“银行与第三方机构开展业务合作时需提供必要数据，但又缺少对合作方的约束力。建议推动法律层面明确对第三方的约束，对第三方延伸监管要求，为金融机构加强第三方数据安全管理创造条件。”4月13日，在新金融联盟举办的“《银行保险机构数据安全管理办法（征求意见稿）》” 内部研讨会上，招商银行首席信息官江朝阳表示。

会上，工商银行首席技术官吕仲涛、北京银行首席信息官龚伟华、泰康保险集团信息安全部总经理李瑞荣做主题发言；国家金融监督管理总局相关司局负责人，中国政法大学互联网金融法律研究院院长李爱君，中国信通院金融科技研究中心主任何阳进行了点评交流。

会议由新金融联盟秘书长吴雨珊主持，中国金融四十人论坛提供学术支持。64家银行和非银金融机构，50家金融科技公司及其他机构，共179位嘉宾通过线上线下参会。以下为江朝阳的发言全文。

银行数据安全管理的体系建设与挑战

文 |江朝阳

很高兴有机会分享《关于银行保险机构数据安全管理办法（征求意见稿）》（简称《办法》）的一些体会和招商银行的实践。

《办法》有很强的针对性与实践性

随着数据广泛使用，数据安全被大家高度重视。近年来，国家出台了覆盖各领域数据安全的法律法规及行业标准，包含《网络安全法》《数据安全法》和《个人信息保护法》三部国家法律、20多部行政法规、近10项国标行标。

《办法》紧贴金融行业具体实践，衔接国家对数据安全的宏观管理，整合了各细分领域的一些标准规范和要求，形成了比较完整又有金融行业特色的实践管理办法，既承上启下又有很强的针对性和实践性。

2022年12月份发布的《银行保险机构数据安全办法》（简称《数据安全办法》）是在局部银行实施；去年8月的《银行保险机构数据安全监管办法（征求意见稿）》将个人信息保护的要求单独列了一章，汇总各项个人信息保护要求，突出个人信息保护的重要性，并增加了外包管理的要求。

《办法》意见稿又有了升级，进一步完善了数据安全事件分级，从原来的三级增加了一个一般数据安全事件，数据安全事件划分更加合理。同时，把数据委托处理纳入信息科技的外包管理范围，包括委托制卡、委托催收等涉及数据处理的工作。总体来讲，《办法》的出台是结合银行业实践不断调优的结果，在立法上保持了高度的一致性。

《办法》定位清晰，即维护国家安全和社会公共利益，保护个人、组织合法权益，促进数据合理开发利用。为了达到这三个目的，规范银行保险业的数据处理活动，保证数据安全、金融安全。

《办法》体系非常完整，从治理体系、制度体系建设、数据分级到报告、监测处置，基本上涵盖了银行、保险业数据安全关键领域。覆盖了各类活动，从构建基础的管理能力、构建技术防护体系到划定安全保护基线，突出个人信息保护的要求，同时又面向未来，特别要求对未来的数据模型、大语言模型应用的合规要求，面向未来的AI领域也有一定的前瞻性。

总体来看，这份办法是管理办法，更是工作指引，有非常强的指导性。如果机构严格按照《办法》来实施，对数据安全体系是一个极大促进。全面覆盖了数据安全体系的各项管理要求，重点突出，操作性强，很好平衡了安全与发展的要求。

数据安全管理体系建设实践

招行在2022年12月金管总局出台《数据安全办法》后，严格按照该办法，从治理、保护、监督三个维度强化完善数据安全体系建设。

一是治理体系建设，加强顶层设计，明确三道防线组织体系及相应的职责分工，建立了相对完整的制度体系。

以往的数据安全体系侧重银行母体管理，招行按照《数据安全办法》把子公司也完全纳入管理，层层成立数据安全组织。建立了一些跨部门的专题工作组，如跨境数据流动工作组、个人信息保护工作组、外包风险管理工作组等，实现数据安全防控覆盖到全域，真正落实“谁管业务数据，谁管数据安全”的责任体系。

