《中华人民共和国数据安全法》于2021年6月10日正式通过，9月1日正式实施。这是数字经济时代一部与市场参与各方利益息息相关的重要法律。在制定过程中，充分体现了统筹发展与安全的思路，充分保护个人、组织等利益相关方的数据权益，同时明确相关主体要对收集产生的数据和数据安全负责，强调了数据处理者应当依法履行数据安全保护义务。

银行作为社会信用中介，在提供金融服务过程中，要传送处理或加工形成各类用户和客户的金融交易数据，例如金融资产余额、账户变动、支付清算信息等，形成全社会可信度最高的一类数据资源。随着移动互联、物联网等技术的发展，银行积极推进数字化转型，越来越重视业务活动中非金融交易数据的收集和应用。银行处理的数据范围越来越广、数据粒度越来越细，自然成为数据安全法中规定的重要数据处理者。随着数据处理能力的快速提升，银行为客户提供了远超以前传统范围的服务。如何同时达到数据安全保护和数据价值实现两个目标，成为越来越多金融机构研究的议题，也成为监管机构、社会各方关注的热点。作为国有大型银行，我们深刻认识到，人民群众对自身数据安全的要求，已经成为银行经营管理中不可忽视的重要考量。建设银行正着力实施新金融行动，其出发点是支持实体经济发展，在新的生态体系中为用户提供优质金融服务，保证数据安全必然成为重要管理要求，要像保护客户金融资产一样，保护客户数据安全。

中国建设银行数据管理部总经理刘静芳

辩证认识数据安全保护与应用的关系，牢固树立数据安全责任意识

随着数字化转型的深入，数据已成为银行关键生产要素，在客户营销、风险管控、精细化管理中发挥着不可替代的作用。银行作为重要数据的处理机构，如果不能保证数据合规和安全，必将带来巨大风险，给经营管理造成困扰，甚至影响到品牌声誉，国内外都有类似的案例。

银行必须认识到，在数字化转型浪潮中，数据安全是数据应用和数据价值实现的护城河。金融数据的融合、共享、应用和变现是助力银行数字化转型成功的原动力，但一味追求数据的应用效益而忽视数据安全保护有可能诱发数据违规使用，对数据主体权益造成损害。数据安全法站在发展的视角，注重数据安全与开发利用并重，强调“发展与安全兼顾”，通过促进数据依法合理有效利用，充分发挥数据的基础资源作用和创新驱动作用，是数据价值合法实现的法律依据和基本遵循。只有牢固树立数据合规安全意识，切实采取措施保证数据安全，才能更好地发挥数据要素的作用。概括来看，银行数据安全工作面临以下压力，必须积极面对。

1.落实数据安全法要求

金融机构作为现代金融活动最重要的组织者和参与者，掌握了大量金融信息以及关系国家金融安全的重要数据，在国民经济运行中有着举足轻重的作用，但同时也是近年来信息泄露和网络安全的重灾区。距离数据安全法的正式实施只有不到3个月的时间，如何有效对标数据安全法律要求，结合金融行业特点，完善自身数据安全管理体系，部署落实管理举措，是摆在金融机构面前一项紧迫而新颖的课题。

2.贯彻行业数据安全监管规范

相较其他行业，金融机构一直处于严格监管的环境中，监管机构对金融数据安全要求越来越高，监管规范愈加细化，陆续发布数据安全相关领域的管理要求及行业标准，如人民银行自2020年初先后发布了《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》和《金融数据安全数据生命周期安全规范》，提出了个人金融信息全生命周期安全防护要求，定义了金融数据安全分级的目标、原则和范围，明确了数据安全定级的要素、规则和定级过程。此外，在多个业务领域的监管规范中，监管机构也将金融数据安全的管控要求提升到新高度，如在《中国人民银行金融消费者权益保护实施办法》《商业银行互联网贷款管理暂行办法》以及《关于预防银行业保险业从业人员金融违法犯罪的指导意见》等文件中，均提出要采取必要措施确保信息安全，防止信息泄露、被篡改或丢失。数据安全已成为银行业监管检查重点领域，金融机构常因数据安全问题获得罚单。2021年银保监会开出的第一张罚单直指数据安全，某金融机构由于信息系统安全和数据泄露问题被罚款。据不完全统计，2020年前10个月人民银行开出的行政处罚罚单里，涉及“个人金融信息”的达到181张。如何迅速针对薄弱环节，补齐数据安全管理短板成为金融机构满足监管合规要求的急迫任务。

3.应对银行业数据安全管控挑战

银行在多年经营中积累了大量的、多种类型的数据，且数据规模和管理难度一直动态增加，银行在持续不断地信息化过程中，系统交互和数据流转路径日益复杂，数据整合应用场景愈加广泛，造成数据安全风险点大量出现。数据安全管理需要覆盖数据“全流程”“全场景”“全体人员”，对管理方法及技术手段提出了更高要求。由于银行固有的经济属性，银行数据具有高价值特征，银行系统成为数据安全犯罪的高发区。据欧盟网络与信息安全局《The cost off incidents affecting CIIs 2016》报告，金融数据基础设施是网络犯罪的主要目标之一，其损失在所有行业中排名第一，而在受影响的资产中，数据首当其冲。加强对自身数据资产的保护，防范网络攻击和数据泄露及被篡改、被窃取等风险，保证业务连续性成为银行必须高度重视和不断强化的行动。

