数据安全铁幕落下 金融机构加速技术合规探索
随着《数据安全法》正式施行以及《个人信息保护法》的即将落地,针对数据安全领域的约束措施逐步“就位”。在此背景下,受益于“数据红利”快速发展的金融科技,也走到了合规和技术重置的分水岭。
在近期举办的第五届中国金融科技创新大会上了解到,金融机构在打造“开放”战略的同时亦在谋求通过多种方式强化数据合规。多位受访人士认为:针对金融业数据安全的监管空前加强,行业对风险和边界意识提升,需要从标准、制度、技术等多维度建立起数据安全系统。
数字金融风险底线收紧
按照去年4月中共中央、国务院关于完善数据要素市场配置的相关要求,充分发挥数据要素对金融行业服务效率的倍增作用已经成为各界共识,但在发展数字金融的同时保证数据安全、防止风险蔓延仍是金融机构面临的主要挑战。
国务院参事、中国银保监会原副主席王兆星在上述会议上指出,发展数字金融必须以有效的监管为前提,把风险防控放在更加重要的位置,守住风险底线。在他看来,发展数字金融应该坚持四大基本原则。一是数字金融必须以人为本;二是金融必须始终服务实体经济;三是数字金融必须坚持金融规律,不能用技术的手段为金融套利;四是数字金融的运用必须坚守风险底线,确保金融安全。
一个需要直面的趋势是,开放银行、科技立“行”已成发展主流,这种业态大开放中,数据及数据价值共享成为主要特征,但这种合作造成了数据安全压力加大。北京国家金融科技认证中心有限公司总经理、全国金融标准化技术委员会委员张海燕认为:金融数据的融合应用,特别是跨机构、跨行业金融数据的融合应用,由于缺乏统一的规范和指引,金融数据生产、流通、共享、聚合利用等环节,数据要求不统一,权责不分明,安全风险凸显,制约着金融数据要素作用的发挥。
一位服务银行的第三方机构人士称:不管是大型金融机构内部数据的打通,还是小机构寻求把外部的数据源,比如行为数据、统计数据、消费数据、身份数据大量接进来,都面临着巨大的合规挑战——一方面,怎么保护自己的数据,另一方面,怎么保证外部采购的数据是合规的。此前是没有依据,有了依据之后怎么开展业务都是问题。
注意到,除了《数据安全法》等法的落地,特定行业针对机构数据能力建设的配套标准制定也已经上路。2021年2月,中国人民银行发布了《金融业数据能力建设指引》,提出了用户授权、安全合规、分类实施、最小够用以及可用不可见等五大原则。
技术解决路径探索
在金融科技领域,此前曾经历过数据使用颇为粗放的时期。但在当前的监管环境下,很多业务流程和模式都面临变化。去年以来,不少金融科技领域的大数据公司都停止了评分类产品输出,停掉了一些数据源,而改为输出模型,也正是受到数据安全相关政策收紧影响。
注意到,今年以来,不少银行也选择单项采购多方安全计算、联邦学习等隐私计算服务,来提升数据流动、联合建模的合规性。
隐私计算创业公司星云ClustarCEO陈沫时表示:在金融业务中,此前数据源接入和评分输出是很常见的业务动作,但现在这种方式的违规风险持续加大。
以风控场景为例,此前银行等金融机构在做风控时,特别是反欺诈识别中,由于客群属性导致存量数据维度缺乏,需要通过多种方式引入多方数据进行联合建模。这此过程中,多方主体数据协作、融合就面临着数据安全和隐私保护的痛点。
陈沫解释称:银行对用户进行评分时,传统方式是直接使用用户的各方数据。而联邦学习方式下,相当于在原来的模型下加一个数据底座,在数据源和数据使用方之间部署两个节点,实现数据不出域,也能获取与传统方式相同的效果。
“核心是帮助解决数据不出域的情况下实现多方数据融合。以羊吃草举个例子,传统的做法是把草料(数据)集中到羊(模型)的所在地,来喂养它,这样就意味着数据要离开本地。而联邦学习的做法则是相反——通过带着羊(模型)到各处去吃草,既让能羊(模型)够长大,又让草料(数据)不出本地。”陈沫表示。
除了通过隐私计算等技术解决数据使用中的难点,不少中小机构倾向选择云服务等一揽子计算彻底解决业务转型和数据安全隐患。腾讯云副总裁胡利明时表示:腾讯云通过安全数据中台,主要把各项底层安全能力,包括数据加密、密钥托管、数据脱敏、敏感数据识别等核心能力,通过PaaS化或SaaS化的能力向上提供。目前混合云正在成为金融机构主要选择,而未来在安全合规水平进一步提升的基础上,行业云会成为更多中小金融机构的选择。
他称:未来,金融行业一些不涉及到用户关键交易相关的服务普遍可以使用公有云,类似证券的行情分发,银行手机APP的多媒体的网络分发、开放金融场景等可以放在公有云或者行业云上。而目前腾讯云也在按照央行针对金融云的相关标准积极推进相关事宜。