工行首席技术官吕仲涛:数据安全管理实践及3点建议
随着人工智能、云计算、大数据、区块链等新技术的发展,数据已成为数字经济时代最有价值的生产要素,正在深刻改变着人类社会的生产和生活方式。
数据天然具有流动、可复制等属性,导致在使用过程中易产生数据泄露、数据滥用等问题,损害企业和个人的利益,严重时甚至危及国家安全。
因此,数据安全和个人信息保护,是数字经济发展要解决的基本问题。
当前,我国已有近40部法律、30余部法规、200多部规章涉及到个人信息保护。2021年8月20日,国家出台了《个人信息保护法》,这是我国第一部个人信息保护的专门法律。
01
工行从4个方面加强数据安全管理
目前,在数据安全管理和个人信息保护方面,工行主要从组织保障、业务管理、技术体系、隐私计算等四个方面加强统筹管理。
在组织保障方面,工行具有明确的顶层设计,已经构建了决策、管理、执行、监督四位一体的组织架构。决策机构、管理机构、执行机构、监管机构协调联动,保障全行数据安全。同时,工行遵循“依法合规、分级管理”及“谁主管、谁负责”“谁使用、谁负责”的原则,对数据及数据归属系统的安全进行全面审慎管理。
在业务管理方面,工行从制度建设、管理机制、个人信息保护、大数据安全等领域统筹开展工作:一是结合国家法律法规和监管要求,持续完善行内数据安全制度体系,出台了相关的管理制度、规定、办法等;二是建立健全业务管理机制,不断提升个人客户信息、征信信息等领域的安全管控能力;三是持续加强个人信息、大数据等方面的安全保护,完善个人信息保护政策和产品服务协议,构建大数据服务云安全管理体系,为全行业务管理提供安全保障。
在技术体系方面,工行建立了多层次、立体化的数据安全技术体系架构,以数据资产安全为核心出发点,强化数据全生命周期技术管控,结合行内的基础安全和监测响应手段,为全行数据安全管理和运营提供技术支撑。
目前,工行已建设加密服务平台、电子文件安全控制系统、客户端安全管理系统、云文档平台、安全运营平台等,提供统一加密服务、电子文件安全管控、终端安全管控等多种安全技术支撑能力,为数据安全保驾护航。
此外,工行探索多方安全计算、联邦学习、同态加密等新技术的使用,统筹规划建设企业级的隐私计算平台,从而更安全地使用数据。
工行已在多个场景开展试点工作,推广隐私保护计算技术的业务场景落地。比如,基于地产数据利用联邦学习模型进行企业贷中监测,与某金控公司合作,在银行原有的企业贷款数据相关特征基础上,引入了金控公司的地产特征,在两方原始数据不出库的前提下,构建贷中预警监测模型,提升风险监测业务能力。
从数据应用的角度看,包括数据产生、数据收集、数据使用、数据存储等多个阶段,可能涉及个人、企业、国家多个层面,要做好数据安全和个人信息保护,往往需要多方协同。
02
各方可以从3个方面协同发力
数据作为关键生产要素,其核心价值体现在使用过程中,应在数据流动中实施动态数据安全与个人信息保护。在充分保障安全的前提下,各方应协同发力,用好数据要素,助力数字经济健康发展。
一是积极探索特定领域的跨机构合作,建议大型金融机构可先行开展金融领域数据要素市场化试点,探索相应的定价、运营和风控机制,同时充分利用隐私计算等新技术,促进数据跨机构流通,解决数据孤岛、数据垄断等问题。
二是促进公共数据安全合规使用,加快建立规范化的数据交易市场,以负面清单制度作为数据交易的原则之一,对于涉及国家安全、经济安全、社会稳定、公共健康的数据要禁止交易,或由特定主体交易,更好促进公共数据安全合规使用。
三是研究数据跨境安全流动的机制,目前,各个国家数据主权意识越来越强,在基于开放条件下的双循环经济格局下,数据跨境流动不可避免,建议在现有法律法规的框架内,与其他国家和地区探索双边合作机制,保障数据安全、有序、可控流动,更好服务“双循环”发展格局。
金融信息安全讨论群,请添加群主微信:qiao070132,备注:姓名+公司+职务+安全入群。