数据安全“暗战”升级 多举措夯实数字金融“防火墙”
【来源:东方财富】
数据,作为数字经济时代的国家基础性战略资源和关键生产要素,在金融领域的战略价值尤为突出。它不仅直接关系用户的隐私保护与财产权益,更深度关联国家金融稳定与经济安全。
2024年12月,国家金融监督管理总局发布《银行保险机构数据安全管理办法》,明确要求金融机构应建立全面数据安全治理体系,构建覆盖数据全生命周期的安全保护机制。2025年9月15日至21日,国家网络安全宣传周如期举办,再次凸显了数据安全在社会治理和金融活动中的核心地位。
当前,数据驱动金融业务创新、服务升级的同时,也逐渐成为风险集中地带。业内人士对《中国经营报》记者表示,数据战略价值与国家经济安全紧密相连,跨境数据流动风险、大规模泄露事件频发正倒逼系统性防护体系加速建成。在此背景下,银行业作为数据密集行业,正从管理制度、技术防护与合规实践等多维度构筑安全防线,但仍需应对技术迭代、跨境合规等多重挑战。
数据安全战略价值凸显防护形势严峻复杂
目前,数据已成为与土地、劳动力、资本、技术并列的第五大生产要素,其战略价值日益凸显,也让我国对数据安全的重视程度持续提升。盘古智库高级研究员江瀚对记者表示,随着数字经济规模占GDP比重持续提升,数据资源的掌控力直接关系到国家经济安全与科技主权;加之全球地缘政治博弈加剧,跨境数据流动中的敏感信息泄露风险上升,部分国家对中国科技企业实施数据审查,更倒逼我国加快构建自主可控的数据治理体系。
从实际风险来看,个人与机构层面的威胁交织叠加,形势复杂严峻。在个人端,中信银行(601998.SH)方面提示,不法分子窃取数据手段不断翻新:以账户认证、领福利等名义非法索权,诱导过度授权;伪装公检法、银行等机构制造恐慌,骗取密码或诱导屏幕共享;虚构高回报投资、刷单返利等交易,诱骗转账或套取支付信息。记者了解到,此类案例也多次在国家网络安全宣传周警示展中提及,成为侵害用户财产权益的高频风险点。
机构端的问题同样突出。中金金融认证中心(CFCA)行业专家高英博向记者分析道,金融机构在征信授权环节存在多重隐患:身份验证仅靠“姓名+身份证+短信验证码”等弱方式,易被破解冒用;部分机构自建CA证书缺乏公信力,密钥管理不符国密标准;授权存证缺失、内部合规意识不足也加剧风险。
大成律师事务所上海办公室方面则指出,银行保险机构数据安全概念范畴广泛,既有私密性又有公共性。例如个人金融信息带有私密属性,相较而言,银行保险机构监管过程中收集的数据又具有公共属性。因此,银行保险数据特有的多重概念属性增大了银行保险数据安全管理的复杂度。
新技术应用更带来全新挑战。江瀚表示,人工智能和大数据技术的深度应用,使得数据聚合分析可推导出敏感信息,匿名化处理难度加大;物联网设备与工业互联网普及,攻击面显著扩展,关键基础设施面临高级别持续性威胁;随着数据跨境流动需求激增,国际规则缺位导致合规风险上升,企业面临多国监管冲突。
大成律师事务所上海办公室方面表示,从业务的形态、逻辑和内涵审视,当下银行保险业务具有交错关联、复杂深厚的特性,数据流转的管控难度增大。因此,银行保险业务的融合创新客观上可能提升银行保险数据安全风险的危害程度。
从管理到技术金融机构多路径构建防护体系
面对严峻的数据安全形势,监管层为行业划定了清晰的防护底线。2024年12月27日,国家金融监督管理总局印发的《银行保险机构数据安全管理办法》明确提出:“银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系,建立健全数据安全管理制度。银行保险机构利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度基础上,履行数据安全保护义务。”在此指引下,金融机构正从管理优化、技术革新等多个维度系统推进数据安全体系建设,形成“制度+技术+合规”的立体防线。
在数据风险管理方面,工商银行(601398.SH)在其2025年中期业绩报中指出,该行持续推进数据安全分类分级贯标,深化数据安全技术管理系统和数据安全运维监测平台建设,常态化开展数据安全评估和风险监测。与此同时,深入梳理收敛风险暴露点、提升个人客户信息安全管控能力;持续开展培训提升全行数据安全保护意识。
技术革新成为防护体系的“硬核支撑”。建设银行(601939.SH)建立了隐私保护计算平台。该平台可在保障数据隐私的前提下实现联合计算,且该平台采用分布式计算,实际运算功能仅在各参与方本地计算子系统完成。同时,平台可利用区块链对关键中间结果及时进行上链存证,支持离线任务重跑,可完整复现原流程,从而对参与方的作恶行为进行审计。
不仅大型银行,小型金融机构亦对数据安全管理投入很大。民营银行苏商银行为破解传统数据交换“要么不给、要么全给”的痛点,联合南京大学研发的《动态数据分片与端到端加密的隐私保护方法》,近日获国家知识产权局专利授权。该专利核心是实现数据“可用不可见”,从根源提升敏感数据流转安全性,为金融、医疗等合规高要求行业提供技术支撑。
在行业层面,高英博指出,金融机构在数据安全与隐私保护中,核心问题集中于“流程无标准、技术应用不规范、事后难举证”,既让机构面临法律与运营风险,也威胁用户信息权益。
为此,CFCA积极配合中国人民银行征信管理局,参与制定了《个人征信电子授权安全技术指南》,并通过“安心验、安心证、安心诉”产品针对性破局:以“身份证+两种以上强验证”或数字证书解决“身份核验”问题,防止身份被冒用;由权威第三方留存授权全流程操作细节与结果,形成不可篡改存证,解决“证据留存”问题;提供标准化报告,助力机构在纠纷中快速证明合规性,高效解决“事后举证”问题。
(文章来源:中国经营网)
