“第三方数据处理者的数据安全合规能力不足而产生的风险,会直接影响到商业银行本身。光大银行一方面制定了面向全行的《数据共享安全管理办法》,另一方面,针对外部数据服务厂商、集团和子公司、业务合作第三方、海外分行等不同类型的第三方数据处理者,提出严格、差异化的管理要求,并建立了数据共享安全合规审批机制。”10月10日,在新金融联盟举办的“新法规下金融机构的数据合规应用”研讨会上,光大银行信息科技部副总经理王磊在主题发言中表示。

王磊分析了《数据安全法》《个人信息保护法》《征信业务管理办法》等系列新规下,商业银行数据保护工作面临的四方面挑战,并从六个方面阐述了光大银行的数据保护实践。

会上,建设银行首席信息官金磐石、北京银行首席信息官龚伟华、南京银行首席信息官余宣杰、清华大学法学院院长申卫星也做了主题发言。中国银行原行长李礼辉,对外经贸大学数字经济与法律创新研究中心主任许可,以及两位来自监管部门的代表进行了点评。会议由新金融联盟秘书长吴雨珊主持,中国金融四十人论坛提供学术支持。实录详见→实录| 数据应用旧规则颠覆,银行、科技公司如何应对挑战?

嘉宾发言陆续刊登中,以下为王磊发言全文,已经本人审核。如果您在数字金融、金融创新、资管转型等领域有心得,欢迎来稿,共同探讨。详见:征稿 | 数字时代话金融,分享您的所思所得

光大银行数据保护研究与实践

文 | 王磊

光大银行信息科技部副总经理 王磊

2021年,随着《数据安全法》《个人信息保护法》的发布与实施,我国基本形成了从“战略-法律法规-部门规章/国家及行业标准” 层层递进的数据保护立法体系。借今天的机会,我向大家谈谈光大银行在数据保护方面的思考和策略。

一、两法实施对商业银行的巨大挑战

“两法”有一些新的定义,比如《数据安全法》中有重要数据处理者,明确要求数据处理者指定负责人和管理机构,定期开展风险评估等工作。《个人信息保护法》中有重要互联网平台的概念,要求个人信息处理者建立健全合规制度体系,成立独立机构进行监督,发布相关社会责任报告等义务。由于商业银行处理大量个人及金融数据,大概率会被定义为重要数据处理者及重要互联网平台。

在刚刚颁布的《征信业务管理办法》里,一方面,是明确的管理要求:商业银行作为金融机构,不得与未取得合法征信业务资质的市场机构开展商业合作,获取征信服务;另一方面,在实际的业务场景拓展中,商业银行不仅是信息的提供者和信息的使用者,未来很有可能会发展成为征信机构,因为商业银行也向第三方、子公司提供一些个人信用方面的评价信息。所以,《征信业务管理办法》让我们思考“断舍离”。

两法发布并实施,促使商业银行数据保护工作上升至治理体系层面,也使商业银行的数据保护面临巨大挑战。

第一,个人信息保护影响评估(PIA)。《个人信息保护法》明确要求,个人信息处理者事前进行个人信息保护影响评估。这就要求商业银行,在需求开发的整个过程中,加入隐私保护的设计。目前,对项目过程式的研发流程必然带来一些冲击。

第二,数据共享场景。识别大量、类型多样的第三方数据处理者的合法合规性及数据保护能力,对商业银行提出极高要求。

第三,数据出境、入境场景。随着商业银行国际化发展,要求银行全面解析各国数据保护法规的要求,并制定协同一致的应对方案,这对银行来说难度很大。

第四,重要数据处理者与重要互联网平台要求,对商业银行提出了组织架构、责任人、制度体系以及第三方独立监督等变革企业治理架构的诉求。

二、光大银行数据保护实践

面对挑战,我们积极应对。在这个过程中,商业银行得到了包括央行等监管机构关于金融标准方面的支持,以及对整个数据保护体系建设方面的指导。

在“两法”出台之前,国家标准、金融行业标准已经密集出台。从个人金融信息的保护技术规范,到多方安全技术规范;从数据安全的分级、数据生命周期,到数据能力建设。整个数据保护标准体系相对完整,对商业银行数据保护体系的建设做出了明确的指导。

举个例子,央行今年发布了《金融业数据能力建设指引》,光大银行内部根据这个指引做评估时发现,该指引跟2018年发布的国家标准《数据管理能力成熟度评估模型》有非常好的契合,我们根据国标36073的评估模型,围绕数据能力建设指引做了自评估,分析差距、找出不足,效果非常好。

