大数据技术在金融行业的应用与安全风险管理
近年来,随着共享经济、供应链金融、消费金融等新模式、新业态的蓬勃兴起,大数据技术应用已经成为金融机构数字能力建设的关键需求之一。现代金融机构必须充分有效运用大数据技术,才能紧跟国家战略发展要求,推进数字化转型工作的顺利实施。
一、大数据技术在金融行业应用
金融行业是大数据应用场景较多的行业,在银行、保险、证券以及互联网金融等金融机构都有具体的应用落地。
客户画像又称用户画像或用户角色,是一种勾画目标用户、联系用户诉求与设计方向的有效工具,核心工作就是给客户打标签。大数据时代,网络上充斥着大量客户具体信息,客户画像能从客户具体信息中提炼出标签,将客户群体分类,方便企业为客户提供针对化、人性化的服务。
在银行业中,客户画像应用主要分为企业客户画像和个人客户画像。企业客户画像包括使用企业的生产、运营、财务、销售和客户数据、相关产业链上下游等数据来画像;个人客户画像包括使用人口统计学特征、风险偏好、消费水平、兴趣爱好等数据来画像。一般来说,银行得到的客户数据并不全面,采集方式也比较单一,可能导致根据已有数据得出错误结论,所以银行需考虑整合外部数据,如互联网公司获取的客户行为数据,为客户提供更加精确的服务。
在证券行业中,证券公司通过分析客户的账户状态、交易习惯、账户价值、投资偏好以及投资收益,来对客户人群进行分类,分析出最适合客户的服务,改进服务方式,锁住客户资源。比如某些客户投资能力欠缺,风险接受程度低,这时可推荐智能理财业务。
精准营销是指在精准定位的基础上,依托现代信息技术手段建立个性化的顾客沟通服务体系,实现低成本高效率市场扩张。简单来说,就是通过分析客户需要什么,投其所好,为其提供个性化的服务。
在银行业,银行可以在用户画像基础上开展有效的精准营销,包括实时营销、交叉营销、个性化推荐和客户生命周期管理。
在互联网金融行业,互联网金融企业为降低营销成本,减少对用户的打扰,提高营销转化率,必须利用大数据来实现精准营销。随着互联网时代发展,客户的消费习惯迅速转变,互联网金融企业一般很难接触到客户并推销合适产品,所以需要抓住营销机会,提升客户量,增强客户粘性。
互联网精准营销的应用目标主要为“获客”、“活客”和“留客”,获客是指寻找目标客户,精准定位营销对象,活客是指为客户提供精准化服务,使用户活络起来,留客则是深度挖掘客户需求,改进服务,增强客户粘性。
在证券行业,证券公司运用大数据技术挖掘客户需求,开展智能投顾业务。智能投顾业务是提供线上的投资顾问服务,通过分析客户的风险偏好、资产规模、交易行为等数据,为客户提供具有优势的个性化投资方案。智能投顾采用自动化智能系统,自主完成客户资料收集分析、投资方案制定、投资方案实施等操作,具有高效智能的特点,能够为更多客户提供定制化服务,为证券公司带来巨大效益。
数据和风险是支撑金融企业业务持续发展的两大关键要素,如何依靠数据来量化风险,是金融企业需要深思的问题。在过去的风险管理与决策中,主要以主观经验推断为主,数据支撑为辅,导致企业的风险管理水平不高。现如今金融机构可以利用大数据技术,量化分析业务经营和日常管理中的风险,建立全面风险管理体系,提升核心竞争力。
在银行业中,风险管控方面的应用场景主要体现在贷款风险评估、交易欺诈识别两方面。
(1)贷款风险评估。对于个人客户,银行可通过分析个人的薪资收入、消费习惯、社交信息等数据,判断贷款风险,确定最高贷款金额。对于企业客户,银行可通过企业的资产、流通、销售、财务等相关信息结合大数据挖掘方法进行贷款风险分析,量化企业的信用额度,高效开展企业贷款业务,实现风险与收益的平衡。
