?

?

?

金融數(shù)據(jù)合規(guī)，首先要回答“誰需要合規(guī)"與“哪些金融數(shù)據(jù)要合規(guī)"這兩個(gè)問題。一種常見的錯(cuò)誤理解是：只有銀保監(jiān)會(huì)、證監(jiān)會(huì)監(jiān)管的銀行、證券公司、期貨公司等持牌金融機(jī)構(gòu)承擔(dān)金融數(shù)據(jù)合規(guī)義務(wù)；而金融數(shù)據(jù)僅指用戶端的交易信息、賬戶信息與機(jī)構(gòu)端的業(yè)務(wù)信息、交易信息。這種存在偏差的理解不僅會(huì)導(dǎo)致一些新型金融服務(wù)機(jī)構(gòu)忽視了其業(yè)務(wù)所涉金融數(shù)據(jù)也應(yīng)適用同樣或者類似的監(jiān)管合規(guī)要求；還導(dǎo)致一些傳統(tǒng)持牌金融機(jī)構(gòu)可能會(huì)將行業(yè)主管部門不時(shí)下發(fā)的監(jiān)管指導(dǎo)意見等同于全部的數(shù)據(jù)合規(guī)要求，無法充分識(shí)別金融數(shù)據(jù)的范圍，從而無法準(zhǔn)確把握來自網(wǎng)信辦、工信部、公安部等其他涉及網(wǎng)絡(luò)與數(shù)據(jù)安全行政部門的數(shù)據(jù)合規(guī)約束邊界。

?

《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》（以下簡(jiǎn)稱“金融數(shù)據(jù)分級(jí)指南"）中對(duì)金融數(shù)據(jù)進(jìn)行了明確定義，“金融數(shù)據(jù)"是指“金融業(yè)機(jī)構(gòu)開展金融業(yè)務(wù)、提供金融服務(wù)以及日常經(jīng)營管理所需或產(chǎn)生的各類數(shù)據(jù)"[1]?！督鹑跀?shù)據(jù)安全 數(shù)據(jù)安全評(píng)估規(guī)范（征求意見稿）》（以下簡(jiǎn)稱“金融數(shù)據(jù)評(píng)估規(guī)范"）中也沿用了上述定義。[2]上述定義中的義務(wù)主體為金融業(yè)機(jī)構(gòu)，而《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（以下簡(jiǎn)稱“個(gè)金技術(shù)規(guī)范"）中將“金融業(yè)機(jī)構(gòu)"定義為“由國家金融管理部門監(jiān)督管理的持牌金融機(jī)構(gòu)以及涉及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)"[3]，將“個(gè)人金融信息"定義為“金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息"[4]。

?

綜合上述定義，可以看出，金融數(shù)據(jù)合規(guī)的義務(wù)主體不僅僅指銀行、信托、金融租賃、貨幣經(jīng)紀(jì)、融資租賃等傳統(tǒng)持牌金融機(jī)構(gòu)，還包括其他提供金融產(chǎn)品/服務(wù)從而涉及個(gè)人金融信息處理的新型金融業(yè)機(jī)構(gòu)，例如金融服務(wù)機(jī)構(gòu)、金融科技公司等。另一方面，從個(gè)人金融信息和金融數(shù)據(jù)的定義也可以看出，個(gè)人金融信息僅是金融數(shù)據(jù)的一部分，金融數(shù)據(jù)的范圍涵蓋金融業(yè)機(jī)構(gòu)的內(nèi)部運(yùn)營與外部業(yè)務(wù)產(chǎn)生的所有數(shù)據(jù)，包含個(gè)人信息、組織經(jīng)營信息、公共信息等多個(gè)維度。

?

