近年来,随着深化共建“一带一路”,我国与沿线国家和地区的数字金融合作持续加剧与深化。
中国金融认证中心(CFCA)创新部数据安全主管隆峰在接受《中国经营报》记者采访中提示道,金融大发展与数据要素充分流动下,也带来了相关的数据安全风险问题,尤其在数据采集、传输、审查等环节问题居多。
隆峰认为,伴随云计算、大数据、物联网和人工智能等新技术的发展,在享受数据高效处理、利用带来的便利的同时,相应的数据安全防护能力却没有同步提升上去。这也是金融机构下一步的发力方向。
《中国经营报》:在中资企业出境过程中,面临的金融数据风险发生在哪些环节?有哪些具体表现?
隆峰:据国家金融监管总局数据,截至2023年6月底,13家中资银行在50个共建国家设立了145家一级机构,6家中资保险机构在8个共建国家设立了15家境外分支机构。
在“一带一路”倡议引领下,金融业高水平对外开放将持续加剧,“走出去”与“引进来”将迎来双向发力,并不断激发金融市场活力,这其中少不了数据的参与。
随着金融大发展与数据要素充分流动,也带来了相关的数据安全风险问题,尤其在数据采集、传输、审查等环节问题居多。
主要体现在以下几个方面:一是数据主权与边界问题。数据跨境流动越发频繁,在带来诸多便利的同时,也带来数据安全合规风险和隐私保护问题,各国都充分重视数据这一重要资产和主权阵地,纷纷出台相关法规、标准要求,对数据的跨境流转进行密切监管,中国企业因数据安全违规问题被国外处罚的事件也屡见不鲜。全球对重要数据保护立法不断加强与收紧,也给中国开展数据安全立法与监管提出了严峻挑战,如何在国与国之间平衡数据流通与安全问题、数据保护边界问题、数据主权问题,成为当前亟须解决的问题。
二是主体身份识别与验证问题。对身份的强验证非常依赖加密算法强度以及生物特征信息,这涉及对主体身份敏感信息的采集与保护,同时,各国对个人或者企业主体的身份属性信息不一致,带来的标准不统一问题,也需要进行梳理和规范。如果没有建立规范、统一的个人、企业主体的身份标识、鉴别与认证标准,将为数据流通效率、数据安全带来极大的阻碍。目前CFCA正在协助金融行业大力推动全球法人识别编码(LEI)的落地,可助力实体企业实现数字身份注册以及认证,以便更好地开展国际金融监管合作。
三是跨境支付安全与打击欺诈问题。随着出境旅游增加,泛亚电竞官方跨境贸易融资、结算等增加,泛亚电竞官方跨境电商越发繁荣,利用非法途径窃取个人信息进行刷单走私、制卡盗刷、电信欺诈等违法行为猖獗。金融机构需不断加强金融产品和服务模式创新能力以及数据安全保障能力,以便能即时有效监控安全风险,保障支付与交易安全,打击犯罪与欺诈,确保“一带一路”贸易合规与顺畅。
四是数据出境审批风险。机构内数据是否按照国家和行业要求进行分类分级梳理,相关数据出境是否对国家或社会公众造成何等安全影响,是否开展相应的安全影响评估和防护能力评估,是否满足国家数据出境审查和报备要求,也是各机构需要重点关注的风险,在业务开展前必须检视自身合规风险。
隆峰:CFCA通过项目建设、安全服务等方式,与多家银行等金融机构合作开展了大量数据安全风险场景研究、处置整改与合规建设的项目,深入了解了行业数据安全风险场景特征,积累了众多行业内防控经验与实践,也为各机构开展数据安全综合安全治理提供了宝贵意见和方案。
通过优化安全能力、整合服务资源,CFCA可为各金融机构提供数据安全相关的数据安全治理、安全风险排查、顶层设计规划、制度体系建设、安全检测认证、数据出境安全评估、安全意识培训等多方面服务方案和一体化数据安全治理能力,愿为各金融机构“数字服务”出海保驾护航。
同时,CFCA在金融行业数据风险防控方面,与行业监管机构、标准组织、协会组织、认证机构等开展了长期且全面的合作,为监管单位以及行业机构输出技术支撑与安全研究能力,以助力金融行业建立统一的数据安全风险防控框架和标准,推动金融数字化转型。
如利用CFCA在金融数据防控方面的经验,协助行业标准委员会、行业协会建立多个数据安全、个人信息保护方面的行业标准与团体标准;在行业监管机构部署牵头下,开展多个方向的数据安全创新课题研究,并发布了《金融数据保护治理白皮书》;也联合金融行业认证机构逐步推出行业数据安全与个人金融信息保护检测与认证,推动各机构建立满足行业标准的安全保护能力。
《中国经营报》:随着新兴科技的出现,未来对于“出海”企业而言,将面临哪些新的金融数据风险?
隆峰:目前,电商、互联网、游戏、智能电子产品、家电、汽车等众多行业都在争先恐后出海,全球国际合作与竞争浪潮已不可避免。伴随云计算、大数据、物联网和人工智能等新技术的发展,催生数字金融、数字医疗、智慧物流等新业态和服务不断涌现,尤其是今年ChatGPT的火热,更是将新技术在各行业的应用推向了又一个新的高潮。
新技术的出现,在为各行业提供高效、可靠、多样化、极具吸引力的服务的同时,也带来了新的安全风险挑战。
目前,很多金融机构已经使用人工智能等技术广泛应用于在线客服、智能助手、聊天机器人等领域;考虑到金融行业海量的数据需要进行处理,一些金融机构也逐步将一些业务迁移到云上进行分布式计算;也利用大数据等技术进行风控建模、贷前风险分析和增值营销,取得了良好的业务收益和服务效果。
在享受数据高效处理、利用带来的便利的同时,相应的数据安全防护能力却没有同步提升上去。如人工智能技术在与客户对话过程中可能会搜集大量个人隐私信息,如果这些信息被滥用或泄露,将严重侵犯用户的隐私权,产生严重的负面影响。ChatGPT由于能够模拟与人类进行对话,很容易被攻击者利用来实施诈骗、恶意攻击等。
隆峰:建议相关企业应用相关技术时,一是要最小化搜集客户的个人信息,合法合规采集数据,尤其是在开发相关人工智能应用进行对话服务时,应严格注意加强对客户访问系统内敏感数据的多层级验证,对客户提供的验证信息、密码等也应注意加密;二是要严格对敏感数据和隐私信息等进行加密保存和分离存储;三是注意大数据营销和风控分析时,应尽量只使用画像信息,避免泄漏客户主体的身份信息。