专题 | 金融机构外部数据应用现状、难点及应对实践

1.机构数据安全制度日趋完善。随着《金融科技发展规划（2022—2025年）》《金融数据安全数据安全分级指南》《金融行业网络安全等级保护实施指引》《关于加强金融数据管理与应用的通知》等行业标准规范先后发布，数据安全合规要求更加明确，数据综合治理，内外部数据规范共享的步伐随之加快，对银行机构内部完善管理机制，确保数据完整性、可用性和保密性提出了更高的要求。

调查显示，95%的银行机构表示，数据业务以国家和行业法规标准为依据稳步开展，进一步释放金融数据要素价值，提升金融服务实体经济水平和惠民利企能力；84%的银行机构配备专门的数据安全组织架构和团队并定期或不定期对员工开展数据安全培训；76%的银行机构已经建立了比较完善的数据应用安全管理制度，内容涵盖数据安全数据保护的目标、原则和标准、数据访问控制、数据加密与保护、数据安全监控与审计、数据安全风险管理、合规性与法律遵从、数据泄露预防与响应等相关内容。

2.外部数据要素需求多元化，应用场景不断拓展。银行机构外部数据需求主要集中在工商、司法、税务、公安、海关等公共基础领域。这些外部数据已被广泛应用于客户画像和行为分析、风险管控、产品创新、决策支持、反欺诈、普惠金融等领域（见图1）。

图1  外部数据应用场景

数据来源：金电信科

3.外部数据应用全流程均有风险点位。调查显示，84%的银行机构认为外部数据在使用环节易出现风险问题，52%的机构认为传输和处理环节风险较大，此外在采集和存储环节中，风险问题和安全隐患均不容忽视（见图2）。

图2  外部数据应用风险点

数据来源：金电信科

银行机构认为在数据应用过程中面临的主要的风险点为数据泄露、未经授权的数据访问和数据算法模型风险，占比分别为76%、60%和44%（见图3）。

图3  外部数据应用风险环节

数据来源：金电信科

4.外部数据应用全流程的技术呈现多元化。大数据、人工智能、云计算等新技术快速发展，在外部数据收集、处理、分析和安全防控中发挥着日益重要的作用。调查显示，76%的机构认为大数据、人工智能技术发挥重要作用。在安全防护方面，数据脱敏、数据防泄漏、数据库防火墙、数据库运维堡垒机是机构采用的主要技术措施（见图4）。

图4  外部数据安全防护技术

数据来源：金电信科

1.外部数据源分散给银行机构数据安全体系建设带来挑战。金融业所需要的数据被分割、储存在不同的主体或部门中，成为独立的数据集，难以实现互联互通和整合利用。外部数据采集、汇总、存储、加工、建模、分析、利用等流程，任何一个环节管理不当都可能引发信息泄漏的风险。84%的银行机构表示，多源数据共享需要增加接口数量，流通的主体和环节随之增长，导致风险点增加。

2.数据安全保护需要建设机构内协作机制。金融行业机构内部信息系统的数据频繁交互易导致网络安全漏洞、数据安全威胁在系统间传播。金融业务的复杂性和变化性、业务场景数据防护分散性、技术架构和安全策略的多元性，均增加部门间协同配合的难度。72%的银行机构反映，数据安全防护各自为政，面对关联系统间的数据安全事件传播蔓延尚未形成行之有效的合作机制，严重削弱了对风险的防控效果。

3.外部数据交叉共享需要行业互联互通的安全规则。随着跨行业、机构的外部数据融合应用场景逐步落地，数据交互的类型和渠道数量上升，数据关联分析复杂程度增加，数据泄露风险外溢效应放大。72%的银行机构表示，行业机构间信息系统增多，难以进行统一管控，使得风险敞口变大；数据系统漏洞频繁出现，风险点动态跟踪和定位难度加大，修复成本提高；36%的银行机构表示，安全告警数据和外部威胁情报繁杂，导致威胁信息精准识别难度增大；28%的银行机构表示，不同行业、区域的数据产品无法互认、互操作，安全防护难以打通；88%的银行机构认为监管方合规要求增强，落实整改工作要求难度同步提升，需要综合协调安全与效率的平衡问题（见图5）。