(2)交易欺诈识别。传统的交易欺诈识别都是后知后觉,无法做到实时识别交易欺诈行为,给银行和客户带来了不利影响。利用大数据技术,银行可根据持卡人信息、银行卡信息、历史交易、客户消费习惯等数据,结合智能规则引擎进行实时的交易欺诈识别。
在保险行业,利用大数据进行风险管理的应用场景主要为预防和识别保险欺诈事件。当前骗保事件时有发生,保险欺诈严重损害了保险公司的利益,而且为了识别可疑保险欺诈案件,保险公司需要花费大量的时间和精力。目前保险公司可利用大数据技术,建立保险欺诈识别模型,识别诈骗规律和疑似诈骗案例,再从这些疑似欺诈案例中开展调查。同时在预防保险欺诈方面,保险企业可以结合客户的其他数据,比如日常消费、医疗信息、出行等数据,分析产生欺诈的可能性,有效预防欺诈事件发生。
在支付结算行业,盗刷和金融诈骗案件频发,支付结算企业面临巨大压力,如何识别交易诈骗成为难点。大数据可以利用账户基本信息、交易历史、位置信息、日常行为等数据,与智能规则引擎相结合,实现实时交易反欺诈分析。在实时交易反欺诈分析系统中,整个实时技术实现流程为数据采集、特征计算、欺诈分析、风控决策以及事件关闭。
在互联网金融行业,利用大数据进行风险管理的应用场景主要体现在消费信贷方面。互联网消费信贷和传统企业信贷截然不同,更多的是高频率小额贷款,且资金分散无任何抵押,同时客户大部分无人行借贷信用记录,导致拒绝率极高。基于大数据的自动评分模型、自动审批系统和催收系统,互联网金融企业能够用客户行为数据弥补客户信贷数据,对客户的信用进行分析,自动催收账款,降低还贷风险。
大数据技术可以帮助金融企业分析行业和市场情况,及时调整运营策略,推出更有竞争力的产品,提升企业的竞争力。
在银行业,大数据技术可以协助商业银行进行市场优化、产品服务优化和舆情优化。
在证券行业,证券公司可以利用大数据技术来预测股市行情和股价,及时优化公司运营策略。证券公司对大量个人投资者样本进行跟踪分析,统计其投资收益率、持仓信息、交易信息,建立大数据模型,分析个人投资者交易行为变化情况、对市场看好情况、投资信心以及当前的风险偏好等,以此来预测市场行情的走向。对于股价,证券公司利用大数据技术,综合分析该公司的经营数据、利好利空消息、行业数据、投资者评价信息等,以此来预测短期内的股价波动。
供应链核心企业一般具有资产良好、资金充裕、授信额度高等特点,在供应链上依附于核心企业的上下游企业可能存在需要资金但贷不到款的情况,这时核心企业可以做担保,以物质押,解决上下游企业贷款难题。但对银行来说,信贷风险仍然存在,如何进行风险管控成为难点。利用大数据技术能够促进供应链金融生态发展,加强供应链风险控制,银行可以利用供应链上下游企业的经营数据,以及根据企业间投资、控股、借贷、担保等关系构建的企业关系图谱,以核心企业为中心,判断整个供应链金融风险状态,及时采取风险防范措施。
在互联网金融行业,互联网金融企业为提升竞争力,追求客户服务体验,便简化业务办理手续,对于客户真实身份通常未加以严格验证。这一情况也可以被不法分子利用,主要不法行为为注册虚假信息、利用网络购买身份信息和银行卡进行骗贷取款,已形成一条黑色产业链。大数据技术通过建立模型,分析互联网金融黑产行为特点,对不法行为进行实时监控,可有效打击金融黑产的发展势头。比如大数据对借款手机归属地与真实IP地址不匹配、用户手机长期处于同一位置未移动、设备上相邻两次借款时间间隔极短等行为进行重点监控,及时预警以减少损失。
二、大数据应用的风险分析
大数据技术在金融行业广泛应用的同时,也带来了一些新的风险和挑战,主要集中在技术、管理和合规三个方面:
