金融數據跨境流動對國家安全����、網絡安全、金融安全將產生越來越重要的影響。世界上越來越多的國家對數據跨境流動的干預愈加深入。對于跨境經營的商業銀行來說��,不可避免地面臨滿足各國數據跨境流動政策要求的復雜局面�����,對戰略布局、經營管理���、技術架構帶來深遠影響。
在信息社會和大數據時代���,作為金融服務重要載體,金融數據不僅是銀行經營管理的重要資產���,更是國家基礎性和戰略性資源,事關國家政治安全和社會穩定���。金融數據跨境流動對國家安全、網絡安全����、金融安全將產生越來越重要的影響����。世界上越來越多的國家對數據跨境流動的干預愈加深入。對于跨境經營的商業銀行來說,不可避免地面臨滿足各國數據跨境流動政策要求的復雜局面,對戰略布局��、經營管理��、技術架構帶來深遠影響���。
中國農業銀行科技與產品管理局 王赤紅
研究背景
隨著經濟全球化深入發展����,農業銀行穩步推進海外發展戰略����,不斷拓展全球化經營服務�,數據跨境流動日益增多,跨境數據保護壓力持續增加���。一方面,跨境金融服務離不開數據跨境流動的支撐��。①銀行經營管理內在要求境內數據流出��。例如跨境信貸業務�,境外分支機構需要查閱境內客戶評級信息���;反洗錢合規審查��,境外分支機構需要查閱境內客戶交易信息���。②全球重要銀行風險控制要求境外數據流入�����。例如集團客戶統一授信,需要獲取客戶境外經營狀況��。③境外業務系統集中部署境內數據中心����,數據處理運行集中化形成了境外分支機構數據跨境流動的現實狀況。另一方面��,大數據�、云計算等新技術的應用使得數據跨境流動變得十分尋常,數據跨境流動安全風險驟增�,作為客戶資金和信息的重要載體�����,銀行肩負著保障客戶交易安全和信息安全的重大責任���,面臨不同監管標準及境內外雙重監管壓力�����。
因此���,在對全球主要經濟體信息安全法規的核心要義深入研究基礎上��,如何在法律允許的范圍內,以更優質安全的金融服務為導向,重新審視銀行系統架構,明確技術改進策略���,提升數據跨境流動安全保護能力,成為擺在農業銀行科技部門面前的重要課題�����。
全球主要國家信息安全法規要義解讀及趨勢分析
1.我國主要信息安全法規的解讀����。我國積極開展跨境數據流動管理的政策法規建設,2017年6月正式生效的《中華人民共和國網絡安全法》明確實施跨境數據流動監管:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲�����。因業務需要�,確需向境外提供的�����,應當按照國家網信部門會同國務院有關部門制訂的辦法進行安全評估;法律�、行政法規另有規定的��,依照其規定�。”
《網絡安全法》一方面,明確規定在境內運營中收集和產生的個人信息和重要數據應當在境內存儲,限制跨境流出�。另一方面�����,明確向境外的機構、組織、個人提供電子或其他形式的數據即為數據出境���。若因業務需要確需數據出境的,應征得個人信息主體的同意,同時要進行安全評估���,并對評估結果負責,這又為合理安全的數據跨境流出預留了空間�。
2.境外各國信息安全的法規解讀��。以歐盟和美國為代表的境外監管機構已將信息安全上升到宏觀審慎性政策高度,紛紛出臺相關的法律法規要求����。美國�、歐盟�、俄羅斯、德國、新加坡等多個國家或地區加強了信息安全相關的基礎性立法���。
美國是數據跨境流動的倡導者,數據政策相對寬泛和自由,但對金融服務、信用報告等特定領域的數據存儲和流動有著極為嚴格的要求���,對隱私數據限制或有條件允許數據跨境流動,將國家經濟數據、政府管理數據����、公共信息數據�����、敏感技術數據等視為“重要數據”進行嚴格出境管理。2016年9月更是發布了包含農業、受控技術信息�����、關鍵基礎設施�、應急管理�、出口控制、金融等共計23類信息的受控非秘信息列表�。
歐盟圍繞個人隱私和數據保護制訂了嚴格的法規�����,2018年5月25日起實施的《一般數據保護條例》(GDPR)是最重要的立法。一方面�����,明確個人作為數據主體的一系列權利��,明確企業作為數據控制者�����、處理者的法定責任、數據保護原則和措施要求���;另一方面,明確了數據跨境流動需要獲得個人同意�,建立了可信國家地區�����、評估認證、有約束力公司規則����、同等保護水平的合同條款等合法通道����,在確保境內外個人數據保護水平的基礎上�,為有序全的數據跨境流動提供空間。
