“ 金融行业在自身数据治理和资产化建设方面一直走在前列。”
一直以来,金融行业由于其自身需要,都是国内开展信息化建设最早,信息化程度最高的行业。
同时,金融行业的数据治理、数据资产化以及过程中的管理要求和安全要求与其他行业相比,在某些方面存在共通性,但在很多方面又有其特殊性:
1. 数据治理的复杂性:金融行业的数据治理由于涉及海量的个人和企业信息,因此其复杂性远超过其他行业。金融数据还包括敏感的个人信息,如收入、信用记录等,这些信息的治理需要严格遵守数据保护法规,如《中华人民共和国个人信息保护法》等。
2. 合规要求严格:金融行业的数据治理和资产化必须遵守一系列严格的法律法规,包括但不限于反洗钱(AML)、反恐怖融资、银行保密法等。这些要求对数据处理的透明度、合规性和监控提出了更高的标准。
3. 风险管理的重要性:金融行业的核心业务就是管理风险,因此数据资产化过程中的风险识别、评估和控制尤为关键。数据泄露或滥用可能导致巨大的金融损失和信誉损害。
4. 数据的安全性和保密性:由于金融数据的高价值和敏感性,对数据的安全性和保密性要求非常高。金融行业需要采用先进的技术手段,如加密、访问控制和网络安全措施,来保护数据不被未授权访问或泄露。
5. 数据质量和准确性:金融决策依赖于准确和高质量的数据。因此,金融行业的数据治理特别强调数据的准确性和一致性,以确保决策的有效性。
6. 资产化的深度和广度:金融行业数据资产化的深度和广度通常更大,因为金融数据可以用于风险评估、信用评分、投资策略等多个方面,而其他行业可能仅将数据用于特定的业务流程或决策。
7. 技术的应用:金融行业在数据治理和资产化中广泛应用先进技术,如大数据分析、人工智能、云计算等,以提高数据的处理能力和价值提取。
8. 数据的生命周期管理:从数据的收集、存储、处理、分析到最终的销毁,金融行业对数据的生命周期管理有着非常严格的规定和要求,以确保数据的整个生命周期都在可控和合规的状态下。
总的来说,金融行业的数据治理和数据资产化在法规遵守、风险管理、数据安全、技术应用等方面都有着更为严格和复杂的要求,这些特殊性要求金融行业在数据资产管理方面做出更多的投入和努力。
在当今数据要素资产化的浪潮下,除了行业自身自身数据治理和资产化建设方面,在服务实体行业开展数据资产化建设方面,金融行业也一直走在各行业的前列,其管理思路和具体实施办法都值得我们学习。
今天开始,我们就金融行业在近期全国数据工作会议前后发布的相关文件做一个系列解析。
这些文件包括:
一.2024年02月29日中国银行业协会发布的《银行业数据资产估值指南》
二.2024年03月22日国家金管局发布的《银行保险机构数据安全管理办法》
以及以前发布的配套文件
三.《中国人民银行业务领域数据安全管理办法》(征)
四.中国证监会《证券期货业网络和信息安全管理办法》
五.金融行业数据要素市场化白皮书
本系列也将分为两部分,今天先就前三个文件进行解析。
01 20240229 中国银行业协会-《银行业数据资产估值指南》
——————————————————
本指南之前鼹鼠哥已经做了专门解析,请看 [数据概念|方案实操]金融业数据估值指南解析及下载
这里把要点简单列一下,方便大家查看。
中国银行业协会(China Banking Association,CBA)于2000年5月在民政部注册成立,是全国性银行业自律组织,国家金融监督管理总局为业务主管单位。凡经业务主管单位批准设立的、具有独立法人 资格的银行业金融机构(含在华外资银行业金融机构)和经相关监管机构批准、具有独立法人资格、在民 政部门登记注册的各省(自治区、直辖市、计划单列市)银行业协会以及相关监管机构批准设立,具有独 立法人资格的依法与银行业金融机构开展相关业务合作的其他类型金融机构,以及银行业专业服务机构 均可申请加入中国银行业协会成为会员单位。
按照官网介绍,目前第八届理事会的会长单位是建行。看会员单位有多全就知道协会的地位了。
指南共分为8个部分和附录,其中重要的包括:
§总体原则
§估值对象
§估值指标体系
§估值过程
§估值保障
数据资产估值宜满足以下原则:
a) 安全合规原则,即在估值过程中需要关注数据资产的安全性和合法性,确保估值过程安全合规;
b) 目标导向原则,即能够实现为支持内部管理决策和促进外部数据要素流通提供量化参考的目标;
c) 合理假设原则,即数据资产作为企业资产组成部分的价值可有别于作为单项资产的价值,宜采 取适当方法区分数据资产和其他资产共同发挥作用时对组织的贡献,合理使用现状利用假设、 公开市场假设、持续经营假设等估值假设;
