今年夏天，因為裝修房子缺錢，家住北京的吳女士通過一家城商行申請了一筆消費貸款。沒想到，很快她就接二連三接到各種自稱銀行或者貸款中介打來的推銷電話。“一天可以接到四五個。”她對記者抱怨道，向貸款銀行反映也解決不了問題。

        大數(shù)據(jù)時代廣泛存在的個人信息泄露問題引發(fā)各界密切關(guān)注。今年，隨著個人信息保護法、數(shù)據(jù)安全法等相關(guān)法律法規(guī)的落地，這樣的問題有望逐步得到解決。業(yè)內(nèi)人士表示，作為典型的數(shù)據(jù)“密集型”行業(yè)，這些龐大數(shù)據(jù)既是助推銀行不斷壯大的生產(chǎn)力要素，也是審視其更好發(fā)展的關(guān)鍵命題。

        從記者近期調(diào)研情況看，個人信息保護法、數(shù)據(jù)安全法這兩大法規(guī)施行后，包括數(shù)據(jù)安全、合規(guī)在內(nèi)的數(shù)據(jù)治理問題，眼下已上升至銀行戰(zhàn)略層面，部分銀行從治理、管理、技術(shù)等層面已經(jīng)著手重構(gòu)數(shù)據(jù)安全治理體系。當然，銀行遇到的挑戰(zhàn)也不少——數(shù)據(jù)缺乏標準，在產(chǎn)生過程中是流動的，如何在每個環(huán)節(jié)形成有效保護、管理，合理將數(shù)據(jù)賦能至業(yè)務場景?這些問題也需要金融機構(gòu)進行深入探索。而隱私計算作為一項前沿技術(shù)有望成為有效保護個人數(shù)據(jù)安全的突破口。

        數(shù)據(jù)安全保衛(wèi)戰(zhàn)全面打響

        在數(shù)據(jù)安全日益升級趨勢下，一場升級數(shù)據(jù)治理體系的行動正在銀行業(yè)金融機構(gòu)全面鋪開。

        “去年我們就開始對照個人信息保護法(草案)進行相關(guān)系統(tǒng)改造。”某大行金融科技部門人士向記者透露，銀行先是自查，對手機銀行App內(nèi)容進行合規(guī)改造，比如手機權(quán)限、相冊權(quán)限、隱私協(xié)議等。他表示，該行今年成立數(shù)據(jù)管理部門，為行內(nèi)一級部門，堪稱“頂配”。

        據(jù)了解，平安銀行、浦發(fā)銀行等股份行對涉及個人信息安全等數(shù)據(jù)治理體系方面的重視度也在全面升級。

        平安銀行相關(guān)負責人日前表示：“年初，平安銀行專門成立個人信息保護委員會。這個委員會包含風險、業(yè)務、科技、合規(guī)、消保、HR等各領(lǐng)域?qū)＜遥瑏斫y(tǒng)籌管理全行個人信息保護相關(guān)工作。”

        他說，該行以個人信息保護各項法律、部門規(guī)章及監(jiān)管政策為準繩，建立健全個人信息保護制度體系，明確職責分工和管理要求，并將個人信息保護各項要求在系統(tǒng)建設和業(yè)務運營過程中內(nèi)化、固化，同時對員工安排定期考核，開展自查自糾等工作。“在技術(shù)層面，我們下了很多功夫，探索新型技術(shù)防護手段，確保個人信息數(shù)據(jù)收集、傳輸、存儲、使用、刪除及銷毀的全生命周期安全。”

        浦發(fā)銀行信息科技部相關(guān)負責人也向記者表示，該行今年從治理、管理、技術(shù)三個層面，實施數(shù)據(jù)采集、傳輸、存儲、使用、刪除銷毀等全生命周期安全控制，防護數(shù)據(jù)安全。“主要采取了三個措施，一是構(gòu)建綜合安全治理框架，建立常態(tài)化安全內(nèi)控規(guī)范機制;二是實施數(shù)據(jù)全生命安全管理，強化個人信息保護和隱私管控;三是建立多層次數(shù)據(jù)安全技術(shù)架構(gòu)，采取縱深防御策略，持續(xù)升級網(wǎng)絡安全防護體系。”他說。

        全方位行動之下，用戶最直接感受的改變就是手機銀行App的改造。記者查閱招商銀行、平安銀行等多家銀行手機App可見，都進行了相關(guān)改造，比如，均有“隱私政策更新”和“移動應用程序端的用戶交互頁面調(diào)整”等提示，用戶需要先同意，才能使用手機App，等等。

        數(shù)據(jù)治理尚存諸多難點

        上述行動的鋪開，簡單來說，有兩層原因，一是法律層面的合規(guī)要求，二是銀行自身的數(shù)據(jù)治理和合理利用需求。

        “這是行業(yè)發(fā)展趨勢。銀行積累大量數(shù)據(jù)，但之前不會用、少量用，造成閑置和浪費，安全也成問題，隨著金融科技發(fā)展以及法律的完善，數(shù)據(jù)為什么用、怎么用、如何用，就必須提上日程。”上述大行人士向記者表示，現(xiàn)在也到了為隱私“買單”的關(guān)鍵時刻。

