面向个人客户信息保护的数据安全治理体系研究.docx

面向个人客户信息保护的数据安全治理体系研究一、引言在大数据时代，随着云计算、人工智能、区块链、联邦 学习等新兴技术快速推进数字化发展进程，人们无时无刻不 在享受着数字化所带来的便利，数据价值的挖掘也在不断深 入。但数据是一把双刃剑，个人客户信息等重要数据信息化 后，既可以得到快速、便捷、有效的利用，也面临着被非法 收集、窃取、泄露、篡改、破坏等风险。我国于2021年先后发布了中华人民共和国数据安全 法（以下简称数据安全法）中华人民共和国个人信息保 护法（以下简称个人信息保护法），从国家层面确立了数 据安全和个人信息保护的原则、责任和义务。为了使数据 安全法个人信息保护法的配套落地，一些上级机关和地 方政府也先后发布了相关制度，例如中央网信办起草或者发 布了网络数据安全管理条例（征求意见稿）数据处境安全评估办法，深圳市政府发布了深圳经济特区数据条例。 可以预见，后续各级单位和各行各业也将不断完善各级法律 法规和政策制度，推动统一公平、竞争有序、成熟完备的数 据经济市场发展。证券行业作为典型的数据规模巨大、数据价值高、数据 应用场景复杂的行业，面向个人投资者提供着众多金融产品 和服务，对数据安全治理有着天然的诉求。然而，在开展数 据安全和个人信息保护政策落地时，往往面临着一系列问题 和挑战。例如，多法并轨下数据安全实施细则尚不完善，越 来越多的个人客户信息泄露来源于内部人员，海量数据导致 资产梳理和分类分级难度大，数据的职责权属尚不明确，缺 乏长期有效的运营机制来持续保障等。结合近年来个人信息 保护的政策法规以及信息泄露事故，可以发现，这些问题和 挑战可能是出于管理、技术、运营等多方面的原因。为了解决个人信息保护和数据安全面临的这些痛点难 点，我们也需要在企业内从管理、技术和运营三个方面，建 立有效的数据安全治理体系，推动企业内外部数据的合规使 用、有序开放和共享。二、数据安全治理体系建设框架分析数据安全治理体系以个人客户数据为中心，自上而下搭 建企业数据安全的管理、技术和运营体系，并贯穿数据的采 集、存储、传输、使用、共享、销毁全生命周期，典型的数 据安全治理体系框架见图Io图1：数据安全治理体系数据安全治理技术体系敏感数据识别数据库防护数据防泄漏隐私计算数据全生命周期采集存储传输使用（一）数据安全治理管理体系在数据安全治理的管理层面，需要深入结合国家、行业 监管和企业自身发展的诉求，制定公司数据安全战略、成立 数据安全组织、发布数据安全管理制度。数据安全战略指明了企业数据安全工作的愿景、目标、 规划和工作框架，是开展数据安全工作的纲领，是数据安全 的顶层设计。数据安全战略首先要求保障公司内各类数据资 产全生命周期的安全，避免遭到泄露或者非法篡改破坏，保 障数据的机密性、完整性和可用性，践行企业社会责任，保 障客户、企业和员工的利益。数据安全组织包含了决策层、管理层、执行层和监督层。 决策层通常由公司数据安全最高负责人及各业务、职能部门、 信息化分管领导组成，负责对公司数据安全战略、范围、重 大事项进行决策。管理层一般由数据安全或者信息安全管理 部门或团队组成，负责数据安全治理体系的规划、建设、持 续运营、推广和培训。执行层一般由各个业务、职能和IT部 门的成员组成，是数据安全各项制度、策略和流程规范的主 要执行者，也多是数据的提供方和消费方。他们最能发现数 据安全管理的漏洞和潜在风险，也直接关系着数据安全治理 体系是否能有效落地和持续保障。监督层通常由数据安全审 计或者内控部门组成，负责定期对数据安全的战略、制度、 策略、流程等工作的贯彻落实情况进行审查考核，发现问题 和风险并负责向决策层进行结果汇报。基于数据安全战略和组织架构，数据安全管理制度也可 以分为三级，分别是数据安全治理总则、管理办法和各项细 则。数据安全治理总则与数据安全战略相契合，是通过决策 层审定的数据安全工作的指导文件。数据安全管理办法明确 了数据安全的组织与人员、数据确权、各生命周期的保护策 略、应急响应、监控预警、审计评估、培训宣导等制度。数 据安全各项细则属于流程规范性文件，偏向流程落地和操作 指引，包括数据分类分级模板、敏感数据申请流程、数据安 全事件响应工单等流程模板和表单文件。（二）数据安全治理技术体系在数据安全治理技术层面，数据安全面临着国家、各级 政府、行业监管、业务发展和客户体验等日益复杂的合规要 求和场景需要，国密算法、AE区块链、云平台等大数据技 术也在飞速发展，数据安全治理的技术体系也愈加全面和 多样，并非由单一平台和技术可以实现。