金融數(shù)據(jù)合規(guī)管理研究

本文系統(tǒng)梳理了金融數(shù)據(jù)合規(guī)要求，對金融業(yè)機構開展數(shù)據(jù)合規(guī)建設具有指導意義。

張夕夜

（中國信息通信研究院知識產權與創(chuàng)新發(fā)展中心，北京 100191）

摘要：金融數(shù)據(jù)天然具有保密、資質等方面的要求，同時還需滿足一般法意義上的數(shù)據(jù)合規(guī)義務。依據(jù)數(shù)據(jù)相關法律法規(guī)及金融行業(yè)規(guī)定及標準，明晰了金融數(shù)據(jù)合規(guī)的應為、可為及可不為。金融數(shù)據(jù)全面合規(guī)由基礎性面向、主要性面向及輔助性面向合規(guī)構成，其中基礎性面向的合規(guī)要點包括保密要求、資質要求、關鍵信息基礎設施安全，重要性面向的合規(guī)要點包括個人金融信息保護和重要數(shù)據(jù)安全，輔助性面向的合規(guī)要點包括采取技術措施、全流程管理、開展教育培訓、加強風險監(jiān)測等?？v觀金融數(shù)據(jù)合規(guī)體系，個人金融信息保護及重要數(shù)據(jù)安全是重中之重。

關鍵詞：金融數(shù)據(jù)；合規(guī)；個人金融數(shù)據(jù)保護；重要數(shù)據(jù)安全

中圖分類號：TN929.11     文獻標志碼：A

引用格式：張夕夜. 金融數(shù)據(jù)合規(guī)管理研究[J]. 信息通信技術與政策, 2022,48(4):25-30.

DOI：10.12267/j.issn.2096-5931.2022.04.005

0  引言

依托信息技術的發(fā)展，眾多金融基礎業(yè)務、核心流程、行業(yè)間往來等均運行在信息網(wǎng)絡與系統(tǒng)之上，金融業(yè)機構生產運行過程中產生海量金融數(shù)據(jù)，并逐步資產化。隨著數(shù)據(jù)生產要素地位的確立及大數(shù)據(jù)、人工智能等技術的應用，金融數(shù)據(jù)的重要性更加凸顯。深挖數(shù)據(jù)價值、釋放數(shù)據(jù)潛能的同時，金融數(shù)據(jù)泄露、濫用、竊取、篡改等安全風險及事件與日俱增，影響范圍也逐步從單個機構擴大至行業(yè)間、行業(yè)外，甚至影響國家安全與金融秩序^[1]。近年來，立法方面，《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等數(shù)據(jù)安全基礎性法律不斷出臺，數(shù)據(jù)安全與個人信息保護制度趨于完善；監(jiān)管方面，相關主管部門從個人金融信息保護、金融數(shù)據(jù)出境安全、APP違法違規(guī)治理等方面，對金融科技產業(yè)數(shù)據(jù)合規(guī)問題進行穿透監(jiān)管；消費者方面，全社會對個人信息保護的關注度與日俱增，消費者在享有金融產品和服務的過程中，越來越關注自身的金融信息安全，力求保障個人合法權益^[2]。金融數(shù)據(jù)重要性凸顯，數(shù)據(jù)法網(wǎng)愈發(fā)嚴密，責任體系日臻完善，金融數(shù)據(jù)合規(guī)管理體系亟須建立健全。

合規(guī)管理體系的構建首先應當明晰金融數(shù)據(jù)合規(guī)的基本概念，熟識其主要特點，在此基礎上，梳理出金融數(shù)據(jù)合規(guī)的主要依據(jù)，即由數(shù)據(jù)安全領域一般規(guī)范及金融行業(yè)數(shù)據(jù)安全管理規(guī)定構成的規(guī)則體系。合規(guī)要點建構在規(guī)則體系之上，是金融數(shù)據(jù)合規(guī)的具象化，為金融數(shù)據(jù)合規(guī)實踐提供指引。

