2023金融数据保护治理白皮书.pdf

金融数据保护治理白皮书 金融数据保护治理白皮书 目 录 一、概述.1（一）发展背景.1（二）发展现状.7 二、国内外数据保护政策、法律和标准.18（一）国际数据保护政策和法律.18（二）国内数据保护政策和法律.25（三）国内相关标准.31 三、金融数据保护治理重要关注领域.38（一）分类分级识别与保护.38（二）数据出域探究.46 四、金融数据保护治理体系.65（一）数据保护治理主要框架介绍.65（二）金融数据保护治理总体框架建议.71（三）组织建设.73（四）管理体系建设.75（五）技术支撑建设.89 五、发展展望.103 金融数据保护治理白皮书（一）聚焦实操问题，加快数据保护实施标准建设.103（二）优化数据保护技术，推动数据共享良性循环.104（三）强化数据安全评估，建立闭环式管控体系.104 附录 A：金融业数据保护治理实践案例.106 案例一：工商银行数据保护治理实践.106 案例二：光大银行数据保护治理实践.111 案例三：中国人寿数据保护治理实践.116 案例四：蚂蚁集团数据保护治理实践.119 附录 B：其他行业数据保护治理实践案例.127 案例一：沪杭甬高速工业互联网数据保护治理方案.127 案例二：基于隐私计算技术的政务数据保护和应用.132 附录 C：数据出域相关法律法规标准.137 金融数据保护治理白皮书 摘要：摘要：目前业界已出台数据保护方面的治理模型，但围绕金融数据保护治理的实践指导等尚不成熟，本课题围绕数据保护治理的金融实践、发展现状，探索和标准化相关能力要求，归纳总结相关建设范式，推进数据保护、治理在金融领域的研究应用。金融数据保护治理白皮书 1 一、概述（一）发展背景（一）发展背景 1.1.面临挑战，积聚风险面临挑战，积聚风险 随着信息科技的飞速发展，以数据为核心的数字经济正成为驱动全球经济增长的新动力。金融领域也是如此，国务院金融稳定发展委员会的数次会议上均提到要大力发展数字金融，数字技术驱动金融业变革和发展已是大势所趋。数字经济的不断发展，催生出海量数据。据 IDC 预测1，2025年全球数据量将高达175ZB2，其中中国的数据量预计将达 48.6ZB，占比 27.8%。面对数据量的爆炸式增长，数据来源的日益丰富，数据类型的不断创新，金融数据保护治理的广度、深度和难度与日俱增。金融业主体依据业务运营需要对个人和组织数据的获取、传递、使用、管理等诸多方面都不断推陈出新。数据在人们的金融生活中扮演越来越多样的角色，发挥越来越重要的作用。时至今日，不论是个人支付还是企业贷款，不论是城镇建设还是国家发展，不论是货币流通还是进出口贸易，社会生活的方方面面都流淌着金融数据的“血液”。包括互联网公司在内的泛金融机构利用自身的平台优势和业务粘性吸附并留存了大量的个人信息数据，不时有某某互联网公司数据泄露的新闻见诸报端，1 IDC，全称 International Data Corporation，是信息技术、电信行业和消费科技市场咨询、顾问和活动服务专业提供商。2 ZB 是一种大数据容量存储单位。金融数据保护治理白皮书 2 对合规监管带来了极大的挑战，安全风险不言而喻。美国Verizon3公司发布的2020 年数据泄露调查报告 DBIR4指出，55%的数据泄露事件涉及有组织犯罪，30%的数据安全事件源自企业内部。（1）金融数据安全风险的识别难度不断增大 由于“科技赋能金融”的金融科技发展迅速，不论新技术还是新场景都催生出新的安全风险。区块链、人工智能等新兴技术在金融科技领域的快速应用，疫情、洪灾等公共卫生事件和气象自然灾害的爆发带来的远程办公需求，臭名昭著的勒索软件等新兴攻击技术的持续演化等，内嵌新兴技术的创新应用场景在某种程度上增大了金融数据安全风险的识别难度，对金融数据保护治理提出了更高的要求。（2）金融数据安全风险的管控复杂度不断增加 金融数据安全概念范畴广泛，既有私密性又有公共性，例如个人金融信息带有强烈的私密属性，相较而言，金融监管过程中收集的数据又具有明显的公共属性。因此，金融数据特有的多重概念属性增大了金融数据保护治理的复杂度。（3）金融数据安全风险的危害程度不断提升 从业务的形态、逻辑和内涵等视角审视，当下的金融业务具有纷繁多样、交错关联、复杂深厚等特性，业务产生和涉及的各 3 Verizon 是美国最大的本地电话公司、最大的无线通信公司，全世界最大的印刷黄页和在线黄页信息的提供商。