高立

（貴州茅臺集團財務有限公司，貴州 貴陽 550001）

一、金融機構大數(shù)據(jù)管理的現(xiàn)狀

近年來隨著大數(shù)據(jù)技術不斷發(fā)展，大數(shù)據(jù)廣泛應用于社會各領域，成為人類經(jīng)濟社會、政治生態(tài)、教育文化、法治實踐等方面的重要組成要素。特別在金融活動中，金融機構掌握了大量個人的身份信息、個人財產(chǎn)信息和眾多企業(yè)的運用情況和財務情況，導致金融機構由于故意或者疏忽，金融大數(shù)據(jù)管理制度不完善等原因，受到各種處罰和賠償損失。例如根據(jù)銀保監(jiān)會公告，2019 年7 月3 日，銀保監(jiān)對中信銀行進行處罰，罰款2223.7 萬元，處罰原因為“未向監(jiān)管部門報告重要信息系統(tǒng)運營中斷事件”和“信息系統(tǒng)控制存在較大安全漏洞，未做到有效的安全控制”；2020年10 月21 日，中國人民銀行發(fā)布公告，對六家銀行侵害個人信息罰款逾4000 萬元。

鑒于此，本文試通過分析金融機構大數(shù)據(jù)風險狀況，提出金融機構防范該項風險的措施建議。本文探討的金融大數(shù)據(jù)，是指銀行、保險、證券、互聯(lián)網(wǎng)金融等金融機構在金融業(yè)務中捕捉、管理和處理的巨量數(shù)據(jù)集合，這些數(shù)據(jù)從多個維度刻畫了金融消費者的行為特征；通過對金融大數(shù)據(jù)的運用，金融機構可以提升資源配置效率、強化風險管控能力、促進業(yè)務創(chuàng)新。

二、金融機構大數(shù)據(jù)管理的風險分析

（一）大數(shù)據(jù)收集階段

我國銀行、證券、保險等金融機構，經(jīng)歷了從紙質(zhì)數(shù)據(jù)收集到電子化數(shù)據(jù)收集金融消費者信息的階段。紙質(zhì)數(shù)據(jù)收集階段，受當時數(shù)據(jù)處理硬件和技術等客觀條件的限制，金融機構只能對客戶數(shù)據(jù)做簡單的憑證歸集、機械儲存、簡要分析等工作，金融數(shù)據(jù)分散且總量小，對應的管理風險小，多集中于操作風險范疇；但隨著互聯(lián)網(wǎng)金融的高速發(fā)展和大數(shù)據(jù)技術的不斷完善，金融機構采集金融消費者數(shù)據(jù)更加便利，但也導致金融大數(shù)據(jù)管理面臨諸多風險：一是部分金融機構從業(yè)人員受利益驅動或市場需要，存在違法采集消費者數(shù)據(jù)的情況；二是存在部分消費者為取得金融機構的支持，通過隱瞞、捏造等方式向金融機構提供虛假數(shù)據(jù)信息；三是部分互聯(lián)網(wǎng)金融機構由于業(yè)務拓展需要，客戶識別流程簡單或客戶身份審查不嚴，導致其收集的客戶數(shù)據(jù)對金融機構后續(xù)的分析和運用毫無價值甚至可能出現(xiàn)洗錢風險；四是信息孤島現(xiàn)象仍普遍存在，跨部門、跨行業(yè)的數(shù)據(jù)共享仍不順暢，有價值的公共信息資源和商業(yè)數(shù)據(jù)開發(fā)程度不夠，導致金融機構難易多方位收集或者驗證數(shù)據(jù)的真實性和判斷信息的價值。