1  概述

1.1  基本概念

金融業(yè)本質上是一種信息技術產業(yè)，與數(shù)據(jù)緊密相連^[3]。根據(jù)中國人民銀行發(fā)布的行業(yè)標準，金融數(shù)據(jù)是金融機構開展金融業(yè)務、提供金融服務以及日常經營管理所需或產生的各類數(shù)據(jù)，具體包括個人及單位等客戶數(shù)據(jù)、賬戶信息等業(yè)務數(shù)據(jù)、技術管理等經營管理數(shù)據(jù)、數(shù)據(jù)報送等監(jiān)管數(shù)據(jù)4 類，每個類別可再進行二類、三類、四類的劃分，4類金融數(shù)據(jù)共302 個^[4]。金融數(shù)據(jù)重要性高、數(shù)量大、類型復雜，其安全合規(guī)管理尤其重要。金融數(shù)據(jù)合規(guī)管理是指金融機構及其員工的經營管理行為符合相關法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件等要求，避免引發(fā)刑事責任、監(jiān)管處罰、經濟或聲譽損失以及其他負面影響的合規(guī)風險。

1.2  主要特點

從效力上看，金融數(shù)據(jù)合規(guī)具有強制性。金融機構數(shù)據(jù)合規(guī)的法律依據(jù)是明顯具有公法性質的《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）、《數(shù)據(jù)安全法》《個人信息保護法》，極具國家強制力。金融業(yè)機構合規(guī)管理以相關法律的強制性規(guī)定為準繩，是要求金融業(yè)機構必須為某些行為的義務性規(guī)范及不得為某些行為的禁止性規(guī)范，不具有可選擇性。

從內容上看，金融數(shù)據(jù)合規(guī)具有全面性。金融數(shù)據(jù)合規(guī)涉及重要數(shù)據(jù)、個人金融信息、數(shù)據(jù)分類分級、數(shù)據(jù)出境等多個方面，涉及采集、傳輸、存儲、使用、銷毀等多個環(huán)節(jié)，各個方面與環(huán)節(jié)共同形成金融數(shù)據(jù)合規(guī)體系。

從效果上看，金融數(shù)據(jù)合規(guī)同時具有預防與救濟的雙重作用。事前預防體現(xiàn)在建立健全完善的合規(guī)體系，提前識別合規(guī)風險并有效化解，從而將風險控制在金融業(yè)機構內部；事后救濟體現(xiàn)在一旦面臨國家權力機關的調查，合規(guī)管理是獲得監(jiān)管激勵或刑法激勵的重要方式，金融業(yè)機構可以此爭取寬大處理，從而最大限度地避免或減少合規(guī)風險。

2  規(guī)則體系

規(guī)則體系是金融數(shù)據(jù)治理的起點與基準。金融數(shù)據(jù)合規(guī)的規(guī)則體系主要由數(shù)據(jù)安全領域的一般法，和金融行業(yè)數(shù)據(jù)安全管理規(guī)定構成。

就一般法而言，其基礎架構由網(wǎng)絡空間治理和數(shù)據(jù)保護三駕馬車《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》。其中，《網(wǎng)絡安全法》 是落實國家總體安全觀的重要舉措，立法宗旨是保障網(wǎng)絡安全、保護人民群眾合法權益；《數(shù)據(jù)安全法》是數(shù)據(jù)安全領域的基礎性法律，主要目的是規(guī)范數(shù)據(jù)處理活動、保障數(shù)據(jù)安全并促進數(shù)據(jù)開發(fā)利用；《個人信息保護法》是保護公民個人信息的專門性法律，立法目的是保護個人信息權益、規(guī)范個人信息處理活動促進個人信息合理利用。法律之下，網(wǎng)信等部門獲得法律授權，得以通過部門規(guī)章、規(guī)范性文件等方式，不斷細化具體內容，逐步覆蓋數(shù)據(jù)活動的方方面面。日前，國家互聯(lián)網(wǎng)信息辦公室已公布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》等文件，并正在起草《個人信息出境標準合同規(guī)定》《人臉識別技術應用安全管理暫行規(guī)定》等配套規(guī)定。