4 Verizon 公司自 2008 年以来的第 13 份数据泄露调查报告。透过这份报告可以观察到与数据泄露相关活动的趋势，许多重要发现和影响不仅适用于 IT 安全，同时也适用于 OT 安全。金融数据保护治理白皮书 3 类数据在业务内外部交互多、交互过程复杂，这给数据流转的管控增加了极大的难度。因此，金融业务的不断融合创新客观上提升了金融数据安全风险的危害程度。综上，金融数据的安全与否所关乎的利益愈发的纷繁复杂，带来的影响愈发地长久深远。金融数据生命周期的链条串起的数据流转节点上，每一家金融主体、每一位个体、每一个监管实体既是数字金融的受益者，也是金融风险的责任人与应对挑战的参战方。金融数据保护治理需依靠全面科学的框架规范、准确合理的技术手段、完整有效的落实方式，才能不断应对挑战，化解风险。2021 年 7 月，国家互联网信息办公室发布通知称，某出行 APP 存在严重违法违规收集使用个人信息问题。依据中华人民共和国网络安全法5相关规定，通知应用商店下架某出行 APP，这正是数据保护治理箭在弦上，势在必行的体现。2.2.数据立法，标准出台数据立法，标准出台 近年来，随着数据价值提升和数据安全事件频发，社会经济和国家安全面临严峻的挑战。个人信息泄露、行业间数据外泄等安全挑战不断发生。因此，全球主要国家和地区先后出台了数据安全与隐私保护的相关政策与标准，对数据的采集、传输、存储、使用、删除、销毁等全生命周期管理进行拘束和指引。这些政策法规的出台，一方面可以有效确保数据经济的良性发展，规避伴 5 网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律，自 2017 年 6 月 1 日起施行。金融数据保护治理白皮书 4 随数据经济发展可能造成的权利纠纷和侵害，破除数据内部潜在的深层次犯罪基础；另一方面，政策法规对数据安全提出了严格的要求，对各机构数据保护治理提出了新挑战。（1）各国先后出台数据相关政策，加强数据保护 美国分别于 2019 年 12 月和 2020 年 10 月发布了 联邦数据战略和 2020 年行动计划6和国防部数据战略7，阐述了其对数据在国家经济和安全领域的最新定位，同时还包括一系列促进数据发展和保护的战略举措。欧盟在 2018 年 5 月发布了约束极为严格的通用数据保护条例8（简称“GDPR”），此条例成为全球各国制定数据保护政策的重要参考，在一定程度上加速了数据保护治理领域的发展。2020 年 2 月，欧盟相继发布了 欧盟数字化战略 欧洲数据战略9和欧盟人工智能战略，表明要建立数据主权。英国政府于2020年9月发布了 国家数据战略，阐述了数据的作用和保护数据的措施。（2）国家不断强化数据定位，持续推进法制建设 国家对数据在我国经济社会发展中的作用和意义有着高瞻远瞩的认识。2017 年 12 月，习近平总书记在中共中央政治局就实施国家大数据战略进行的第二次集体学习中提出，“要构建以 6 2019 年 12 月 23 日，美国白宫行政管理和预算办公室(OMB)发布联邦数据战略与 2020 年行动计划。7 2020 年 10 月 8 日，美国国防部发布了首份数据战略，宣布要将国防部建设成为“以数据为中心的机构”。8 2018 年 5 月正式生效的（General Data Protection Regulation，简称 GDPR）标志着欧盟个人数据保护的力度升级，前身是欧盟在 1995 年制定的计算机数据保护法。9 2020 年 2 月 19 日，欧盟委员会发布欧洲数据战略(AEuropeanStrategyfordata)，该数据战略概述了欧盟未来五年实现数据经济所需的政策措施和投资策略。金融数据保护治理白皮书 5 数据为关键要素的数字经济。要切实保障国家数据安全，要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力”。随后，2019 年 10 月，党的十九届四中全会审议并通过的 中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定中指出，“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。推进要素市场制度建设，实现要素价格市场决定、流动自主有序、配置高效公平。”，首次给出了“数据”作为生产要素的定位。