（亿欧注：本文作者吴晓光为中国人民银行金融信息中心规范研讨部副主任）

金融行业是信息密集型、知识密集型和价值密集型行业，金融机构在运营进程中与整个社会各行业构成了宏大的交错网络，沉淀了少量数据。 无论是以创新为目的的 金融科技 （FinTech），还是以合规为目的的监管科技（RegTech）， 大数据 的深化使用能从海量数据中发现价值、辨认风险、减速创新以及推进行业安康开展。而与此同时，数据的平安成绩尤为重要，一旦发作信息泄露事情，容易引发电信网络诈骗等守法立功活动，危及大众生命财富平安，给行业带来负面影响，更有甚者还能够危及国度利益及国度平安。

法律法规的制定状况

随着各国对大数据平安重要性看法的不时加深，包括美国、英国、欧盟和中国在内的 很多国度和组织都制定了大数据平安相关的法律法规和政策来推进大数据应用和平安维护，在政府数据开放、数据跨境流通和团体信息维护等方向停止了探究与理论。

2017年6月，《中华人民共和国网络平安法》正式施行， 这部网络平安范畴的根底性法律，对团体信息维护和惩治合法买卖团体信息等方面做出了明白规则， 标明我国团体信息维护的法律防线正处于逐渐构建和稳固的进程中。

在法律法规的框架之下，还需求经过规范来明白可操作的施行规则，空虚、细化法律法规中规则的义务，以指点政府部门、各行业、各机构愈加无效地展开大数据使用施行。

目前， 金融行业已发布了信息平安等级维护相关的规范标准， 如《金融行业信息零碎信息平安等级维护施行指引JR/T 0071-2012》等，用于指点金融机构展开零碎建立、测评和运维管理，大少数金融机构参照国际规范ISO 27001来构建和完善本身的信息平安管理体系，并获得一定成效。

而在大数据时代，少量的数据在脱离数据一切者的控制范围内活泼着，面临着如何对数据运用者受权，如何保证数据共享、交融等进程中的保密性、完好性和可用性（CIA），以及在新的技术道路下如何保证零碎的平安性等成绩。 针对这些成绩，需求制定体系化的、操作性强的规范标准，以保证 金融大数据 战略的稳步施行。

金融大数据平安规范的不同维度

金融大数据平安管理触及主体多、涵盖范围广，可从数据一切者、数据运用者、技术、使用场景等维度动手梳理大数据平安管理进程中的关键点，并探究树立金融大数据平安规范框架，对金融机构施行大数据战略予以指点、约束和标准。

数据一切者维度

范围和权益。 从数据源类型来看，次要包括公共数据源、社会数据源、商业数据源和团体数据源等四大类 。其中，公共数据资源、社会数据源的开放应用具有经济社会价值潜能，对大数据产业的开展起着至关重要的作用，而团体数据源则是大数据环境下维护的重点。团体信息可以独自或许与其他信息结合辨认用户，基于团体信息的搜集和运用与团体的利益、权益毫不相关。因而，要经过立法明白团体信息的范围和权益，提出团体信息分类的规范，并针对如何无效辨认、支配和控制团体信息并避免别人损害等，制定维护战略和施行指南。

数据受权。 随着挪动互联网和物联网技术的开展，对团体信息搜集的手腕变得愈加密集和荫蔽， 数据一切者往往在不知情或许有意识的状况下被内部获取信息。 针对这类状况，在明白数据一切者权益的根底上，要思索数据一切者如何向运用者无效受权的成绩，经过规范来标准在数据采集进程中数据运用者与数据一切者之间的沟通和交互。如，数据一切者必需做出声明，或许明晰的一定性举措，受权才被以为无效。在《ISO/IEC 29151 团体可辨认信息维护指南》中，就明白提出了数据控制者（Data Controller）对数据主体（Data Subject）实行告知时，该当告知的内容、告知的方式、告知的机遇等。此外，在受权进程中，数据运用者还应向数据一切者就数据的运用范围、与所展开业务的相关性，如何对数据停止无效管理以及违约后如何处置等成绩做出呼应和承诺。