行業(yè)規(guī)定可分為4種。一是鑒于金融行業(yè)的特性，部分規(guī)定在一般法之外提出行業(yè)數(shù)據(jù)合規(guī)管理的要求，如《中華人民共和國中國人民銀行法》《中華人民共和國商業(yè)銀行法》（以下簡稱《商業(yè)銀行法》）》《中華人民共和國反洗錢法》（以下簡稱《反洗錢法》）、《個人存款賬戶實名制規(guī)定》的保密規(guī)定、反洗錢義務等。二是部分規(guī)定早在一般法出臺之前就已明確，如2011 年中國人民銀行印發(fā)的《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》，這些規(guī)定與現(xiàn)有要求不存在沖突與抵觸，可繼續(xù)適用。三是順應一般法實施的潮流，相關主管部門制定規(guī)范性文件以提升數(shù)據(jù)安全管理能力，如《中國銀保監(jiān)會監(jiān)管數(shù)據(jù)安全管理辦法（試行）》《個人金融信息（數(shù)據(jù)）保護試行辦法》（未公開）。四是為配合上述文件的實施，中國人民銀行為加強所監(jiān)管單位的數(shù)據(jù)安全合規(guī)管理，規(guī)范機構數(shù)據(jù)處理活動，自2020年2月起先后發(fā)布了《個人金融信息保護技術規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》《金融業(yè)數(shù)據(jù)能力建設指引》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》 等行業(yè)標準。從效力上看，這些行業(yè)標準以推薦為主，不具有強制力，但從功能上看，可為金融機構數(shù)據(jù)合規(guī)管理提供具體的指引和參考，金融機構可選擇適用^[5]。

綜上，金融數(shù)據(jù)合規(guī)的規(guī)則體系，以《 數(shù)據(jù)安全法》等一般法為主，以《商業(yè)銀行法》等金融行業(yè)規(guī)定為補充，形成金融數(shù)據(jù)雙線合規(guī)體系。

3  合規(guī)要點

各合規(guī)要點在金融數(shù)據(jù)合規(guī)體系中所發(fā)揮作用的環(huán)節(jié)、方式、主次存在差異，從差異性出發(fā)，可將合規(guī)要點分為基礎性、主要性、輔助性3個面向。基礎性面向源自其作用范圍的普遍性，如保密、資質及關鍵信息基礎設施保護，影響金融數(shù)據(jù)合規(guī)的各個環(huán)節(jié)和方面；主要性面向直接決定金融業(yè)機構數(shù)據(jù)管理是否合規(guī)及合規(guī)風險大小，由個人金融信息保護及重要數(shù)據(jù)安全兩個重要方面構成；輔助性面向是金融數(shù)據(jù)合規(guī)有效性的保障，是金融數(shù)據(jù)合規(guī)管理體系不可分割的一部分，具體包括技術措施、全流程管理、教育培訓、風險監(jiān)測與應對等方面。

3.1  基礎性面向

如上所述，保密要求、資質要求、關鍵信息基礎設施保護并非直接指向數(shù)據(jù)，但相關要求構成了合規(guī)基礎，貫穿整個金融數(shù)據(jù)合規(guī)體系，如若缺失，即便在技術、制度、運營方面達到了其他數(shù)據(jù)管理要求，也仍是非合規(guī)的。

