存儲(chǔ)域
數(shù)據(jù)庫(kù)加密 諾亞防勒索訪問(wèn)域
數(shù)據(jù)庫(kù)防水壩 數(shù)據(jù)庫(kù)防火墻 數(shù)據(jù)庫(kù)安全審計(jì) 動(dòng)態(tài)脫敏流動(dòng)域
靜態(tài)脫敏 數(shù)據(jù)水印 API審計(jì) API防控 醫(yī)療防統(tǒng)方運(yùn)維服務(wù)
數(shù)據(jù)庫(kù)運(yùn)維服務(wù) 中間件運(yùn)維服務(wù) 國(guó)產(chǎn)信創(chuàng)改造服務(wù) 駐場(chǎng)運(yùn)維服務(wù) 供數(shù)服務(wù)安全咨詢服務(wù)
數(shù)據(jù)出境安全治理服務(wù) 數(shù)據(jù)安全能力評(píng)估認(rèn)證服務(wù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù) 數(shù)據(jù)安全治理咨詢服務(wù) 數(shù)據(jù)分類分級(jí)咨詢服務(wù) 個(gè)人信息風(fēng)險(xiǎn)評(píng)估服務(wù) 數(shù)據(jù)安全檢查服務(wù)以“AI+數(shù)據(jù)安全”領(lǐng)雁!祝賀美創(chuàng)牽頭項(xiàng)目入選浙江省科技廳“尖兵領(lǐng)雁”計(jì)劃 !
2025-12-22
美創(chuàng)AI災(zāi)備專家:引領(lǐng)災(zāi)備領(lǐng)域邁入“智能化”時(shí)代
2025-12-15
熱點(diǎn)觀察|美創(chuàng)科技丁斐:數(shù)據(jù)安全 × 價(jià)值共創(chuàng)?可信數(shù)據(jù)空間的 “雙向奔赴”
2025-12-03
美創(chuàng)科技高校供應(yīng)鏈數(shù)據(jù)安全方案斬獲 2025 年度 “金智獎(jiǎng)”
2025-12-03
每周安全速遞3?? | ShinyHunters 開(kāi)發(fā)新型勒索軟件ShinySp1d3r
2025-11-21
關(guān)注!數(shù)據(jù)安全新動(dòng)態(tài)(2025年10月·上篇)
2025-11-17
關(guān)注 | 國(guó)家標(biāo)準(zhǔn)支撐《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》生效施行(v1.0)
2025-11-12
深度解讀 | 《智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全合規(guī)指引》:從“車輪上的手機(jī)”到“數(shù)據(jù)合規(guī)新前沿”?
2025-10-31
加強(qiáng)數(shù)據(jù)安全治理 守好數(shù)據(jù)安全防線
2025-10-29
國(guó)家網(wǎng)信辦發(fā)布《國(guó)家網(wǎng)絡(luò)安全事件報(bào)告管理辦法》
2025-09-16
近日,筆者就某銀行數(shù)據(jù)資產(chǎn)入表進(jìn)行了數(shù)據(jù)合規(guī)評(píng)估,該行入表數(shù)據(jù)為從第三方處購(gòu)買的數(shù)據(jù),在獲得信息主體授權(quán)的前提下,可通過(guò)API接口方式從第三方處查詢、使用用戶信息。依賴多年來(lái)所沉淀的數(shù)據(jù),該行從不同業(yè)務(wù)維度構(gòu)建統(tǒng)計(jì)指標(biāo);基于智能化算法搭建評(píng)估模型;引入失信人員、失信企業(yè)等信息作為風(fēng)險(xiǎn)評(píng)估參考,形成了“某銀行智能風(fēng)控?cái)?shù)據(jù)模型”。該數(shù)據(jù)模型可以為貸款準(zhǔn)入、反欺詐、額度測(cè)算、評(píng)級(jí)、定價(jià)等服務(wù)提供數(shù)據(jù)依據(jù),也可應(yīng)用于內(nèi)部運(yùn)營(yíng)管理,優(yōu)化風(fēng)控系統(tǒng),通過(guò)相關(guān)數(shù)據(jù)資源提高服務(wù)效率和服務(wù)質(zhì)量。