2020 年 4 月印发的中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见首次将数据定义成为同土地、劳动力、资本，和技术同等重要的第五大生产要素，并提出加快培育数据要素市场的三点意见。同年 5 月印发的中共中央国务院关于新时代加快完善社会主义市场经济体制的意见 进一步明确了加快培育数据要素市场，建立数据资源管理清单机制，完善数据权属界定、开放共享、交易流通等标准和措施，发挥社会数据资源价值等。法律法规层面，全国人大常委会先后出台了国家安全法10网络安全法11，并于 2021 年 6 月的第十三届全国人民代表大会常务委员会第二十九次会议上通过了 数据安全法12，2021 10 2015 年 7 月 1 日，第十二届全国人民代表大会常务委员会第十五次会议通过，中华人民共和国主席令第 29 号公布中华人民共和国国家安全法(简称国家安全法)，自公布之日起施行。11 中华人民共和国网络安全法(简称网络安全法)是我国第一部全面规范网络空间安全管理方面问题的基础性法律,自 2017 年 6 月 1 日起施行。12 中华人民共和国数据安全法(简称数据安全法)，自 2021 年 9 月 1 日起施行。金融数据保护治理白皮书 6 年 8 月历经三次审议的中华人民共和国个人信息保护法(以下简称“个人信息保护法”)获十三届全国人大常委会第三十次会议表决通过。这四部法律共同构成了我国整体数据保护体系的顶层设计。（3）金融数据关系国计民生，监管要求日臻清晰 金融数据保护方面，在数次会议上都提到金融基础设施、金融安全、金融数据保护治理、金融科技监管之间的交错关系，强调了在国家总体部署下，金融监管部门对金融数据保护治理的守土责任。为此，中国人民银行、银保监会、证监会等金融监管部门先后出台了一系列关于金融数据治理与安全的法规、意见和标准。2018 年 5 月，原银保监会发布银行业金融机构数据治理指引13。2018 年 9 月，中国证监会发布了证券期货业数据分类分级指引14证券期货业机构内部企业服务总线实施规范15期货市场客户开户数据接口16证券发行人行为信息内容格式17等四项金融数据标准。中国人民银行分别于 2020 年 2 月至2021 年 4 月期间，发布了个人金融信息保护技术规范18金融数据安全 数据分级指南19多方安全计算金融应用规范20、13 2018 年 5 月，原银保监会发布银行业金融机构数据治理指引，为商业银行搭建完善的数据治理体系提供了指引。14 证券期货业数据分类分级指引（JR/T 0158-2018）15 证券期货业机构内部企业服务总线实施规范（JR/T 0159-2018）16 期货市场客户开户数据接口（JR/T 0160-2018）17 证券发行人行为信息内容格式（JR/T 0163-2018）18 个人金融信息保护技术规范（JR/T 01712020）19 金融数据安全 数据分级指南（JR/T 01972020）20 多方安全计算金融应用规范（JR/T 01962020）金融数据保护治理白皮书 7 金融业数据能力建设指引21和金融数据安全 数据生命周期安全规范22等多部金融数据保护领域的技术标准。金融监管部门结合各自金融业务特点从金融数据保护治理的多个角度对涉及金融数据保护的诸多方面出台了具体标准，并且仍在不断丰富和完善中。政策的出台，一方面为金融业各方指明了金融数据应用的方向和边界，另一方面有效保护了金融数据权属主体的合法权益，对数据治理提出了新的要求。监管日渐趋严的内外部环境下，有必要对金融数据保护治理的要求进行梳理明晰，对数据保护治理的方式方法进行剖析论证，为管理、维护、使用金融数据的上下游机构和企业，推出符合当前政策要求和应用实际的金融数据保护治理体系建设策略。（二）发展现状（二）发展现状 1.1.分类分级是数据保护治理基础分类分级是数据保护治理基础 国家十四五规划和 2035 年远景目标建议中明确提出“加快数字化发展”，并强调了完善数据分类分级保护制度，制定数据隐私保护和安全审查制度，加强政务数据、企业商业秘密和个人信息保护的重要性。数据安全法一审稿对地方、部门制定重要数据目录做了规定。经宪法和法律委员会研究，建议在二审稿相关条款中规定，21 金融业数据能力建设指引(JR/T02182021)22 金融数据安全 数据生命周期安全规范(JR/T 0223-2021)金融数据保护治理白皮书 8 国家建立数据分类分级保护制度，确定重要数据目录，加强对重要数据的保护；各地区、各部门按照规定确定本地区、本部门，以及相关行业、领域的重要数据具体目录。