����。這個委員會包含風險��、業務��、科技����、合規�、消保���、HR等各領域專家�����,來統籌管理全行個人信息保護相關工作�?!?
他說,該行以個人信息保護各項法律�����、部門規章及監管政策為準繩�����,建立健全個人信息保護制度體系,明確職責分工和管理要求���,并將個人信息保護各項要求在系統建設和業務運營過程中內化��、固化�����,同時對員工安排定期考核,開展自查自糾等工作�?���!霸诩夹g層面,我們下了很多功夫���,探索新型技術防護手段�,確保個人信息數據收集��、傳輸��、存儲、使用�、刪除及銷毀的全生命周期安全����。”
浦發銀行信息科技部相關負責人也向記者表示�����,該行今年從治理�����、管理、技術三個層面����,實施數據采集、傳輸�、存儲���、使用�、刪除銷毀等全生命周期安全控制�����,防護數據安全���。“主要采取了三個措施��,一是構建綜合安全治理框架���,建立常態化安全內控規范機制;二是實施數據全生命安全管理�����,強化個人信息保護和隱私管控�����;三是建立多層次數據安全技術架構,采取縱深防御策略��,持續升級網絡安全防護體系�。”他說��。
全方位行動之下����,用戶最直接感受的改變就是手機銀行App的改造���。記者查閱招商銀行、平安銀行等多家銀行手機App可見����,都進行了相關改造�����,比如����,均有“隱私政策更新”和“移動應用程序端的用戶交互頁面調整”等提示�,用戶需要先同意,才能使用手機App�,等等。
數據治理尚存諸多難點
上述行動的鋪開���,簡單來說,有兩層原因���,一是法律層面的合規要求,二是銀行自身的數據治理和合理利用需求����。
“這是行業發展趨勢�����。銀行積累大量數據�,但之前不會用��、少量用����,造成閑置和浪費��,安全也成問題��,隨著金融科技發展以及法律的完善��,數據為什么用��、怎么用��、如何用���,就必須提上日程��。”上述大行人士向記者表示����,現在也到了為隱私“買單”的關鍵時刻����。
吳女士碰到的問題,自然并非是孤例�,也印證數據安全等治理工作絕非一日之功――諸多難點和挑戰需要一一攻克。
究其根源��,主要是銀行數據特征復雜多樣�����,缺乏標準,元數據也缺乏管理�����;而且����,數據在產生的過程中是流動的�,從產生�、獲取、存儲����、使用�、傳輸等,每個環節都要有相應的處理和管理�����?����!皵祿亩鄻訌碗s特征���,對識別數據資產以及數據分級分類帶來一定難度����?�!逼职l銀行上述人士表示���。
這導致數據治理在實操層面存在難度。例如�,在個人信息保護方面�����,前述平安銀行人士說����,相關法律法規與標準指南等管理要求是近幾年逐步提出的。但是銀行業務場景繁多����,業務流程的數據如何重新規范化�,就是難點之一�����。再者��,由于業務發展或風險管理需要���,銀行存在外部數據引入以及向外部提供數據的需求,但銀行難以完全掌握外部合作方的個人信息保護工作落實情況��,增加了數據保護工作難度�����。而且�����,外部方并非完全受到金融行業監管約束�,這使得在客戶個人信息方面�,銀行與外部方合作的風險難以完全有效緩釋�。
實際上�,這可能是個人信息被泄露的一個重要原因��。一位長期從事貸款中介的人士告訴記者�����,很多貸款中介、渠道商通過大數據手段獲取銀行客戶信息����,然后再盲打電話找客戶?!耙惶齑蛉陌賯€電話,能轉化三四個客戶����?����!彼嘎?���。
在調研中���,記者獲悉,各家銀行數據治理工作進展不一����,特別是中小銀行行動較為緩慢�,這既有技術實力短板的因素����,也有對法律法規認知不到位的原因�����。
同盾科技行業安全專家閱微表示,目前國內大多數銀行內部IT風險建設還處于初級或者待完善階段����,由“內鬼”造成的數據泄露事件比較高發,針對行內IT系統風險防范體系建設迫在眉睫�����。
金誠同達律所高級合伙人彭凱表示��,據他這半年與銀行的接觸來看�����,商業銀行業務條線繁多�,部門設置多樣,但是個人信息保護合規工作開展具有“牽一發而動全身”的特征,要達到全面合規會比較緩慢�?!胺煞ㄒ幱绊懙脑u估��,眾多場景可能觸發的人臉識別合規�����,敏感個人信息的處理����、個人信息主體權利響應機制構建等等���,都不是一蹴而就的?��!彼f。
隱私計算成突破口
在數據合規政策要求下�����,數據安全與合規問題對銀行的重要性空前凸顯。
記者在調研時獲悉�����,一項前沿技術――隱私計算�,有望成為有效保護個人數據的突破口。據悉��,招商銀行�����、交通銀行����、浦發銀行等均已開展隱私計算相關研究����,并在部分場景開啟試點應用。
所謂隱私計算����,也可以說是多方安全計算����,就是讓數據“可用不可見”���,在此前提下��,從技術上實現數據安全共享、協同等�。2020年11月,央行發布《多方安全計算金融應用技術規范》后�����,對于隱私計算開展提供了實操參考�。
前述浦發銀行人士表示��,目前隱私計算是業界普遍關注的�����、可驗證的、能在數據要素流通融合中有效保護個人數據隱私的前沿科技����。從技術上,實現原始數據不出域而數據“價值”和“知識”流通的目標��,促進跨領域多維度數據的融合����,構建“數據可用不可見”的合作新模式����。
在反欺詐����、風控等領域,隱私計算已展開一定的應用�。但隱私計算存在較高的技術門檻����,且尚在不斷完善發展中,服務好場景��,甚至大規模應用��,尚需時日��。
上述大行人士說����,該行也在測試隱私計算應用,但主要還是為了驗證隱私數據如何能夠做到最大使用程度����。
好消息是�����,行業共識已經形成���。由于銀行在營銷拓客、反欺詐����、信用風險評估����、反洗錢����、授信評估���、內控合規等主要業務場景需要與外部機構合作,也就是存在跨機構的數據流通��,因此存在額外數據泄露風險��。“為了消除這些風險���,通過隱私計算�����、同態加密等前沿技術升級現有數據安全技術體系,保障可信數據授權管理����、數據價值可控流轉,將成為促進金融數據有效利用����,兼顧數據保護與價值流轉的關鍵���?!遍單⒈硎尽?
