今年夏天,因为装修房子缺钱,家住北京的吴女士通过一家城商行申请了一笔消费贷款。没想到,很快她就接二连三接到各种自称银行或者贷款中介打来的推销电话。“一天可以接到四五个。”她对记者抱怨道,向贷款银行反映也解决不了问题。
大数据时代广泛存在的个人信息泄露问题引发各界密切关注。今年,随着个人信息保护法、数据安全法等相关法律法规的落地,这样的问题有望逐步得到解决。业内人士表示,作为典型的数据“密集型”行业,这些庞大数据既是助推银行不断壮大的生产力要素,也是审视其更好发展的关键命题。
从记者近期调研情况看,个人信息保护法、数据安全法这两大法规施行后,包括数据安全、合规在内的数据治理问题,眼下已上升至银行战略层面,部分银行从治理、管理、技术等层面已经着手重构数据安全治理体系。当然,银行遇到的挑战也不少——数据缺乏标准,在产生过程中是流动的,如何在每个环节形成有效保护、管理,合理将数据赋能至业务场景?这些问题也需要金融机构进行深入探索。而隐私计算作为一项前沿技术有望成为有效保护个人数据安全的突破口。
数据安全保卫战全面打响
在数据安全日益升级趋势下,一场升级数据治理体系的行动正在银行业金融机构全面铺开。
“去年我们就开始对照个人信息保护法(草案)进行相关系统改造。”某大行金融科技部门人士向记者透露,银行先是自查,对手机银行App内容进行合规改造,比如手机权限、相册权限、隐私协议等。他表示,该行今年成立数据管理部门,为行内一级部门,堪称“顶配”。
据了解,平安银行、浦发银行等股份行对涉及个人信息安全等数据治理体系方面的重视度也在全面升级。
平安银行相关负责人日前表示:“年初,平安银行专门成立个人信息保护委员会。这个委员会包含风险、业务、科技、合规、消保、HR等各领域专家,来统筹管理全行个人信息保护相关工作。”
他说,该行以个人信息保护各项法律、部门规章及监管政策为准绳,建立健全个人信息保护制度体系,明确职责分工和管理要求,并将个人信息保护各项要求在系统建设和业务运营过程中内化、固化,同时对员工安排定期考核,开展自查自纠等工作。“在技术层面,我们下了很多功夫,探索新型技术防护手段,确保个人信息数据收集、传输、存储、使用、删除及销毁的全生命周期安全。”
浦发银行信息科技部相关负责人也向记者表示,该行今年从治理、管理、技术三个层面,实施数据采集、传输、存储、使用、删除销毁等全生命周期安全控制,防护数据安全。“主要采取了三个措施,一是构建综合安全治理框架,建立常态化安全内控规范机制;二是实施数据全生命安全管理,强化个人信息保护和隐私管控;三是建立多层次数据安全技术架构,采取纵深防御策略,持续升级网络安全防护体系。”他说。
全方位行动之下,用户最直接感受的改变就是手机银行App的改造。记者查阅招商银行、平安银行等多家银行手机App可见,都进行了相关改造,比如,均有“隐私政策更新”和“移动应用程序端的用户交互页面调整”等提示,用户需要先同意,才能使用手机App,等等。
数据治理尚存诸多难点
上述行动的铺开,简单来说,有两层原因,一是法律层面的合规要求,二是银行自身的数据治理和合理利用需求。
“这是行业发展趋势。银行积累大量数据,但之前不会用、少量用,造成闲置和浪费,安全也成问题,随着金融科技发展以及法律的完善,数据为什么用、怎么用、如何用,就必须提上日程。”上述大行人士向记者表示,现在也到了为隐私“买单”的关键时刻。
吴女士碰到的问题,自然并非是孤例,也印证数据安全等治理工作绝非一日之功——诸多难点和挑战需要一一攻克。
究其根源,主要是银行数据特征复杂多样,缺乏标准,元数据也缺乏管理;而且,数据在产生的过程中是流动的,从产生、获取、存储、使用、传输等,每个环节都要有相应的处理和管理。“数据的多样复杂特征,对识别数据资产以及数据分级分类带来一定难度。”浦发银行上述人士表示。
这导致数据治理在实操层面存在难度。例如,在个人信息保护方面,前述平安银行人士说,相关法律法规与标准指南等管理要求是近几年逐步提出的。但是银行业务场景繁多,业务流程的数据如何重新规范化,就是难点之一。再者,由于业务发展或风险管理需要,银行存在外部数据引入以及向外部提供数据的需求,但银行难以完全掌握外部合作方的个人信息保护工作落实情况,增加了数据保护工作难度。而且,外部方并非完全受到金融行业监管约束,这使得在客户个人信息方面,银行与外部方合作的风险难以完全有效缓释。
实际上,这可能是个人信息被泄露的一个重要原因。一位长期从事贷款中介的人士告诉记者,很多贷款中介、渠道商通过大数据手段获取银行客户信息,然后再盲打电话找客户。“一天打三四百个电话,能转化三四个客户。”她透露。
在调研中,记者获悉,各家银行数据治理工作进展不一,特别是中小银行行动较为缓慢,这既有技术实力短板的因素,也有对法律法规认知不到位的原因。
同盾科技行业安全专家阅微表示,目前国内大多数银行内部IT风险建设还处于初级或者待完善阶段,由“内鬼”造成的数据泄露事件比较高发,针对行内IT系统风险防范体系建设迫在眉睫。
金诚同达律所高级合伙人彭凯表示,据他这半年与银行的接触来看,商业银行业务条线繁多,部门设置多样,但是个人信息保护合规工作开展具有“牵一发而动全身”的特征,要达到全面合规会比较缓慢。“法律法规影响的评估,众多场景可能触发的人脸识别合规,敏感个人信息的处理、个人信息主体权利响应机制构建等等,都不是一蹴而就的。”他说。
隐私计算成突破口
在数据合规政策要求下,数据安全与合规问题对银行的重要性空前凸显。
记者在调研时获悉,一项前沿技术——隐私计算,有望成为有效保护个人数据的突破口。据悉,招商银行、交通银行、浦发银行等均已开展隐私计算相关研究,并在部分场景开启试点应用。
所谓隐私计算,也可以说是多方安全计算,就是让数据“可用不可见”,在此前提下,从技术上实现数据安全共享、协同等。2020年11月,央行发布《多方安全计算金融应用技术规范》后,对于隐私计算开展提供了实操参考。
前述浦发银行人士表示,目前隐私计算是业界普遍关注的、可验证的、能在数据要素流通融合中有效保护个人数据隐私的前沿科技。从技术上,实现原始数据不出域而数据“价值”和“知识”流通的目标,促进跨领域多维度数据的融合,构建“数据可用不可见”的合作新模式。
在反欺诈、风控等领域,隐私计算已展开一定的应用。但隐私计算存在较高的技术门槛,且尚在不断完善发展中,服务好场景,甚至大规模应用,尚需时日。
上述大行人士说,该行也在测试隐私计算应用,但主要还是为了验证隐私数据如何能够做到最大使用程度。
好消息是,行业共识已经形成。由于银行在营销拓客、反欺诈、信用风险评估、反洗钱、授信评估、内控合规等主要业务场景需要与外部机构合作,也就是存在跨机构的数据流通,因此存在额外数据泄露风险。“为了消除这些风险,通过隐私计算、同态加密等前沿技术升级现有数据安全技术体系,保障可信数据授权管理、数据价值可控流转,将成为促进金融数据有效利用,兼顾数据保护与价值流转的关键。”阅微表示。
(文章来源:上海证券报)