王棟

近年來，為做好金融網(wǎng)絡(luò)安全和信息化工作，金融科技戰(zhàn)線圍繞整體發(fā)展戰(zhàn)略，不斷助力業(yè)務(wù)創(chuàng)新，持續(xù)深化網(wǎng)絡(luò)安全管理，為金融改革發(fā)展提供了有力支撐。2017年《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）的頒布實施，在法律層面將網(wǎng)絡(luò)安全工作提高到了國家戰(zhàn)略高度，面對《網(wǎng)絡(luò)安全法》的高標準嚴要求和金融科技帶來的機遇與挑戰(zhàn)，金融機構(gòu)怎樣選擇有自身特色的網(wǎng)絡(luò)安全發(fā)展路徑值得深入思考。

一、《網(wǎng)絡(luò)安全法》概述

2017年6月1日，《網(wǎng)絡(luò)安全法》正式實施，這是我國第一部網(wǎng)絡(luò)空間綜合性法律，它明確了網(wǎng)絡(luò)安全的內(nèi)涵和工作體制，反映了中央對國家網(wǎng)絡(luò)安全工作的總體布局，標志著我國網(wǎng)絡(luò)強國制度保障建設(shè)邁出了堅實的一步。

《網(wǎng)絡(luò)安全法》內(nèi)容涵蓋了網(wǎng)絡(luò)安全工作的各個方面，明確規(guī)定了網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、網(wǎng)絡(luò)安全審查和產(chǎn)品準入、監(jiān)測預(yù)警和信息通報、個人信息保護、網(wǎng)絡(luò)信息安全投訴舉報等制度，以及網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和處置、網(wǎng)絡(luò)安全信息發(fā)布、網(wǎng)絡(luò)安全人員背景審查、網(wǎng)絡(luò)安全教育和培訓(xùn)、數(shù)據(jù)留存和協(xié)助執(zhí)法等工作機制。《網(wǎng)絡(luò)安全法》的頒布實施對于確立我國網(wǎng)絡(luò)安全基本管理制度具有里程碑式的重要意義，具體表現(xiàn)為六個方面：一是服務(wù)于國家網(wǎng)絡(luò)安全戰(zhàn)略和網(wǎng)絡(luò)強國戰(zhàn)略；二是助力網(wǎng)絡(luò)空間治理，護航“互聯(lián)網(wǎng)+”；三是構(gòu)建我國首部網(wǎng)絡(luò)空間管轄基本法；四是提供維護國家網(wǎng)絡(luò)主權(quán)的法律依據(jù)；五是有利于在網(wǎng)絡(luò)空間領(lǐng)域貫徹落實依法治國精神；六是為網(wǎng)絡(luò)參與者提供普遍法律準則和依據(jù)。

《網(wǎng)絡(luò)安全法》中明確指出，金融行業(yè)是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，一方面突出了金融行業(yè)的戰(zhàn)略地位和意義，另一方面也明確了金融行業(yè)做好自身網(wǎng)絡(luò)安全工作的義務(wù)和責(zé)任。同時，積極貫徹落實《網(wǎng)絡(luò)安全法》對金融業(yè)也具有重要意義，從機構(gòu)角度，將持續(xù)推動改進網(wǎng)絡(luò)安全管理的框架和流程；從行業(yè)角度，將有效提升整體的網(wǎng)絡(luò)安全保護水平，促進科學(xué)、可持續(xù)發(fā)展。

二、金融網(wǎng)絡(luò)安全工作要求

《網(wǎng)絡(luò)安全法》規(guī)定，“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，實行重點保障”。這就從法律層面對金融業(yè)網(wǎng)絡(luò)安全工作提出了更高的要求。

一是金融機構(gòu)應(yīng)明晰網(wǎng)絡(luò)安全職責(zé)主體，完善網(wǎng)絡(luò)安全保障體系?！毒W(wǎng)絡(luò)安全法》規(guī)定了以下責(zé)任主體：國家、網(wǎng)絡(luò)相關(guān)行業(yè)組織、研究機構(gòu)、企業(yè)、高等學(xué)校、職業(yè)學(xué)校、大眾傳播媒介、網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、關(guān)鍵信息基礎(chǔ)設(shè)施運營者、網(wǎng)絡(luò)安全服務(wù)機構(gòu)、電子信息發(fā)送服務(wù)提供者、軟件下載服務(wù)提供者、個人和組織。明確了上述責(zé)任主體在網(wǎng)絡(luò)安全支持、網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全事件等諸多方面的職責(zé)，清晰界定了網(wǎng)絡(luò)安全保障體系各個層面主體責(zé)任。

二是金融機構(gòu)應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施履行安全保護義務(wù)，并積極落實網(wǎng)絡(luò)安全等級保護制度?！毒W(wǎng)絡(luò)安全法》第一次以法律的形式確立了關(guān)鍵信息基礎(chǔ)設(shè)施和等級保護制度，在第二十一條和第三十四條中分別明確了“國家實行網(wǎng)絡(luò)安全等級保護制度”和“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者安全保護義務(wù)”。根據(jù)第三十八條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估”。