夯实数据安全管理底线，完善数据安全管理体系

银行业务的办理在本质上都是处理数据的过程，因此数据安全涉及的流程多、参与面广、技术挑战大。建设银行在数据治理体系建设过程中，一直将数据安全作为优先目标，经过十几年的积累，建立了涵盖董监事会、高管层、业务数据技术部门和各层级分支机构的数据安全保障体系，成为公司治理的重要组成内容。总结起来，数据安全管理可概括为“一三三”框架体系，即在全行倡导数据安全文化、前中后三道数据安全防线、制度技术和业务流程三套数据安全防控体系。

1.健全数据安全文化，将数据安全责任落实到每位员工

数据作为关键生产要素、重要信息载体，对其安全性要求日益提升，必须像保护金融资产一样保护重要数据。为此，建设银行将自觉保护数据安全作为全行员工必须遵循的行为规范，建立了数据安全认责体系。全行各部门、分支机构定期组织开展数据安全宣传，尤其是针对新员工、科技部门、数据使用部门的重点员工，以案例警示、培训、专家授课等多种方式，强化员工数据安全意识。同时，业务部门及各分支机构将数据安全培训融入业务培训中，细化在业务场景中相关岗位的数据安全职责分工，保障安全控制措施有效落实。

2.从数据处理全流程出发，建立数据安全风险的“三道防线”

在数据收集、存储、使用、加工、传输、提供、公开的各流程环节中都存在数据安全问题，相应地在业务流程的每一个环节都应落实数据安全管理责任。数据安全法也明确提出要建立健全全流程数据管理体系。首先，业务部门和机构尤其是面向客户服务的一线组织要对数据安全负首要责任，在客户数据收集、使用过程中要严格落实数据安全各项制度要求。二道防线是数据和技术管理部门，负责建立数据安全管理制度和技术防控体系，保证数据传输、存储、使用、加工、整合过程中的数据安全，定期对数据安全情况进行研判分析。三道防线是内控审计部门，负责对全行数据安全情况进行监督检查。

作为二道防线的数据管理部门在数据安全管理中承担着越来越重要的责任。尤其在数据中台建设过程中，要将数据安全要求严格落实到各类数据资产的管理中，实现对数据分级分类标识和管理。建设银行在2020年初启动数据资产盘点工作，构建数据资产分类体系，在自动化工具的支持下，逐步实现全行数据资产高效、准确地梳理与更新，形成全行范围内的数据资产目录。在数据资产盘点成果的基础上，结合自然语言处理和定级分类方法，关联映射行内数据，构建分类定级词库，挖掘词库数据特征，形成数据安全定级标签，以机器学习、人工定级相结合，推动自动化数据安全定级达标，实现安全分级要求的落实。

3.从制度、流程和技术三个角度对数据安全进行体系化管理

一是完善数据安全制度体系。建设银行积极落实合规要求，从制度层面规范数据安全管理工作。制定了信息安全管理办法和数据安全分级标准，将数据安全分级纳入全行数据标准体系范畴，明确数据安全分级目标、原则和范围，规定数据安全分级依据和规则等，为完善数据安全保护机制奠定基础。同时，为重点加强个人金融信息保护，细化制定相关分级标准，进一步规范个人金融信息分级要求，保障个人敏感数据得到有效防护。发布了数据风险管理办法，明确包括数据安全风险在内的7类数据风险管理架构、管理策略与管理内容及数据处理流程各阶段的数据风险管控要求，成为数据安全防护体系重要内容。

二是将数据安全要求严格落实到业务流程。在数据采集源头落实数据安全管控要求，切实把好入口关。例如，严格规范外部数据引入管理，将核实数据来源，留存审核记录等要求融入引入流程，通过审核数据供应商资质、检查数据来源合法性、签订合规数据采购协议等工作，确保外部数据引入合法、正当。在数据使用过程中坚持合规优先，禁止使用通过非正规途径获取的数据。严格制定并落实隐私政策，明确个人数据的收集、存储、使用、加工、传输等活动的法律依据。在网站、应用程序等渠道与客户签订隐私政策，明确收集、使用个人信息的目的、方式和范围，并明示用户知情权和选择权等，为安全合规开展数据处理工作提供法律保障。采取多种数据安全管控手段，防范数据安全风险。遵循“最小、必须”原则，通过建立完善的授权管理机制，对用户和数据权限进行管控，并将授权管理要求部署在系统中，从系统端到数据访问进行限制。

三是依托金融科技赋能数据安全管理，强化数据使用环节的安全风险防控能力。积极探索先进技术在数据安全领域的应用场景，提升数据安全管控能力。例如，对私业务上线“龙智盾”个人客户信息智能管控功能，通过对柜面主要客户信息查询交易的监测，支持对客户信息构建智能预警模型；运用神经网络等大数据技术，对视频监控的非结构化数据进行智能分析，建立柜员行为模型，自动提取出疑似不合规行为，及时进行人工筛查，确保客户数据使用安全。此外，针对敏感数据，将加密、脱敏等数据安全技术手段应用在各类场景中，确保满足数据安全管控要求。

大数据开启了智能时代，实现金融行业健康发展，依法合规使用数据尤为重要。数据安全法的出台，虽然对金融机构提出了更为严格的数据安全管理要求，但从长远和整体上看则会成为守法依规的从业机构带来更大的“数据红利”，从根本上保护金融机构获取数据、应用数据的权益，降低数据风险防范成本，助力银行业提升数据要素价值创造力，实现数字化转型。建设银行将进一步提高责任意识，积极推动、全面贯彻落实数据安全法，不断完善数据安全管理体系，为数字经济时代的新金融实践提供高效数据支撑。