3.1.1  保密要求

因金融數(shù)據(jù)與個人切身利益、國家經濟運行息息相關，具有高隱私性和高敏感性，相較于其他行業(yè)，金融數(shù)據(jù)具有天然的保密要求和傳統(tǒng)。在大數(shù)據(jù)時代到來之前，我國就已形成了對金融數(shù)據(jù)的一系列保護規(guī)則和制度。例如，1995年實施的《商業(yè)銀行法》規(guī)定商業(yè)銀行應當遵循為存款人保密的原則，2006年頒布的《反洗錢法》規(guī)定金融機構對客戶身份資料和交易信息負有保密義務，2002年通過的《金融統(tǒng)計管理規(guī)定》規(guī)定公布金融統(tǒng)計資料須履行備案及批準等相關手續(xù)^[6]。

3.1.2  資質要求

與保密要求類似，許可或備案等經營資質也是金融行業(yè)的天然要求。作為金融數(shù)據(jù)合規(guī)的壓艙石，金融機構向消費者提供支付、征信、信貸等金融性質服務時，持有相應經營資質則是數(shù)據(jù)合規(guī)的應有之義。以征信為例，2020年12月26日，中國人民銀行等金融管理部門聯(lián)合約談螞蟻集團，對其征信業(yè)務提了整改要求，即“依法持牌、合法合規(guī)經營個人征信業(yè)務，保護個人數(shù)據(jù)隱私”。為此，從事征信業(yè)務的金融機構應嚴格遵守《征信業(yè)管理條例》《征信業(yè)務管理辦法》，從事個人征信業(yè)務的，應取得中國人民銀行個人征信機構許可；從事企業(yè)征信業(yè)務的，應辦理企業(yè)征信機構備案；從事信用評級業(yè)務的，應辦理信用評級機構備案^[7]。

3.1.3  關鍵信息基礎設施運行安全

作為數(shù)據(jù)的載體，關鍵信息基礎設施（以下簡稱“關基”）運行安全直接決定關基運營者所收集和存儲數(shù)據(jù)的安全和利用。根據(jù)《網(wǎng)絡安全法》第三十一條，金融屬于“重要行業(yè)”，是一旦運行中斷或者數(shù)據(jù)泄露，可能會對國家安全、國計民生、公共利益產生嚴重危害的關基。金融行業(yè)等關基保護的基本原則是基礎性保護與重點保護相結合，其中基礎性保護即網(wǎng)絡安全等級保護制度（以下簡稱“等保”），重點保護則在等?；A上進行增強式保護。

一是踐行等保義務?！毒W(wǎng)絡安全法》 第二十一條明確了網(wǎng)絡運營者的等保義務，根據(jù)此條，金融業(yè)機構應當在制度、技術等方面落實安全保護責任。首先，制定內部安全管理制度和操作規(guī)程，形成覆蓋全面、流程規(guī)范的管理體系；其次，采取防范攻擊、侵入等危害網(wǎng)絡安全行為的技術措施，及時監(jiān)測發(fā)現(xiàn)網(wǎng)絡運行風險，準確規(guī)范記錄網(wǎng)絡安全事件；再次，分類管理數(shù)據(jù)，嚴控個人金融信息使用范圍，對重要金融數(shù)據(jù)進行備份和加密管理。二是履行等保之外關基的重點保護義務?！毒W(wǎng)絡安全法》第三十四條明確了關基的重點保護義務，根據(jù)此條，金融業(yè)機構還應當在組織機構、教育培訓、技術措施方面強化網(wǎng)絡安全。組織機構方面，設置專門的安全管理機構，審查安全負責人和關鍵崗位人員；教育培訓方面，對從業(yè)人員定期開展網(wǎng)絡安全教育、培訓、考核；技術措施方面，容災備份重要系統(tǒng)和數(shù)據(jù)庫，制定并定期演練網(wǎng)絡安全事件應急預案。

3.2  主要性面向

個人信息金融信息與個人資產狀況高度相關，一旦泄露可能會對個人財產安全構成威脅，金融行業(yè)的重要數(shù)據(jù)被稱為市場晴雨表，反映了市場運行狀況。個人金融信息保護與重要金融數(shù)據(jù)安全是金融數(shù)據(jù)合規(guī)管理的重中之重，二者共同構成了金融數(shù)據(jù)合規(guī)主要性面向。

