文 / 中国银行软件中心（合肥）数据安全专题研究组、数据要素专题研究组

随着数据成为国家重要战略资源，数据赋能金融行业提质增效逐步成为行业共识，数据安全对保障数据要素有序流通、推动数字经济发展、维护国家安全意义重大。本文介绍了在金融行业数据要素市场中安全体系的现状与存在的问题，并从管理数据资产、规划数据安全管理技术体系、运用数据安全先进技术能力、打造数据“安全大脑”四方面探索研究数据安全体系，最后总结了金融行业数据要素市场安全体系建设的未来发展方向。

数据要素及其安全性的提出

近年来，随着信息技术的快速发展，我国全面迈入数字经济时代，数据成为驱动经济发展的新型生产要素。作为生产要素，数据要素需要参与市场交换，通过在多方主体间流通融入社会生产经营活动，最终实现自身价值。一方面，数据要素因其非排他性、可重复使用性、不可见性等特质，在流通过程中需经过频繁的采集、加工、传输、使用环节，增加了安全风险；另一方面，由于数据要素市场化仍处于探索阶段，其运作机制尚未完全明确、权属边界尚未完全清晰、监管规则尚未完全落位，因此数据安全的重要性更为突显。

2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》，明确指出数据安全是数据要素流通交易的底线和红线，要求统筹发展与安全，强化数据安全保障体系建设。数据要素安全治理贯穿数据流通交易的各环节，涉及数据要素市场培育的方方面面，发挥着不可替代的作用，对保障国家数据安全、维护企业个人数字权益具有重要意义。

数据要素市场安全体系建设现状

在数字经济背景下，金融行业业务场景不断变化，数据总量激增、数据流通日益频繁、数据处理过程日趋复杂，数据安全风险正在积聚，数据安全问题愈受重视。同时，数字化浪潮也在推动着行业数据安全建设开展落地，伴随着制度规范的明晰，组织架构的确立，技术应用的突破以及人员配置的完备，数据安全体系构建已初具雏形。

制度规范方面，2016年以来，我国已颁布多部数据安全相关法律法规。随着《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规的陆续出台，数据安全顶层设计逐步完善，为数据要素市场规范发展提供牢固基础。

组织建设方面，现已形成覆盖决策层、管理层、执行层、监督层的数据安全组织架构。其中，决策层负责制定数据安全的目标和愿景；管理层负责制定数据安全策略和规划及具体管理规范；执行层负责对设定的流程逐个实现，保证数据安全工作推进落地；监督层负责定期组织对数据安全管理工作开展检查及考核评价。

技术应用方面，金融行业聚焦数据要素市场中数据使用场景，围绕数据全生命周期开展了数据安全防御能力全面建设，涉及如数据加密、数据分类分级、数据脱敏、数据水印等各类数据安全技术领域。数据要素市场对数据安全的内在需求推动着相关技术自身不断提升完善的同时，也促进相关技术在金融行业不断创新应用形式和融合方式，为数据要素市场化提供技术支撑。

人员配置方面，数据要素市场数据安全作为新型领域，目前相关专业人员较少。随着相关学科与研究院的成立、相关资质认证的开展，相关从业人员的能力提升方向逐渐明确，从业队伍的数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力正在逐步提升。

在数据要素市场中，数据安全是前提，以数据安全为数据要素流通基石，只有在确保数据安全得到有效保护的基础上，才能进一步提升数据要素融通与共享能力，激活数据价值。

结合当前数据安全体系建设现状，本文基于数据要素市场中数据呈现的特点，重点关注数据安全体系建设存在的问题，剖析其根本原因，从管理、技术等多角度探索研究数据安全体系。

数据安全体系建设存在的问题

由于业务场景的不断变化和应用技术的快速更新，金融行业数据要素市场建设对数据安全的要求也在不断提升，现有数据安全体系未能与数据要素市场建设保持同步，数据要素在不断流通、释放价值的过程中，面临多方面的安全风险挑战，主要包含以下几点。

1.管理与技术割裂

传统数据安全体系中，数据安全管理和技术相对割裂，技术手段是数据安全保障的主要发力点。随着金融业务系统和数据流转过程逐渐复杂化，单纯依靠技术手段已经无法满足数据安全管理的要求。在数据要素市场建设过程中，必须推动数据安全管理和技术紧密融合，一方面从数据安全管理角度出发，统筹技术布局，完善技术架构，搭建技术新生态；另一方面从数据安全技术角度出发，降低管理成本，增加管理效益，启发管理新思路。

