構(gòu)建數(shù)據(jù)風(fēng)險管理體系，保護數(shù)據(jù)主體權(quán)III當(dāng)前，數(shù)字經(jīng)濟正在迅速崛起，數(shù)據(jù)在我國經(jīng)濟社會發(fā)展中具有重要戰(zhàn)略意義，成為可市場化配置的關(guān)鍵生產(chǎn)要素。2021年9月以來，《數(shù)據(jù)平安法》與《個人信息保護法》（以下簡稱兩法）相繼實施，成為保障數(shù)字經(jīng)濟健康開展的壓艙石，這也標(biāo)志著我國在數(shù)據(jù)領(lǐng)域頂層制度以及網(wǎng)絡(luò)空間治理體系上的不斷完善。中國光大銀行主動融入數(shù)字經(jīng)濟生態(tài)，積極推動數(shù)字化轉(zhuǎn)型中科技新治理體系建設(shè)，以保護數(shù)據(jù)主體權(quán)益為核心目標(biāo)創(chuàng)新構(gòu)建數(shù)據(jù)風(fēng)險管理體系，探索兩法在商業(yè)銀行內(nèi)部的落地實施的可行路徑。商業(yè)銀行落實兩法面臨巨大挑戰(zhàn)2020年以來，光大銀行一直密切關(guān)注兩法發(fā)布實施的進程，深入研究了國家網(wǎng)信辦、人民銀行、銀保監(jiān)會等監(jiān)管機構(gòu)出臺的一系列監(jiān)管規(guī)定與執(zhí)法動作，明確了數(shù)據(jù)平安與個人信息保護（以下簡稱數(shù)據(jù)平安）是我行數(shù)字化運營及數(shù)據(jù)資產(chǎn)價值釋放過程中的平安合規(guī)底座與風(fēng)險防線。金融行業(yè)是產(chǎn)生和積累數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的行業(yè)之一，數(shù)據(jù)信息一旦泄露或濫用，不僅會給客戶造成直接經(jīng)濟損失，也會給金融業(yè)的聲譽帶來負(fù)面影響，銀行業(yè)在數(shù)據(jù)平安管理和數(shù)據(jù)保護方面面臨諸多新的挑戰(zhàn)。.數(shù)據(jù)平安是銀行科技治理體系的底線要求兩法發(fā)布實施后，數(shù)據(jù)平安的內(nèi)涵和外延大大拓展，從科技系統(tǒng)、應(yīng)用技術(shù)、運行保障及應(yīng)急等傳統(tǒng)信息平安下技術(shù)層面，擴展到貫穿客戶權(quán)益保障、業(yè)務(wù)及應(yīng)急管理、產(chǎn)品與渠道管理、風(fēng)險管控等銀行全方位業(yè)務(wù)流程中，數(shù)據(jù)保護能力也將是未來銀行參與數(shù)據(jù)要素市場的基礎(chǔ)與準(zhǔn)入條件,銀行將數(shù)據(jù)治理上升至公司治理層面是必然選擇。.重塑銀行業(yè)務(wù)流程，變革銀行產(chǎn)品與服務(wù)設(shè)計模式個人信息保護影響評估（PIA）是針對個人信息處理過程檢驗其合法合規(guī)程度，判斷其對個人信息主體合法權(quán)益造成損害的各種風(fēng)險，以及評估用于保護個人信息主體的各項措施有效性的過程，是《個人信息保護法》的核心要求。對于銀行而言，事前開展PIA就需要在業(yè)務(wù)流程設(shè)計和開發(fā)過程中有意識加入隱私保護設(shè)計，某一個產(chǎn)品與服務(wù)如果評估不通過，就會重新進行隱私設(shè)計或被取消。這就意味著，新增的產(chǎn)品與服務(wù)設(shè)計時要同步進行隱私設(shè)計，存量的產(chǎn)品與服務(wù)要進行全面評估并整改，銀行業(yè)務(wù)流程將進一步重塑。.數(shù)據(jù)共享與跨境、自動化決策、外部生態(tài)化等諸多領(lǐng)域的合規(guī)風(fēng)險更高在數(shù)據(jù)共享與跨境方面，由于與傳統(tǒng)生產(chǎn)要素相比，數(shù)據(jù)具有非實體性、無消耗性、零本錢復(fù)制性等特點，數(shù)據(jù)一旦共享，數(shù)據(jù)控制權(quán)就一并轉(zhuǎn)移，其他數(shù)據(jù)處理者的數(shù)據(jù)泄露、濫用風(fēng)險難以防范。