“零容忍”监管，金融机构如何应对数据泄露风险？

2022 年 11 月 3 日，据中国银保监会某地监管局发布的行政处罚决定书显示，某保险股份有限公司因存在案防管理不到位，原职工利用职务便利泄露在业务活动中知悉的投保人、被保险人的个人信息等违法违规行为，被罚 10 万元，其中两位责任人被禁业 10 年和 3 年。

2022 年 11 月 4 日，据某省银保监局发布的行政处罚决定书显示，某银行因存在监管要求落实严重不到位、敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等违法违规行为，被罚 140 万元，且多人被警告。

金融行业数据泄露事件不断地登上头条新闻。据不完全统计，2022 年上半年，人民银行及银保监会向银行、保险公司和非银支付公司等各类金融机构共开出数据罚单 685 张，罚款金额约为 6.2 亿元，同比增长 67.5%。

当数据发生泄露时，对企业来说，一方面失去公众的信任，损坏公司声誉，会导致企业股价下跌、用户流失，这都将对企业经济利益产生直接影响；另一方面企业面临数据资产的流失，会影响公司的业务，提高公司成本，减少收益；还有就是数据来源的受害者可能会追究法律责任，公司将面临诉讼等法律指控等。

有的数据泄露是黑客攻击造成的，有的则是内部问题造成的。调查显示，只有 20%-30%是因为黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的。

那么，金融机构内部数据泄露事件如此频发，问题出在哪里？

业务场景愈发复杂

1、数据多且杂

数字化时代，数据连接一切，数据驱动一切，数据重塑一切，数据是企业数字化转型的核心要素。由于金融行业业务环境下的数据资产种类繁多，数据库类型多达十几种，管理难度大；且随着业务开展数据量呈指数级爆发式增长，数据复杂且海量。

2、敏感数据没有区分

随着社会发展，除了基本的客户信息数据（如姓名、身份证等），当下的客户信息数据不仅包含金融资产特征信息、股票账号信息，还包括了微信号、GPSD 定位、QQ 号码等新型身份特征，以及新能源车辆信息…这些业务数据的种类多样，价值高低不一。数据有的密级程度高、有的低、有的可公开、有的不可公开、有的可以提前公开、有的不可以提前公开。对哪些数据是敏感数据，需要保护的数据分布在哪，敏感数据是否都得到了保护等这些问题，有些金融机构其实并不清楚。

3、内部人员难管控

内部员工数据泄露，一是蓄意而为，故意破坏基础设施、盗窃或篡改数据；二是缺乏安全意识，违反操作流程而导致数据泄露、系统损坏等后果。还有，离职员工顺走敏感数据，或者心怀怨恨的员工蓄意破坏系统。

4、场景复杂

数字经济时代下，金融机构与政府、第三方企业等产生大量业务或合作交集，数据共享开放场景更为复杂，边界已驱模糊且“动态”，传统数据治理框架下的数据安全管理极机制难以适配“数字资产化、要素化”带来的数据风险。

面临这些问题，金融行业如何应对内部数据泄露风险？

监管“零容忍”打击

首先，金融机构应该梳理法律法规，了解监管要求，不踩“红线”。

随着信息技术的不断发展，《网络安全法》《数据安全法》《个人信息保护法》等法律法规陆续出台，对企业数据、信息合规要求及监管规定做出明确安排。

2021 年作为“数据安全元年”，12 月 3 日，伴随着金标委发布《金融数据安全 数据安全评估规范》（征求意见稿），金融行业率先落地数据安全标准建设，标志着数据安全从顶层设计正式走向行业落地。金融行业面临前所未有的数据合规风险。

（1）行政处罚方面，《中华⼈民共和国数据安全法》第四⼗五条规定，开展数据处理活动的组织、个⼈不履⾏本法第⼆⼗七条、第⼆⼗九条、第三⼗条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五⼗万元以下罚款，对直接负责的主管⼈员和其他直接责任⼈员可以处⼀万元以上⼗万元以下罚款;拒不改正或者造成⼤量数据泄露等严重后果的，处五⼗万元以上⼆百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管⼈员和其他直接责任⼈员处五万元以上⼆⼗万元以下罚款。违反国家核⼼数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处⼆百万元以上⼀千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

（2）民事责任方面，根据《民法典》的规定，金融机构泄露个人信息除了承担赔偿责任之外，当事人还有权要求金融机构赔礼道歉、恢复原状、赔偿精神损失等。

（3）刑事责任方面，《刑法》第二百五十三条之一规定了侵犯公民个人信息罪，对于金融机构而言，员工在工作过程中非法获取、出售或者提供客户征信信息的，亦构成侵犯公民个人信息罪。侵犯公民个人信息罪案的量刑定罪如下：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

全面布控，多管齐下

明确了国家的监管态势，更重要的是采用强有力的应对措施。

1、提高员工数据安全意识

定期进行数据安全意识的宣传，强化员工对信息安全的意识，引导员工积极执行企业保密制度。在数据安全培训的同时，进行数据安全制度考核，激励员工积极关注企业数据安全。

制定员工规范操作计算机的详细规定，将数据安全教育作为员工入职培训的必需项目......

2、建立数据治理体系

以《数据安全法》为出发点，以相关法律法规以及标准规范为输入，以《金融数据安全 数据安全评估规范》为基本框架，明确数据安全治理重点工作事项，确保企业级管控目标、保护策略真正穿透到各个业务场景，落实数据安全管理要求。

3、数据安全技术支撑

构建覆盖数据全生命周期的数据安全防护体系，围绕数据保护场景提供数字脱敏、加密权限、访问控制、数字水印、隐私计算等数据安全的核心技术支撑，并联通安全运营平台，持续开展数据的安全运营，支持数据安全管理活动。运用企业级安全架构建立安全内控体系，从各种渠道及时阻断数据泄露风险。

推荐一款数据使用安全管控利器-极盾·觅踪，通过分析企业内部人员操作行为，扫描业务操作涉及的核心数据资产，构建围绕业务和人员的零信任数据安全体系。结合可视化业务场景埋点，模块化风险指标算法，用户及实体行为分析（UEBA），敏感数据发现模型，自动化业务数据分类分级机制等，有效降低、控制企业由内部人员造成的数据泄露风险。