编者按:为更好发挥标准对做好金融“五篇大文章”的支持作用,中国互联网金融协会正面向会员单位征集金融标准相关优秀案例(案例作品可发送至邮箱standard@nifa.org.cn),并陆续推出优秀案例展播。
案例名称:做好金融数据安全标准,筑牢数字金融的安全底座信也科技高度关注信息安全,重视用户隐私保障,在用户隐私保护、信息安全管理等各方面开展多项标准制定工作,让科技服务大众的同时,稳步提升安全性与可靠性,通过做好金融数据安全标准,筑牢数字金融的安全底座。一、重视用户隐私保障,积极参与隐私技术标准制定工作数字金融具有普惠性、及时性和便利性等优势,同时也面临隐私信息泄露的风险。如何平衡数据共享的需求和个人隐私的保护,加强数据安全,防止数据泄露和滥用,将是持续的挑战。信也科技关注信息安全,重视用户隐私保障,让科技服务大众的同时,稳步提升安全性与可靠性。2023年,信也科技参与制定《隐私计算密码应用基本要求》(编号T/SHCCIA 001-2023)团体标准,该标准提出了隐私计算密码应用框架和总体要求,为涉及隐私计算业务的相关单位提供了一套具体、规范、完整的商用密码解决方案。2023年5月,信也科技加入全球首个联邦学习开源社区FATE,并以工业级隐私计算框架FATE为基础,针对金融反欺诈场景进行了深入研究,研发了图联邦技术FateGraph,解决了图数据在不同单位和机构之间的孤岛问题,从而扩展了隐私计算的应用范围。此外,信也科技也积极进行隐私计算等新技术的探索与行业交流,屡获行业认可。2021年,信也Quidditch隐私计算平台通过中国信通院“可信隐私计算评测”认证;2022年,信也科技通过半诚实假设环境下的联邦学习进行针对性框架的选型和开发,实现了多方安全联合建模,达到了稳定、轻量、高效的效果,荣获“2022年隐私保护计算大赛”智能反诈赛道二等奖。2023年,信也科技建立了《隐私信息管理体系》,确保在处理个人数据时遵守相关法律法规,保护用户个人数据的隐私和安全。2023年8月,信也科技荣获国际权威认证机构DNV(挪威船级社)颁发的ISO/IEC 27701隐私信息管理体系认证,这是对信也科技在信息安全管理与个人信息保护方面工作的再次认可,信也科技一直以来将信息安全置于企业发展的重要位置,此前已获得ISO/IEC 27001信息安全管理国际认证。目前信也科技已根据参与各项标准的相关要求,完成了《用户信息管理办法》《拍拍贷数据分级分类和分布规范》《信息系统敏感信息保护管理细则》《拍拍贷源代码安全管理规定》等制度规范和企业标准,规范数据生成、处理、存储、传输和销毁的全生命周期保护。作为上海公安反诈联盟成员单位,信也科技利用数字化的反欺诈技术,保护用户免受金融“黑灰产”损害。2023年,信也科技利用技术手段实现超3万次诈骗阻断;平台反诈提醒覆盖超1723万用户;全年保护用户及机构免受损失近5.5亿元;通过“智能驱动+人工辅助”黑灰产识别机制,信也科技集团全年标记超2万疑似“黑灰产”客户,主动向行业大数据系统反馈黑灰产声纹信息,并向相关客户发送近4000条黑灰产风险提示短信。信也科技建立三层防火墙来监测和控制平台上的进出流量,一旦检测到任何异常活动,系统将立即通知信息安全专家,同时自动采取如启动第三方流量控制等相关应对措施,防止异常活动对平台造成损害。信也科技部署数据切片并将用户数据点的存储分布在多个服务器上。此外,信也科技开发了多层数据备份系统,防止因意外情况造成数据丢失。在硬件层面,平台采用模块化架构,由多个相连的组件组成,每个组件可以在不影响其他组件功能的情况下分离和升级,保障平台稳定运作。同时,信也科技坚持定期进行信息安全自查,每年邀请第三方组织进行信息安全方面的审计,并密切关注线上的安全漏洞信息,每月进行内部对抗演练,有效模拟外部攻击,提升信息安全防护能力及应急处置水平。作为防御信息安全威胁战略的一部分,信也科技注重提高员工的信息安全意识和实施相关的培训计划。在服务过程中信也科技竭尽全力保护用户的信息,用户可以通过客服或在APP中申请注销自己的账号,在不违反监管要求的最低保留期限的前提下,会删除或脱敏用户的个人信息。目前隐私计算虽已解决一些金融场景下的数据合规问题,但依然存在各方安全共识难以形成、不同产品间互联互通困难等问题,可能限制其进一步的推广和应用。对此,信也科技建议产学研用各界加强隐私计算相关研究、开发、应用的布局,尽快建立一套统一、规范的行业标准,促进隐私计算中密码使用的规范化、体系化,推动形成隐私计算领域多元、开放的产业生态。