故而，金融數(shù)據(jù)合規(guī)不僅義務(wù)主體面廣，而且業(yè)務(wù)場(chǎng)景繁多、數(shù)據(jù)種類復(fù)雜。在當(dāng)前《個(gè)人保護(hù)法》（“個(gè)保法"）、《數(shù)據(jù)安全法》（“數(shù)安法"）和《網(wǎng)絡(luò)安全法》（“網(wǎng)安法"）“三駕馬車"引領(lǐng)的數(shù)據(jù)合規(guī)體系下，金融業(yè)機(jī)構(gòu)需要遵循個(gè)人信息保護(hù)、數(shù)據(jù)及網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律義務(wù)，此外還需參考中國人民銀行或全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的行業(yè)標(biāo)準(zhǔn)，遵循“就高從嚴(yán)"的原則開展金融數(shù)據(jù)合規(guī)工作。

?

?

在對(duì)復(fù)雜多樣的金融數(shù)據(jù)資產(chǎn)進(jìn)行識(shí)別、梳理、管理與保護(hù)時(shí)，基礎(chǔ)性的分類分級(jí)是金融業(yè)機(jī)構(gòu)建立完善的金融數(shù)據(jù)生命周期保護(hù)框架的基礎(chǔ)，也是有的放矢地實(shí)施數(shù)據(jù)安全管理的前提。

?

?

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》（以下簡(jiǎn)稱“數(shù)據(jù)分類分級(jí)指引"）對(duì)所有數(shù)據(jù)的分類分級(jí)提供了指導(dǎo)，在此之前，對(duì)金融數(shù)據(jù)的分類分級(jí)早已有相關(guān)標(biāo)準(zhǔn)與實(shí)踐。如何理解金融數(shù)據(jù)在規(guī)則適用上與其他數(shù)據(jù)的關(guān)系，以及金融數(shù)據(jù)自身分類分級(jí)標(biāo)準(zhǔn)間的關(guān)系，直接關(guān)系到金融業(yè)機(jī)構(gòu)數(shù)據(jù)合規(guī)工作的開展。

?

我們認(rèn)為，金融數(shù)據(jù)只是數(shù)據(jù)的一種基于行業(yè)的特殊分類，其已有的一些分類分級(jí)規(guī)則是根據(jù)行業(yè)特性提出了更具針對(duì)性的管理與保護(hù)要求。金融數(shù)據(jù)分類分級(jí)的思路也是在“先分類，再分級(jí)"下，進(jìn)行更完備且適當(dāng)?shù)墓芾砼c保護(hù)；此外，數(shù)據(jù)分類分級(jí)指引中也明確表示數(shù)據(jù)分類時(shí)應(yīng)優(yōu)先遵循行業(yè)的數(shù)據(jù)分類要求[5]，并且給出了數(shù)據(jù)分類分級(jí)指引與金融行業(yè)數(shù)據(jù)分類分級(jí)規(guī)則的對(duì)應(yīng)關(guān)系[6]。因此，發(fā)布在后的數(shù)據(jù)分類分級(jí)指引并未否定金融行業(yè)已有的金融數(shù)據(jù)分類分級(jí)規(guī)則。

?

從對(duì)數(shù)據(jù)進(jìn)行管理與保護(hù)的終極目的出發(fā)，金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)在把握數(shù)據(jù)分類分級(jí)指引的基本原則與流程的基礎(chǔ)上，結(jié)合自身業(yè)務(wù)實(shí)踐，在對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行盡可能全面的梳理后，按照以下原則開展分類分級(jí)工作：

?

（1）在金融數(shù)據(jù)分類上，金融業(yè)機(jī)構(gòu)應(yīng)優(yōu)先遵循金融數(shù)據(jù)的分類要求，在此基礎(chǔ)上再從組織經(jīng)營維度結(jié)合自身數(shù)據(jù)管理和使用需要對(duì)金融數(shù)據(jù)進(jìn)行分類；

?