3.監管趨勢分析��。通過對全球主要國家網絡信息安全法規的分析�,數據跨境流動監管有以下四大趨勢:
一是“數據自由流動”需求和“數據跨境流動”監管的沖突將長期并存。金融行業作為關鍵基礎設施必是各國監管的重點����,跨境經營的銀行首當其沖面臨各國不同標準的監管要求��。
二是個人數據、非公開信息等數據保護要求和監管措施將進一步增強���。企業作為數據控制者、處理者的責任與日俱增���,數據分級保護、匿名化�、存儲加密等保護措施要求日趨細化�。
三是數據出境概念存在逐漸拓寬的趨勢��,從采取數據存儲國家地理邊域為標準��,向以數據主體國籍、數據處理者所有者國籍為標準延伸�。例如GDPR明確保護對象是歐盟公民個人數據���。
四是數據跨境流動限制規則標準不一�,存在禁止數據離境�、有條件解除數據流動禁止、數據本地備份基礎上支持數據流動等不同規制模式��。但在中國和俄羅斯的示范效應下�,數據本地化存儲的要求可能會成為一種趨勢。
農業銀行數據跨境流動安全的技術策略選擇及實踐
在金融科技時代�����,大數據���、云計算���、互聯網等技術與全球經濟生活深度融合����,數據跨境流動是必然的����,跨境經營的商業必須直面境內境外數據跨境流動的合規要求。農業銀行科技部門按照集中化和本地化相結合的思路�,制訂了“堅守安全底線�����,構筑安全邊界,數據分離協同再造,全方位完善技防體系,高標準規范技術管理”的技術策略,開展了如下實踐探索����。
1.嚴標準高要求構筑安全邊界����。從物理機房�����、網絡區域����、應用部署等方面�����,以從嚴標準構建物理、網絡和應用邊界,形成企業內數據境內外部署的有效隔離����。一是通過劃定獨立境外機房區����、單獨部署境外機構核心應用、與境內系統完全物理隔離等方式,建立物理安全邊界����。二是通過設立境外訪問境內網絡隔離區�,建立網絡安全邊界����。三是通過境外可訪問應用實行白名單控制,所有可訪問應用均在境外隔離區內落地,以權限最小化為原則,控制境外隔離區內應用向外的網絡訪問權限,建立應用安全邊界��。
2.全方位完善技防體系��。境外區部署雙層異構防火墻����,區分境外機構訪問入口和境內業務互聯入口���,配置IPS���、IPSEC等網絡安全防護工具���,部署防APT及流量回溯等系統���,并進一步加強終端安全���、用戶認證����、桌面安全防護�、統一存儲管理等信息安全手段。按等保三級的標準進行應用安全設計和建設�����,數據傳輸進行傳輸加密���,對關鍵數據進行數據加密��,信息訪問上采取兩重用戶訪問權限控制和操作留痕的設計��,強化應用安全防控。
3.圍繞重點開展“數據分離��、應用協同”再造��。在客戶信息管理��、客戶評級、客戶授信等重點應用領域�����,按照“技術架構統一��、境內外數據分離����、優化數據訪問控制”的原則進行系統架構再造�����。基于統一的技術平臺�,進一步改進松耦合的應用架構體系���,境內外應用分離部署���,支持境外數據本地化存放(如圖1所示)���������;跇I務流程優化和跨系統流程調用�����,增加數據訪問控制���,實現安全控制下的數據透明互訪�。采用數據庫透明加密���、關鍵數據應用加密等技術��,實現數據存儲加密要求�,全面靈活地應對境內境外各種監管要求�����。
圖1 境內外數據部署應用架構體系
4.多層次健全管理機制�。對開發��、測試、運維有嚴格的信息安全管控機制。與各境外機構簽署規范統一的服務協議����,構建同等保護水平的合同條款等數據跨境流動合法通道�����。
結語
技術策略只是數據跨境流動安全性解決方案的一個方面,要全面達到境內外雙重監管要求,更需要企業在業務經營戰略中明確數據保護政策,從業務管理、制度流程、人員架構等方面建立全面的跨境數據流動管理機制�����。首先����,企業高管層要高度重視確定數據跨境流動中的數據保護政策、營造數據保護責任意識。多層次建立跨境數據保護制度�����,形成企業內部各部門數據保護責任和規則體系��,明確數據收集����、轉移����、存儲、使用等各環節的具體安全管理要求。其次,要加強跨境數據安全監測����,定期開展合規性檢查�,及時發現數據保護方面的漏洞并加以改進���,防范數據安全風險����。
(文章來源:金融電子化雜志)
掃碼即可手機
閱讀轉發此文