在法律层面，国家已将分类分级作为数据保护治理的基础性要求，从强调重点管理提升为体系化管理。金融行业是数据密集型行业，金融数据作为生产要素的价值日益凸显。同时，金融业相关机构和实体存在数据质量不高、数据使用不当、数据保护不周、数据流转不畅等问题。金融数据内涵丰富，种类繁多，金融数据分类分级工作的开展过程实际上是金融业机构按照一定标准对其所拥有的数据资产进行梳理的过程。个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。金融数据安全 数据安全分级指南特别强调金融业机构应高度重视个人金融信息相关数据，在数据安全定级过程中从高考虑。不仅是国家法律和行业规范对数据分类分级提出相关要求，随着数据分类分级制度构建不断深化，越来越多的文件开始探索数据分类分级具体标准的明确，证监会于 2018 年 9 月 27 日发布的证券期货业数据分类分级指引（JR/T 0158-2018）、中国人民银行于 2020 年 2 月 13 日发布的 个人金融信息保护技术规范（JR/T 0171-2020）及工信部于 2020 年 2 月 27 日发布的工业数据分类分级指南（试行）、2020 年 9 月 28 日，中国人民银行印发金融数据安全 数据安全分级指南（JR/T 0197-2020），根金融数据保护治理白皮书 9 据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别由高到低划分为五级。因此，对数据资产进行梳理并开展数据安全分级是机构开展数据安全管理的起始点，是金融机构建立完善数据生命周期保护框架的基础，也是有的放矢地实施数据安全管理的前提条件。“安全+利用”是数据治理的共生形态，数据安全是总体国家安全的重要立足点，不同的数据类型对国家安全的影响度悬殊。关系国家安全、国民经济命脉、重要民生、重大公共利益等领域的数据属于国家核心数据，理应采取更加严格的管理制度进行保护。金融行业不仅要遵循国家法律法规的相关要求，推进数据分级分类保护体系的落地，更加需要结合金融业自身特点，科学合理的厘定级别和类别的层次和界限，为金融数据保护治理的有效实施提供坚实基础。2.2.个人信息保护是数据保护治理重要方面个人信息保护是数据保护治理重要方面 2021 年 1 月 1 日，中华人民共和国民法典正式实施，其中人格权编设立“隐私权和个人信息保护”专章，是构建数字时代个人信息和隐私保护的民法基础；个人信息保护法于 2021年 11 月 1 日起生效实施，明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规定，完善个人信息保护投诉、举报工作机制等。个人信息保护法构建以“告知-同意”为核心的个人信息处理规则，规范自动化决策中个人金融数据保护治理白皮书 10 信息处理规则，赋予个人关于个人信息保护的各项权利，强化个人信息处理者的义务，加大对侵犯个人信息行为的惩处力度。个人信息保护法明确了个人信息保护、合法正当诚信、处理必要、目的特定、知情同意、个体参与、保证质量、公开透明、安全保障和决策公平等十大原则。该法强调社会各界对待个人信息应采取必要的保护措施，并合法、正当、诚信地处理个人信息。该法同时对个人信息的收集、处理、保存等作出了严格限制，并强调使用个人信息目的的合理性和明确性，以及个体在个人信息处理中具有的法律地位和拥有的合法权益。个人信息保护作为金融数据保护的重要组成部分，其核心宗旨在于对个人意志的尊重，这也是金融数据保护治理的核心要义之一。金融数据保护治理从广义上讲是为了保障国家金融安全，从狭义上看，同样与我们每一个公民的信息保护息息相关，因此，个人信息保护在金融数据保护治理中承担着个人保护与总体安全的双重内涵。3.3.框架建设是数据保护治理范式框架建设是数据保护治理范式 数据保护是我国各行各业信息化建设的薄弱环节，在金融行业，生产数据被保护的比例仅有 15%；在政府，数据被保护的比例还不到 10%。2021 年全球数据保护指数（GDPI）显示，有 88%的中国 IT 决策者（全球 82%）担心其现有的数据保护解决方案无法满足未来所有的业务挑战。在数据治理与隐私保护的政策法金融数据保护治理白皮书 11 规上进行前瞻性研究，探索确立数据治理与隐私保护的中国原则、制度与框架，加快形成中国方案，已经刻不容缓。