大数据应用技术风险主要体现在模型风险、平台风险和大数据网络安全风险三个方面。目前常见的大数据分析模型有行为事件分析、漏斗分析模型、留存分析模型等,大数据分析模型直接关系到大数据技术应用的效果,若未选择正确的分析模型,可能产生错误结论,误导企业决策,造成巨大损失。目前许多金融机构都构建了金融大数据平台,但若大数据平台未按标准建设,将存在一系列问题,如功能不全、易受攻击、平台框架分散、应用效果不佳等。大数据网络安全也存在潜在安全威胁,需要企业加以防范,比如访问控制风险、应用漏洞注入风险、失效的身份认证风险、敏感数据泄露等。
大数据应用管理风险主要体现在人员管理、制度管理以及数据全生命周期过程管理等方面。在人员管理方面,许多企业认识到了数据的重要性,但可能未充分开展数据安全意识培训和大数据技能培训,存在操作风险,给企业带来损失;在制度管理方面,目前大部分企业运用了大数据技术,并建立了大数据管理平台,但若在管理制度中未规范大数据的使用,将造成管理不便;在数据全生命周期过程管理方面,面对海量数据,管理方式相较于传统数据安全管理也应有所不同,防范管理不善阻碍企业发展,比如在数据存储过程,应考虑大数据存储结构问题,及时升级安全机制。
随着《数据安全法》、《个人信息保护法》等法律法规的出台,大众对于个人隐私信息保护越来越重视,但随着大数据技术的不断深入,个人隐私泄露事件层出不穷,如何保护和使用个人隐私数据成为了金融机构首要深思的问题。比如在数据采集阶段,金融机构需要明确数据采集范围、使用方式和目的,获得客户明示同意;在共享个人信息时,也需取得客户明示同意;在进行数据挖掘时,需注意用户隐私,只挖掘与业务相关的数据,为客户提供个性化服务前需获得客户同意;在大数据流通和交易时,由于缺乏确权机制和安全保护机制,当发生数据被滥用时,将产生责任难以追溯的风险。因此,若企业对大数据应用不加以管控,保障用户合法权益,则会产生法律合规风险,造成严重后果。
三、 大数据安全风险管控建议
根据国内外在数据安全方面的标准规范及最佳实践,结合笔者多年数据安全咨询服务经验,以下从数据安全风险总体管控框架和大数据生命周期的各阶段的重点安全管控措施二个维度来描述对大数据风险的管控思路与方法。
针对金融行业大数据应用的需要,金融机构应当从数据的保密性、完整性、真实性、可用性、可靠性和可核查性出发,建立包括大数据在内的数据安全风险管控框架,称之为GMOTAS框架。
“GMOT”指安全治理、安全管理、安全运营和安全技术4个安全体系,“AS”指安全评估审计体系和安全服务支持体系。“GMOT”是安全保障体系的基本执行框架,“AS”为安全保障体系的执行提供基础支持和效果评测。
数据安全风险管控框架GMOTAS
(1)数据安全治理体系
在遵循国家大数据安全法律法规的基础上,应完善组织的治理机制,以指导数据安全保障体系建设。安全治理体系如下:
数据安全顶层设计—根据国家法律、监管要求及标准规范, 结合金融行业自身特点,设计数据安全总体架构,包括组织架构、技术架构和运行架构等内容。必要时在组织中成立专门的安全管理团队及跨部门的虚拟团队负责数据安全管理工作。
数据安全联席会议机制—为跨外部机构和内部部门的数据安全事务决策与协调建立联席会议机制,在组织层面上统筹建立数据资源共享管理机制和安全管理机制,以加强跨机构、跨部门重大安全事项的科学决策和大数据安全的统一协调工作。
数据安全事件处置机制—对于发生的数据安全事件时,当安全事件涉及较大范围内的主体与客体时,需要建议统一的安全事件协同处置机制,以确保跨部门的安全事件能得到及时的响应和处理。
数据安全成熟度评价与持续完善—数据安全建设工作任重而道远,通过把数据安全的成熟度分为Level 1-5五个层次,用来定义、评估组织数据治理的成熟水平,并指导组织不断提升数据安全成熟度水平。
