查看原文
其他

国内金融机构在 GDPR 法案下的数据安全防护 | 趋势解读

twt社区 twt企业IT社区 2023-05-05
【摘要】2018年5月25日,欧盟正式实施了《通用数据保护条例》(GDPR),旨在保护用户的数据隐私,自法案实施以来,引起了国内外大型机构的高度重视,纷纷重新审视用户数据的合规性。国内商业银行也在不断关注欧盟这一数据保护条例,各大金融机构目前处于金融科技发展转型的重要阶段,人工智能、大数据等技术为其发展带来红利的同时,商业银行也应该妥善处理好GDPR实施的相关影响,从数据合规性等角度切入,制定应对措施防范制度及技术层面的风险。【作者】willow,某商业银行系统工程师,专注于银行基础架构设计、系统网络规划与运维管理工作。在虚拟化、容灾备份、自动化运维领域有着丰富的项目实践经验。


一、GDPR及数据保护的基本概念

1、GDPR法案概述

GDPR(General Data Protection Regulation),即《通用数据保护条例》。这项法案在 2012 年 1 月份就已经起草,经过 4 年的探讨与协商,欧盟于 2016 年 4 月正式通过这一条例并宣布试行,到 2018 年 5 月 25 日正式全面施行。由于 GDPR 规定,企业一旦违反这一条例,最高可面临全球营业额 4% 的罚款,因此被冠以“史上最严数据保护条例”的称号。此前,不论是 2017 年的几起大型数据泄漏事件,还是闹得沸沸扬扬的 FaceBook 与剑桥分析公司收集用户数据事件,都在暗中庆幸自己没撞上 GDPR 的正式实施。否则,他们面临的情形将更为严峻。

2、数据合规性相关概念

GDPR规定:欧盟委员会有权将面向欧盟服务的他国企业的个人数据转移出境,并进行检查。《网络安全法》第37条规定我国重要个人数据应在境内存储,确需出境的需要进行安全评估。

GDPR 还完善和细化了数据主体的权利,全方位保障个人对其信息的控制权。GDPR 第 13 条规定数据主体拥有“知情权”,企业收集用户数据时,必须以清楚、简明的方式向用户说明其数据收集目的等一系列信息。GDPR 第 6 条规定,企业在收集处理数据时需存在合法的理由,包括用户同意、企业的合法利益等。

通过分析GDPR在数据保护方面的要求,总结了以下三点常用方法:

1.对数据进行分类分级:

制定数据资产的分类与分级标准,给数据资产清单打上密级标识,对不同密级数据制定不同策略,避免“一刀切”,什么都重要等于什么都不重要:

  • 建立数据资产分类分级方法(典型的密级分为5类:公众级、内部使用级、机密级、受限机密级和注册机密级),制定分类分级变更审批流程和机制。

  • 制定数据资产登记制度,并明确数据资产安全责任人、生产者、管理者、使用者等建立数据资产清单,并给敏感数据打标。

2.数据脱敏:

通过脱敏规则(如匿名、泛化、随机等)进行数据的变形,实现个人敏感隐私数据的可靠保护,几种常见的脱敏方法包括:

  • 替换 :以虚构的数据代替真值

  • 置乱 :对敏感数据列的值进行重新随机分布,混淆原有值和其他字段的联系

  • 偏移 :通过随机移位改变数字数据

  • FPE :即格式维持的加密是一种特殊的可逆脱敏方法

  • 限制返回行数 :仅提供响应数据的子集,防止用户访问到全部符合要求的数据

3.用户身份认证和访问行为监控:

制定数据服务安全控制策略,明确规定如下安全限制和措施:

  • 身份鉴别

  • 授权策略

  • 访问控制机制

  • 签名

  • 时间戳

  • 安全协议


二、GDRP法案实施对国内金融行业的影响分析

众所众知,我国各大金融机构正处在金融科技转型阶段,诸多商业银行和大型金融集团纷纷成立金融科技子公司,重点研究包括大数据、人工智能、云计算和区块链在内的诸多技术在金融行业的创新发展。而欧盟GDPR法案的实施,也让各大金融机构在研究技术创新方面尤为谨慎,尤其是客户信息及数据的收集。

近年来,数据泄露事件时有发生,2018 年 12 月 1 日,美国万豪集团旗下的喜达屋酒店预订系统发生 5 亿个人数据泄露事件,这是继2017年雅虎30亿用户信息泄露后,世界历史的第二次个人数据泄露事件。而随着欧盟 GDPR法规的发布,若相关数据泄露事件是发生在其法规管辖范畴内,那么相应公司将可能面临巨额罚款。与其他行业相比,金融机构在开展业务的过程中会接触到更多关于客户的个人数据,从而受到 GDPR 的限制。