随着数字经济立法的逐步完善，以及数据保护技术的全方位发展，系统化的数据保护治理框架不断涌现，逐渐成为各行业数据保护治理建设实践的有效范式。数据保护治理是一项复杂的社会工程，涉及数据公开与隐私保护的关系、数据共享与数据权属的关系、数据权利与数据公平的关系，知识产权与数据产权的关系，需要找准国家、产业与个人共赢的立足点。数据保护建设以数据治理体系法治化为基础，将数据保护技术与数据保护管理融合在一起，综合业务、安全、网络等多部门多角色的诉求，总结归纳为系统化的思路和方法。数据保护建设以“让数据使用更安全”为愿景构建方法论，核心内容包括：金融数据保护治理白皮书 12 （1）满足数据安全保护、数据使用合规、敏感数据管理三个需求目标；（2）核心理念包括：数据分级分类、保护等级提升、角色合理授权、使用场景安全；数据安全法对企业的数据处理活动，提出了五项监管要求：第一，符合基础性的合规要求，包括建立企业数据安全管理制度，有相应的基础措施和管理措施。第二，对数据做等级保护，需要企业做等级保护测评和备案。第三，进行数据分级分类，企业要根据分类结果采取相应的管理措施。第四，识别核心数据和处理数据出境问题，比如年检、年报审计。第五，管理数据交易中介，中介要审核双方身份、流程交易记录、制定审核清单等。机构对关键业务的业务连续性要求越来越高，热数据的可靠性面临新挑战。很多机构当前系统数据保护等级低，没有做到双活或两地三中心保护。数据保护产业发展宣言23指出随着数据应用场景的不断演进，数据保护的范围越来越广、等级要求越来越高、数据规模越来越大、保留时间越来越长，需要全面提升数据保护的规格并围绕数据生命周期提供全面保护。（3）数据保护治理的建设步骤包括：组织构建、资产梳理、合规指引、策略制定、过程控制、行为稽核和持续改善等；23 2021 年 3 月 30 日发布，呼吁社会提升对数据基础设施灾难保护能力建设关注度，推动数据灾备产业标准建设。金融数据保护治理白皮书 13 数据治理是一个有机整体，要在国家战略、法律法规、技术保障、标准建设、行业自律、企业管理等方面同时发力。监管部门如何给企业提供更多、更详细的合规指引、操作规范，提升企业数据保护和利用的内驱力是关键。企业通过制定内部规章制度，设置专门的监管部门或监管人员，严格保护信息安全。定期开展内部审查，评估信息保护状况和安全等级，自觉遵守道德和法律规范收集和使用数据，自觉承担起保护隐私安全的责任，加强企业自律，实现企业自身的长远发展和市场的健康发展。公众更倾向于把信息提供给信任的企业帮助企业提高服务质量，形成良性循环。（4）核心实现框架为数据保护的人员组织、数据保护的策略和流程、数据保护的技术支撑三大部分。制定有效的数据保护策略，建议：定期进行数据保护就绪性检查，既要重视生产数据，也要重视备份数据，定期做恢复的演练；将提升网络弹性列为首要任务，遭遇攻击不仅会造成业务的瘫痪，且会被索要高额的赎金。有效的数据保护包括“三不”：不因异常情况导致数据不能被使用，不因不可控因素（如数据误删除、病毒等）导致数据不能被恢复，不因时间流逝导致数据丢失不能被访问。金融数据保护建设框架应秉持“用户授权、最小必要、专事专用、全程防护”的原则，由于金融数据资产庞大，涉及的数据使用方式多样化，数据使用角色繁杂，金融数据保护治理面临数金融数据保护治理白皮书 14 据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。建设金融数据安全保障体系需“技术”与“管理”并重，通过技术手段与管理措施双管齐下，基于数据全生命周期构建数据安全指标，借助丰富的数据安全监测及快速响应机制，通过技术手段构建金融数据保护治框架，以实现金融数据全生命周期的信息脱敏、安全隔离、权限管控，严防用户数据泄露、篡改和滥用，确保数据安全和消费者的隐私保护。各类数据保护治理系统的建设框架24为数据保护治理的有序实施提供了不同思路和实践路径。数据保护治理框架建设作为数据保护治理的范式在金融行业中进行推广是科学保护金融数据的有效路径。4.4.标准与技术研究是数据保护治理趋势标准与技术研究是数据保护治理趋势 信息技术的飞速发展和迭代裹挟着数据利用和数据保护的“矛与盾”技术不断翻新，倒逼强数据行业持续地开展数据保护技术研究。研究成果的标准化又确保最新的数据保护治理理念和措施能够在行业内统一落地见效。数据安全法明确了国家坚持“维护数据安全”与“促进数据开发利用”并重的立法与监管理念。