数字时代，数据作为新型生产要素备受关注，激活数据要素潜能，以数字化转型全面驱动生产方式、生活方式和治理方式变革，成为各行各业实现数字化转型发展过程中的共同命题。2020年以来，在全球新冠疫情持续影响线下服务的情况下，各金融机构加速推进线上化改造，以数据为核心生产要素的新兴技术助力金融服务场景和服务渠道拓展，金融服务更加便捷、灵活的同时，随着服务边界、服务方式、服务类型等的多维突破，数据窃取、隐私泄露、数据伦理等安全问题也日益突出。数据风险隐患的排查和化解已成为金融行业在平衡安全和发展过程中的首要任务。

北京银联金卡科技有限公司（银行卡检测中心BCTC）总经理 李晓伟

我国数据安全应用背景

推进数字经济战略，利好政策举措密集出台。我国高度重视数字技术应用和数字经济发展，围绕“维护安全与促进利用”一体两面出台一系列法律法规和政策指导，并由国家数据局统筹协调我国数字化规划和建设，我国数字经济加速驶入“快车道”。

发挥数据要素作用，推动数据价值合理应用。我国提出充分认识和把握数据要素基本规律，探索制度和体系建设，促进形成与数字生产力相适应的新型生产关系，通过协同优化、复用增效、融合创新三大作用机理，实现数据要素价值最大化释放，构建发挥数据要素作用的“中国方案”。

严守数据安全防线，牢固树立“红线”意识和“底线”思维。我国准确把握数据安全战略导向，法治配套逐步建立，并明确“把安全贯穿数据治理全过程”。数据安全已成为国家安全“红线”、经济建设“底线”，是数字中国战略稳步推进的重要保障。

金融数据安全态势观察

1.金融监管体系变革，监管规则不断优化

2023年，金融监管体系经历较大变革，中央金融委员会、中央金融工作委员会组建成为金融监管最高决策层，国家金融监督管理总局设立，形成“一行一局一会”监管体系，构成“多重监管、协作执法”监管模式。金融领域数据安全行业规章、标准等呈现广度和深度双维度发展特点。随着我国金融数据基础制度体系发展，金融数据安全法治建设聚焦重点及新兴领域，与时俱进，稳步推进。

2.安全合规与转型发展双轮驱动

监管全面精细化，多维多态合规挑战凸显。随着金融监管体系不断完善，以严密过硬监管保障金融稳定发展，全面精细化、“长牙带刺”的金融数据监管势在必行。金融主管部门数据安全监管处罚力度持续加大，网信、工信、公安、市监等部门也通报部分金融案例。金融机构需要加快适应数据合规“多维多态”态势，全面审视自身数据合规性。

新兴技术广泛落地，催生新形态数据安全风险。数字化转型推动诸多新兴技术落地金融业，但未改变金融风险隐蔽性、突发性、传染性和负外部性特征，反而使金融数据进一步暴露在充满风险和威胁的环境中，并与金融风险、技术风险、网络风险等产生叠加和扩散效应，使数据安全风险传递速度更快、波及面更广。

高质量发展关键时期，数据安全是必要前提。数据技术在推动金融服务提质增效方面优势明显，但随之暴露的数据安全问题也不容忽视。数据安全已不再是制约金融机构能力突破的“短板”，而是确需筑牢的金融转型发展“数字底板”。如果不能保障“底板”安全，数据要素利用和价值发挥也就无从谈起了。

数据安全测评服务探索

北京银联金卡科技有限公司（以下简称银联金卡）聚焦主责主业，发挥自身业务优势及行业服务经验，积极研发数据安全合规测评服务，倡导“以评促建、赋能发展”的建设思路，将数据安全合规工作转化为强化内涵、提升质量、赋能应用的内生动能，成为促进数据赋能业务转型发展、赋能机构运营能力提升的催化剂，而非阻力或绊脚石，助力推动金融数据安全治理进程。

金融机构数据安全治理思路仍处于不断迭代优化的过程中，全球范围内尚未形成统一的治理框架，治理过程也存在众多痛难点问题。例如：数据的流动性导致在数据利用的环节中存在众多数据破坏、篡改、泄露的风险点，基于原有网络安全防护体系开展的数据防护查漏补缺，呈现防护点数量大、防护能力分散的特点，无法真正满足数据安全流通需求。虽然大多数金融机构都初步建设了数据安全管理制度，但是从金融主管部门披露的众多罚单中能够看出，目前包括一些头部大行在内的金融机构，在信息系统安全、个人信息防护、内部管理审计、人员安全意识等方面仍存在众多漏洞，中小金融机构的数据安全风险也不断暴露，出现各种各样的违法违规现象，亟需形成专业、全面、系统的数据安全管控策略和方法体系，以帮助机构实现数据安全管理体系构建、数据资产梳理、数据防护策略配套以及数据应用规程完善等工作。