3.2.1  個人金融信息保護

（1）個人信息與個人金融信息

2011年，《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》（以下簡稱《通知》）首次使用了“個人金融信息”這一概念。根據(jù)《通知》，個人金融信息是指銀行業(yè)金融機構在開展業(yè)務時，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的個人信息，包括個人身份信息、個人財產信息、個人賬戶信息、個人信用信息、個人金融交易信息及其他個人信息。后續(xù)，《中國人民銀行金融消費者權益保護實施辦法》對消費者金融信息的界定、《個人金融信息保護技術規(guī)范》（JR/T 0171—2020）、《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南數(shù)據(jù)》（JR/T 0197—2020）等標準對個人金融信息的描述，與《通知》大同小異，且與2021 年11月1日生效的《個人信息保護法》一致。

（2）個人金融信息保護

個人金融信息保護的邏輯與規(guī)則展開以《個人信息保護法》為主，以金融行業(yè)相關文件為輔^[9]。一是遵守個人金融信息處理的規(guī)則，按照合法、必要、正當原則，收集個人金融信息應取得個人同意，使用個人金融信息應與收集目的直接相關。需要指出的是，金融機構負有賬戶實名制、反洗錢等法定職責，為履行法定職責或法定義務所必需時，可在未取得個人同意的情況下處理個人金融信息。二是響應信息主體的請求權。個人金融信息主體依法享有查閱、復制、可攜、更正、刪除、解釋說明的權利，銀行業(yè)金融機構應當及時、便捷響應信息主體的上述請求權。三是確保個人金融信息安全的義務，綜合采取管理和技術措施，包括但不限于制定內部管理制度和操作規(guī)程，采取去標識化等安全技術措施，合理確定個人信息處理的操作權限，進行合規(guī)審計、個人信息保護影響評估等。四是個人金融信息本地化存儲及出境安全評估。個人金融信息應當在本地存儲，因業(yè)務需要確需向境外提供的應當經過安全評估。安全評估的目的在于評估個人金融信息出境對國家安全及個人權益造成的風險是否可控，其基本流程為自評估、申報安全評估及收到評估結果。安全評估之外，金融業(yè)機構還應取得個人金融信息主體的單獨同意，并履行告知義務，同時保障境外接收方處理個人金融信息的活動達到《個人信息保護法》 規(guī)定的個人信息保護標準。

此外，中國人民銀行于2020年2月13日發(fā)布了推薦性行業(yè)標準《個人金融信息保護技術規(guī)范》（JR/T0171—2020）。該標準在《個人信息保護法》 基礎上，從技術及管理兩方面細化了個人信息安全保護要求。相比于《個人信息保護法》，該標準根據(jù)金融行業(yè)的特性，做出了更為細致更為完善的規(guī)定，如在個人信息收集方面，規(guī)定了資質與密碼方面的要求，即不應委托或授權無金融業(yè)相關資質的機構收集相關信息，用戶輸入銀行卡密碼、網(wǎng)絡支付密碼時，應采取展示屏蔽等措施防止密碼明文顯示等。對于金融機構而言，一方面應完全遵守《個人信息保護》所規(guī)定的義務，在此基礎上可結合自身情況，選擇適用行標對個人金融信息的安全保護要求。

3.2.2  重要數(shù)據(jù)安全

（1）重要數(shù)據(jù)目錄管理

《數(shù)據(jù)安全法》確定了重要數(shù)據(jù)目錄管理的原則。具體而言，國家有關部門肩負重要數(shù)據(jù)目錄制定及保護兩項職責；數(shù)據(jù)處理者根據(jù)已制定的目錄確定其處理的數(shù)據(jù)中是否存在重要數(shù)據(jù)，并采取相應的保護措施。特別需要指出的是，為便于金融業(yè)機構等數(shù)據(jù)處理者準確識別重要數(shù)據(jù)，重要數(shù)據(jù)目錄應當明確、具體。