大規(guī)模數(shù)據(jù)出境還極有可能對國家主權(quán)造成損害。對于銀行而言，數(shù)據(jù)共享、數(shù)據(jù)跨境場景多，數(shù)據(jù)接收方風(fēng)險的管控難度與本錢巨大。在自動化決策合規(guī)方面，銀行數(shù)字化轉(zhuǎn)型過程中廣泛存在通過人工智能驅(qū)動場景運營情況，《個人信息保護法》針對此類情況不僅有專門規(guī)定，還新增了“商業(yè)營銷''作為自動化決策的具體場景，對此提出了更明確的個人選擇權(quán)與透明度要求。在生態(tài)化建設(shè)方面，隨著居民消費行為的線上化開展,大型平臺公司擁有大量生態(tài)化場景，銀行與金融科技公司合作開展生態(tài)化建設(shè)，通過互聯(lián)網(wǎng)平臺批量獲客引流，成為重要的獲客渠道，與第三方平臺合作開展的大量生態(tài)化建設(shè)面臨更高的合規(guī)要求。.數(shù)據(jù)平安的強監(jiān)管和重處分態(tài)勢凸顯兩法出臺前，監(jiān)管機構(gòu)已制定各類行政法規(guī)和技術(shù)標(biāo)準(zhǔn),規(guī)范銀行對個人信息的使用，并加大違規(guī)處分力度。2021年，人民銀行、銀保監(jiān)會、外管局全年發(fā)布的處分名單中，數(shù)據(jù)平安與個人信息保護相關(guān)罰單119張，占數(shù)據(jù)類罰單的11%,罰款金額合計約4654萬元，金融業(yè)數(shù)據(jù)平安“嚴(yán)監(jiān)管、重處罰”態(tài)勢已經(jīng)形成。以保護數(shù)據(jù)主體權(quán)益為目標(biāo)的數(shù)據(jù)風(fēng)險管理體系《個人信息保護法》第55條、第56條規(guī)定：處理敏感個人信息（銀行賬戶屬于敏感個人信息）；利用個人信息進行自動化決策；委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；向境外提供個人信息；其他對個人權(quán)益有重大影響的個人信息處理活動等情形應(yīng)事先進行信息保護評估?！稊?shù)據(jù)平安法》中也規(guī)定：重要數(shù)據(jù)的處理者應(yīng)當(dāng)對其數(shù)據(jù)處理活動定期開展風(fēng)險評估。GDPR規(guī)定的數(shù)據(jù)保護影響評估（DPIA）也要求控制者與處理者應(yīng)評估數(shù)據(jù)處理過程中固有的風(fēng)險，并采取措施減輕這些風(fēng)險。GDPR與兩法的核心均是要求評估數(shù)據(jù)處理活動的每一個環(huán)節(jié)能否保護單個數(shù)據(jù)主體的合法權(quán)益，既有業(yè)務(wù)開展前的影響評估，也有事后的風(fēng)險評估，本質(zhì)上是一種風(fēng)險管理的形式。銀行落實數(shù)據(jù)保護體系實質(zhì)是企業(yè)需要額外增加一種以數(shù)據(jù)為對象，保護數(shù)據(jù)主體權(quán)益為目標(biāo)的數(shù)據(jù)風(fēng)險管理體系，分為兩條主線：一條主線是業(yè)務(wù)產(chǎn)品與服務(wù)的數(shù)據(jù)合規(guī)管理體系，這個以隱私設(shè)計與影響性評估為主，重點保證數(shù)據(jù)生命周期處理過程是否答合合規(guī)與倫理要求，滿足合法、正當(dāng)、必要及告知原那么，并重點關(guān)注數(shù)據(jù)主體的權(quán)利響應(yīng)。例如，客戶要求銀行提供或刪除在我行的所有個人信息，行使查閱權(quán)、復(fù)制權(quán)或刪除權(quán)，銀行如何響應(yīng)？