落实《数据安全法》等法规面临的挑战和机遇

　　1.《数据安全法》对商业银行数据安全保护的规定

　　对商业银行而言，《数据安全法》等法规立足数据安全工作实际，聚焦数据安全领域的突出问题，确立了数据分级分类管理、数据资产管控、数据安全风险评估、监测预警、安全审查等基本要求，明确了相关主体的数据安全保护义务。《数据安全法》的实施要求商业银行采取合法、正当方式收集数据，依法合理利用数据，在开展数据处理活动时确保建立、健全全流程数据安全管理制度，采取相应的技术措施等保障数据安全，并对重要数据的处理需明确数据安全负责人和管理机构，落实数据安全保护责任。《数据安全法》确立数据分级分类保护制度和重要数据界定范围，将进一步激发商业银行主动合规开展数据资产盘点，建立全流程数据安全管理制度，充分发挥数据要素价值的动力。

　　2.实施《数据安全法》对商业银行的挑战

　　商业银行作为数据密集型机构，存储了海量的金融基础数据，《数据安全法》的实施对商业银行的数据管理工作带来了挑战，主要表现在商业银行数据规模庞大、业务系统多，彼此相互独立但又联系密切，数据生产部门、数据使用部门、数据管理部门、安全管理部门之间角色和职责难以清晰界定，人员安全意识不均衡，当前数据分级分类和重要数据目录的建设也存在难点，最终会导致数据的安全保护、流转控制难度加大，数据安全合规管理成本高。

　　3.实施《数据安全法》对商业银行的机遇

　　《数据安全法》在规范数据活动的同时，坚持安全与发展并重，对推进政务数据开放利用、促进交易数据自由流动、保障数据出境安全等方面做出相应规定，让数据安全有法可依、有章可循，为数字经济的安全健康发展提供了有力支撑，也为商业银行提供了机遇。一是《数据安全法》倡导数据安全与价值创造的平衡发展，统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，鼓励和支持数据在各行业、各领域的创新应用，大力推动政务数据安全与开放，为商业银行深化“政银”数据合作，促进内外部数据共享和数据要素依法有序流动，激活数据要素价值，加快数字化转型提供了政策依据。二是《数据安全法》倡导和鼓励数据开发应用及新技术的研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，为商业银行通过人工智能、区块链技术创新开展数据安全管理提供了良好的导向效应。

　　落实《数据安全法》等法规的方法探讨

　　面对以上挑战及机遇，商业银行应从组织、制度、技术等层面建立数据安全闭环管理体系，全面保障数据安全的基础上，促进金融数据有效利用。

　　1.做好商业银行数据安全管理的顶层设计

　　一是商业银行应在顶层建立数据安全管理的领导机构，总行与各级分行应设置数据安全管理牵头部门，各数据应用部门是集团数据安全管理工作的主要责任部门，各机构应在数据安全管理领导机构的指引下密切配合、协同开展集团数据安全管理工作。二是要建立完善涵盖全范围、全周期数据安全管理制度体系，明确数据采集、存储、传输、处理、销毁等各个环节、全场景的数据安全管理要求。三是要打造数据安全闭环管理体系，推动数据安全治理体系持续改善。

　　2.建立完善数据分级分类管理体系与流程管控机制

　　一是商业银行应对现有敏感业务数据进行识别和分级分类，建立统一的数据分级管理制度和重要数据目录，明确数据安全定级的要素、原则，针对不同数据安全级别的数据采取不同的控制手段。二是建立完善数据资产安全属性注册机制，明确数据产生部门、数据应用部门、数据管理部门、系统研发部门职责范围，将数据安全管控深度嵌入系统需求、研发和应用全流程，防止出现安全漏洞，将数据安全措施在制度、系统、流程和管理中落到实处。

　　3.提升数据安全管理能力与共享应用能力

　　利用机器学习、人工智能、大数据分析等新兴技术对敏感数据进行自动识别和标注，对不同类型敏感数据执行差异化算法加密，积极研究包含联邦学习、多方安全计算、区块链在内的数字化技术，推动数据安全管理能力提升，提高数据合规共享水平。

　　4.加强数据安全人才培养和文化变革

　　一是加大人才与文化的培育。持续开展专职和兼职数据安全管理人员和技术类人员培训，构建数据安全人才体系。在集团内部做好数据安全文化的宣贯，提升保密意识，筑牢数据安全防线。二是开展数据安全检查与评估，明确数据安全审计任务，定期对银行数据安全工作开展检查，做好数据安全问题排查，尽早发现问题、解决问题。三是开展数据安全能力模型评估，从组织、平台、制度等方面全面提升银行数据安全保障能力。

　　基于以上商业银行数据安全管理理念，总结提出如下数据安全管理框架（见表1所示）。

　　表 1 商业银行数据安全管理框架

　　工商银行数据安全管理实践

　　近年来，工商银行一直努力探索数据安全合规管理理论，大力开展相关实践，积累了一些行之有效的实践成果。

　　1.健全数据安全管理组织架构

　　根据《数据安全法》《指引》等法律要求，工商银行建立了以金融科技发展委员会为决策层、总行管理信息部及金融科技部牵头负责、总分行各级机构配合执行的全集团数据安全管理组织架构，并明确了各级机构的工作职责，形成了权责明确、配合有效的管理机制。

　　2.完善数据安全管理制度机制

　　工商银行以大数据服务云平台建设为依托实现各类信息的合规、有效共享，发布了《大数据服务云数据管理办法》《数据共享工作细则》《大数据服务云业务应急预案》等制度办法，明确了数据采集、存储、处理、传输、应用等各环节的数据安全管理要求，建立了数据集成、授权、应用等管理流程和配套机制。

　　3.开展数据分级分类及资产确权

　　2020年，工商银行启动数据资产管理项目建设，建立了数据资产目录，规范数据资产注册流程，开展数据资产安全属性和部门确权的梳理工作。为提升数据安全管理的全面性、有效性和准确性，工商银行根据人民银行《金融数据安全分级指南》，制定并发布了《数据安全分级分类规范》，明确了全行金融数据安全分级分类的目标、原则、范围、要素和规则，并在此基础上提供各类金融数据分类分级的参考，为开展数据资产梳理及实施有效数据分级分类管理奠定了基础。

　　4.强化数据使用管理

　　事前，按照“知所必须、最小授权”的使用原则，工商银行建立了大数据服务云数据授权管理体系，采用“两级授权”方式实现对机构、用户的数据权限开展管理，并按照“属地化”原则实现数据访问范围的控制。事中，工商银行对重要信息项采取了屏蔽、脱敏、加密等手段加强安全管理，分级分类设置用户访问策略，强化对重点数据访问的保护。事后，工商银行建立了系统化的用户行为监控模型，建立了邮件、U盘等渠道的数据外发核查机制和动态监测机制，确保依法合规和数据安全。

　　5.推动集团数据充分共享

　　为推动数据在集团流通，规范集团内部信息共享应用管理，工商银行建立了覆盖需求提出、申请、审核、反馈、效果评价的集团内客户信息共享工作机制，在满足“取得客户授权、业务办理必须”的基础上，基于监管和集团并表管理需要推动信息在集团内部共享应用，发挥数据价值。

　　目前，工商银行数据安全管理工作虽然取得了一定的进展，但是距离全面落实好《数据安全法》等法规要求，努力推动数据资产要素创造价值，全面实现数字化转型发展目标，还有很长的路要走。