（二）大數(shù)據(jù)儲存階段

在現(xiàn)階段大數(shù)據(jù)廣泛應用的背景下，金融數(shù)據(jù)儲存呈現(xiàn)出多元化態(tài)勢，使得大數(shù)據(jù)管理難度加大。大型金融機構采用數(shù)據(jù)庫集群或大數(shù)據(jù)一體機等硬件設施儲存數(shù)據(jù)，部分金融機構采用云技術儲存信息，雖然數(shù)據(jù)儲存更加便利，但數(shù)據(jù)儲存介質(zhì)的多樣化使得數(shù)據(jù)的輸入和導出路徑較多，任意一種儲存介質(zhì)只要被黑客攻破就會使金融數(shù)據(jù)暴露于風險之中；而實力較弱的金融機構，數(shù)據(jù)儲存的底層框架非自主構建，內(nèi)部技術人才缺乏，通過信息技術外包等方式委托第三方機構運營和維護，但目前第三方機構質(zhì)量參差不齊，很難確保金融大數(shù)據(jù)到達第三方后能夠得到妥善的保管，同時若第三方機構對大數(shù)據(jù)儲存過程中潛在的系統(tǒng)漏洞不能及時發(fā)現(xiàn)并修復，將使這部分金融數(shù)據(jù)遭受外部攻擊或泄露，對金融機構和金融消費者造成損失。

（三）大數(shù)據(jù)分析與應用階段

一是存在大數(shù)據(jù)認知局限的問題。部分金融機構對大數(shù)據(jù)的認知停留在數(shù)據(jù)中心等物理設施建設上，將大數(shù)據(jù)的儲存視為大數(shù)據(jù)管理和大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的重點，盲目追求硬件設施建設投資，忽視了數(shù)據(jù)資源的整理、分析和判斷處理能力的建設。二是數(shù)據(jù)分析技術滯后使得數(shù)據(jù)“看得見，用不著”，無法發(fā)揮其功能；或者金融機構只是擁有金融、會計、財務管理的人員，缺乏綜合掌握數(shù)學、統(tǒng)計、計算機等相關學科及綜合應用的專業(yè)人才，導致金融機構即時持有大數(shù)據(jù)資源也沒法分析出金融消費者的投資偏好、甄別出金融消費者的經(jīng)濟狀況、識別出金融消費者是否存在洗錢等違規(guī)活動的信息，造成金融機構決策失誤形成風險。

（四）大數(shù)據(jù)風險暴露階段

在金融大數(shù)據(jù)的收集、儲存、分析和運用的過程中，若出現(xiàn)收集虛假大數(shù)據(jù)、大數(shù)據(jù)分析失誤和大數(shù)據(jù)泄露事件，將給金融機構帶來難易估計的損失。收集虛假大數(shù)據(jù)和分析失誤，金融機構可以通過既有的模型或者流程計算和評估損失；但對大數(shù)據(jù)泄露造成的損失，我國現(xiàn)階段沒有確定的法律法規(guī)對因大數(shù)據(jù)泄露形成損失的個體進行評估和補償?shù)姆绞?，將導致金融機構面臨不確定的損失。例如《民法典》支持金融消費者提起個人隱私權被侵犯的訴訟請求，但是卻缺少計算損失和損失包括何種款項的依據(jù)，金融機構有可能在輿論影響下面臨不確定的賠償。

三、金融機構大數(shù)據(jù)管理的風險防范建議

（一）政府層面

在立法層面，我國政府已陸續(xù)出臺《網(wǎng)絡安全法》、《民法典》和《個人信息保護法》等關于大數(shù)據(jù)法治或與大數(shù)據(jù)有關的文件，結合即今年9 月1 日實施的《中華人民共和國數(shù)據(jù)安全法》，上述法律法規(guī)將作為數(shù)據(jù)安全保護的基本法律框架，對各種數(shù)據(jù)處理活動產(chǎn)生重大影響。但不可否認，更具有操作性和具體細節(jié)的部門規(guī)章仍存在立法滯后的現(xiàn)象，特別是涉及金融大數(shù)據(jù)的法治建設，還需要其他民事、商事法律的配套推進。