        吳女士碰到的問題，自然并非是孤例，也印證數(shù)據(jù)安全等治理工作絕非一日之功——諸多難點和挑戰(zhàn)需要一一攻克。

        究其根源，主要是銀行數(shù)據(jù)特征復雜多樣，缺乏標準，元數(shù)據(jù)也缺乏管理;而且，數(shù)據(jù)在產(chǎn)生的過程中是流動的，從產(chǎn)生、獲取、存儲、使用、傳輸?shù)龋總€環(huán)節(jié)都要有相應的處理和管理。“數(shù)據(jù)的多樣復雜特征，對識別數(shù)據(jù)資產(chǎn)以及數(shù)據(jù)分級分類帶來一定難度。”浦發(fā)銀行上述人士表示。

        這導致數(shù)據(jù)治理在實操層面存在難度。例如，在個人信息保護方面，前述平安銀行人士說，相關(guān)法律法規(guī)與標準指南等管理要求是近幾年逐步提出的。但是銀行業(yè)務場景繁多，業(yè)務流程的數(shù)據(jù)如何重新規(guī)范化，就是難點之一。再者，由于業(yè)務發(fā)展或風險管理需要，銀行存在外部數(shù)據(jù)引入以及向外部提供數(shù)據(jù)的需求，但銀行難以完全掌握外部合作方的個人信息保護工作落實情況，增加了數(shù)據(jù)保護工作難度。而且，外部方并非完全受到金融行業(yè)監(jiān)管約束，這使得在客戶個人信息方面，銀行與外部方合作的風險難以完全有效緩釋。

        實際上，這可能是個人信息被泄露的一個重要原因。一位長期從事貸款中介的人士告訴記者，很多貸款中介、渠道商通過大數(shù)據(jù)手段獲取銀行客戶信息，然后再盲打電話找客戶。“一天打三四百個電話，能轉(zhuǎn)化三四個客戶。”她透露。

        在調(diào)研中，記者獲悉，各家銀行數(shù)據(jù)治理工作進展不一，特別是中小銀行行動較為緩慢，這既有技術(shù)實力短板的因素，也有對法律法規(guī)認知不到位的原因。

        同盾科技行業(yè)安全專家閱微表示，目前國內(nèi)大多數(shù)銀行內(nèi)部IT風險建設還處于初級或者待完善階段，由“內(nèi)鬼”造成的數(shù)據(jù)泄露事件比較高發(fā)，針對行內(nèi)IT系統(tǒng)風險防范體系建設迫在眉睫。

        金誠同達律所高級合伙人彭凱表示，據(jù)他這半年與銀行的接觸來看，商業(yè)銀行業(yè)務條線繁多，部門設置多樣，但是個人信息保護合規(guī)工作開展具有“牽一發(fā)而動全身”的特征，要達到全面合規(guī)會比較緩慢。“法律法規(guī)影響的評估，眾多場景可能觸發(fā)的人臉識別合規(guī)，敏感個人信息的處理、個人信息主體權(quán)利響應機制構(gòu)建等等，都不是一蹴而就的。”他說。

        隱私計算成突破口

        在數(shù)據(jù)合規(guī)政策要求下，數(shù)據(jù)安全與合規(guī)問題對銀行的重要性空前凸顯。

        記者在調(diào)研時獲悉，一項前沿技術(shù)——隱私計算，有望成為有效保護個人數(shù)據(jù)的突破口。據(jù)悉，招商銀行、交通銀行、浦發(fā)銀行等均已開展隱私計算相關(guān)研究，并在部分場景開啟試點應用。

        所謂隱私計算，也可以說是多方安全計算，就是讓數(shù)據(jù)“可用不可見”，在此前提下，從技術(shù)上實現(xiàn)數(shù)據(jù)安全共享、協(xié)同等。2020年11月，央行發(fā)布《多方安全計算金融應用技術(shù)規(guī)范》后，對于隱私計算開展提供了實操參考。

        前述浦發(fā)銀行人士表示，目前隱私計算是業(yè)界普遍關(guān)注的、可驗證的、能在數(shù)據(jù)要素流通融合中有效保護個人數(shù)據(jù)隱私的前沿科技。從技術(shù)上，實現(xiàn)原始數(shù)據(jù)不出域而數(shù)據(jù)“價值”和“知識”流通的目標，促進跨領(lǐng)域多維度數(shù)據(jù)的融合，構(gòu)建“數(shù)據(jù)可用不可見”的合作新模式。

        在反欺詐、風控等領(lǐng)域，隱私計算已展開一定的應用。但隱私計算存在較高的技術(shù)門檻，且尚在不斷完善發(fā)展中，服務好場景，甚至大規(guī)模應用，尚需時日。

        上述大行人士說，該行也在測試隱私計算應用，但主要還是為了驗證隱私數(shù)據(jù)如何能夠做到最大使用程度。

        好消息是，行業(yè)共識已經(jīng)形成。由于銀行在營銷拓客、反欺詐、信用風險評估、反洗錢、授信評估、內(nèi)控合規(guī)等主要業(yè)務場景需要與外部機構(gòu)合作，也就是存在跨機構(gòu)的數(shù)據(jù)流通，因此存在額外數(shù)據(jù)泄露風險。“為了消除這些風險，通過隱私計算、同態(tài)加密等前沿技術(shù)升級現(xiàn)有數(shù)據(jù)安全技術(shù)體系，保障可信數(shù)據(jù)授權(quán)管理、數(shù)據(jù)價值可控流轉(zhuǎn)，將成為促進金融數(shù)據(jù)有效利用，兼顧數(shù)據(jù)保護與價值流轉(zhuǎn)的關(guān)鍵。”閱微表示。

《電鰻快報》