（2）在金融數(shù)據(jù)分級(jí)上，我們理解數(shù)據(jù)分類分級(jí)指引與金融數(shù)據(jù)分級(jí)指南、個(gè)金技術(shù)規(guī)范等規(guī)則之間的不同分級(jí)體系在實(shí)踐中可能帶來一些困難，對(duì)此，我們認(rèn)為金融業(yè)機(jī)構(gòu)可以以金融數(shù)據(jù)分級(jí)指南為分級(jí)的基礎(chǔ)，在涉及證券期貨數(shù)據(jù)/個(gè)人金融信息等金融數(shù)據(jù)的分級(jí)時(shí)就高從嚴(yán)地適用更有針對(duì)性的《證券期貨數(shù)據(jù)分類分級(jí)指引》或個(gè)金技術(shù)規(guī)范。

?

?

基于對(duì)自身數(shù)據(jù)資產(chǎn)的整體盤點(diǎn)，金融業(yè)機(jī)構(gòu)可以先將金融數(shù)據(jù)分為客戶類、業(yè)務(wù)類、經(jīng)營管理類和監(jiān)管類的一級(jí)子類，在這一過程中，金融業(yè)機(jī)構(gòu)可以對(duì)其所涉及的信息類別與信息量有一個(gè)較為科學(xué)準(zhǔn)確的把握；然后根據(jù)信息主體或金融服務(wù)場(chǎng)景的不同再進(jìn)行二級(jí)子類、三級(jí)子類下的細(xì)分（如作為一級(jí)子類的業(yè)務(wù)數(shù)據(jù)可再細(xì)分為賬戶信息、法定數(shù)字貨幣錢包信息、合約協(xié)議、金融監(jiān)管和服務(wù)、交易信息等二級(jí)子類[7]）。對(duì)此，業(yè)內(nèi)已有一些提供數(shù)據(jù)云安全/管理解決方案的機(jī)構(gòu)可以幫助企業(yè)在云上進(jìn)行自動(dòng)化、日常性的數(shù)據(jù)分類，金融業(yè)機(jī)構(gòu)也可優(yōu)化自身已有的數(shù)據(jù)管理系統(tǒng)對(duì)其金融數(shù)據(jù)類別進(jìn)行整理。

?

在對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理分類后，金融業(yè)機(jī)構(gòu)應(yīng)明確數(shù)據(jù)定級(jí)的顆粒度及關(guān)鍵要素，為便于參考，我們?cè)谙卤?中[8]對(duì)比了數(shù)據(jù)分類分級(jí)指引、金融數(shù)據(jù)分級(jí)指南與個(gè)金技術(shù)規(guī)范在金融數(shù)據(jù)分級(jí)上的具體對(duì)應(yīng)關(guān)系：

?

表格1：關(guān)于金融數(shù)據(jù)分級(jí)相關(guān)規(guī)范的標(biāo)準(zhǔn)對(duì)比

我們建議金融業(yè)機(jī)構(gòu)可以自行或咨詢外部律師，制定一份數(shù)據(jù)分級(jí)的“內(nèi)部判定表"。為之后細(xì)化數(shù)據(jù)安全保護(hù)流程之考慮，我們建議該表以金融數(shù)據(jù)分級(jí)指南的數(shù)據(jù)定級(jí)為主要參考（如下表2所示）[9]，此外，在涉及5級(jí)數(shù)據(jù)、證券期貨數(shù)據(jù)以及個(gè)人金融信息時(shí)，還要考慮數(shù)據(jù)分類分級(jí)指引、《證券數(shù)據(jù)分類分級(jí)指引》、以及個(gè)金技術(shù)規(guī)范的特殊要求。比如，對(duì)銀行等金融業(yè)機(jī)構(gòu)而言，不僅金融賬戶屬于個(gè)人敏感信息，在業(yè)務(wù)過程中收集的生物識(shí)別信息、特定身份信息（身份證、社?？ǖ龋?、行蹤軌跡（app定位）信息、14歲以下（含）未成年個(gè)人信息、身份鑒別信息（登錄、支付密碼、交易密碼、銀行卡有效期、口令等），都屬于個(gè)人敏感信息，定級(jí)時(shí)不應(yīng)低于4級(jí)（C3級(jí)）。

?

