企业数据不仅要“用好”还要“管好”

转自：金融时报-中国金融新闻网

主 持 人：《金融时报》记者 胡萍

　　对话嘉宾：平安银行金融科技部数据安全负责人 王尧

　　华泰证券股份有限公司信息技术部联席负责人 陈栋

　　吉利控股集团信息安全经理 孙雄涛

　　伴随着数字化发展力度的持续加强，企业数字化转型逐步升温。数据作为重要的生产要素，不仅要“用好”，更要“管好”。其中，涉及数据安全治理问题。在实践中，银行、证券、汽车企业面临的数据安全挑战有何不同？面对数据安全法规和监管要求，企业如何结合自身发展需要实现数据安全治理？就此问题，《金融时报》记者采访了几位业内人士。

《金融时报》记者：数据正受到越来越多企业的重视，在使用数据要素的过程中，企业必须面对哪些挑战？

　　陈栋：监管要求的持续趋严趋紧，对企业数据安全治理提出挑战。以网络安全法、数据安全法、个人信息保护法、关键信息基础设施安全保护条例为代表的网络和数据安全领域法律法规相继落地实施，彰显了国家在数据管理和应用上的严管力度和决心。同时，相关管理部门也制定出台了一系列管理办法和配套制度，比如，证监会制定修订了《证券期货业科技发展“十四五”规划》《证券期货业网络和信息安全管理办法》等涉及行业科技、信息技术、安全管理等领域的管理办法和配套制度，对行业安全治理能力升级提出了更高要求。从行业层面看，随着证券行业数字化转型不断深化、金融业务模式创新不断涌现，新技术的标准与规范建设需要同步丰富，数据作为新型生产要素如何发挥其价值，如何在数据安全治理的前提下推动数据流通与共享，也成为行业共同的难题。

王尧：随着信息技术的飞速发展，各行各业凭借计算机技术的支撑，在日常经营运作的过程中产生了海量数据，数据已成为新技术环境下的关键生产要素。量变引发质变，庞大体量的数据中蕴含的商业价值或可为企业带来可观的收益。然而，其中隐藏的数据安全问题日益凸显，如何保护数据挖掘技术不被滥用、如何保护公众隐私不被泄露等问题的求解成了当务之急。

《金融时报》记者：从什么时候开始意识到数据安全的重要？企业自身数据来源的构成如何？

　　陈栋：公司多年以来对数据安全高度重视，建立了完备的数据安全组织架构体系，设立公司数据治理委员会，在经营管理层的领导下，负责统筹数据安全工作；数据治理委员会下辖数据安全与个人信息保护工作小组，由信息技术部门、合规风控部门、业务部门、其他相关部门派员参与，多部门协同推进数据安全工作，将数据安全责任落实到每个部门、每个业务、每个系统和每个员工。

　　公司数据主要来源于在证券期货行业经营和管理活动中产生、采集、加工、使用或管理的数据，例如，交易数据、行情资讯数据、个人或机构投资者数据、经营管理数据等。公司严格按照国家及行业要求落实数据分类分级管理，针对不同类别、级别的数据实施不同安全管控措施。

王尧：作为一家全国股份制商业银行，同时还是系统重要性银行，平安银行历来对客户信息和数据安全高度重视，严格遵从国家和监管机构的相关法规和要求。

《金融时报》记者：数据安全方面的挑战有哪些？

　　陈栋：一是数据安全领域的监管部门多、执法力度严，给企业数据安全合规带来挑战；二是面对蓬勃发展的金融科技，新的技术标准与规范要求尚待健全，为企业数据安全合规带来不确定性；三是因为黑灰产攻击与欺诈手段不断升级，导致企业面临数据非法采集、数据贩卖、数据篡改、数据攻击等安全问题；四是由于机构间合作关系加深，数据交互场景日趋复杂，产品与服务供应链引发的数据泄露风险日益凸显。

《金融时报》记者：数据安全应从哪些方面着手？公司有哪些相关实践？

　　王尧：做好数据安全分类分级，必须回答好三个问题：数据安全怎么分类、依据什么原则分、谁来分？安全等级如何定、有没有参考依据、准确性怎么保证？面对海量数据，如何在成本可控与时间可控的前提下完成分类分级？