基于实践,我从六个方面谈谈光大银行数据保护实施应对策略。

第一,设计保护数据主体权益的数据保护治理体系。

光大银行构建了数据全生命周期和管理闭环协同的数据保护治理体系框架。主要有两个层次:一是在数据全生命周期过程中落地数据保护工程,将控制手段、电子化项目系统落地在整个数据的全生命周期;二是围绕数据保护的运营体系,通过计划、实施、评估、监测包括行动,不断的优化、评估管理闭环效果。这样使我们具备充分的保护个人信息以及其合法权利的能力。

第二,搭建数据保护组织架构与制度体系。

“两法”中对数据治理架构提出明确要求,要有责任人和具体管理机构。

光大银行基于现有组织架构,建立决策、协调、执行三层数据保护组织架构及制度体系。同时成立数据保护小组,负责数据保护工作的协调推进。数据保护小组由信息科技部,法律合规部、消费者权益保护部等部门组成,负责全行的数据保护牵头组织、推动和监督工作。

从制度体系方面,按照政策、办法、细则、规范等层次建立起完整的制度体系,成为保障数据保护的一个基础。《数据政策》已经上升为全行数据基本法,它的修订需要董事会的批准。针对重要领域,比如数据安全管理、个人信息保护管理、数据共享安全管理等制定相关办法。另外还会制定一些开发细则、数据保护细则和具体的规范,从不同层面落地数据保护的要求。

第三,个人信息保护影响评估机制先行先试。

《个人信息保护法》对我们挑战最大的可能就是PIA,我们尝试参考国家标准的《个人信息安全影响评估指南》,建立起个人信息保护评估机制,梳理了100多项相关的规章、标准、规范,形成光大银行自身的评估要点,重点关注个人信息、APP相关信息以及金融领域的规范性要求,要点形成后落地在整个项目开发过程中。在需求阶段做需求的合规评估,在分析、设计、开发阶段,进行安全技术评估,需求评估和安全技术评估都是随着开发过程不断地开展。在系统或功能上线之前,通过数据保护小组审批,事前有效地把个人信息保护工作的要求落地。

第四,数据共享安全,重点防范第三方风险。

数据共享、委托处理、转让过程中,第三方数据处理者的数据安全合规能力不足而产生的风险会直接影响到商业银行本身。所以,光大银行一方面制定了面向全行的《数据共享安全管理办法》,另一方面总结了四种数据的共享对象。

第一种,外部数据服务厂商,我们针对四家提供个人信息服务的供应商以及我行7个APP中合作第三方的安全合规性进行了检查评估。

第二种,集团和子公司,我们组织全行各部门签订了《集团数据共享治理框架协议》,并基于场景推进相关补充协议签订。

第三种,业务合作第三方,比如蚂蚁金服、腾讯等业务合作伙伴。

第四种,海外分行,我们组织开展了GDPR的专项培训,并签订了海外分行与总行的《数据处理者协议》。

我们针对不同类型的第三方数据处理者,提出严格、差异化的管理要求,并建立数据共享安全合规审批机制。

第五,数据要素融合安全。

光大银行于2021年8月底上线业内首家企业级多方安全计算平台,在集团财富E-SBU的潜在高净值客户联合营销场景应用中落地实施,走出数据要素安全融合并实现价值释放的重要一步。

第六,数据保护运营。

光大银行已启动数据安全分级工具以及数据安全审计平台的实施。对敏感数据进行识别与定级,采集各类环境、场景下的操作日志与流量,统一进入安全数据湖进行加工分析,对各类数据访问行为进行监测、分析与预警等。

商业银行数据保护工作刚刚起步,数据保护是金融机构数据能力建设的核心内容,治理架构、人才以及文化意识是各项工作顺利推进的基础保障与关键要素。

最后,我们也希望监管不断优化数据保护能力的标准化体系建设,从标准的制定、贯标、落标、评估、评测,包括资质认证,来提高商业银行以及相关数据处理者进入整个数据生态的必要条件。这样可以督促商业银行不断地加快数据保护能力建设步伐,同时防范合作第三方的风险,为繁荣整个数据生态提供一个安全合规的底座。

谢谢大家。

声明:本文转载自新金融城

原文发布于2021-10-16 23:59

光大银行王磊:数据共享需重点防范第三方风险相关推荐

  1. 企业日志分析 五大问题需重点注意

    资讯 |  安全 |  论坛 |  下载 |  读书 |  程序开发 |  数据库 |  系统 |  网络 |  电子书 |  微信学院 |  站长学院 |  源码 |  QQ |  专栏 |  考试 ...