工业和电信行业急需从基础性制度层面，加快构建适应行业安全挑战特点的数据安全管理体系。2021 年 9 月 30 日，工业和信息化领域数据安全管理 24 详见第三章节数据保护治理框架简要介绍 金融数据保护治理白皮书 15 办法（试行）（以下简称管理办法）面向社会公开征求意见。管理办法拟通过建立完善数据分类分级、监测预警与应急管理、数据全生命周期安全管理等制度机制，实施重要数据和核心数据的重点保护，提升数据安全风险事前感知和事后处置能力，加强数据处理活动流程性安全管理。敏感数据识别发现技术正向智能化发展，主流数据安全厂商通过算法的创新、融合等手段提升敏感数据的识别能力和精度，并利用人工智能技术实现自动化，现在很多敏感数据的识别都可以通过人工智能和机器学习技术提供实施。2020 年 8 月，工信部曾公开征求对电信和互联网行业数据安全标准体系建设指南（征求意见稿）的意见。征求意见稿表示，在基础共性标准、关键技术标准、安全管理标准的基础上，结合新一代信息通信技术发展情况，重点在 5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局，并结合行业发展情况，逐步覆盖其他重要领域。结合重点领域自身发展情况和数据安全保护需求，制定相关数据安全标准。到 2023 年，工信部计划研制数据安全行业标准 50 项以上，健全完善的电信和互联网行业数据安全标准体系，标准的技术水平、应用效果和国际化程度显著提高，有力支撑行业数据安全保护能力提升。金融数据保护治理白皮书 16 2021 年 7 月 1 日，数据安全治理能力评估方法正式实施，提出了数据保护治理能力评估的框架，规定了数据保护治理能力的框架，从组织建设、制度流程、技术工具、人员能力等四个维度定义了 18 个能力项的评估方法，覆盖数据保护治理的全生命周期。原银保监会 2021 年 9 月 23 日发布商业银行监管评级办法，对银行监管评级体系进行了全面升级，将“数据治理”及“机构差异化”两项全新要素纳入了评价体系。除了法规政策以及监管机制的不断完善，数据安全产业生态建设也正在稳步推进。2020 年 12 月四部门印发关于加快构建全国一体化大数据中心协同创新体系的指导意见，到 2025年，全国范围内数据中心形成布局合理、绿色集约的基础设施一体化格局。强化大数据安全防护，推动核心技术突破及应用。围绕服务器芯片、云操作系统、云数据库、中间件、分布式计算与存储、数据流通模型等环节，加强对关键技术产品的研发支持。鼓励 IT 设备制造商、数据中心和云服务提供商、数字化转型企业等产业力量联合攻关，加快科技创新突破和安全可靠产品应用。同时，政府积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落地。在政务、金融、交通、医疗等各行各业数据安全防护都在逐渐得到广泛应用。我国各部门组织针对数据安全问题，正通过设立相关学科与研究院、设立培训考核等方式，大力加强数据安全人才队伍建设。伴随着国家对数据安全的重视，和数据安全以及网络安全相关的企业这两年来也呈现爆发金融数据保护治理白皮书 17 式增长。10 月 12 日 IDC 发布2021 上半年中国 IT 安全服务市场跟踪报告显示，2021 上半年中国 IT 安全服务市场厂商整体收入约为 11.1 亿美元，厂商收入规模较去年同期实现翻倍增长，涨幅高达 110%，较 2019 年同比增长 38%。金融数据保护治理同样需要秉持标准建设和技术研究两条腿赶路的稳健方式，才能不断吸收最新的数据保护治理技术，并在标准化范围内扎实推广，实现全行业数据的有序有效保护和治理。金融数据保护治理白皮书 18 二、国内外数据保护政策、法律和标准（一）国际数据保护政策和法律（一）国际数据保护政策和法律 1.1.通用数据保护条例（通用数据保护条例（GDPRGDPR）当前，全球已有近 100 个国家和地区制定了个人信息保护的法律，个人信息保护专项立法已成为国际惯例。欧盟于 2018 年5 月 25 日正式实施的通用数据保护条例（GDPR）被称为是史上最严的个人信息保护法，成为全球个人数据安全立法中极具标志性的一部法案。同时，各国的个人信息保护相关法律大多以GDPR 为蓝本，我国的中华人民共和国民法典与中华人民共和国数据安全法中华人民共和国个人信息保护法，以及多数国家及行业标准、行政指令等都引用并借鉴了 GDPR 的很多优秀做法。