表格2：金融數(shù)據(jù)安全定級(jí)規(guī)則參考表

在搭建好金融數(shù)據(jù)分類分級(jí)的框架并備好數(shù)據(jù)分類分級(jí)清單后，由于金融數(shù)據(jù)的類別、級(jí)別可能因時(shí)間變化、政策變化、安全事件發(fā)生、不同業(yè)務(wù)場(chǎng)景的敏感性變化或相關(guān)行業(yè)規(guī)則不同而發(fā)生改變，還需要對(duì)金融數(shù)據(jù)分類分級(jí)進(jìn)行定期審核并及時(shí)調(diào)整。

?

?

數(shù)據(jù)分類分級(jí)的終極意義在于實(shí)現(xiàn)更好的數(shù)據(jù)安全保護(hù)。基于金融數(shù)據(jù)分級(jí)指南，《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》（“周期安全規(guī)范"）通過規(guī)定金融數(shù)據(jù)生命周期安全原則、防護(hù)要求、組織保障要求及信息系統(tǒng)運(yùn)維保障要求，搭建了覆蓋金融數(shù)據(jù)全生命周期的安全保護(hù)框架，進(jìn)一步細(xì)化了安全保護(hù)的顆粒度。

?

?

首先，應(yīng)當(dāng)理解“數(shù)據(jù)生命周期"的概念?！敖鹑跀?shù)據(jù)生命周期"是指金融業(yè)機(jī)構(gòu)在開展業(yè)務(wù)和進(jìn)行經(jīng)營管理的過程中，對(duì)金融數(shù)據(jù)進(jìn)行采集、傳輸、存儲(chǔ)、使用、刪除、銷毀的整個(gè)過程。[10]

?

其次，金融業(yè)機(jī)構(gòu)可以從上述六大數(shù)據(jù)生命周期環(huán)節(jié)中細(xì)化金融數(shù)據(jù)的安全保護(hù)要求，將其作為數(shù)據(jù)生命周期安全框架的核心。須另外提示，在如下表3所示[11]的各環(huán)節(jié)中的具體場(chǎng)景可能與個(gè)保法等列示的數(shù)據(jù)處理場(chǎng)景存在內(nèi)涵和外延上的差異，這需要金融業(yè)機(jī)構(gòu)在具體操作中進(jìn)一步把握、咨詢專業(yè)律師。

?

表格3：六大金融數(shù)據(jù)生命周期環(huán)節(jié)

?

最后，在以上諸多場(chǎng)景中，金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)進(jìn)一步從數(shù)據(jù)安全組織保障（組織結(jié)構(gòu)、制度體系、內(nèi)外部人員機(jī)構(gòu)管理）和信息系統(tǒng)運(yùn)維保障（邊界管控、訪問控制、安全監(jiān)測(cè)與審計(jì)、檢查評(píng)估、應(yīng)急事件相應(yīng)及處置）兩大方面，構(gòu)筑內(nèi)部數(shù)據(jù)合規(guī)管理體系與安全保護(hù)機(jī)制。

?

?

基于金融數(shù)據(jù)分級(jí)指南的定級(jí)，周期安全規(guī)范規(guī)定了不同數(shù)據(jù)級(jí)下的安全保護(hù)技術(shù)要求。因此，以金融數(shù)據(jù)分級(jí)指南（或上文“內(nèi)部判定表"）為基礎(chǔ)進(jìn)行分級(jí)對(duì)照的金融業(yè)機(jī)構(gòu)，就可以基于其分級(jí)對(duì)金融數(shù)據(jù)的采集、傳輸、儲(chǔ)存、使用、刪除、銷毀進(jìn)行以下生命周期式的安全防護(hù)。篇幅所限，我們僅在下表4[12]中總結(jié)了周期安全規(guī)范中的一些典型要求，以此提示不同分級(jí)下的合規(guī)義務(wù)差別，幫助金融業(yè)機(jī)構(gòu)感受合規(guī)的顆粒度：

?

表格4：各金融數(shù)據(jù)生命周期環(huán)節(jié)中不同級(jí)別數(shù)據(jù)的合規(guī)義務(wù)示例

?