  2. 米斯特白帽培训讲义(v2)漏洞篇 第三方风险

    米斯特白帽培训讲义 漏洞篇 第三方风险 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 域名商 域名商就是提供域名购买的站点.我们可以通过站长工具的 WHOIS 查询来查询域 ...

  3. 银行风险预警 第三方数据_网络第三方风险

    银行风险预警 第三方数据 现代软件开发的性质使得很难知道代码的实际编写位置和编写者. (The nature of modern software development makes it hard ...

  4. [境内法规]中国人民银行关于金融机构严格执行反洗钱规定防范洗钱风险的通知—银发2005

    中国人民银行关于金融机构严格执行反洗钱规定防范洗钱风险的通知 颁布日期:2005-01-01  发文文号:  发布部门:中国人民银行           中国人民银行关于金融机构严格执行反洗钱规定防范 ...

  5. 跨境电商系列 | 防范第三方脚本对数据隐私与安全的侵蚀

    这样,一个功能齐全的在线商务网站,除了商家开发和控制的内容外,不可避免地需要嵌入大量不能由商家直接控制的第三方脚本.此时,你会好奇这样一个问题:用户实际访问的网站和体验是否与您最初的期望完全一致? 第 ...

  6. 易观分析:银行实现无感风控落地需提高主动感知风险能力

    易观分析:金融业务的数字化能力升级相应地要求银行的业务安全风控建设,从"专家经验,规则为本"向"主动感知未知风险"转变,并以用户为中心,建立差异化管理的无感式风 ...

  7. 招标采购过程中如何防范招标风险?

    招标采购风险是在招标采购过程中由于各种不确定性因素的出现,使招标采购的实际结果与预期目标相偏离的情况.招标源头风险防控是指在招标文件发出之前,即招标准备阶段,应采取一系列措施防范风险. 1.法定招标项 ...

  8. 游戏出海迎来新高,出海的路上如何防范DDoS风险?

    一.游戏出海首破千亿大关 作为没有国界的文化内容产品,游戏出海具备天然的优势.过去几年,在行业上下游的共同努力下,国内游戏出海取得了令人瞩目的成绩,市场占比持续提升.根据手游及应用情报平台Sensor ...

  9. 区块链或能成为防范网络风险新招

    在WannaCry勒索软件爆发过程中,众多政府机关.科研机构.网络安全企业除了给出传统的打"补丁".关闭某些端口等传统措施外,一时竟找不到有效方法应对,只能提示网民断网.可见,老套 ...

最新文章

  1. 关于Java 垃圾收集器你应该知道这些
  2. 全数字FM接收机2---仿真
  3. centos 使用 beyond compare 对比工具
  4. spring-bean依赖注入-02(通过p命名空间注入)
  5. VTK:模型之FinanceFieldData
  6. python3的web开发中出现UnicodeDecodeError: 'utf-8' codec can't decode byte 0x8b in position 1: invalid star
  7. Java笔记9:构造方法,内部类
  8. 真有钱!科大讯飞年中分红:共派发现金红利2.2亿元
  9. Part One 基本数据类型
  10. js中的异步[Important]
  11. WPF编程基础入门 ——— 第三章 布局(四)布局面板StackPanel
  12. 一文学会如何使用Java的交互式编程环境 JShell
  13. css 背景图片虚化效果
  14. 草莓换个做法,迫不及待想要吃
  15. Matlab求解黎卡提方程
  16. 普通最小二乘法讲解OLS线性回归
  17. 2021年安徽省大数据与人工智能应用竞赛 大数据-本科组赛题(省赛)
  18. 2022-2027年中国化纤行业市场调研及未来发展趋势预测报告
  19. 刚刚,一页马克思手稿在阿里拍卖上拍到了290万
  20. LOL英雄联盟自动打人机训练升级【CircuitPython】

热门文章

  1. 互联网行业中,哪些岗位越老越吃香?
  2. 计算机表演赛vr创意大赛,计算机表演赛新增 “我的VR梦”全国青少年创意大赛...
  3. DevExpress中SearchLookUpEdit用法总结
  4. 有限合伙企业与普通合伙的区别
  5. 关于windows10休眠文件的开启和关闭
  6. 3.你有三个碗:分别是7,4,3升容量。只有7升那个是满的。用最少次数倒出分别是2,2,和3升水。
  7. EXCEL最近用到的函数ceiling、round
  8. js中console的使用
  9. 河南“单独二孩”正式放开 最快四天内能申请
  10. C++中的void*理解