（1）GDPR 背景 欧洲个人信息保护的历史最早可以追溯到 1948 年的联合国世界人权宣言25。宣言指出“任何人的隐私、家庭、住宅或通信不应受到任意干涉，也不应受到对其荣誉和名誉的攻击。人人有权得到法律保护，免遭此类干涉或攻击”。1950 年颁布的欧洲人权公约26规定：“任何人享有私人、家庭生活及其各项通信被尊重的权利。”这被认为是欧洲第一代个人信息保护法。25 European Convention on Human Rights:https:/www.echr.coe.int/Documents/Convention_ENG.pdf 26 European Convention on Human Rights:https:/www.echr.coe.int/Documents/Convention_ENG.pdf 金融数据保护治理白皮书 19 当代的个人信息保护，包括将隐私作为人权的概念，源于欧洲对保护个人免受其起源或特殊性的压迫的重要性的反思。1980年，经合组织制定的 保护隐私和个人数据越境流动准则（OECD）27，这是第一个主要的非约束性文本，为现代个人信息保护奠定了基础。1981 年 1 月 28 日，欧洲委员会通过了关于自动处理个人数据的保护个人的公约28，被命名为第 108 号公约，决议的重点是电子数据库中的个人信息。1995 年 10 月 24 日，欧洲议会和理事会发布关于处理个人数据和此类数据自由流动方面保护个人的 95/46/EC 指令29（又称 95 指令），该指令有两个目标：促进成员国之间的个人数据保护，以及促进成员国之间的个人数据自由流动。（2）GDPR 发布 在上述历史背景下，通用数据保护条例（GDPR）30于 2012年 1 月由欧盟委员会立法提案，历经四年的审议与修订，于 2016年 4 月 27 日签署最终法案，2016 年 5 月 25 日生效。经过两年的宽限期，2018 年 5 月 25 日，通用数据保护条例直接适用于所有成员国和全球其他相关国家。27 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(Updated in 2013),https:/www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm 28 The Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，https:/www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108?module=treaty-detail&treatynum=108 29 Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data,https:/ec.europa.eu/eip/ageing/standards/ict-and-communication/data/directive-9546ec_en.html 30 General Data Protection Regulation,https:/eur-lex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX:32016R0679 金融数据保护治理白皮书 20 GDPR 在数据保护指令的基础之上，对各成员国的监督协调加入了新规定，要求成员国应将 GDPR 与本国法律结合起来，设立专门负责机构保障其实施。GDPR 旨在保护自然人的基本权利和自由，规定了细致的数据主体权利以及数据控制、处理者义务等具体内容，采取“长臂”管辖原则，对违反条例的行为设定了高额罚款。（3）GDPR 的重大影响 尽管 GDPR 是一个区域性法律规范，但是其施行对于各国立法都有着重要的影响。（a）数据主体权益保护从被动/事后管理变为预先管控。各国数据立法主流采纳了 GDPR 的自证清白模式，数据控制者、数据处理者或共同控制者31需要预先进行隐私设计及影响性评估，才能做到自证清白。（b）明确了“数据是什么”，数据是人权的自然延伸部分，数据的管理等同财产管理。因此全球各国均采取了长臂管辖与高额处罚：一是数据是跨境流动的，违反者进行处罚也是跨境实施的（从“属地主义”到“属人主义”）；二是罚款额度是年度全球营业额 4%或 2000 万美元，以高者为准。