金融數(shù)據(jù)合規(guī)不僅要符合《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等普遍適用于數(shù)據(jù)合規(guī)的一般性規(guī)定;還應(yīng)符合金融行業(yè)的特別監(jiān)管要求,尤其需要注意一些指導(dǎo)金融機(jī)構(gòu)開(kāi)展金融數(shù)據(jù)安全防護(hù)工作的行業(yè)標(biāo)準(zhǔn),如《金融數(shù)據(jù)安全分級(jí)指南》、《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等,下面主要從數(shù)據(jù)分級(jí)分類和數(shù)據(jù)生命周期管控兩個(gè)角度進(jìn)行介紹:
1.金融數(shù)據(jù)分類分級(jí)
《網(wǎng)絡(luò)安全法》規(guī)定,國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,采取數(shù)據(jù)分類、重要數(shù)據(jù)備份等措施;《數(shù)據(jù)安全法》也規(guī)定了要對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。雖然對(duì)于數(shù)據(jù)分級(jí)分類國(guó)家尚無(wú)專門的法律規(guī)定,但金融行業(yè)作為合規(guī)性建設(shè)最早最完善的行業(yè),早已出臺(tái)了各種行業(yè)標(biāo)準(zhǔn)。從銀行角度來(lái)看,中國(guó)人民銀行于2020年2月13日發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》,將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)類別:C3 類別信息主要為用戶鑒別信息;C2類別信息主要為可識(shí)別特定個(gè)人金融信息主體身份與金融狀況的個(gè)人金融信息,以及用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息;C1類別信息主要為機(jī)構(gòu)內(nèi)部的信息資產(chǎn),主要指供金融業(yè)機(jī)構(gòu)內(nèi)部使用的個(gè)人金融信息。該規(guī)定還強(qiáng)調(diào),同一信息在不同的服務(wù)場(chǎng)景中可能處于不同的類別,應(yīng)依據(jù)服務(wù)場(chǎng)景以及該信息在其中的作用對(duì)信息的類別進(jìn)行識(shí)別,并實(shí)施針對(duì)性的保護(hù)措施。 除此外,《金融數(shù)據(jù)安全分級(jí)指南》也從國(guó)家安全、公眾權(quán)益、個(gè)人隱私、企業(yè)合法權(quán)益的角度,按照影響程度將金融數(shù)據(jù)安全級(jí)別從高到低進(jìn)行了五級(jí)劃分。
2.金融數(shù)據(jù)的生命周期管控
構(gòu)建數(shù)據(jù)分類分級(jí)管理體系后,切實(shí)做好保障數(shù)據(jù)安全工作,還需具體落實(shí)在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、使用、刪除和銷毀等生命周期管理的各環(huán)節(jié)。《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》等金融行業(yè)標(biāo)準(zhǔn)系統(tǒng)規(guī)定了采集、傳輸、存儲(chǔ)、使用、刪除和銷毀等金融數(shù)據(jù)生命周期環(huán)節(jié)的合規(guī)要求。