（2）重要數(shù)據(jù)識別

《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》（JR/T0197—2020）明確了金融數(shù)據(jù)中的重要數(shù)據(jù)概念及目錄。根據(jù)這一標準，重要數(shù)據(jù)的概念包含兩個要素。其一，從范圍上看，重要數(shù)據(jù)不涉及國家秘密，但與國家安全、經濟發(fā)展以及公共利益密切相關；其二，從后果看，重要數(shù)據(jù)的危害后果指向國家安全、社會公共利益、個人合法權益。該標準中對重要數(shù)據(jù)的界定與《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》基本一致。重要數(shù)據(jù)的目錄方面，上述《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》并未明確，而標準中列舉了4類重要數(shù)據(jù)，分別是反映經濟或社會特征的宏觀特征數(shù)據(jù)、覆蓋多省市金融消費者真實交易信息的衍生特征數(shù)據(jù)、行業(yè)監(jiān)管機構在履職過程中未公開的受控數(shù)據(jù)、關基網(wǎng)絡安全缺陷信息等。金融業(yè)機構可參考這一目錄判斷、識別本機構重要數(shù)據(jù)。

但是，該標準同時指出，重要數(shù)據(jù)不包括企業(yè)生產經營管理信息及個人信息。這一規(guī)定簡單地將個人信息排除在重要數(shù)據(jù)范圍之外，存在問題。首先，重要數(shù)據(jù)與個人信息存在交叉，但不具有直接的排斥關系。國家網(wǎng)信辦等五部門出臺的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》也明確指出，“包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)”以及“涉及個人信息主體超過10 萬人的個人信息”屬于重要數(shù)據(jù)。其次，正如《個人金融信息保護技術規(guī)范》（JR/T 0171—2020）所描述，個人金融信息一旦泄漏，將直接侵害金融消費者的合法權益，影響金融業(yè)機構的正常運營，甚至會帶來系統(tǒng)性的金融風險。這一定義從個人金融信息泄漏造成的危害后果角度，說明部分個人金融信息可被認定為重要數(shù)據(jù)。

（3）重要數(shù)據(jù)保護

重要數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能會危害國家安全、公共利益，故而需要對重要數(shù)據(jù)予以特別保護。金融業(yè)機構在識別其處理的數(shù)據(jù)中存在重要數(shù)據(jù)后，需踐行以下合規(guī)要點。

一是識別其重要數(shù)據(jù)后的15 個工作日內向設區(qū)的市級網(wǎng)信部門備案，備案內容包括金融業(yè)機構的基本信息，處理重要數(shù)據(jù)的目的、規(guī)模、方式等。二是明確數(shù)據(jù)安全管理機構和負責人。需要說明的是，《網(wǎng)絡安全法》同樣賦予了關基運營者管理機構和負責人的設置義務，據(jù)此金融業(yè)機構若已根據(jù)關基要求設置了專門的安全管理機構和負責人，則不必再履行本條規(guī)定，從而避免重復設置。三是定期開展數(shù)據(jù)處理活動的風險評估，并將風險評估報告報送有關主管部門。風險評估報告由三部分構成，分別是重要數(shù)據(jù)基本情況、數(shù)據(jù)處理活動、數(shù)據(jù)安全風險及應急措施。四是數(shù)據(jù)出境安全評估。關基運營者在境內收集和產生重要數(shù)據(jù)向境外提供的原則和規(guī)則同個人信息，金融業(yè)機構可參照個人金融信息開展重要數(shù)據(jù)的安全評估。