与网络安全相比, 数据安全技术发展较晚，目前主流的数据安全技术包括数据 访问控制、数据加密、数据脱敏、数据防泄漏、隐私保护、 数据安全溯源、数据可用性保护、数据备份和数据销毁技术 等。企业需要围绕数据全生命周期的风险场景，与企业内数 据安全组织人员、策略、制度规范相配套，打造可落地的数 据安全技术工具，并发挥“1+1>2”的效果，及时发现风险， 反哺和优化数据安全治理的管理体系和运营体系。对于个人 信息的保护，一些新兴的隐私计算保护技术需要加大投入和 研究，如差分隐私、联邦学习、多方安全计算等，这些都为 个人信息的隐私保护提供了新的解决方案和思路。纵观数据安全技术的相关发展和挑战，海量、多元和非 结构化数据已经愈发成为常态，数据呈现多样化、复杂化的 趋势。例如，在证券行业非现场开户中的视频“双录”数据、 呼叫中心通话记录、客户人脸识别数据等，多样的数据形态 和业务要求，给数据的存储、安全和管理都带来了巨大的压 力。另外，数据实时性的需求在证券行业内也更为迫切，这 也是新生业务和效率提升的必然结果。例如，反欺诈风险评 估、业务推广中的实时竞价，需要依赖实时、安全可靠的数 据采集、同步和分析处理。云平台、物联网、5G等新型基础 技术和设施的演进，对如何安全高效地支撑数据中心的建设 也提出了挑战。（三）数据安全治理运营体系在数据安全治理运营层面，主要基于数据安全管理和技 术层面的要求和工具，落实数据安全各项管控措施，持续开 展数据资产梳理、安全风险监测、应急事件响应、培训宣贯 四方面的工作。在数据资产梳理方面，主要是借助数据分类分级、敏感 数据识别等数据资产盘点工具，基于前期调研梳理制定的数 据分类分级策略，对数据库表、字段、数据文件进行自动扫 描，记录和统计敏感数据、重要数据的分布、流向，打上分 类分级标签，并对数据项的归属部门、责任人等信息进行权 责归属登记。在安全风险监测方面，通过数据流量监测、数据库账号 检测等手段，持续监测数据流程和使用风险，针对异常事件 进行告警和记录，方便事前、事中和事后的风险溯源和处置。在应急事件响应方面，基于数据安全应急工单和流程, 定期开展数据安全应急演练，并对每一个工单形成数据安全 应急事件报告，归档并作为数据安全知识清单和培训材料。在培训宣贯方面，数据安全的培训可以通过邮件、企业 0A、线上培训视频或者会议、线下培训等多种方式，以定期 或者不定期的方式展开。培训内容包括内外部数据安全规章 制度、数据安全管控流程、个人客户信息保密意识和手段、 数据安全事件宣贯等，培训对象既可以是各个业务部门的业 务人员和一线人员，也可以指职能内控部门人员和IT人员。 数据安全合规是底线，通过不间断的培训宣贯工作，才能在 每个人心中树立起安全意识，保护好企业和客户的数据。三、证券行业数据安全治理体系建设与应用证券行业数据安全治理体系的建设并非一蹴而就，并非 在一个项目或者团队就可以实现，应根据企业的实际情况有 所侧重、分步实施。数据安全治理的整体框架可以通过几个 关键阶段来构建（见图2）。统筹管理图2：数据安全治理体系资产盘点评估规划（一）个人客户数据资产盘点第一阶段：以个人客户数据为中心开展数据资产盘点。 通过问卷调研、业务访谈、系统自动扫描等方式，对结构化 数据、非结构化的个人客户数据，从合规性、业务需求、安 全需求方面整理数据资产分布情况，汇总数据资产流转及投 权审批情况，为数据分类分级及安全防护建议提供数据支撑。 在梳理过程中，应该明确识别对应不同的业务活动、数据活 动中所涉及的不同角色，例如数据提供方、数据所有方、数 据处理方、数据合作方等。明确在不同场景下各方角色的数 据安全义务和责任，才能有针对性地开展后续数据安全治理 工作，进行分步实施、分级治理。这项工作的关键在于制定 可落地的数据的分类分级和确权策略，并借助系统进行敏感 数据识别。现在市场已经有着成熟的工具和技术支持关键字 识别、自然语言处理、特征码识别等方式，实现表级和字段 级的数据分类定级工作。(二)数据安全评估和规划第二阶段：进行数据安全评估和规划。通过第一步，可 以了解公司的数据资产现状。结合现状、各级政策法规和监 管要求，评估与行业发展要求的差距点，进而对公司数据安 全治理体系的建设路径进行规划。数据安全评估和规划的内 容包括管理、技术和运营三个层面，每个层面的企业现状不 同，下一步工作也会分别有所侧重。