2.保护对象转变导致的重心偏移

传统数据安全侧重于边界防护，关注端、网、云基础设施和运行环境的保护。在数字化时代，数据安全不仅关注基础设施和边界安全，还要密切关注数据本身的运行，如数据的流动和使用情况。由此保护对象转变导致的重点偏移，在确保基础设施和环境安全的基础上，需要更加深入和具体的方法保障正在运行中的业务系统的数据安全。

3.保护方式调整带来的难度提升

随着数据要素市场的蓬勃发展，数据从静止转变为流动状态，数据安全场景的变化，使得数据安全保护的难度加大。当前，数据安全的保护方式需要与时俱进，不仅要保护数据实体，还需要以分类分级为基础，对数据流转过程进行防护，从静态转向更加动态、更加全面的数据保护方式。

数据要素市场安全体系探索

1.盘活数据资产，构建“数据内核”安全底座

数据安全体系探索重点围绕着数据展开，关键是以数据资产为基础的安全管控，因此数据资产管理是前提。首先需要梳理各类数据资产，摸清资产“家底”，形成数据资产目录，展现全局资产视图，在此基础上完善数据分类分级，为数据安全提供业务分类和安全等级参照，并梳理数据血缘关系，建立数据认责与授权机制，提供数据服务。通过系统化的数据管理，盘活数据资产，构建“数据内核”安全底座，提升资产质量（如图1所示）。

图1 数据资产梳理路径

盘点各类数据资产，建立统一的数字资产目录视图，提供数据标准，建立数字资产目录与实际数据资源的关联关系，展示数据资产应用价值，实现数据资产可视化。

推进数据分类分级工作，制定分类分级标准及流程，确定数据分类分级方法，并借助相关数据分类分级工具，采用“工具+人工”相结合形式，准确识别敏感数据，提高分类分级效率，为数据安全提供业务分类和安全等级参照。

梳理数据血缘关系，以元数据为节点，构建元数据间的关系链路，形成端到端的数据血缘关系，全面掌握数据的流转情况，打破数据孤岛，降低数据管理成本与使用成本。

确立数据认责与授权机制，规范数据认责管理工作，明确全量数据权属关系。基于数字资产目录，制定数据使用授权流程。据此，数据使用方基于关联数据资源的业务主管方获取授权，进行数据服务授权管理，为数据服务安全合规发展保驾护航。

2.融合管理与技术，规划“双轮驱动”安全体系

针对数据安全管理与技术割裂，可通过持续治理不断对组织、制度、人员等方面进行完善，加强数据安全合规治理，提升管理能力，有效支撑数据安全技术体系更好地实施和执行，使得管理与技术相辅相成。

（1）数据安全管理体系。关于组织架构，清晰的安全组织脉络是建立健全数据安全体系的先决条件，明确管理者、实施者、监督者并圈定各方职能范围，才能保证资源合理分配，促进信息有效流通。明确数据安全治理体系中各部门职责分工，建立从决策层至执行层的自上而下的管理组织架构，设立数据安全管理、执行、监督等工作岗位，通过岗位间协同运作推动数据安全战略落地见效。

关于制度流程，科学的数据安全制度流程能够规范和约束数据流通过程中的实施动作，以确保安全目标的达成。应完善现有数据安全管理制度，构建统一的标准授权管理、数据分类分级等相关安全制度体系，明确数据流通准入标准和操作规则，加强对数据要素安全流动的保护，为各项数据流程提供规范、清晰的制度指引，为整体数据安全提供合法、合规、合理的操作依据。

人员能力是数据安全管理体系有效运转的基础与核心。应积极开展数据安全专业人才培养储备工作，建设具备数据安全意识，掌握数据安全基本理论知识，了解数据安全相关政策要求及法律法规，熟悉数据安全技术的安全领域全面型人才队伍，为安全体系构建全过程提供有力支撑。

（2）数据安全技术体系。数据安全技术体系是落实各项数据安全管理要求、提高数据安全管理效率的基础保障，重点从基础环境安全、身份安全与访问控制、数据保护、监测与响应、审计与定责、备份恢复六方面探索构建数据安全技术体系。