d)量化评估原则,即确保数据资产各方面信息的真实性、准确性,使用专业知识、技术手段和实 践经验等,以数据应用特征匹配估值方法,构建数据资产管理估值指标体系,开展数据资产估值。
数据资产估值的对象即数据资产本身。
开展数据资产估值时,宜分析数据资产的信息要素和基本特征。
设计策略
数据资产估值指标体系是指通过整合数据资产管理中的多个相互联系、相互协调的活动或要素,形 成的一系列反映数据资产加工特性和价值特性的一组指标。
该组指标的设计与GB/T 37550—2019中第4 章提出系统性、典型性、动态性和可操作性原则协调一致。估值指标体系的设计策略在系统性综合数据与数据资产特性以及传统资产评估方法基础上,采纳了 数据资产基础评价方法中对数据资产价值影响因素的综合性考量,将数据质量、数据应用、数据安全等指标纳入通过层次分析法定量转化为价值调整系数,形成由成本价值指标、经济价值指标、市场价值指 标、内在价值指标组成的估值指标体系。
估值指标体系和估值指标
数据资产估值指标体系的内容主要包括成本价值、经济价值、市场价值和数据内在价值4大类指标
估值过程包括以下步骤,即识别估值目的、划分估值对象、选取估值方法、匹配估值指标、确认估 值信息、编制估值报告及归档估值信息。
选取估值方法
数据资产估值的方法主要包括成本法、收益法、市场法及其衍生方法
02 国家金监局《银行保险机构数据安全管理办法》(征)
——————————————————
办法以《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》加快构架数据基础制度建设的指导思想为指导,以《数据安全法》第六条“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”为依据制定,包括了包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则九个章节。
办法首先明确了相关术语的定义。
本办法所称数据,是指以电子或者其他方式对信息的记录。
数据处理,是指对数据的收集、存储、使用、加工、传输、提供、 共享、转移、公开、删除、销毁等。
数据安全,是指通过采取必要措施,对数据处理活动和数据应用 场景进行管理与控制,确保数据始终处于有效保护和合法利用的状 态,以及具备保障持续安全状态的能力。
数据主体,是指数据所标识的自然人或者其监护人、企业、机关、 事业单位、社会团体和其他组织。
个人信息,是以电子或者其他方式记录的与已识别或者可识别的 自然人有关的各种信息,不包括匿名化处理后的信息。
大数据平台,是指以处理海量数据存储、计算、分析等为目的的 基础设施,包括数据统计分析类的平台和大数据处理类平台(如数据 湖、数据仓库等)。
办法包括如下几个要点:
明确数据安全治理架构:
要求银行保险机构建立数据安全责任制,指定归口管理部门负责本机构的数据安全工作;按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求。
建立数据分类分级标准
要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。
强化数据安全管理
要求银行保险机构按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,在开展相关数据业务处理活动时应当进行数据安全评估。
健全数据安全技术体系
要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。
各主要章节的内容整理如下:
二.数据安全治理
在总则后的第一个章节,强调了要建立数据安全管理组织架构,建立党委(党组)、董(理) 事会对本单位数据安全工作负主体责任的数据安全责任制。明确了银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保 护管理要求。
三.数据分类分级
办法指出银行保险机构需建立数据分类分级保护制度,对获取和产生的数据进行分类管理,包括客户数据、业务数据等,并依据数据重要性和敏感程度将其分为核心数据、重要数据、一般数据及敏感数据与其他一般数据。应采取差异化保护措施,并建立动态调整机制以适应数据安全级别的变化。
具体办法可以参看鼹鼠哥以前对分类分级的系列文章,里边有更详细的阐述。
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第一部分