（c）GDPR 合规性成为企业数据治理的考核标准之一。数据保护影响评估（DPIA）保证数据全生命周期的数据合规遵从高 31 GDPR 中参与主体在数据处理活动中的角色通常包括数据控制者（data controller）、数据处理者（data processor）、共同数据控制者（joint controller）。数据控制者有决定数据处理的目的与方式的权利。数据处理者与数据控制者是不同主体，代表数据控制者处理个人数据。共同控制是指多个参与主体共同决定数据处理的目的与方式。金融数据保护治理白皮书 21 度敏感数据访问必须可审计等。我国国家推荐性标准信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)，为 GDPR下 DPIA 映射至国内个人信息安全影响评估（PIA）工作的参考依据。（d）催生“数据保护官”、“数据隐私官”等专职岗位/资质认证。企业需要建立可问责的数据保护责任，通过数据全生命周期的隐私保护设计来实现主动/预先管控，而非事后补救，这就是主动合规的概念。（e）明确自然人的数据权利。数据主体权益保护将作为默认设置，目前美国只有 4%的 iOS 用户在苹果隐私新政后允许应用程序跟踪他们。（f）自然人数据权利可申请司法救济。在 GDPR 项下，当数据控制者或者处理者违反相关规定，未遵守数据处理的基本原则和合法事由的规定，对数据主体的权利造成损害时，数据主体有权直接向监管机构进行投诉，监管机构可决定向其提供司法救济渠道，以及是否对违规主体进行行政处罚。2.2.主要国家相关法律主要国家相关法律 2020年，世界各地围绕数据隐私立法出现了一些重大进展，疫情引发的“新常态”带来了围绕数据隐私的新担忧，全球已有130 个国家进行了数据隐私立法，严格程度趋同于 GDPR。无论是数字化的联系追踪还是社交距离的执行，无论是健康的数字化还是网络购物，无论是在家办公还是在线教育，流行病引发的数字金融数据保护治理白皮书 22 化加速，都在不断地将我们推向数字领域，这使得在 2021 年制定严格的数据隐私法的理由更加充分。美国：2018 年 6 月 28 日，加州立法机构通过了2018 年加州消费者隐私法案（CCPA），该法案让消费者对企业收集的个人信息有了更多的控制权，并在 2020 年 1 月 1 日生效。2020 年11 月，通过了加州隐私权利法案（CPRA），并于 2023 年 1月 1 日生效，该法案对按照 GDPR 要求对 CCPA 进行了补充，除了为更多的消费者权利和新的消费者个人信息类别让路外，还设立了一个新的隐私执行机构。巴西：一般数据保护法（Lei Geral de Proteo de Dados Pessoais，LGPD）于 2020 年 9 月 16 日生效。政府还批准成立一个国家级的数据保护机构-Autoridade Nacional de Proteo de Dados(ANDP)-将负责执行 LGPD。ANDP 的建立是颁布法律的重要举措，使透明度变得至关重要。LGPD 将个人数据持有者的同意和他/她的访问权置于中心位置，并要求处理数据的组织在巴西建立处理个人数据的法律基础，并遵守跨境数据传输限制，企业还必须提供详细的隐私声明和数据泄露通知的更新。加拿大：2020 年 11 月 17 日，加拿大政府提出了 C-11 法案，即众所周知的数字宪章实施法（DCIA Digital Charter Information Act），该法案将使北美国家对其数据隐私政策进行修订。该法案的目的和目标将与全球其他数据隐私法规（例如金融数据保护治理白皮书 23 GDPR 和 CCPA）保持一致。例如，公司将面临最严重罪行的罚款，最高可达全球收入的 5或 2500 万美元（以较高者为准）。新西兰：隐私法于 2020 年 12 月 1 日生效，取代了 1993年隐私法。新法适用于在新西兰境内“开展业务”过程中收集个人信息的境内与境外组织，并要求收集个人数据的企业在发生隐私泄露的情况下，必须通知受影响的个人以及隐私专员办公室（OPC），否则每次违规将面临高达 1 万新西兰元的重罚。OPC负责帮助组织和企业了解和应对与跨境转移新西兰境内收集的个人数据相关的新义务。使用离岸云提供商或其他第三方来存储或处理数据，只要第三方不将该信息用于自己的目的，就不会被视为披露。新加坡：2020 年，新加坡议会通过了对 个人数据保护法（PDPA）修正案。修正案赋予新加坡个人