此外，有關金融數(shù)據(jù)出境，金融行業(yè)根據(jù)行業(yè)特點細化了金融數(shù)據(jù)跨境流動規(guī)則。一方面，行業(yè)規(guī)則較一般規(guī)則更嚴密。如《個人金融信息保護技術規(guī)范》（JR/T 0171—2020）規(guī)定，應對境外機構進行現(xiàn)場核查，監(jiān)督境外機構履行個人金融信息保密、刪除、案件協(xié)查等職責義務。這些規(guī)則比一般法確立的規(guī)則更為嚴苛，金融機構若完全遵守，必將受到更多的限制或付出更大的成本。另一方面，過于嚴格的行業(yè)規(guī)則可導致無效。《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》（JR/ T 0223—2021）規(guī)定，5級數(shù)據(jù)應僅在我國境內存儲，未規(guī)定例外情況及配套措施。如上所述，重要數(shù)據(jù)定級應在5級以上，那么根據(jù)此條規(guī)定，金融數(shù)據(jù)中的重要數(shù)據(jù)在任何情況下均不允許出境，這一結論與《數(shù)據(jù)安全法》及《數(shù)據(jù)出境安全評估辦法（征求意見稿）》不符，可實施性存疑。

3.3  輔助性面向

基礎性面向、主要性面向是金融數(shù)據(jù)合規(guī)較為基礎、重要的合規(guī)義務，但并未涵蓋全面合規(guī)。上述合規(guī)義務之外，采取技術措施、形成全流程管理制度、開展教育培訓、加強風險監(jiān)測等要求也在《數(shù)據(jù)安全法》等中得以明確，并在《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》（JR/T 0223—2021）等中進一步細化，這些要求是金融數(shù)據(jù)全面合規(guī)的重要組成部分。

3.3.1  采取技術措施和其他必要措施

金融業(yè)機構在開展業(yè)務和進行經營管理的過程中，應采取必要技術措施，防止數(shù)據(jù)泄漏、損毀、丟失。數(shù)據(jù)傳輸時，使用加密通道或數(shù)據(jù)加密的方式傳輸，采用密碼技術、入侵檢測等防止數(shù)據(jù)傳輸中斷、篡改、偽造、竊??；數(shù)據(jù)存儲時，采取加密措施確保數(shù)據(jù)存儲的保密性，采用磁盤、磁帶、云存儲服務、網(wǎng)絡存儲設備等載體存、儲數(shù)據(jù)，采取邏輯隔離的方式存儲匿名化數(shù)據(jù)與個人金融信息；數(shù)據(jù)使用時，結合訪問、導出、加工、展示、開發(fā)測試、匯聚融合、公開披露、轉讓、委托處理、共享等不同應用場景，配備與之相適應的加密、隔離、脫敏、評估等措施；數(shù)據(jù)刪除時，徹底去除金融產品和服務所涉及系統(tǒng)及設備中的數(shù)據(jù)，使其不可被檢索、不可被訪問；數(shù)據(jù)銷毀時，對數(shù)據(jù)庫、服務器和終端中的剩余數(shù)據(jù)以及硬件存儲介質等采取數(shù)據(jù)擦除或者物理銷毀的方式，確保數(shù)據(jù)無法復原。

3.3.2  建立健全全流程數(shù)據(jù)安全管理制度

技術措施之外，金融業(yè)機構還應當建立制度體系，明確工作職責，規(guī)范工作流程，對金融數(shù)據(jù)進行采集、傳輸、存儲、使用、刪除、銷毀等整個過程的管理^[10]，以使金融數(shù)據(jù)處理行為全面合規(guī)。相關制度至少包括：一是制定金融數(shù)據(jù)保護管理規(guī)定，明確本機構數(shù)據(jù)安全策略、方針、目標和原則；二是建立日常管理及操作流程，對采集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié)提出具體要求；三是明確數(shù)據(jù)調取權限與使用范圍，根據(jù)“業(yè)務需要”和“最小權限”原則配置訪問、使用權限，并實行專門的審批流程；四是嚴格外包服務機構及外部合作機構管理，審查和評估其能力是否達到相關要求，并通過協(xié)議約定其留存數(shù)據(jù)的范圍，明確其義務與責任并進行監(jiān)督。

