金融数据安全规范体系基本成型 未来监管重点会在哪里?


来源:移动支付网    作者:伟辰    2020-7-13 13:15

7月的开始,意味着2020年已经度过了一半,在已经过去的6个月里,新冠疫情带来的影响至今没有结束。这半年内,几乎所有人的工作与生活节奏都是围绕新冠疫情在进行,金融机构也不例外。

随着疫情的逐渐好转,社会经济逐步复苏,一切都在步入正轨。市场的复苏对于金融机构来说意味着更多的机会。在此时机,监管政策的走向将会直接影响接下来的行业动作。

在多种多样的政策规范当中,有关信息安全的政策规范无疑最重要的。信息安全直接关系到一项业务的生死,甚至关系到金融机构的生死。那么在2020年上半年出台了哪些金融安全政策?又会带来什么影响?

金融数据安全规范体系基本成型

据不完全统计,在2020年上半年,陆陆续续有13项政策、规范面世。这些政策多多少少都与金融数据安全相关,或者说与个人金融信息安全相关。

在2019年,App违法违规收集使用用户个人信息问题得到了监管层重视,多部委联合发文,开启了全国性专项整治行动。在这个大背景下,央行出台了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),明确划出了四条个人金融信息安全红线,并随文发布了《移动金融客户端应用软件安全管理规范》,开启了移动金融App备案工作。

2020年央行又相继出台了其他安全管理规范,如《商业银行应用程序接口安全管理规范》、《网上银行系统信息安全通用规范》、《金融分布式账本技术安全规范》等等。这三个规范和《移动金融客户端应用软件安全管理规范》性质类似,属于偏向具体应用的规范。

除了上述四个规范,央行同时出台了《个人金融信息保护技术规范》。《个人金融信息保护技术规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。(具体可查看:解析《个人金融信息保护技术规范》)。

另外,在今年4月,《金融数据安全数据安全分级指南》发布了送审稿,在该规范中说明了数据安全分级的原则、方法和流程,并在附件当中给出了《金融业机构典型数据定级规则参考表》。(具体可查看:解析《金融数据安全数据安全分级指南》

虽然《金融数据安全数据安全分级指南》还未正式发布,但是配合《个人金融信息保护技术规范》以及四个技术安全规范,央行金融数据安全规范体系或基本成型。

个人金融信息很明显属于金融数据分类中的一个子类,因此或可将《金融数据安全数据安全分级指南》看作为该体系的顶层设计。

而《商业银行应用程序接口安全管理规范》、《网上银行系统信息安全通用规范》、《金融分布式账本技术安全规范》等规范则是属于具体技术规范,最贴合应用、业务层面,或可看作个人金融信息安全技术在具体应用中的详细说明。

或许可从央行发布的《关于开展金融科技应用风险专项摸排工作的通知》(银办发〔2020〕45号)(以下简称“45号文”)中得到验证。45号文要求各地人民银行分支机构及相关监管机构启动金融科技风险专项摸排工作。

本次摸排工作主要范围包括移动金融客户端应用软件、应用程序编程接口、信息系统等。摸排主要依据正好为:《个人金融信息保护技术规范》、《移动金融客户端应用软件安全管理规范》、《商业银行应用程序接口安全管理规范》、《网上银行系统信息安全通用规范》等相关技术规范。(具体可查看:解析“45号文”)。

至于上半年发布的其他规范,或多或少都可纳入这份体系,比如《银联支付终端安全规范3.0》、《移动终端安全金融盾规范》等等。

这些规范属于针对监管角色、不同应用、不同场景发布的安全规范,更加具体,更加具有针对性。比如《人脸识别线下支付行业自律公约(试行)》,是中国支付清算协会发布,针对目前刷脸支付的发展现状以及法律规范制定进程。

未来政策方向会是哪里?

从2020年上半年来看,监管层目前政策、规范大都着眼于金融数据安全,可以说金融数据安全是这六个月的主旋律。金融机构也大都忙着合规,并进行App备案和等保测评工作。

在2020年的下半年,继续深化加强金融数据安全保护或将是监管接下来的工作路线。

从《金融数据安全数据安全分级指南》送审稿中可知,个人金融信息只是金融数据当中的一种,目前安全规范主要正对个人金融信息保护,但这并不意味着,其他金融数据不需要保护,只不过需要分级进行。

因此,深化金融数据安全保护或是下半年政策主要发展方向,针对其他金融数据进行保护技术研究,其中,监管数据或是重点。

今年5月,银保监会发布《中国银保监会办公厅关于开展监管数据质量专项数据治理工作的通知》,要求加强银行监管数据的治理。

该行动覆盖所有银行与保险类金融机构,数据包括监管报送数据与相关源头数据,从2020年5月开始到2021年5月底结束,为期1年时间。在这段时间里,监管配合出台相关政策、技术规范可能性很大。

另外,数字经济时代下的金融机构当中,数据往往和资金分不开,数据出现安全问题,资金多半不安全,而资金不安全很大可能是遇到了数据泄露事件。银行更是如此,信息流与资金流不分家已经成为了主要发展方向。

因此,在个人金融数据安全规范逐渐落地的同时,监管有可能将目光转向至信息安全问题带来的资金安全隐患,加强打击盗刷、诈骗、洗钱等等犯罪行为。

在“净网”2020行动中,公安部提出坚决打掉网络黑灰产业链,整治网络违法犯罪生态,遏制网络犯罪高发势头的策略,各地警方不断破获网络诈骗、洗钱相关案件。第四方支付与地下钱庄作为黑灰产中重要一环,被重点针对。

这一幕似曾相识。去年9月,警方同样四处出击,魔蝎科技、公信宝、同盾科技、新颜征信、百融云创等大批公司被查,51信用卡、考拉征信也陷入风波,随后出台了一系列监管文件。

如237号文(《关于加强移动金融客户端应用软件安全管理的通知》)、中国互联网金融协会42号文(《关于增强个人信息保护意识依法开展业务的通知》)以及《金融科技(FinTech)发展规划(2019-2021年)》,和两高发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》。

而目前进行的移动金融App备案工作也不仅仅是加强数据安全这么简单。据移动支付网了解,备案工作平台对接的监测平台具有风险监控、反诈骗、反钓鱼网站多种功能。

同时,加强资金安全管理与今年两会提出的“六稳六保”密切相关。因此,监管未来或许会出台一系列技术规范,如在反洗钱、风控等领域通过使用大数据、区块链等技术解决信息安全带来的资金安全问题。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号