金融领域数据安全实践管理
-
安策数据加密保护-专题研讨二:如何把握金融领域数据安全工作的重点和方向,提升安全措施实效?
研讨问题4:金融领域对大数据的利用哪些好的实践值得参考学习?利用个人信息进行精准营销、信用评分、风险管理、智能投顾等时,对个人权益来说可能会带来哪方面的影响?如何更好地满足现有法律法规中对于自动化决策、算法相关的要求? 精彩观点如下:
以金融领域的大数据风控为例,其较为成熟且效果显著。从业务需求出发,金融账户安全、交易安全等过程均需要通过对用户行为、客户端行为、环境数据等进行综合分析,构建动态的异常行为基线,对高风险行为进行告警、阻断。除业务所需以外,上述风控机制还能在反洗钱、反电诈方面发挥重要作用。但是,如果要进一步提升大数据风控的效果,往往需要更大范围地打通数据、进行联动,风控自身的特点决定,无法对其所需的必要信息进行明确界定,因而法律法规无法在该方面给出足够的支持,用户是否能够进行授权则成为影响风控效果的重要因素。
利用个人信息进行精准营销、信用评分、风险管理、智能投顾等行为是当下金融领域对数据应用的常见方式,其一方面激活了数据的价值,促进了数据的流动,提升了金融服务的质量和效率,拓宽了金融服务的范围,另一方面也可能出现因为追求画像的精准度导致过度收集,在业务场景应用中为追求转化率而产生过度打扰,或因数据质量等原因导致用户利益受损等情形。上述行为属于《个人信息保护法》中自动化决策的范畴,自动化决策在个保法中被界定为可能对个人权益产生较大影响的处理活动,因此,有必要对上述处理活动事先进行个人信息处保护影响评估。
自动化决策其核心是背后的算法,而算法的公正性很大程度上与透明度有关。与个性化推荐信息内容等机制不同,使用何种数据源对用户进行画像,如何向目标用户进行推送可描述较为细致,但金融领域算法的可解释性需要有更为全面的考虑,以免其规则被恶意利用(如恶意刷单炒信等)。即便如此,不能因此而降低金融领域算法可解释性的要求,可通过设定不同细粒度的披露策略来取得平衡,如向监管部门、权威第三方机构的披露详细,但对用户的披露可适度等。
研讨问题5:哪些新兴的数据安全技术,如同态加密、隐私计算、机密计算等在金融领域应用较为广泛?哪些场景可能需要得到数据交易市场的支持?有哪些合规方面的注意点? 精彩观点如下:
金融领域对新兴数据安全技术的接纳程度较高,且往往比其他领域应用更早,拥有更多的应用案例,如联合征信、联合清算、普惠金融等。从目前来看,数据交易市场对于数据处理的合规性和安全风险管控高度重视,而近年来出现的新兴数据安全技术往往更切中其需求,因此数据交易市场多对上述技术持鼓励使用的态度。
但是,技术方面的进步和创新虽对数据处理的风险管控效果明显,但主管、监管部门对其的认可程度还不够清晰,对于相关法律法规中所强调的合规义务的减免来说其效用还有待观察和讨论,而这一点也成为新兴技术能否更大范围内应用和促进数据要素价值释放的重要因素。此外,部分环节数据处理的合规性与应用新兴技术的关联度也不大,比如数据源自身的合规性、数据变更处理的合规性等,需要引起注意。
研讨问题6:金融领域行业标准较多且内容详细,如JRT 0171-2020、JR/T 0197-2020、JR/T 0223-2021等,如何理解法律法规、行业规章制度、国标、行标之间的关系和具体内容要求,以更好地指导实践? 精彩观点如下:
从行业视角出发,金融领域的数据安全和个人信息保护的标准体系完备性较高,且内容细致、指导性强。同时,与法律法规的要求衔接密切,金融数据安全评估标准已在征求意见的过程中。因此,以行业标准指导实践对金融领域各单位来说很有必要,也很实用。
版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com
来源:安策信息、安策加密技术部 | 关键词:数据库安全 数据加密 金融领域数据安全 金融数据安全 | 受欢迎指数()