特殊时期安全重点保障—针对国家大型事项的安全重点保障(以下简称"重保")要求,设计并提供重保时期的数据安全保障服务。确保重大事件维稳期间,组织能够提供重保前检查与整改,重保中预警与监控重保后总结报告。
(2)数据安全管理体系
在完善IT治理机制的基础上,通过数据安全管理制度与流程的建设及其他专项管理措施的实施,以推动数据安全管理操作规范的建立和相关各类主体与客体的安全责任的落实。
数据安全制度与流程—根据组织数据的类型级别、敏感程度以及数据安全能力成熟度要求,制定安全策略、管理规范和操作流程,明确不同岗位数据安全管理职责。
数据资产确权与职责分配—明确数据资产归属权和收益权,规范数据侵权时的处置程序,合理权衡各个角色间的权责利。
数据分类分级管理—协助组织在数据分类规范的基础上,对数据的敏感性进行分级,并明确该级别的数据的开放和共享需求,数据分发范围,是否需要脱密或脱敏处理等。
数据认证鉴权管理—数据资产的认证与鉴权是数据安全的重要基础。要明确数据的本身和使用数据的智能设备、系统和人的身份的认证方法,以及在认证基础之上,确认访问对象所拥有权限的鉴权过程。
数据相关供应链安全管理—强化针对供应链的网络安全管理,对大数据相关的ICT 产品和服务的设计、研发、制造、生产、分发、安装、运营、维护、采购等环节实施有效监督和审查。
(3)数据安全运营体系
根据安全管理的制度和流程,在安全技术的支撑下,保障大数据在信息系统运行和日常业务应用过程中的安全。安全运营包括数据安全运营和业务安全运营两部分内容:
数据安全运营—采取必要的管理与技术措施,确保数据在其IT服务生命周期过程中的安全,这些过程包括:数据采集、数据传输、数据处理、数据存储、数据交接、数据销毁。
业务安全运营—确保在业务运行过程中的数据安全,包括:业务场景中各类主体与客体数据安全责任落实;业务流程、工作过程和作业规范中的数据安全控制,外部协作中的数据安全控制等。
(4)数据安全技术体系
为确保数据交换和共享的安全,避免数据滥用,需要部署一系列安全技术措施来保护数据安全,一般包括数据内容安全技术、数据行为安全技术、数据业务安全技术和通用数据安全技术。
数据内容安全技术—对数据内容本身进行安全控制的技术,包括数据脱敏、数据加密、数据防泄露和数据安全销毁。
数据行为安全技术—对使用数据的访问行为进行安全措施的技术,包括身份管理、认证管理、授权管理和审计监控。
业务风险控制技术—在金融业务各类场景中进行安全风险控制的技术,包括异常行为分析、大数据征信、隐私计算及区块链权属保护。
通用数据安全技术-对于承载业务数据的信息化环境进行通用安全保护的技术,包括:数据安全门户、数据资产管理、元数据管理、数据管理质量、数据血缘管理、数据合规管理等相关技术及产品工具。
(5)数据安全评估体系
为确保数据安全保障体系的持续完善,需要对组织数据安全现状进行各种类型的评估和审计活动,目的是发现安全体系及控制措施可能存在的问题,推进针对安全缺陷的整改。本模块包括安全技术测试、安全合规检查、安全风险评估、安全评价指标、IT内部审计、IT外部审计等。
(6)数据安全支撑体系
基于安全法规与标准为数据安全提供合规管理服务,基于PKI数字信任体系为数字化业务操作提供身份认证服务,基于安全大数据为数据安全提供威胁情报与态势感知服务,基于网络安全知识体为数据安全提供教育培训服务。本模块具体包括安全标准与规范、威胁情报与态势感知、网络舆情监测、数字信任体系、网络安全应急管理、数据安全教育培训等。
大数据生命周期的数据采集、数据传输、数据存储、数据处理、数据交接和数据销毁的各阶段的重点安全管控措施如下:
(1)数据采集的安全管控措施