?

承前所述，信息系統(tǒng)運(yùn)維與數(shù)據(jù)安全組織構(gòu)成金融數(shù)據(jù)生命周期保護(hù)的兩大保障。與科技、互聯(lián)網(wǎng)等公司強(qiáng)依賴于在線系統(tǒng)處理數(shù)據(jù)安全及保護(hù)有所不同，金融業(yè)機(jī)構(gòu)工作人員的違規(guī)行為某種程度上更容易且頻繁地危害金融數(shù)據(jù)安全，產(chǎn)生侵權(quán)后果。在實(shí)踐中，金融業(yè)機(jī)構(gòu)工作人員私自訪問、保存并違法對(duì)外提供個(gè)人金融信息是導(dǎo)致數(shù)據(jù)安全事件的一大原因。在規(guī)范適用上，無論是《證券期貨數(shù)據(jù)分類分級(jí)指引》，還是金融數(shù)據(jù)分級(jí)指南、個(gè)金技術(shù)規(guī)范，都強(qiáng)調(diào)了良好的組織保障與完善的管理制度對(duì)金融數(shù)據(jù)保護(hù)的重要性。對(duì)此，周期安全規(guī)范細(xì)化了管理體系的組織架構(gòu)與職責(zé)定位，如下表5所示[13]，并要求金融業(yè)機(jī)構(gòu)在不同管理層級(jí)上梳理管理流程，擬定管理制度，細(xì)化管理要點(diǎn)，實(shí)現(xiàn)數(shù)據(jù)安全的保護(hù)閉環(huán)。

?

表格5：數(shù)據(jù)安全保護(hù)管理體系

簡(jiǎn)言之，傳統(tǒng)強(qiáng)監(jiān)管的金融業(yè)機(jī)構(gòu)雖然已面臨諸多法律法規(guī)的約束，但在管理日益精細(xì)化、系統(tǒng)化、科技化的今天，傳統(tǒng)金融業(yè)機(jī)構(gòu)更需要主動(dòng)作為，在行業(yè)內(nèi)標(biāo)準(zhǔn)、規(guī)范的基礎(chǔ)上，整理并搭建好金融數(shù)據(jù)系統(tǒng)性管理的思路與框架，將具有更細(xì)顆粒度的管理方案納入日常運(yùn)營管理中。

?

?

雖然金融領(lǐng)域既有的標(biāo)準(zhǔn)、規(guī)范已對(duì)金融數(shù)據(jù)合規(guī)提出了諸多要求，但金融業(yè)機(jī)構(gòu)的金融數(shù)據(jù)合規(guī)應(yīng)當(dāng)乘上“三駕馬車"，在對(duì)數(shù)據(jù)合規(guī)的全局性理解下，從技術(shù)應(yīng)用與管理組織兩個(gè)層面推進(jìn)自身系統(tǒng)化的建設(shè)。本系列文章選擇以金融數(shù)據(jù)的分類分級(jí)與生命周期保護(hù)為開篇話題，正是認(rèn)為金融業(yè)機(jī)構(gòu)，尤其是傳統(tǒng)金融持牌機(jī)構(gòu)，應(yīng)該從根本上改變區(qū)塊式看待金融數(shù)據(jù)合規(guī)的看法：在技術(shù)應(yīng)用層面，需要針對(duì)金融數(shù)據(jù)的收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等各個(gè)環(huán)節(jié)，根據(jù)不同的數(shù)據(jù)分類分級(jí)策略，構(gòu)建新一代動(dòng)態(tài)金融數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估與保護(hù)體系，實(shí)現(xiàn)差異化管理；在管理組織層面，金融業(yè)機(jī)構(gòu)需要將內(nèi)部管理體系與數(shù)據(jù)分類分級(jí)相結(jié)合，從管理制度、防護(hù)措施、崗位職責(zé)等多方面依托數(shù)據(jù)分類分級(jí)進(jìn)行針對(duì)性編制，強(qiáng)化管理體系落地執(zhí)行性。

?

?