因此在政府層面，建議相關部門進一步細化大數(shù)據(jù)相關制度和聯(lián)動機制，提高大數(shù)據(jù)立法層級，確定金融大數(shù)據(jù)相關標準和指南，在保護金融消費者權益的同時，通過法律規(guī)范、約束和保障金融機構大數(shù)據(jù)管理的權益和責任；同時充分發(fā)揮部門規(guī)章靈活性、及時性的特點，修訂或補充相關規(guī)章解釋和說明，與時俱進解決金融大數(shù)據(jù)法治的空白點。例如2020 年 9 月中國人民銀行發(fā)布的《金融消費者權益保護實施辦法》，新增了金融消費者權利，填補了個人金融信息保護的制度空缺，但是對金融機構的責任規(guī)定仍不完善。

（二）監(jiān)管層面

1.整合監(jiān)管資源，形成金融大數(shù)據(jù)監(jiān)管的統(tǒng)一體系

目前我國金融機構的監(jiān)管部門主要為中國人民銀行、銀保監(jiān)會、證監(jiān)會和各地方金融監(jiān)管局等部門，各部門均明確了一定的監(jiān)管職責，但隨著我國金融市場的不斷發(fā)展，金融業(yè)務相互交錯，傳統(tǒng)的監(jiān)管模式捉襟見肘，既存在監(jiān)管重疊也存在監(jiān)管真空的現(xiàn)象，特別在大數(shù)據(jù)信息時代，面對海量的數(shù)據(jù)信息，單一的監(jiān)管主體無法應對大數(shù)據(jù)金融帶來的風險與危機。建議在現(xiàn)有監(jiān)管框架之內(nèi)，明確各監(jiān)管主體職責，厘清中央和地方、各監(jiān)管部門之間的監(jiān)管職責，將各監(jiān)管部門構建成為統(tǒng)一的體系，破除數(shù)據(jù)孤島現(xiàn)象，制定金融機構大數(shù)據(jù)管理的統(tǒng)一標準，規(guī)范和約束金融機構做好大數(shù)據(jù)管理工作

2.做好金融大數(shù)據(jù)壟斷的監(jiān)管工作

同時，由于一些巨型金融機構憑借其在金融領域的固有優(yōu)勢，掌握大量數(shù)據(jù)，客觀上可能會產(chǎn)生金融數(shù)據(jù)寡頭的現(xiàn)象，甚至產(chǎn)生數(shù)據(jù)壟斷。建議監(jiān)管部門對大型金融危機掌握大量金融消費者個人信息、行為信息、消費信息的數(shù)據(jù)進行分級分類分領域監(jiān)管，制定反對數(shù)據(jù)壟斷的監(jiān)管處罰條例。

3.發(fā)揮行業(yè)自律組織作用，多渠道保障金融大數(shù)據(jù)管理

加強行政部門監(jiān)管的同時，建議充分發(fā)揮行業(yè)自律組織的作用。行業(yè)自律組織具有許多監(jiān)管部門不具備的優(yōu)勢，例如其具備較強的制度彈性，能迅速根據(jù)大數(shù)據(jù)科技發(fā)展面臨的難題制定相應的行業(yè)應對政策；其可以通過教育培訓增強金融主體對金融大數(shù)據(jù)合規(guī)管理的主動意識，遠比法律法規(guī)對金融主體的被動約束更有助于提高金融機構大數(shù)據(jù)管理的能力。

（三）金融機構層面

金融機構應當依照法律法規(guī)，結合自身業(yè)務特點和金融平臺特性，在大數(shù)據(jù)采集、存儲和處理、分析和使用、歸檔和銷毀等數(shù)據(jù)生命周期全流程中建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責任，履行金融大數(shù)據(jù)應用和風險防范主體責任。

1.大數(shù)據(jù)采集階段

金融數(shù)據(jù)安全的第一道坎就是數(shù)據(jù)資產(chǎn)識別。金融機構應該結合自身業(yè)務特點，建立可實現(xiàn)數(shù)據(jù)分類分級收集的電子系統(tǒng)，完善數(shù)據(jù)資產(chǎn)目錄和管理機制，可以識別出金融消費者的姓名、手機號碼、身份證號、地址、銀行卡號、客戶號等個人身份信息，或者結合人行征信中心、法院、工商、稅務等政府部門、電力供水等企業(yè)收集企業(yè)客戶的信用、納稅、電費水費等情況，有效落實數(shù)據(jù)分類分級和元數(shù)據(jù)管理工作，便于金融機構能準確、高效獲取經(jīng)授權的金融大數(shù)據(jù)；同時建立對違規(guī)收集金融大數(shù)據(jù)、配合客戶提供虛假大數(shù)據(jù)的金融從業(yè)人員，建議各金融機構在行業(yè)監(jiān)督管理框架下，制定更加詳細的大數(shù)據(jù)收集操作細則和處罰辦法。

