戚君贤

本文介绍了国内外数据安全治理的政策法规，结合国内商业银行数据安全治理现状提出相关建议，对银行业金融机构开展数据安全治理具有较强的现实指导意义。

党的十九大报告提出要“推动互联网、大数据、人工智能和实体经济深度融合”，并提出建设“数字中国”，进一步突出了数据作为国家基础性战略性资源的重要地位。2020年4月《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中明确了将数据作为生产要素，强调数据价值。银行业属于信息高度密集型行业，以新技术为特征的金融科技蓬勃发展带给银行业前所未有的冲击，数字化转型成为银行业生存发展的必由之路。随着商业银行数字化转型，银行业数据资源面临的安全威胁也日益严峻。

一、数据安全治理国内外政策

Gartner 2017安全与风险管理峰会上首次提到数据安全治理（Data Scurity Governance）概念，面对日益严峻的数据安全威胁，世界主要国家全面加强数据保护的立法和监管。

2018年，欧盟正式施行《通用数据保护条例》（简称GDPR），任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。同年，美国通过第一部隐私法案《加州消费者隐私法案》，强化了数据主体对个人信息的控制权，规范企业收集处理数据的方式。2019年，印度通过《个人数据保护法案》。2020年，新加坡发布《个人数据保护法（修订）》草案。

近年，国内也加强了数据保护立法和监管规则的制定。2017年，我国正式施行《中华人民共和国网络安全法》，将个人信息保护纳入网络安全保护的范畴。2019年5月，国家互联网信息办公室对《数据安全管理办法（征求意见稿）》公开征求意见。2020年3月，中国国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术个人信息安全规范GB/T 35273—2020》用于替代原有的GB/T 35273—2017，对个人信息的全生命周期各阶段提出了明确要求。2020年7月，《中华人民共和国数据安全法（草案）》全文在中国人大网公开征求意见。

在金融行业，2018年5月中国银保监会发布了《银行业金融机构数据治理指引》，明确提出数据安全的要求。2020年3月，中国人民银行正式发布《个人金融信息保护技术规范》（JR/T 0171—2020），从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。

目前，国内商业银行在数据安全治理方面进行了积极的实践，一些银行结合大数据治理和数据安全管理的实践经验，开展数据安全治理框架的研究，从组织建设、制度流程、技术工具等方面构建数据安全保护体系。

二、商业银行数据安全治理现状

（一）组织架构管理

数据安全治理工作涉及到商业银行全体人员，需充分考虑到数据保护工作的系统性，建立完备的数据安全治理组织架构。目前，商业银行一般是信息科技部门牵头负责数据（安全）治理工作，各业务部门负责数据安全制度落地工作。部分商业银行建立大数据管理部，由大数据管理部牵头开展数据标准、数据质量、数据安全管理等工作，信息科技部负责开展数据安全（技术控制）相关的数据安全治理工作，各业务部门负责本条线的数据安全治理相关工作，推动数据安全治理的具体工作实施。在实践中，少数银行的大数据管理部的数据安全管理与信息科技部门信息安全管理有交叉，还存在职责边界不清问题。

（二）数据安全管理

实施数据安全管理，首先，梳理数据资产以掌握数据资产清单和数据分布，建立数据分级分类标准，明确数据的安全保护等级。其次，在数据分级分类的基础上建立敏感数据识别手段，以数据作为管理目标建立数据生命周期安全管控体系，系统性地保护敏感数据安全。最后，在数据全生命周期的管理中，银行业金融机构应当建立数据安全策略与标准，依法依规地采集和应用数据，明确访问与使用等权限，完善数据安全保护技术。

目前，商业银行数据全生命周期管理中在数据使用及销毁阶段的管控能力比较薄弱，尤其是办公终端散落存放客户敏感信息且管理控制不到位，容易造成敏感数据批量泄漏。全国性银行基本建立并实施数据全生命周期安全保护制度与流程，并配套相关技术工具，但是在特殊场景下存在部分流程与技术工具失效的缺陷。中小商业银行普遍未建立数据的分级分类标准，一般通过终端安全软件预防数据泄漏，由于缺乏体系性的安全策略，数据安全风险敞口不容忽视。

（三）治理后评价管理

评价管理是對数据安全治理的综合评价及评估过程，包括内外部安全评估和审计、网络安全等级保护测评、监管部门的监督检查以及外部案例信息通报等，可反映数据安全治理体系运行的综合效果。商业银行根据评价结果，不断完善数据安全治理体系，对流程与工具进行适应性改进，实现治理体系地持续优化。目前，商业银行对数据安全治理评价管理不足，对发现的问题通常是“头痛医通，脚痛医脚”，未能开展系统性评价进行持续优化。

三、数据安全治理措施与建议

（一）完善监管政策

遵循国家现行相关的法律法规和政策标准，跟进正在立法阶段的《数据安全法》、《个人信息保护法》等法律法规，建议起草制定《金融业数据安全管理办法》。新的数据监管政策要与现行的行业政策互补、兼容，特别需要明确跨境数据的监管规定，以应对复杂的国际数据安全治理形势及数据安全环境。

（二）完善数据安全治理体系

银行业金融机构开展数据安全治理体系建设，首先，明晰治理体系战略目标、范围和内容，明确组织架构并制定考核责任制。其次，建立数据安全组织架构及规章制度，建设数据信息分级分类标准，制定相应的分类分级防护策略。最后，采用数据安全保护技术与工具，对数据全生命周期实施安全管控。一是数据采集阶段。关注采集的数据是否符合国家法律法规和行业规定，进行数据分类分级和数据来源属性标识，便于识别敏感数据及后期的数据溯源。二是数据传输和存储阶段。关注非授权用户向信息系统查询敏感数据、不安全环境下的明文传输数据、敏感数据存储不当等问题。三是数据使用与销毁阶段。关注敏感数据的使用场景、使用周期以及销毁，特别是数据使用过程的信息脱敏，以及数据销毁的合规性等。

（三）开展数据安全治理后评估

银行业金融机构实施数据安全治理，定期对标监管政策要求或者根据国家标准《GB/T37988-2019信息安全技术数据安全能力成熟度模型》进行自评估或第三方机构的评估，持续优化数据安全治理工作机制。

四、结语

数据治理是我国治理体系和治理能力现代化的重要组成部分。数据安全治理是数据治理的一个部分，数据治理强调数据价值属性，数据安全治理强调数据的安全属性。随着国际数据安全形势的日益严峻，数据安全治理迫在眉睫。银行业金融机构在实施数据治理过程中，应积极开展数据安全治理，同步规划，稳步实施，切实保障数据资源的价值释放。

作者单位：安徽银保监局