除了與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律規(guī)定一致的外,主要的特殊合規(guī)要求具體如下:(1)數(shù)據(jù)采集:應(yīng)通過(guò)合同協(xié)議等方式,明確雙方在數(shù)據(jù)安全方面的責(zé)任及義務(wù);從外部數(shù)據(jù)供應(yīng)方處采集數(shù)據(jù),應(yīng)制定數(shù)據(jù)供應(yīng)方約束機(jī)制;采集的企業(yè)客戶數(shù)據(jù)應(yīng)與提供的金融產(chǎn)品或服務(wù)直接相關(guān),不應(yīng)超范圍采集數(shù)據(jù);應(yīng)明確數(shù)據(jù)采集過(guò)程中個(gè)人金融信息和重要數(shù)據(jù)的知悉范圍和安全管控措施,確保采集數(shù)據(jù)的合規(guī)性、完整性和真實(shí)性;采集數(shù)據(jù)時(shí),應(yīng)對(duì)數(shù)據(jù)采集設(shè)備或系統(tǒng)的真實(shí)性進(jìn)行驗(yàn)證;采集 3 級(jí)及以上數(shù)據(jù)時(shí),還應(yīng)結(jié)合口令密碼、設(shè)備指紋、設(shè)備物理位置、網(wǎng)絡(luò)接入方式、設(shè)備風(fēng)險(xiǎn)情況等多種因素對(duì)數(shù)據(jù)采集設(shè)備或系統(tǒng)的真實(shí)性進(jìn)行增強(qiáng)驗(yàn)證等;向個(gè)人信息主體采集數(shù)據(jù)時(shí),APP、WEB 等客戶端相關(guān)業(yè)務(wù)完成后不應(yīng)留存 3 級(jí)及以上數(shù)據(jù),并及時(shí)對(duì)緩存進(jìn)行清理;采集的個(gè)人金融信息應(yīng)與提供的金融產(chǎn)品或服務(wù)直接相關(guān),并與合同協(xié)議條款、隱私政策中約定采集的內(nèi)容保持一致,不應(yīng)超范圍采集數(shù)據(jù)等。(2)數(shù)據(jù)傳輸:采取措施加強(qiáng)數(shù)據(jù)傳輸過(guò)程中的網(wǎng)絡(luò)和數(shù)據(jù)安全;金融數(shù)據(jù)傳輸涉及金融業(yè)機(jī)構(gòu)內(nèi)部數(shù)據(jù)傳輸、金融業(yè)機(jī)構(gòu)與外部機(jī)構(gòu)或客戶的數(shù)據(jù)傳輸兩種形式,不同傳輸形式和不同傳輸對(duì)象應(yīng)采用不同的數(shù)據(jù)傳輸技術(shù)方式等。(3)數(shù)據(jù)存儲(chǔ):將數(shù)據(jù)分域分級(jí)存儲(chǔ);依據(jù)最小夠用原則存儲(chǔ)數(shù)據(jù);不應(yīng)因存儲(chǔ)形式或存儲(chǔ)時(shí)效的改變而降低安全保護(hù)強(qiáng)度等。(4)數(shù)據(jù)使用:就數(shù)據(jù)訪問(wèn)、數(shù)據(jù)導(dǎo)出、數(shù)據(jù)加工、數(shù)據(jù)展示、開(kāi)發(fā)測(cè)試、匯聚融合、公開(kāi)披露、數(shù)據(jù)轉(zhuǎn)讓、委托處理、數(shù)據(jù)共享提出了具體明確的要求。(5)數(shù)據(jù)刪除:個(gè)人金融信息主體要求刪除個(gè)人金融信息時(shí),應(yīng)依據(jù)國(guó)家及行業(yè)主管部門有關(guān)規(guī)定,以及與個(gè)人金融信息主體的約定予以響應(yīng);超過(guò)國(guó)家及行業(yè)主管部門有關(guān)規(guī)定、內(nèi)部規(guī)章及合同協(xié)議所述保存期限的數(shù)據(jù),應(yīng)執(zhí)行數(shù)據(jù)刪除操作等。(6)數(shù)據(jù)銷毀:采用不可恢復(fù)的方式對(duì)存儲(chǔ)介質(zhì)進(jìn)行銷毀;存儲(chǔ)介質(zhì)如需使用,通過(guò)技術(shù)手段安全地擦除數(shù)據(jù),確保介質(zhì)中的數(shù)據(jù)不可再被恢復(fù)或以其他形式被利用;定時(shí)驗(yàn)證數(shù)據(jù)刪除結(jié)果等。
轉(zhuǎn)載自:眾成清泰律師事務(wù)所
官方訂閱號(hào)
官方服務(wù)號(hào)
第59號(hào)
浙公網(wǎng)安備 33010502006954號(hào) 