在评估个人客户信息数 据时，需要注意个人客户数据的类型与敏感程度、个人客户 数据全生命周期的情况和现有的保护措施，如果涉及第三方 数据的交互共享或者境外客户数据的交互共享，要特别明确 各方的隐私保护职责和边界。(S)数据安全治理组织制度统筹第三阶段：建设数据安全治理管理体系。结合证券行业 数据治理工作开展的情况，证券经营机构数据安全的组织并 非一定要单独设置。数据安全组织的决策层、管理层、执行 层、监督层通常与数据治理组织存在一定的相似之处，可以 与金融科技委员会、数据治理委员会等组织相结合，成立共 同的决策、管理、执行和监督组织。在数据安全治理制度体 系建设过程中，可以将数据安全总则融入企业数据管理总则 中，在细则和流程规范层面，再对数据安全、个人信息保护 进行单独的阐释要求。（四）数据安全治理技术平台建设第四阶段：建设数据安全治理技术体系与风险识别控制。 明确了数据资产、组织职责分工和制度规范后，即可建设数 据访问控制、数据流量监控、数据防泄漏、数据库审计等安 全管控平台，对各项数据安全管控要求进行落地。通过各类 数据安全管控平台识别的风险和潜在问题，需要及时进行优 化整改。数据安全治理的技术体系本身也在不断迭代发展， 在针对个人客户信息保护方面，有着多种技术来支持不同的 场景和需求。例如，零信任访问架构关注针对数据、应用的 动态访问授权和细粒度控制，建立先认证再连接的访问机制; 差分隐私技术主要用于解决数据发布和分析阶段带来的个 人隐私泄露问题；数据加密技术则是传统主流的个人客户信 息保护方法。此外，还有匿名化技术、同态加密、多方安全 计算、区块链、联邦学习等不断发展和投入应用的数据安全防护技术。（五）数据安全治理持续运营保障第五阶段：数据安全持续运营。通过以上四步，已经建 立起了公司内数据安全的框架，但必须通过人员、流程和平 台的持续运营才能长期有效地保障数据的安全可靠。同时, 在数据安全持续运营过程中，需要判断原有的策略规范是否 与新的法律法规及监管要求有偏差，要定期配合检查策略规 范是否需要更新、是否有新兴安全风险和防范技术，并且要 通过培训宣贯向每一位员工灌输数据安全意识，防范安全风 险。四、总结与展望国际上，数据安全治理最早在2016年由高德纳公司提 出，近两年也在国内逐渐兴起。2021年数据安全法个 人信息保护法的发布也使数据安全在各行各业得到了前所 未有的重视。在证券行业日益发展的业务及其海量数据背景下，以个 人客户信息保护为中心开展数据安全治理，符合当下的监管 和业务发展趋势，也更能找到切入点，推动业务、合规风控 和技术部门共同参与数据安全的建设过程。行业数据安全治理有以下几个特点：（一）行业监管指引、标准规范不断推出目前证券行业尚未基于数据安全法个人信息保护法 出具详细的监管指引或实施指南，但中国人民银行等主管单 位已经发布了个人金融信息保护技术规范金融数据安全 数据安全分级指南。可以预见，更多的行业数据安全规范、 标准将持续推出。（二）数据安全保护技术日新月异，需要加速研究和投 入应用这一点和大数据技术的迅速发展相辅相成。随着大数据 技术创新与应用日趋活跃，在新技术和场景中对个人客户信 息保护的手段也需要推陈出新，对于区块链、零信任、联邦 学习、差分隐私等技术进行灵活研究和应用。（S）侵犯个人客户信息的方式愈加多样，问题愈加严以最常见的各类APP为例。近年来个人信息数据过度采 集、滥用、非法交易及用户数据泄露等问题频繁发生，且已 有不少处罚案例。例如，根据"十四五''信息通信行业发展 规划，2021年工信部针对App违法违规使用个人信息行为 进行检查，共发现38款APP存在问题。基于以上特点，数据安全治理的发展也将朝向资产化、 智能化和服务化三个方向。一是资产化。数据资产意味着数据要素需要确权、标准 化和定价，只有主权明确、完整规范的数据要素才能成为满 足安全合规、风险可控的要求。二是智能化。智能化是金融企业数据安全治理的必经之 路，金融行业数据规模巨大、敏感数据集中、数据使用和交 换场景复杂，日数据量可以达到千万级。数据安全治理各类 流程需要依赖大量的人力和资源，需要借助智能化、可视化 的方法和技术来实现数据安全治理的常态化。三是服务化。通过与业务场景、用户痛点、应用的处处 融合，安全可控与数据价值应用的平衡是数据安全治理保持 长效和活力的秘诀。数据的安全管控也是为了更好地进行服 务和价值创造。