三是金融機構(gòu)采購關(guān)鍵網(wǎng)絡(luò)產(chǎn)品和服務(wù)需通過國家審查?！毒W(wǎng)絡(luò)安全法》第三十五條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”。許多金融機構(gòu)均為關(guān)鍵信息基礎(chǔ)設(shè)施運營者，采購產(chǎn)品和服務(wù)時必須考慮上述因素，此外，還應(yīng)“與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任”。

四是金融機構(gòu)需采取措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失?！毒W(wǎng)絡(luò)安全法》第四十二條規(guī)定，“網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息”。此外，“網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全”。對于發(fā)生或可能發(fā)生信息泄露的情況，應(yīng)按規(guī)定及時向用戶和主管部門“雙報告”。

五是金融行業(yè)需建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報機制?！毒W(wǎng)絡(luò)安全法》第二十九條規(guī)定，“國家支持網(wǎng)絡(luò)運營者之間在網(wǎng)絡(luò)安全信息收集、分析、通報和應(yīng)急處置等方面進行合作，提高網(wǎng)絡(luò)運營者的安全保障能力”。第五十一條明確“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度”。第五十二條規(guī)定，“負責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息”。

三、金融網(wǎng)絡(luò)安全工作路徑

《網(wǎng)絡(luò)安全法》的頒布實施，一方面為金融行業(yè)網(wǎng)絡(luò)安全建設(shè)管理提出了更高的要求；另一方面也提供了有力的法律依據(jù)，進一步指明了金融網(wǎng)絡(luò)安全工作的實施路徑。

（一）實施關(guān)鍵信息基礎(chǔ)設(shè)施保護是金融網(wǎng)絡(luò)安全管理的核心工作

目前，許多金融機構(gòu)把握信息化發(fā)展規(guī)律的能力仍然不足，對網(wǎng)絡(luò)安全風(fēng)險的認識還有局限，簡單堆砌網(wǎng)絡(luò)安全防護產(chǎn)品的現(xiàn)象仍較普遍，導(dǎo)致防線長、投入大、力量分散，關(guān)鍵信息基礎(chǔ)設(shè)施安全管理工作重點不突出，距離國家政策要求仍有不小的差距。

應(yīng)該看到，關(guān)鍵信息基礎(chǔ)設(shè)施保護是《網(wǎng)絡(luò)安全法》提出的一項重要戰(zhàn)略舉措。保護金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施，降低運營風(fēng)險，有效應(yīng)對潛在威脅，既是貫徹落實國家戰(zhàn)略的需要，也是金融業(yè)自身生存發(fā)展的內(nèi)在需求。各金融機構(gòu)應(yīng)把保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行，守住不發(fā)生系統(tǒng)性、區(qū)域性風(fēng)險底線作為關(guān)鍵信息基礎(chǔ)設(shè)施保護的工作目標，對重要信息系統(tǒng)的業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全性予以足夠的重點保障。

（二）建立網(wǎng)絡(luò)安全審查機制實現(xiàn)自主可控是保障金融網(wǎng)絡(luò)安全的必經(jīng)之路

近年來，各金融機構(gòu)逐步認識到掌握核心技術(shù)和自主知識產(chǎn)權(quán)的重要性，在系統(tǒng)開發(fā)、建設(shè)和維護上投入大量精力，對于產(chǎn)品采購也更加注重國產(chǎn)化、多元化，但總體上，金融領(lǐng)域核心產(chǎn)品自主可控程度仍然不高，核心技術(shù)產(chǎn)品長期受制于人。客觀上，對于國家建立網(wǎng)絡(luò)產(chǎn)品審查機制的需要也日益迫切。

在國家層面，信息系統(tǒng)的供應(yīng)鏈安全可控對網(wǎng)絡(luò)安全管理至關(guān)重要。作為《網(wǎng)絡(luò)安全法》的配套制度，《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》于2017年6月1日正式實施，其中明確規(guī)定金融等重點行業(yè)和領(lǐng)域主管部門“組織開展本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查工作”。下一步，各金融機構(gòu)應(yīng)在國家和行業(yè)網(wǎng)絡(luò)安全審查和產(chǎn)品準入機制基礎(chǔ)上，積極落實國家自主可控戰(zhàn)略，強化自主運維能力，推動金融業(yè)進一步掌握核心技術(shù)、培養(yǎng)核心能力，并將網(wǎng)絡(luò)安全主動權(quán)牢牢抓在自己手中。

（三）保護個人信息和重要數(shù)據(jù)安全是下一階段金融網(wǎng)絡(luò)安全工作重心

目前社會上系統(tǒng)數(shù)據(jù)失竊、用戶敏感信息泄露、非法倒賣大數(shù)據(jù)等網(wǎng)絡(luò)黑產(chǎn)趨利性犯罪日益猖獗，電信詐騙案件高發(fā)，公眾利益和金融穩(wěn)定受到巨大威脅。金融行業(yè)大數(shù)據(jù)安全及金融消費者個人數(shù)據(jù)保護刻不容緩，越來越多的金融機構(gòu)將數(shù)據(jù)安全保護作為今后一段時期的工作重心。

