“银行数据安全管理的流程、制度一定要落到系统，否则很难保证落地实施。要真正管到位，一定要建设标准化、模型化、智能化的技术，提升数据安全管理运营的自动化水平和效能。”4月13日，在新金融联盟举办的“《银行保险机构数据安全管理办法（征求意见稿）》” 内部研讨会上，北京银行首席信息官龚伟华表示。

会上，工商银行首席技术官吕仲涛、招商银行首席信息官江朝阳、泰康保险集团信息安全部总经理李瑞荣做主题发言；国家金融监督管理总局相关司局负责人，中国政法大学互联网金融法律研究院院长李爱君，中国信通院金融科技研究中心主任何阳进行了点评交流。

会议由新金融联盟秘书长吴雨珊主持，中国金融四十人论坛提供学术支持。64家银行和非银金融机构，50家金融科技公司及其他机构，共179位嘉宾通过线上线下参会。以下为龚伟华的发言全文。

中小银行数据安全管理的行与思

文 | 龚伟华

北京银行首席信息官龚伟华

我结合北京银行数字化转型实践，就我们对《银行保险机构数据安全管理办法（征求意见稿）》（以下简称《办法》》的理解和落实情况跟各位领导做一个汇报。

北京银行数据安全管理实践

数字化转型是贯彻国家战略、服务首都发展、落实监管要求的必由之路。《办法》的发布，体现了国家层面对数据安全的高度重视，指明了工作方向，对银行业的实践，有很好的帮助和指导。

北京银行将对《办法》的落地融合到数字化转型工作中，树立了“一个银行、一体数据、一体平台”的理念，建立了统一数据底座工程。在数据底座大框架里，无论资源管理、资源处理，还是AI大模型数据处理，都在统一规划里。

2020年3月，北京银行成立数据管理部，实现了全行数据管理的统一归口，并成立了数据治理与安全委员会。我们对照前两年的发文，包括这次征求意见稿，从组织架构层面进行了落地。

数据分级、分类管理很重要，意义非常大。数据资产、敏感数据在哪，怎样防泄露，挑战非常大。怎样对数据实行分级分类管理，明确保护对象？如何做好数据保护和数据保护成本的平衡？随着数据要素价值挖掘，如何安全、合规地在机构之间、行业之间实现数据共享？特别是现在以大模型为代表的人工智能技术的发展，对数据的使用提出了更高的要求。刚才江朝阳首席提到的制卡数据的处理等传统第三方数据的交互，我行都有涉及。

同时，北京银行联合外部机构，通过隐私计算平台，建立包含存储安全、通信安全、算法安全的数据安全共享机制，在数据不出域的前提下，实现与外部机构数据共享，夯实丰富数据生态体系建设。

个人信息保护方面，从科技角度看，工作压力很大，要完全做到位有很多挑战。制度说得很清晰，但无论是信息收集、处理、保护，还是各种审计，要落地下去工作量很大。北京银行结合法律法规，做了大量实践工作。

从北京银行实践看，数据安全管理面临以下三方面挑战：

第一，数据安全管理体系还有待于完善。从本行实践看，需要建立从决策层到执行层，从管理制度到工具流程，自上而下、贯穿整个组织架构的数据安全管理体系。同时，流程、制度如果不落到系统，很难保证落地实施。

第二，自动化运营支撑能力不足。要真正管到位，一定要建设标准化、模型化、智能化的技术，提升数据安全管理运营的自动化水平和效能。特别是在数据安全管理方面，自动化运营支撑压力挑战更大。

第三，数据安全面临合规压力。数据安全合规压力方面很大。目前强监管态势下，银行面临的合规压力很大，这些年在合规方面投入的资源也很多。

中小银行落地制度压力较大

我提几个方面的建议。

第一，制度解读方面，做好不同监管机构颁布的制度的对平拉齐工作。监管机构在这方面也进行指导。

第二，制度落地方面，如果都靠各家银行去探索实践，大行没有问题，中小银行会面临很大压力。

虽然总局发的制度很清晰，可操作性强，目前出台了相关的国际、团标等标准，但在落地层面还有很多工作需要做。建议监管机构、行业协会等，及时归纳总结行业最佳实践，并通过合适方式，在中小银行进行推广，从而提高全行业的合规水平。

针对《办法》，在重点领域里，发布可供参考的成熟解决方案或指导性落地实践，非常有必要。

比如，《办法》要求将数据纳入网络安全等级保护，但具体怎么落地？等保是基于信息系统的，数据跟信息系统还不完全对等，数据和信息系统等保不一致时，如何处理信息系统等级保护和数据等级保护？虽说等保是以信息系统为主要的对象，但等保分级也不是特别清晰，比如网络基础设施等。

比如，《办法》中提到了数据安全事件的分级，实际工作中，如何和信息系统事件的分级处置有效协同。

总之，《办法》的出台，为银行保险机构做好数据安全管理工作提供了很好的指导，后续我们做好落地实施。同时，建议组织行业专家快速总结并推广行业最佳实践成果，帮助金融行业所有的机构尽快落实监管规定，达到合规要求，提升整个行业水平。

【关于我们】

新金融联盟（NFA）成立于2016年，致力于打造一个高质量的新金融政策研讨和行业交流平台。成立以来，联盟共组织各类闭门研讨会、优秀企业参访近百场，议题涵盖数字金融、数据治理、资产管理等方向。部分研讨成果形成报告，呈送给相关部门，推动了业界与监管的沟通交流，助力市场机构的合作共赢。