基础环境安全结合信息安全，从应用、终端、网络安全等角度开展安全防护，身份安全与访问控制关注数字身份管理与特权访问管理，数据保护贯穿数据全生命周期，应用各项数据安全技术能力进行安全防护，监测与响应及时进行风险监测识别与响应处置，审计与定责针对用户行为、数据内容等进行审计，并据此开展定责分析，数据备份恢复保障数据完整性。

重点进行整体现状安全能力梳理分析，以数据安全管理制度为依据制定各项安全防护策略，在确保技术可行性的基础上，充分识别安全场景，细化技术标准与规范，从而指导数据安全技术在数据全生命周期各阶段的应用，全面构建数据安全技术体系。

3.持续引领先进技术，提升“安全基石”防护能力

对于数据保护对象的转变，需更加关注于数据本身的防护，通过技术引领，运用先进技术能力，满足数据全生命周期不同阶段安全需求，全方位提升数据安全防护能力。依托数据安全管理与技术体系，从管理视角提供组织、制度流程、人员等方面指导技术落地执行。从技术视角制定数据安全技术能力框架，重点关注数据保护，围绕数据全生命周期开展数据安全能力支撑。

数据全生命周期各阶段对应安全能力诉求不尽相同，如数据传输阶段面临数据窃取安全风险，防护侧重点在于应用数据传输加密、数据安全交换等技术；数据使用阶段通常会涉及数据脱敏操作，通过对数据的脱敏能够使敏感数据得到有效性保护，数字水印可以防止数据被非法传播和盗用，防护侧重点则在于应用数据脱敏、数字水印等技术。同时，聚焦于数据流通安全保障技术，加快推进隐私计算的应用，加速应用场景落地，实现数据不同主体间“可用不可见”，促进各方之间的数据安全共享，释放数据价值。

以数据安全先进技术为基石，建立数据安全共性能力，覆盖数据采集、传输、存储、使用、共享、销毁阶段，不断提升数据安全防护能力。

4.打造数据“安全大脑”，推进数据要素价值释放

面对数据安全防护方式的变化，打造数据“安全大脑”，制定企业级数据安全策略，通过数据安全风险分析与态势感知、安全事件管理、数据安全监测审计等，形成数据安全全生命周期发现、跟踪、溯源、处置、审计全闭环管理模式，实现全面AI赋能，重构数据安全防护方式，推进数据要素价值释放（如图2所示）。

图2 数据“安全大脑”架构

基于行业规范标准，制定数据分类分级、加密、脱敏等安全防护策略，并根据实际业务管控场景和运行阶段，不断完善和动态调整，实现安全策略精准管控和高效防护。

依托数据安全管理，利用智能数据安全等人工智能平台，打造数据安全风险分析态势感知能力。通过敏感数据分布、数据流量探针等，构建数据安全风险模型进行分析，全方位呈现数据安全风险态势，实现AI赋能，推进数据价值释放。

对数据安全事件提供线上化管理和分析能力，建立快速响应机制，有效消除数据安全隐患，保证数据安全持续化、流程化、规范化。

监测与审计是实现数据安全的最后一道防线，针对核心数据资产进行数据安全监测与审计，进行集中化用户行为监测、网络流量监控、数据泄露检测、访问控制追踪等，及时识别数据安全风险。通过多维度量化指标进行可视化展示数据资产态势、数据威胁来源、数据访问行为等。

未来展望

随着数据要素市场的持续深入发展和制度不断完善，数据安全越来越注重数据要素价值的保护，保障数据安全成为实现数据要素核心价值的关键基础。数据安全相关法律法规的陆续发布，必将在传统数据安全基础上衍生出一些数据安全新问题和新要求。数据安全体系探索是一个长久持续的过程，需基于现有基础上不断进行完善，做到有序建设。未来金融行业数据安全将以充分释放数据要素价值为目标，不断突破创新技术，逐步往精细化、合规驱动方向发展，构建数据安全事前、事中和事后一体化持续治理机制，健全完善数据安全标准体系，实现数据要素市场全方位、全场景价值应用落地。

（此文刊发于《金融电子化》2024年4月下半月刊）