目前,国内各大金融机构也都在按照《网络安全法》、等保2.0的相关要求,对本单位的信息系统安全进行合规性检查等工作,虽然《网络安全法》与GDPR的立法目的不尽相同,但在个人数据/信息保护的大方向上却有共通之处。但是需要正视的是,在个人数据/信息保护方面,GDPR规定得更为详尽与具体,给个人数据/信息主体赋予的权利更为积极主动,所展现出来的立法技术更为成熟,同时规定的处罚措施也更为严苛。下面,就个人数据保护的几个数据处理原则,做一个初步的对比,详见下表:




数据处理原则

GDPR

《网络安全法》

个人数据/信息处理原则

对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理。

网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

安全原则

处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。

不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;

数据跨境转移

(1)控制者和处理者必须遵守GDPR的所有条款;(2)如果欧盟委员会作出认定,认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护,可以将个人数据转移到第三国或国际组织。(3)除第(2)项外,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或一个国际组织。

未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。


三、应对措施及建议

以下分别从体制及技术两个方面,列举国内金融机构关于GDPR法案实施的应对措施和几点建议:

1 、体制机制方面:

GDPR与我国《网络安全法》等制度存在矛盾性。根据GDPR的规定,如果国内金融机构在欧盟境内设有分支机构,欧盟的监管机构有权进入其国内的经营场所或相关业务系统进行调查的权力。这将直接冲击我国《网络安全法》第37条个人数据和重要数据出境制度的实施,同时也对我国数据主权带来潜在的威胁。因此,国内金融机构在个人金融信息保护方面也在加紧向欧盟看齐, GDPR对于个人金融信息保护的力度更大,对于金融机构的约束力更强。但是,其与国内相关法规的差异性导致在同时在中、欧开展业务的金融机构需要设置不同的管理流程,采用不同程度的技术措施,使得合规业务面临诸多难题。

国内金融机构应当对GDPR条款进行深入研究和解读,并进行全面对标评估和检查,制定改进计划和措施。从产品研发、数据获取、使用及销毁等各个方面统筹管理,全面和系统性地解决合规问题。

2、技术层面:

国内金融机构应根据GDPR要求,进一步完善技术保护措施,尤其是在利用大数据技术进行客户数据分析及评估时,应按照GDPR的规定,处理用户的个人金融信息时,通过加固基础环境安全保护,以预防外部黑客攻击事件发生

1)通过在数据存储、数据加工、数据访问采用相应技术措施,实现数据访问最小化,数据加工匿名化和数据储存的加密化。

2)在个人敏感信息和非个人敏感信息分类的基础上,对个人信息进行更为细化的多级分类。对个人信息进行分级制度管理,将管理重点放在高风险数据上,不仅能提高数据的安全性,更能提高金融机构对数据的利用程度。

3)提升自身的IT系统建设和信息安全防护能力,可以设立专业的数据保护官和配套管理机制,专门负责数据管理与数据安全,提升数据合规管理的能力。


通过本文上述分析,可以看出GDPR法案的推行对面向欧盟服务的我国金融机构带来了巨大挑战。目前,我国在个人数据保护的法律方面仍然不健全,金融机构应建立与国内监管、海外监管之间顺畅的沟通和报告机制,加强与欧盟金融机构及监管机构的沟通,及时了解监管动态,借鉴欧盟各金融机构响应GDPR的经验教训,加强个人信息保护工作。同时建议相关监管机构结合等级保护,加快出台我国数据出境安全评估办法。

原题:GDPR法案的实施对金融行业的影响及具体应对措施如有任何问题,可点击文末阅读原文,到社区原文下评论交流

觉得本文有用,请转发或点击“在看”,让更多同行看到


 资料/文章推荐:


欢迎关注社区 “数据安全技术主题 ,将会不断更新优质资料、文章,您也可以前往提出疑难问题,与同行切磋交流。地址:http://www.talkwithtrend.com/Topic/4433


下载 twt 社区客户端 APP

与更多同行在一起

高手随时解答你的疑难问题

轻松订阅各领域技术主题

浏览下载最新文章资料


长按识别二维码即可下载

或到应用商店搜索“twt”


长按二维码关注公众号

*本公众号所发布内容仅代表作者观点,不代表社区立场

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存