3.3.3  組織開展數(shù)據(jù)安全教育培訓

制定數(shù)據(jù)安全相關崗位的專項培訓計劃，按照培訓計劃定期開展數(shù)據(jù)安全意識、能力的教育與培訓，確保相關人員全面、準確掌握最新政策和相關規(guī)程。培訓周期為每年至少一次。培訓內容包括但不限于上述國家法律法規(guī)、行業(yè)規(guī)章制度、技術標準，以及金融業(yè)機構內部制度與管理規(guī)程等。對培訓結果進行評價、記錄與歸檔。

3.3.4  加強風險監(jiān)測，采取應急措施，及時告知并報告

開展數(shù)據(jù)處理活動首先應當加強風險監(jiān)測，安全監(jiān)測的手段包括但不限于操作分析、流量分析、異常行為監(jiān)測、態(tài)勢感知等。操作分析可追蹤數(shù)據(jù)生命周期過程中的相關處理行為；流量分析可對數(shù)據(jù)處理關鍵節(jié)點進行監(jiān)測，告警異常流量及異常行為；異常行為監(jiān)測可發(fā)現(xiàn)日常數(shù)據(jù)泄漏、數(shù)據(jù)篡改、數(shù)據(jù)竊取、數(shù)據(jù)非法使用；態(tài)勢感知可有效感知內部數(shù)據(jù)安全風險，并準確定位響應。其次，監(jiān)測到數(shù)據(jù)安全風險時，要及時啟動風險處理預案，消除安全隱患；發(fā)生數(shù)據(jù)安全事件時，要立即采取補救措施，防止危害擴大；再次，應及時告知用戶并向有關主管部門報告。發(fā)生銀保監(jiān)會監(jiān)管數(shù)據(jù)泄漏或非法使用、損毀或丟失等重大安全風險事項的，應于48 h內向歸口管理部門報告。發(fā)生或者可能發(fā)生個人金融信息泄露、篡改、丟失的，要及時通知履行個人金融信息保護職責的部門和個人。

4  結束語

本文在研究相關法律法規(guī)、標準文件的基礎上，系統(tǒng)梳理了金融數(shù)據(jù)合規(guī)要求，對金融業(yè)機構開展數(shù)據(jù)合規(guī)建設具有指導意義。但同時應當看到，金融數(shù)據(jù)復雜多樣，金融機構千差萬別，金融數(shù)據(jù)合規(guī)工作還需結合自身業(yè)務及產品特點，方行之有效。

參考文獻

[1] 潘潤紅. 完善數(shù)據(jù)治理體系 為金融科技良性可持續(xù)發(fā)展奠定基礎[J]. 清華金融評論, 2021(2):41-43.

[2] 湛煒標. 強化金融數(shù)據(jù)安全制度與技術保障[J]. 中國金融, 2021(15):39-40.

[3] 李偉. 切實做好金融數(shù)據(jù)治理和信息保護工作[J]. 中國金融, 2021(20):15-17.

[4] 孫亞東, 蔚晨. 金融機構數(shù)據(jù)安全治理實施路徑思考[J]. 中國信用卡, 2021(11):59-61.

[5] 姚卓. 金融數(shù)據(jù)治理體系建設[J]. 金融科技時代, 2020(9):33-35.

[6] 范思博. 個人金融數(shù)據(jù)跨境流動的治理研究[J/OL]. 重慶大學學報(社會科學版):1-17.

[7] 中國評測. 企業(yè)數(shù)據(jù)合規(guī)白皮書(2021)[R], 2021.

[9] 朱蕓陽. 個人金融信息保護的邏輯與規(guī)則展開[J]. 環(huán)球法律評論, 2021,43(6):56-73.

[10] 張凱. 金融數(shù)據(jù)治理的突出困境與創(chuàng)新策略[J]. 西南金融, 2021(9):15-27.