金融行业数据安全治理方面，仍需以 “防风险、强内控、促合规”为主要目标和任务。银联金卡在数据安全领域深耕细作多年，沉淀形成经验丰富、能力突出的专业服务团队，依托监管政策、金融标准及其应用宣贯指导、技术研究等工作实践，并充分考虑金融领域业务形态的多样繁杂、系统改造工程的复杂性以及金融服务的高可用高并发特性，探索适用于金融机构的数据安全合规治理思路和方法，并配套形成相应数据安全合规评估服务，能够有效协助金融机构开展数据安全治理，构建安全合规、科学合理的数据管理体系。

数据安全合规评估服务内容涵盖金融数据生命周期全过程，如图1所示，以应用需求为导向、以业务流程为脉络、以数据处理活动为索引，穿透金融机构数据安全管理与应用的各环节，结合必要的漏洞扫描、报文抓取、穿透测试等技术手段，对金融机构数据安全管控的措施、能力及效果等进行调研和分析，进而形成数据安全合规综合评估报告，并协助金融机构识别并处置数据安全合规风险隐患，不断完善数据安全管理体系、提升金融数据安全风险防控能力。

图1 数据安全合规评估服务内容概要

数据安全合规评估服务的核心价值为“评估能力基础，明确差距风险，理清目标策略，构建安全体系”，以现行政策法规及技术规范要求为准绳，以内外部安全组织与人员团队协同支持为保障，协助金融机构开展数据安全合规评估工作。一方面，从数据应用需求及相应业务流程梳理入手，能够帮助金融机构理清数据流转需求和脉络，以及数据安全合规需求和目标；另一方面，结合数据资产梳理和数据分类分级情况，着眼数据采集、传输、存储、交换、删除等生命周期各环节的数据安全管控目标、策略及措施的配套落地情况，通过对标当前金融行业在数据安全防护、安全运营及基础安全资源配置等各方面的数据安全管理要求和指导意见，帮助金融机构进行系统、细致、科学、合理的数据安全实践情况的识别和分析。最后，综合以上分析结果，形成安全合规评估报告，并梳理形成问题清单，给出针对性、可落地的改进建议，辅助金融机构补充必备的安全管理和技术防护机制，使其具备基本的数据安全防范风险和应急处理的能力，并在反复的实践、测评、升级的过程中不断提升和维护数据安全治理能力。

结 语

石以砥焉，化钝为利；法以砥焉，化愚为智。面对当前数据流动和应用需求不断膨胀的情形，银联金卡高度重视金融业数据安全生态发展态势，持续跟踪研究数据安全、云计算、人工智能等应用风险，积极参与行业规章制度及标准规范的研制及落地指导工作，并配套研发适配金融转型发展过程中新技术、新应用、新场景下的安全合规测评服务体系。目前，银联金卡数据安全服务涵盖治理规划、合规验收以及能力评估三大核心类别，实现数据生命周期安全的全过程、全方位、多视角覆盖与保障，满足行业各类机构在数据安全领域的多元化服务需求。迄今为止，银联金卡已承接多家股份制商业银行、国有股份制银行、非银行支付机构、金融数据服务商、支付清算机构等多领域多种类机构的数据安全服务，服务模式包括数据安全治理、数据安全评估、个人金融信息保护评估、数据安全风险评估以及DSMM咨询等众多项目形式，并赢得客户一致好评。

自成立以来，银联金卡在上级党委的坚强领导下，始终坚持党的领导与公司治理相结合，充分发挥党建引领作用，科学规划业务体系，用心搭建发展平台，践守专业第三方检验检测机构初心和职责，以“守护金融安全，传递信任价值”为宗旨，始终专注于金融业及产业链上下游相关领域的技术产品与信息安全测评业务。后续，银联金卡将继续整合优势资源，加快优化数据安全服务板块的技术配置和服务模式，助力金融机构推进和完善数据安全建设，为扎实推进金融高质量发展贡献检验检测战线的智慧和力量。