2.大數(shù)據(jù)儲存和處理階段

金融大數(shù)據(jù)儲存目前儲存呈現(xiàn)多元化方式，大型金融機構可以設立科技部門或者子公司儲存和維護大數(shù)據(jù)；部分金融機構采用信息技術外包（ITO）模式將大數(shù)據(jù)儲存和維護交由第三方管理。第一種模式金融大數(shù)據(jù)的儲存和處理風險相對較低，但由于大數(shù)據(jù)的儲存和管理涉及金融機構內(nèi)部多個部門，建議金融機構明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。而對于外包模式，信息外包使金融機構減少了對電子硬件系統(tǒng)和人力成本的投入，但同時也大大提高了金融機構數(shù)據(jù)泄露的風險。業(yè)務外包后，金融機構必然向第三方提供金融消費者的大數(shù)據(jù)，金融機構對大數(shù)據(jù)的控制力度弱化但是第三方機構質(zhì)量參差不齊，很難確保金融大數(shù)據(jù)在第三方能夠得到妥善的保管。建議金融機構根據(jù)數(shù)據(jù)分類，首先明確什么數(shù)據(jù)必須自主管理，什么數(shù)據(jù)可以外包管理；大數(shù)據(jù)移交外包機構后，金融機構應制定定期和不定期的對外包機構的監(jiān)督和評價機制，及時預防和發(fā)現(xiàn)問題；最后需明確大數(shù)據(jù)風險暴露后雙方的詳盡責任。

3.大數(shù)據(jù)分析和使用

“進不來、拿不走、看不懂、改不了”是網(wǎng)絡信息安全建設的目的，同樣也是金融大數(shù)據(jù)安全管理的目標。這就要求金融機構對大數(shù)據(jù)加密管理，解密使用，即滿足業(yè)務和性能要求，也滿足安全要求。建議金融機構建立完善的數(shù)據(jù)管理和數(shù)據(jù)安全組織架構，例如設立數(shù)據(jù)管理委員會或者數(shù)據(jù)安全管理小組，負責金融機構數(shù)據(jù)安全工作的開展和落實，其中可以對金融機構全體員工設置大數(shù)據(jù)處理權限，IT系統(tǒng)可以根據(jù)業(yè)務流程和員工崗位職責，遵循知所必需和最小權限原則，對使用大數(shù)據(jù)的人員分配處理大數(shù)據(jù)的范圍和時限。同時，金融機構要不斷創(chuàng)建數(shù)據(jù)挖掘模型和深度剖析獲取的金融大數(shù)據(jù)，提高整合各渠道數(shù)據(jù)、判斷數(shù)據(jù)有效性、預測金融消費者行為的能力，設置因大數(shù)據(jù)錯誤分析而造成決策失誤和形成金融機構損失的補償辦法。

4.加強大數(shù)據(jù)風險管理和風險防范知識的教育

金融機構對外應當注重提高消費者的金融素養(yǎng)，強化金融消費者的防風險意識。可以結合群體特性和區(qū)域特性開展對應的金融教育活動，通過各類途徑宣傳金融大數(shù)據(jù)相關的法律法規(guī)，提高其風險識別能力、防范風險意識和維權意識，并引導金融消費者通過法定途徑尋求大數(shù)據(jù)風險暴露后的權利救濟。對內(nèi)，應該通過教育培訓的方式，提升金融機構全員大數(shù)據(jù)安全意識和專業(yè)人員大數(shù)據(jù)管理的技術能力。