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第二部分
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第三部分
四.数据安全管理
安全管理部分总共有19条细则,在整个办法中所占笔墨不少,可见办法制定者对数据安全重要性的认识程度。
这部分内容强调银行保险机构应根据国家政策制定数据安全保护策略,建立全面的数据管理体系,包括数据资产管理、安全评估、服务管理、数据收集和处理、外部数据采购、数据加工、数据使用、数据共享、数据委托处理、外包管理、数据共同处理、数据转移、数据公开、数据跨境、数据备份、数据删除与销毁等方面。特别强调了数据分类分级保护制度的重要性,要求对数据进行差异化安全保护措施,并建立动态调整机制。这些规定旨在确保数据的安全性、合规性和对数据主体权益的保护。
五.数据安全技术保护
第五章共有15条细则,主要明确了具体的安全保护技术要求。
第五章强调银行保险机构应在多元异构环境下建立数据安全技术保护体系,将数据安全保护纳入信息系统开发生命周期,实施数据安全保护基线措施,包括数据访问控制、网络安全、数据传输保护、数据存储保护、数据销毁管理等,并建立数据安全基础设施和进行数据安全测试。
同时,要求在大数据平台安全和数据加工方面采取特定措施,确保数据处理的透明度和结果的公平合理性,并对人工智能模型开发应用进行统一管理。
此外,还要求在信息系统或模型算法投入使用时进行数据安全审查,并在使用人工智能技术开展业务时对数据对决策结果的影响进行解释说明和信息披露。
最后,强调在与外部机构的数据交互中实现安全风险隔离,并通过集中管理的外联平台或应用程序接口实施安全保护管理。
值得注意的是,办法特别强调了使用人工智能技术处理数据时要遵守的原则:
关键词 | 具体介绍 |
公开透明 | 银行保险机构开展自动化决策分析、模型算法开发、数据标注等活动,应当保证数据处理透明度和结果公平合理 |
统一管理 | 银行保险机构应当对人工智能模型开发应用进行统一管理,建立模型算法产品外部引入的准入机制,对模型研发过程进行主动管理,实现模型算法可验证、可审核、可追溯 |
安全审查 | 银行保险机构信息系统、模型算法投入使用时,应当开展数据安全审查,审查数据与模型使用的合理性、正当性、可解释性,以及数据利用对相关主体合法权益的影响、伦理道德风险及防控措施有效性等 |
信息披露 | 银行保险机构使用人工智能技术开展业务时,应当就数据对决策结果影响进行解释说明和信息披露 |
实时监测 | 实时监测自动化处理与系统运行结果 |
缓释措施 | 建立人工智能应用的风险缓释措施,包括制定退出人工智能应用的替代方案,对安全威胁制定应急方案并开展演练 |
有效措施 | 银行保险机构在算法设计、训练数据选择和模型生成时,应当采取有效措施,保障个人合法权益 |
决策透明度 | 利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正 |
六.个人信息保护
第六章规定了银行保险机构在处理个人信息时必须遵循的原则和义务。
它们必须明确告知个人其信息的使用目的和方式,并获得同意;个人信息处理应具有明确合理的目的是直接相关的,并限制在实现金融业务目的的最小范围内;不得利用个人信息进行违法活动。
此外,银行保险机构在进行可能影响个人权益的信息处理活动时需评估其影响,并制定易于访问且内容明确的个人信息处理规则。
在跨境传输、委托第三方处理个人信息时,还需履行特定的告知义务并确保数据安全。同时,它们在利用个人信息进行自动化决策时应保证决策的透明度和公正性。在发生或可能发生个人信息泄露、篡改、丢失时,必须立即采取补救措施并通知个人及监管部门。
七.数据安全风险监测与处置
第七章规定了银行保险机构应建立全面的数据安全风险管理机制,包括风险监测、评估、应急响应和报告等。
银行保险机构需对各种数据安全威胁进行监测,包括内部异常访问、数据集中共享平台的威胁、敏感数据流动、移动存储介质使用、外包和第三方合作中的数据处理问题等。
每年至少进行一次数据安全风险评估,每三年至少进行一次全面审计,并在发生重大数据安全事件后进行专项审计。
数据安全事件分为四个级别,银行保险机构需建立应急管理机制,制定应急预案,并进行培训和演练。发生数据安全事件时,应立即启动应急处置,并按照规定报告。在事件发生后,应立即开展调查评估,并采取补救措施。银行保险机构还需在数据安全事件发生后2小时内向监管部门报告,并在24小时内提交书面报告。特别重大的数据安全事件需立即报告并采取处置措施。事件处置结束后,应在五个工作日内向监管部门报送评估、总结和改进报告。