另一條主線基于各類環(huán)境的數(shù)據(jù)生命周期平安管理體系，重點是對生產(chǎn)、開發(fā)測試、辦公環(huán)境下用戶使用不同類型、不同敏感程度數(shù)據(jù)的行為進行監(jiān)測審計，并持續(xù)發(fā)現(xiàn)、預(yù)警甚至阻斷異常訪問行為。同時，借助各種平安技術(shù)工具,例如數(shù)據(jù)脫敏、平安沙箱等，有效防范各類人員操作引發(fā)的數(shù)據(jù)泄露與濫用風(fēng)險。傳統(tǒng)的網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、業(yè)務(wù)連續(xù)性等物理風(fēng)險客觀上也可能會造成數(shù)據(jù)主體權(quán)益的損害，但這種損害往往是群體性的，GDPR與兩法強調(diào)的數(shù)據(jù)處理者要考慮個體數(shù)據(jù)權(quán)益的影響有所區(qū)分，不納入數(shù)據(jù)保護管理的范疇。光大銀行數(shù)據(jù)平安工作落地實踐光大銀行在上述分析研究與工作思路的指導(dǎo)下，以個人信息保護為核心開展數(shù)據(jù)平安工作，全面落實兩法在管理、技術(shù)層面的機制與要求并推動實施。具體如下。.搭建數(shù)據(jù)平安管理制度體系框架我行搭建了以《數(shù)據(jù)政策》為指導(dǎo)綱領(lǐng)，政策、管理辦法、實施細(xì)那么與技術(shù)規(guī)范三層的制度框架體系。截至目前,《數(shù)據(jù)平安管理方法》及相關(guān)方法細(xì)那么，《個人信息保護實施細(xì)那么》《個人信息保護技術(shù)規(guī)范》于2021年發(fā)布?！稊?shù)據(jù)共享平安管理法》《個人信息保護應(yīng)急預(yù)案》《辦公環(huán)境數(shù)據(jù)平安實施細(xì)那么》等均在制定中。.應(yīng)用開發(fā)流程中實施個人信息影響評估（PIA）我行創(chuàng)新建立了PIA評估機制與300+評估要點庫，其中，處理個人信息的最小必要原那么是評估要點中最核心的內(nèi)容。PIA機制于2022年1月實現(xiàn)了EAPS線上化流程，在零售、數(shù)金條線40+系統(tǒng)中推廣。對手機銀行、陽光惠生活、云繳費等7個APP進行專項評估，并逐步覆蓋存量重點應(yīng)用與系統(tǒng)。.數(shù)據(jù)共享平安管理從一事一議轉(zhuǎn)向常態(tài)化數(shù)據(jù)共享、跨境場景呈快速增長趨勢，但由于第三方類型多樣、場景復(fù)雜，多按需以一事一議的方式開展。同時,對4家外部數(shù)據(jù)服務(wù)商進行了專項評估與整改，與集團簽訂《集團數(shù)據(jù)共享治理框架協(xié)議》，與盧森堡分行簽訂《數(shù)據(jù)處理者協(xié)議》等。目前，已對數(shù)據(jù)共享類型、方式、準(zhǔn)入資質(zhì)、協(xié)議等梳理，基本形成數(shù)據(jù)共享平安影響評估機制進行試點與推廣。.加速推進創(chuàng)新技術(shù)研究與工具開發(fā)進程2021年8月，我行率先上線業(yè)內(nèi)首家基于多方平安計算技術(shù)的數(shù)據(jù)共享融合基礎(chǔ)設(shè)施平臺，探索個人信息跨企業(yè)間平安共享的可行路徑。2022年重點建設(shè)數(shù)據(jù)平安分級、數(shù)據(jù)平安監(jiān)測審計、辦公環(huán)境數(shù)據(jù)平安防護系統(tǒng)等技術(shù)工具，為有效防范因內(nèi)部人員違規(guī)而導(dǎo)致的數(shù)據(jù)泄露與濫用風(fēng)險，以及數(shù)據(jù)平安管理常態(tài)化運營提供重要的技術(shù)支撐。結(jié)束語隨著金融科技的不斷創(chuàng)新，數(shù)據(jù)作為生產(chǎn)要素正在深刻地改變著人與人之間、人與之間的關(guān)系，數(shù)據(jù)處理倫理問題不斷產(chǎn)生，將嚴(yán)重影響數(shù)字經(jīng)濟的健康開展。