数据运用者维度

责任和义务。 《网络平安法》中明白了网络信息平安的责任主体，确立了“ 谁搜集，谁担任” 的根本准绳。 金融机构是数据运用的直接获利者，同时也是数据平安的责任主体，一旦有信息泄露事情发作，可依法追查其责任。 金融机构应采用适宜的技术和组织方面的措施，以保证一定的数据平安程度；不得过度采集监管部门所规则范围之外的、且与提供效劳内容有关的团体信息；对数据处置活动构成详细的记载，确保数据处置活动的可跟踪、可追溯和不可窜改，便于展开审计和取证；同时，还应承受行业主管部门和社会各界的反省和监视。

数据管理。 在金融机构外部， 数据的处置流程包括采集、汇总、存储、加工、建模、剖析、应用、归档、销毁等，经手的部门和环节较多，任何一个环节管理不当都能够引发信息泄露的风险，越是靠后的环节，数据发掘越充沛，信息泄露所带来的影响将越大。 总体而言，金融机构要树立权责明晰的数据管理机制，使数据管高端智能装备、新一代信息技术、新能源、新材料、新制造、新零售、新技术、生物制药等新的产业集群正在迸发活力;创新驱动、科技支撑、知识产权转化、技术转移等新的动能正在超越旧的动力，新经济成为支撑经济发展的重要力量。理标准、运用平安、应用充沛。数据管理机制包括但不限于：在对数据停止分类分级，设置不同的平安防护战略，包括管理和技术层面；确定不同角色、不同数据运用部门的责任和行为标准，在数据处置的整个周期中做好身份认证、拜访受权、平安审计等方面的管理，从基本和源头上避免数据泄露行为发作。

数据分级 。普通来说，单点信息的价值和可应用性较低，不会直接暴露用户隐私，但用户在网络环境下发生的各类数据具有累积性和关联性，将不同来源的数据会聚在一同，经过关联剖析之后，可以愈加明晰地获取用户行为轨迹和画像，价值和可应用性大幅提升。金融机构需求从各类金融业务的监管要求、实践业务展开状况和社会影响水平动身，对所搜集到的团体信息停止分类、设定不同的平安级别，数据的交融水平越高，能发掘的信息量越大，一旦被窃取后危害和影响越大，所对应的平安级别越高。

数据披露。金融机构实质上不属于数据中介，在未经法律受权或许客户赞同的状况下，不得将所掌握的客户信息提供应其他机构 。而在一些状况下，如将数据使用于国度管理、学术研讨、公共效劳等范畴，且有害于数据主体严重利益的，可思索在征得客户赞同的前提下，与数据提供对象签署框架协作协议，对数据停止脱敏处置到达无法辨认团体、且不能恢复的水平后，可予以提供数据。

技术维度

根底平台平安。 大局部大数据平台软件在设计之初，只思索在可信的外部网络中运用，对用户身份辨认、受权拜访、数据加密传输、密钥管理以及平安审计等方面思索较少，在软件的晋级进程中应不时完善这些平安管理功用，并构成契合行业监管要求的、可评价的产品测试标准，确保平安可信。 大数据平台普通采用散布式计算和存储架构，需求按照散布式零碎的平安防护战略对平台停止运维加固。 此外，账户管理也是平台平安的重要局部，应树立密码强健性保证、账户回收、登录失败限制、操作人员审计等平安机制。

数据平安。数据平安包括数据存储平安、数据传输平安和数据拜访等方面。 大数据平台中包括了少量不同来源的数据，不同数据的平安级别和防护战略不同，在技术完成上应重点关注散布式环境下的数据完好性验证、数据标签、细粒度拜访控制、 区块链 、数据脱敏等技术。

网络平安。 绝对于传统的数据，大数据具有体量大（Volume）、速度快（Velocity）、多样化（Variety）、难辨识（Veracity）和价值密度低 (Value)等特征，加上新情势下不时有新的内部攻击呈现，这都意味着要剖析和处置比以往更多的数据。针对这种状况，传统网络平安进攻手腕难以应对，可运用大数据技术来停止网络平安入侵检测、平安态势感知、网络攻击取证、要挟情报剖析等，愈加自动、弹性地去应对新型复杂的要挟，进步网络设备的综合进攻才能。