小结
办法全面覆盖了银行保险机构在数据安全和个人信息保护方面的管理要求。它通过建立数据安全管理组织架构、数据分类分级保护制度、全面的数据管理体系、数据安全技术保护措施、个人信息保护规则以及数据安全风险监测与处置机制来确保数据的安全性、合规性和对数据主体权益的保护。这些内容的意义在于帮助银行保险机构建立起一套完善的数据治理框架,从而有效防范和应对数据安全威胁,同时确保个人信息的处理符合法律和道德要求,保护客户的合法权益。
03 《中国人民银行业务领域数据安全管理办法》(征求意见稿)
——————————————————
2023年7月24日,中国人民银行起草发布《中国人民银行业务领域数据安全管理办法》(征求意见稿),面向社会公开征求意见,旨在落实《中华人民共和国数据安全法》有关要求,加强中国人民银行业务领域数据安全管理。
首先,我们要关注一个要点:本办法所称中国人民银行业务领域数据,指根据法律、 行政法规、国务院决定和中国人民银行规章,开展中国人民 银行承担监督管理职责的各类业务活动时,所产生和收集的 不涉及国家秘密的网络数据,以下简称数据
虽然本办法发布时间并不是很早,但是和最新发布的《银行保险机构数据安全管理办法》的重点有很大的不同。
办法主要包括六方面内容:
1. 分类。数据根据其精度、规模以及对国家安全的影响被分类为一般、重要、核心三个级别。数据处理者需要准确识别并判断其信息系统中存储的数据是否属于重要数据或核心数据。
2. 分级。数据处理者应遵循行业标准,基于数据泄露或被非法获取、利用可能对个人、组织合法权益或公共利益造成的危害程度,将数据敏感性自低至高划分为一至五级共五个层次。
3. 使用。当使用第三级及以上敏感性的数据加工后产生的数据,经评估无法识别特定个人或组织,或其信息敏感度明显低于原数据时,数据处理者在完成内部审批程序后,可以根据情况降低其敏感性层级,以促进数据的合法合规利用。
4. 收集存储处理。在中国境内收集和产生的数据,若法律、行政法规规定需境内存储,数据处理者必须遵守规定,在境内存储这些数据。
5. 出境。除非得到中国人民银行和其他相关主管部门的批准,数据处理者不得向国际组织或外国金融管理部门提供境内存储的数据。
6. 风控。对于重要数据的处理者,应每年至少一次自行或委托检测机构进行全面的数据安全风险评估,以确保数据安全。
《办法》确保与现有制度衔接,未新增合规要求。提倡数据高效流通和创新应用,允许对敏感数据项加工后降低敏感性层级。细化技术措施和特殊情形下的内部审批,避免“一刀切”。
办法中还有几点值得注意要遵守的:
首先,在数据收集处理环节。
1.处理者在收集数据时,应合法、正当地进行,并在隐私政策或合同协议中清晰说明数据收集的目的、范围、方式和存储期限,以及数据来源的合法性和真实性的要求。
2. 当接受其他数据处理者的委托收集数据时,应通过合同协议明确委托关系,并在非直接面向个人或组织收集数据时,要求数据提供方合法取得同意,并提供数据来源说明材料。
3. 对于数据合法性和真实性的疑虑,应明确业务暂停使用相关数据的应急处置方案。
4. 在收集数据时,应优先使用直接录入或信息系统间交互的方式,并在必要时采取自动识别和人工核验等措施,保障数据录入的及时性和准确性。
5. 在停止提供服务或响应合法权益要求时,应主动停止数据收集活动。
6. 保存与数据收集行为相关的合同协议、内部审批记录、数据来源说明材料和评估结论等信息至少三年。
在数据使用环节:
3层及以上数据项原则上不提供导出,4层及以上仅核验使用,需其他方式时应说明必要性,经内部审批和风险防范措施明确后进行。3层以上数据项导出使用需采取加密等安全措施,必要时明确导出场景。除法定职责或义务展示数据外,信息系统展示3层以上数据项时,应优先脱敏处理。确需明文展示的,需明确展示场景、必要性和风险防范措施。
在数据传输方面:数据处理者原则上不得通过互联网服务或移动介质交换传输3层及以上数据项,除非是法定职责或义务所必需的,确有需要时应明确传输场景和必要性,并采取相应风险防范措施。
04 中国证监会《证券期货业网络和信息安全管理办法》
——————————————————
待续。
05 金融行业数据要素市场化白皮书
——————————————————
待续。
—————————————————————————
数据资产化,鼹鼠哥与你一起。