(2)数据传输的安全管控措施
(3)数据存储的安全管控措施
(4)数据处理的安全管控措施
(5)数据交换的安全管控措施
(6)数据销毁的安全管控措施
四、金融行业大数据应用发展趋势
金融机构应在保证信息及数据安全的基础上,以业务战略为导向和依据,积极构建符合金融机构自身情况的大数据发展模式,创新大数据应用场景;金融机构可借助相关行业协会的力量,探索建立数据共享平台,加强数据共享和流通,释放数据价值;同时,金融机构应加强管理手段创新,通过建立大数据相关制度和流程,规范大数据收集和使用的安全,共同促进大数据产业的健康可持续发展。
在大数据技术广泛运用的背景下,各个金融机构之间的协作和联系将愈加密切,在处理和使用大数据过程中,如未经授权非法使用金融数据,将有可能直接影响到金融业的稳定和可持续发展。为了提高数据的安全性,保障金融机构提供可靠的金融服务,金融机构需要充分利用防火墙、身份认证和数据加密等技术,同时积极应用多方安全计算、联邦学习、差分隐私、联盟链等技术,探索建立跨主体数据安全共享隐私计算平台,打通数据孤岛,释放数据价值,实现数据可用不可见。
大数据是助力金融机构实现数字化转型的基础条件之一,数字化转型是提高企业运行效率、实现高质量发展的重要手段,金融机构应通过加强内部培养和外部引入等方式保障拥有充足的大数据管理和大数据技术应用人才,以保证数字化转型工作的顺利开展。同时需要对员工持续加强大数据应用能力的培养力度,提高员工在大数据应用方面的专业水平和数字化转型思维。
我国高度重视数据安全工作,近年来陆续颁布《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规,以保障数据在国与国之间、政府与企业之间以及企业与企业之间数据流转、融合、使用的安全。同时大数据的健康发展需要全方位、多层次的监管支持,监管机构可考虑进一步出台相关管理条例。同时,辅助行业自我监督,以减少不必要的系统性风险。
五、结语
大数据技术已在金融行业有着广泛的应用,这不仅是一个行业的发展,更是大数据技术对于传统产业的又一次推动与变革,保障大数据技术的稳定应用已是金融行业必须完成的课题之一。金融机构需要从不同角度、不同维度保障大数据安全,促进大数据应用,协调好大数据安全与发展的关系,释放数据价值,积极应对大数据金融发展中的危机与挑战。
参考资料:
1、《大数据安全管理指南(GB/T 37973-2019)》
2、《数据安全能力建设实施指南》
3、《大数据在金融领域的应用研究》
作者简介:
王志超,谷安天下金融审计负责人,10多年的信息安全、科技风险、科技审计、业务连续性、科技外包、数据治理、金融科技等咨询及审计服务经验,获得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对科技外包、业务连续性、数据治理、大数据、云计算、区块链、人工智能、数字化转型等领域均有着较为深入的研究,多次参与银保监会组织的信息科技风险管理课题研究。
周颖,谷安天下咨询经理,10多年的金融业信息科技咨询及审计工作经验,获得CISA、CISP、PMP、ISO 27001、COBIT、ITIL等证书,熟悉金融业的各项业务流程和风险要点,熟悉行业监管及地方监管标准,对敏捷开发、重要系统效能、数据治理、数据安全、区块链、大数据、人工智能、零信任、数字化转型等领域均有着较为深入的研究。
张佩扬,谷安天下高级咨询顾问,从事安全行业3年,从事车联网、物联网、云计算、区块链、大数据、人工智能等领域的研究工作,包括行业现状、监管政策、应用场景、主要风险等,获得CISA、ISO27001等证书,多次参与新技术应用风险的研究工作。
相关阅读