二是保护体系建设，防止数据滥用、数据泄露，在技术、管理、流程等数据安全的各个关键环节建立控制保护体系。

在保护体系建设方面，明确“安全第一的同时要平衡发展和效率”的原则。没有安全就没有发展，但没有发展，数据不能成为生产要素，进而推动金融发展，安全也没有意义。另一方面，推动数据安全工作当中，若效率没有保证，数据安全工作投入超出企业自身可以承担的水平，安全工作就没法得到真正落实。但是，如果没有安全，追求效率也没有价值，因此要平衡这三者之间的关系，要在保证安全的基础上提高效率和发展。

严防数据滥用方面，招行建立了全域个人信息保护体系，确保个人信息采集合法。外部数据采购，首先要确保数据来源合法。数据应用上要避免数据滥用，所以要么有客户授权，要么内部有严格的防火墙分开。同时，我们也做了大量数据脱敏工作，保证内部数据为业务发展所用，还建立了完整算法模型的生命周期管理系统，保证算法模型可解释及透明。

严防数据泄露十分重要，在技术能力上要全面部署，管理措施全面到位，数据分级、数据脱敏、数据防泄露，包括在研发过程中的数据安全规范、数据水印、日志监督，一整套技术体系保证各个环节不会有数据安全的危险。同时为了保证数据更好地使用，我们做了大量的工作，通过数据脱敏降低安全威胁。我们通过业务数据脱敏、办公环境数据安全技术体系的建设，保证数据不落地。这样在保证数据安全前提下，我们数据分析师大概有60%的工作在办公位上完成，体现了安全跟发展的均衡关系。

三是监督体系建设，为确保数据安全体系工作要求真正能落地，建立了二、三道防线的闭环监督体系。我们加强数据安全审计，每年都要开展专项数据安全审计，极大促进数据安全工作，还把数据安全考核全部纳入机构考核指标，全面提升机构数据安全意识。

落实数据安全管理挑战重重

《办法》在落地实施中会面临诸多挑战。

第一，《办法》给出了数据分级、事件分级的相对原则，仍然需要通过实践去探索具体的分级标准。

第二，《办法》第52条明确对于算法模型要明示数据对决策结果的影响。当前大语言模型的可解释性还不高，要真正做到这一点，可能还存在很多挑战，也需要在实践中摸索。

第三，在落地数据安全的时候，管和用的平衡也需要进一步提升。去年我们在落地一些内部管理安全措施的时候，的确体验一下就不好了，原来的很多工作习惯被改变了，吐槽还是很多。所以在保证安全的情况下，还需进一步提高安全发展与效率之间的平衡。

第四，现在第三方机构管理也是比较伤脑筋，银行和第三方机构开展催收、制卡等业务合作，需向合作方提供必要数据，银行承担着数据安全的主体责任，需强化对第三方机构的管理、督促，但又缺少对合作方的约束力。建议像延伸审计一样延伸监管，可以对第三方提出监管要求，从而为金融机构管理第三方创造一些条件。

第五，在数据安全领域，人行、网信办、公安等多个监管机构对银行数据安全工作都有指导，但因为出发点不同存在一些差异。要更好地统筹数据安全的工作，满足各监管部门的要求，一方面银行自身要进一步提高能力，另一方面也希望各个监管机构之间能更好地协同，统一标准，为银行落实数据安全工作的要求创造更好的条件。

【关于我们】

新金融联盟（NFA）成立于2016年，致力于打造一个高质量的新金融政策研讨和行业交流平台。成立以来，联盟共组织各类闭门研讨会、优秀企业参访近百场，议题涵盖数字金融、数据治理、资产管理等方向。部分研讨成果形成报告，呈送给相关部门，推动了业界与监管的沟通交流，助力市场机构的合作共赢。