使用场景维度

数据共享。 从 金融监管 和金融效劳角度看，数据在开放和共享的进程中会发生更大的价值，可进步综合决策程度，为政府部门、司法机关、金融机构及社会大众提供不同层面的数据效劳。出于对市场竞争、信息平安和投入本钱等方面的思索，金融机构数据共享的志愿并不激烈，金融范畴的数据共享往往是在特定制度框架下推进的，如征信、反洗钱等范畴公布的法规和制度。随着业务创新和监管科技的不时深化，将会陆续开收回新的数据共享场景，满足不同金融监管和金融效劳的要求，这一方面离不开监管政策和制度层面的支持，另一方面，还需求有平安技术的开展和管理机制的不时健全完善作为保证，确保数据在流转进程中失掉充沛维护、可追溯且不可被窜改，保证各类主体的合法权益，很好地处理数据共享中的平安和隐私维护成绩。

跨境数据传输。 为降低跨境数据活动潜在的平安风险，《网络平安法》第37条规则：“关键信息根底设备的运营者在中华人民共和国境内运营中搜集和发生的团体信息和重要数据该当在境内存储。因业务需求，确需向境外提供的，该当依照国度网信部门会同国务院有关部门制定的方法停止平安评价。”针对金融行业而言，有必要在《网络平安法》的框架下，进一步研讨数据出境平安评价的次要风险目标、数据属性等特征目标，判别出境数据的重要性，综合评判出境活动的风险，为金融机构展开数据跨境平安风险自评价提供标准指南，为国度展开数据出境平安评价审查的任务机制提供规范支撑。

与规范配套的保证机制

一是完善法规制度建立。 《网络平安法》是我国网络平安范畴第一部根底性法律，是我国网络平安根本法，也是以后大数据平安防护范畴最威望和片面的上位法。在《网络平安法》的根底上，进一步研讨完善团体信息维护、数据共享平安、跨境数据传输平安、大数据平安等级维护等范畴的法律法规，以及金融行业相关制度标准，增强对行业重点信息、团体敏感信息和关键根底设备的维护，树立问责机制，结合司法部门加大对各类守法违规行为的打击力度。

二是增强大数据产业支撑力度。 以后大数据技术以开源为主，尚未有任何国度构成相对垄断，这关于我国而言，既是机遇也是应战。在国度战略层面，应支持国际科研机构和企业增强对大数据技术的研讨，完成产品的自主可控，培育专业人才。在产业开展层面，在完善技术规范的根底上，树立配套的检测认证机制，保证产质量量。在金融行业外部，稳步推进大数据、 云计算 等新技术和新产品的行业使用，发现成绩及时反应至产业部门予以改良，使新技术愈加平安地效劳于金融科技和监管科技，为社会经济开展发明良好条件。

三是增强与国际规范化组织的沟通。 国际规范化组织（ISO）和国际电工委员会（IEC）结合技术委员会（ISO/IEC JTC1）、美国国度规范与技术研讨院（NIST）、欧盟数据维护和隐私任务组（CEN/ISSS WS-DPP）等规范化组织在数据平安与隐私维护方面已获得了一定效果。国际规范化组织应增强与国际组织的交流协作，自创其中的成功经历和先进理念，在跨境数据传输平安、大数据技术平安等方面展开风险联防联控，添加国际规范制定的话语权。

四是强化金融消费者平安防护认识。 经过教育、培训、宣传等手腕，普及网络平安防护知识，同时鼓舞社会大众对国度网络平安防护的参与和监视。对广阔金融消费者而言，应该增强对信息平安法律法规、规范标准的学习，选择在社会上具有一定认可度、运用较为普遍的社交和领取工具，尽量防止在网络上留下身份证、银行卡等敏感信息，在遇到信息泄露事情时及时用法律手腕维护本身合法权益。