图5  外部数据安全防护需解决问题

数据来源：金电信科

4.数据安全管理制度需进一步落实落地。制定安全策略相对容易，但将其有效执行并落到实处却面临诸多障碍。80%的银行机构表示，落实数据安全保护要求的网络安全管理部门、数据安全专职管理部门、业务部门、风控部门、法务部门等内部职责配合机制亟待改进；88%的银行机构认为，需进一步探索传统网络安全防护机制与数据安全保护机制如何同步建设、协调发展及有效融合。

5.数据分级分类和安全标准实施难度大。银行机构需处理个人信息、交易记录、市场数据等多种数据类型，每类数据都有其特定的安全要求和保护措施。数据流动性强，从收集、存储、使用到传输的每个环节都需要进行严格管理，增加了分类的复杂性。调查显示，52%的银行机构表示数据安全分类分级难度较大，同时56%的机构表示数据安全标准的落地实施难度也较大。以上问题成因：一是银行机构需要在确保外部数据应用安全合规的同时，还要考虑到业务的连续性和高效性。二是实施新的数据安全标准往往需要对现有的系统进行改造或升级，这不仅涉及技术层面的挑战，还需要克服组织结构、人员培训、资金投入等方面的困难。

中央金融工作会议提出“要做好数字金融大文章”，针对银行业在外部数据要素应用方面遇到的挑战，充分发挥数据要素在行业中的作用，确保数据的安全性和合规性，需要行业多方通力合作，采取一系列措施来推动数据的安全共享和高效利用。

1.推动顶层设计。探索金融行业外部数据要素确权、分类分级、流通共享、安全防护、管理标准体系的建设与完善，共同提升行业数据价值挖掘和内外部协同治理能力提升。协同生态多方主体，从数据权属、监管模式与共享机制等方面共同推进金融科技监管规则体系落地。

2.推动数据安全共享。业内建立数据共享机制，明确数据交换标准，规范数据处理行为，加强数据监管能力建设，围绕场景和业务，协同银行机构发挥合力，避免各单位、机构各自为战、重复劳动。引领行业规范对接外部数据源，从源头整合资源，打破信息壁垒，通过多渠道加大数据采集优化数据共享。

3.构建数据基础设施。一是针对金融业普遍需求构建数据交换流通等关键领域的基础设施，打造安全且可信的行业级数据流通平台，有效应对数据安全应用方面的挑战，助力外部企业数据应用降本增效。二是牵头推进金融行业数据安全风险监控系统的构建，在数据流通平台嵌入金融数据安全监管规范，对数据业务实施即时监控，实现对数据处理风险预警、过程监控以及后期审查全流程监管，捕捉潜在的风险点，提高金融数据安全监控的自动化和智能化水平。

为解决金融业在外部数据应用安全领域面临的困难，结合自身职责定位以及资源禀赋，金电信科建设了金融数据服务平台，并在近二十家银行机构落地。平台面向行业级需求和安全要求，统一对接不同数据源，为金融业机构提供丰富多源、合规可信的数据要素供给渠道和安全高效的流通环境。金融数据服务平台有以下主要特点。

1.对接合规的数据源。聚焦金融行业外部数据安全流通，根据行业应用场景需求，平台直接对接源头公安、运营商、海关等公共数据，保证数据的准确性和合规性，与多方主体实现生态共建、数据共享、身份互通与应用协同。

2.打造可信安全的数据交通网。平台基于国家重点项目课题“基于区块链的金融科技核心技术与示范应用”的落地延展，使用区块链、隐私计算等技术保障数据的可信接入和安全流通，促进金融数据跨区域、跨部门有序流通，支撑金融机构与生态多方进行数据的流通和业务创新。

3.筑牢开放协同的安全防线。依托平台，打破数据孤岛壁垒，推动金融业数据高效多头对接，在并在平台建设上嵌入安全性审核机制，坚持把安全防控贯穿金融业数据要素价值创造和实现全过程，严守数据安全底线。

4.实现降本增效的业务架构。平台实现跨部门异构多源数据接入流通，金融机构一点接入，获得低成本、高效率的数据应用，提升金融机构稳健经营和服务实体经济水平。

5.构造高效可控的智慧服务区。基于平台可向行业输出数据和数据相关服务，涵盖精准营销、风险识别、数字监管等业务场景，提升金融应用场景的管控与服务一体化能力，同时定制化设计面向金融数据的综合服务模式和多元的数据应用产品。

（此文刊发于《金融电子化》2024年10月上半月刊）