　　基于数据安全分类分级的基础性和重要性，我们开发了“平安银行数据安全分类分级双向打标方法”，也就是自上而下与自下而上双向打标，整体思路如下：自上而下，即数据库模型设计阶段，从逻辑模型进行打标，对应物理表继承安全标签，数据建模人员是最了解数据的人，也是最专业的人；自下而上，即扫描物理表数据，对物理表字段进行分类分级打标，海量的存量数据打标工作交给机器。双向打标后的打标成果，在实现全覆盖和高质量的情况下，将打标结果反哺给AI智能打标模型，实现良性循环，数据安全管理可持续。AI算法的使用，对于其他工作，如数据标准、数据资产等方面具有借鉴意义。

孙雄涛：我们对企业内部数据进行了全面划分，以经营数据、业务数据、个人数据、汽车数据等基础分类，对结构化数据、非结构化数据等进行了类型定义，制定以数据为中心的全生命周期的管控策略和企业数据安全治理的框架。以业务风险场景为导向，将吉利汽车的数据安全现状进行了细致梳理，从组织人员、制度流程、文化意识、安全管理活动、技术管控措施六个方面进行全局规划，制定了 “体系流程标准化、管控能力自动化、数据安全价值化”三步走的数据安全目标和实施路径。

陈栋：我们从完善数据安全制度管理体系、建立数据安全风险评估机制、建设分层分级的数据权限管控体系、提升数据安全风险监测和响应能力、强化外部渠道数据泄露跟踪调查能力五个方面着手，全方位保护公司的重要数据资产以及客户信息，为公司数字化转型保驾护航。

　　我们始终坚持在充分保护数据安全的前提下，实现数据价值的转化和释放。公司严守合规底线，落实法律法规要求，建立数据分类分级保护制度，完善数据安全策略和管控措施，健全数据评估、授权访问、监控预警及应急响应机制。同时，公司在监管部门的统一领导和组织协调下，积极参与跨机构、跨行业的资源共享与协同合作，积极探索联邦学习、多方安全计算等隐私计算技术，推动数据安全共享。

《金融时报》记者：公司是否开展数据安全治理能力评估？这对企业的数据安全治理有哪些价值？

　　陈栋：公司多年来持续开展数据安全能力建设，推进安全治理水平不断提升。同时，通过引入专业机构开展评估，为公司提供了崭新的数据安全治理视角和客观的度量标准，可以对比先进的优秀实践，了解自身发展的情况。

王尧：金融机构业务场景多、数据量大，对数据安全的要求尤其严格，我们通过自身不断建设，形成了较为完善的治理体系。再通过第三方评估的引入，能够更加客观地摸清建设现状，为差距项的查找和补足提供有力支撑。我们在2022年参与了中国信通院开展的首批数据安全治理能力—金融专项评估工作，较为全面地梳理了业务风险及治理情况。

孙雄涛：我们在2021年针对数据安全的建设开展了一系列工作，借助中国信通院的咨询及评估服务，对吉利汽车的数据安全工作进行了全方位的查缺补漏，为下一步的工作计划提供了有价值的建议。

《金融时报》记者：您对行业数据安全未来发展的看法和建议是什么？

　　孙雄涛：软件定义汽车是大势所趋，汽车数据安全保护落地，需要通过安全开发能力嵌入，形成一整套SDL（软件安全开发周期）管理流程，来有效提高安全开发能力，抵御威胁，提高防范能力。吉利汽车集团依托数据安全治理体系，强化包括在概念规划、开发验证等活动中的数据安全开发嵌入能力。

陈栋：随着证券行业新业态、新模式、新产品的不断涌现，数据作为重要的生产要素也将不断发挥更大的作用。建议在监管部门的统一领导和组织协调下，增强跨机构交流合作，共同探索隐私计算等新技术在数据安全领域的应用实践，保护客户隐私，杜绝过度采集和滥用用户数据。同时，在充分保护数据安全的前提下，进一步打破数据壁垒，探索数据交易创新模式，发挥数据要素资源的核心价值。

海量资讯、精准解读，尽在新浪财经APP