在《白皮书》中,关于金融机构数据安全和隐私保护方面的需求与难度专门做了说明,并指出这两方面安全保护难度不断加大。
由于金融行业本身的业务价值就非常高,涉及到资金、个人信息、征信信息等多项关键的重要数据,因此,不光是在我国,在全球范围内,金融行业的数据都正在成为不法分子所瞄准的重点攻击对象。
《白皮书》指出,银行、保险的数据和其他平台金融数据泄露事件频发,大数据风控乱象不止,金融行业的用户隐私保护形势严峻,且难度较大。究其原因,《白皮书》总结出如下三点:
一、法律法规层面缺乏完整的体系。
和国际上相比,我国的数据安全及隐私保护相关的立法起步比较晚,直至今年,《中华人民共和国数据安全法(草案)》和《中华人民共和国个人信息保护法(草案)》尚处在刚刚开始公开征求意见的阶段,同时,尽管行业监管机构也陆续发布了个人金融信息相关的安全标准,但总体来看,我国尚未形成严谨的金融隐私保护法律体系,针对各机构和平台主要以行政层面的处罚为主。
不过,我们应当看到国家层面对这方面的重视,根据《个人信息保护法(草案)》的内容,能够看出处罚力度可谓是空前的严厉,这会直接促进金融机构在未来会更加重视相关的网络安全建设。
二、5G等新技术的快速应用给金融隐私保护带来了更多的风险挑战。
在微信公众号“APP个人信息举报”上共收到了网民举报信息12125条信息,设计2300余款app;其中移动金融app是违规手机使用个人信息的重灾区;云计算和大数据为大数据分析提供便利的同时,也汇集了大量高价值数据,成为黑客攻击的重点目标。
值得一提的是,央行今年上半年发布了《关于开展金融科技应用风险专项摸排工作的通知》 ,其背景正是加强金融科技应用风险防控,切实保障用户的信息和资金安全。
但正如《白皮书》前文所说,金融行业的特性令其所收集的数据和信息都是具备高价值属性的。在拥抱各种包括5G、云计算等新技术的同时,也扩大了受攻击面,因此金融机构所面临的风险在未来一段时间内极有可能会持续性的增长。
三、业务场景复杂导致的数据保护难题。
随着业务的不断发展,金融机构的业务系统多达几百上千个,应用场景繁多,其中承载着大量的客户基础信息,业务交易数据、业务产品数据、企业经营数据、机构数据、认证信息、生物特征信息、企业员工信息等大量业务和系统数据。
由于这些数据需要在各个系统之间不同的流转,因此其面临的风险也会有不同的变化。因此,数据安全的管理需要根据业务的情况来实现动态的体系化的安全防护能力,才能确保机构数据安全管理策略的良好落地。这对于金融机构的网络安全建设而言,本身也是一大挑战。
京公网安备 11010802033237号