各金融機構(gòu)應(yīng)認真貫徹落實《網(wǎng)絡(luò)安全法》在個人信息保護方面的要求：一是不經(jīng)金融消費者授權(quán)，避免對第三方提供或者泄露個人信息。二是建立健全數(shù)據(jù)分類分級機制，明確不同類型數(shù)據(jù)的保護級別，對個人信息和重要業(yè)務(wù)數(shù)據(jù)通過備份、加密等方式進行保護，防止未經(jīng)授權(quán)訪問、篡改和破壞。三是對于發(fā)現(xiàn)信息泄露或可能泄露的情況，應(yīng)及時向金融消費者和有關(guān)主管部門報告。

（四）建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報機制是維護安全態(tài)勢的必然要求

近年來，國家網(wǎng)絡(luò)安全和金融業(yè)監(jiān)管部門不斷完善網(wǎng)絡(luò)安全通報機制，對網(wǎng)絡(luò)空間出現(xiàn)的最新風(fēng)險和威脅進行及時和有針對性的提示，各金融機構(gòu)依據(jù)預(yù)警和通報信息在風(fēng)險大規(guī)模爆發(fā)之前進行了切實有效的防護，收到良好效果。

下一步，金融機構(gòu)應(yīng)進一步健全安全事件應(yīng)急和響應(yīng)、通報等安全風(fēng)險全流程閉環(huán)管理機制，結(jié)合國家層面網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，統(tǒng)籌加強各類網(wǎng)絡(luò)安全事件和風(fēng)險的監(jiān)測、通報，努力形成更加完善的態(tài)勢感知和監(jiān)測預(yù)警體系。此外，還應(yīng)在不斷增強自身專業(yè)能力的同時，協(xié)同聯(lián)動國家、行業(yè)或區(qū)域網(wǎng)絡(luò)安全?？仃犖?，增強新型、復(fù)雜、高級風(fēng)險應(yīng)對處置能力。

（五）在法律框架內(nèi)加強新興技術(shù)與金融融合研究應(yīng)用是金融網(wǎng)絡(luò)安全發(fā)展趨勢

近年來，以互聯(lián)網(wǎng)和信息技術(shù)為基礎(chǔ)的金融科技（Fintech）發(fā)展迅速，金融創(chuàng)新進程逐步加快。區(qū)塊鏈、大數(shù)據(jù)、云計算、人工智能等技術(shù)在金融領(lǐng)域的應(yīng)用，促生了新的金融形態(tài)和服務(wù)模式，降低了金融交易成本，推動了金融脫媒進程。與此同時，金融科技也帶來一定的技術(shù)風(fēng)險和監(jiān)管挑戰(zhàn)，一方面，金融科技以快速傳輸?shù)男畔⒑蛿?shù)據(jù)為基礎(chǔ)，突破原有業(yè)務(wù)范疇，不同業(yè)務(wù)互相滲透，風(fēng)險傳導(dǎo)性強，傳播速度快；另一方面，金融創(chuàng)新產(chǎn)品過度包裝，其風(fēng)險難以識別和度量，風(fēng)險隱蔽性更高。

《網(wǎng)絡(luò)安全法》明確提出要促進網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵技術(shù)創(chuàng)新和應(yīng)用，強調(diào)要應(yīng)用網(wǎng)絡(luò)新技術(shù)提高網(wǎng)絡(luò)安全水平。金融機構(gòu)應(yīng)進一步跟蹤信息技術(shù)與金融融合的發(fā)展趨勢和演進方向，分析由此帶來的風(fēng)險，不斷加強新技術(shù)與金融融合發(fā)展及其在法律實施方面的研究。監(jiān)管部門應(yīng)在鼓勵金融科技發(fā)展的同時，出臺相配套的監(jiān)管制度，充分利用大數(shù)據(jù)、云計算、人工智能等技術(shù)，實現(xiàn)金融風(fēng)險態(tài)勢感知、風(fēng)險交易挖掘，提升監(jiān)管時效性、針對性和合規(guī)性，鼓勵和引導(dǎo)金融科技健康發(fā)展，實現(xiàn)新技術(shù)風(fēng)險可防可控。

（六）加強網(wǎng)絡(luò)安全意識培育和人才培養(yǎng)是保障金融網(wǎng)絡(luò)安全良好態(tài)勢的重要舉措

《網(wǎng)絡(luò)安全法》提出要采取措施“提高全社會的網(wǎng)絡(luò)安全意識和水平”，金融領(lǐng)域良好的網(wǎng)絡(luò)安全環(huán)境也必須依靠意識培育和人才培養(yǎng)。《網(wǎng)絡(luò)安全法》明確提出“支持培養(yǎng)網(wǎng)絡(luò)安全人才”，規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者必須“定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)”。金融消費者網(wǎng)絡(luò)安全意識培育和金融網(wǎng)絡(luò)安全人才培養(yǎng)成為今后金融行業(yè)的重要任務(wù)已毋庸置疑。

（責(zé)任編輯 劉西順；校對 XS）