金融数据保护治理白皮书 北京金融科技产业联盟 2023 年 6 月 版权声明 本报告版权属于北京金融科技产业联盟，并受法律保护。转 载、编摘或利用其他方式使用本报告文字或观点的，应注明来源。 违反上述声明者，将被追究相关法律责任。 编制委员会 编委会成员： 何 军 聂丽琴 高鸿升 编写组成员： 夏雯君 武利娟 邱晓慧 孙 璞 李松涛 隆 峰 高强裔 吴紫园 马冰珂 秦 凯 王云河 靳 晨 居 何东杰 夏子超 刘 巍 曹 纪佰川 李武璐 何 浩 高志民 马晓丹 俞圣雨 陈 明 黄玺磊 杨 波 李 达 张 开 李 杰 隗 樊 庄媛媛 丁 俨 郭 栋 孙 瑜 刘占明 王 雪 靳 新 曲远汶 杨 扬 编 审： 黄本涛 郭 栋 崑 刘宝龙 伟 金融数据保护治理白皮书 参编单位： 北京金融科技产业联盟秘书处 中国工商银行股份有限公司 北京银联金卡科技有限公司 中金金融认证中心有限公司 北京国家金融科技认证中心有限公司 蚂蚁科技集团股份有限公司 中电金信软件有限公司 华控清交信息科技（北京）有限公司 成方金融信息技术服务有限公司 中国银联云计算中心 交通银行股份有限公司 中国光大银行股份有限公司 中国人寿保险（集团）公司 建信金融科技有限责任公司 深圳市洞见智慧科技有限公司 华为技术有限公司 南京三百云信息科技有限公司 同盾科技有限公司 深圳市腾讯计算机系统有限公司 金融数据保护治理白皮书 目 录 一、 概述 ............................................ 1 （一）发展背景 ..................................... 1 （二）发展现状 ..................................... 7 二、 国内外数据保护政策、法律和标准 ................. 18 （一）国际数据保护政策和法律 ...................... 18 （二）国内数据保护政策和法律 ...................... 25 （三）国内相关标准 ................................ 31 三、金融数据保护治理重要关注领域 .................... 38 （一）分类分级识别与保护 .......................... 38 （二）数据出域探究 ................................ 46 四、金融数据保护治理体系 ............................ 65 （一）数据保护治理主要框架介绍 .................... 65 （二）金融数据保护治理总体框架建议 ................ 71 （三）组织建设 .................................... 73 （四）管理体系建设 ................................ 75 （五）技术支撑建设 ................................ 89 五、发展展望 ....................................... 103 金融数据保护治理白皮书 （一）聚焦实操问题，加快数据保护实施标准建设 ..... 103 （二）优化数据保护技术，推动数据共享良性循环 ..... 104 （三）强化数据安全评估，建立闭环式管控体系 ....... 104 附录 A：金融业数据保护治理实践案例 ................. 106 案例一：工商银行数据保护治理实践 ................. 106 案例二：光大银行数据保护治理实践 ................. 111 案例三：中国人寿数据保护治理实践 ................. 116 案例四：蚂蚁集团数据保护治理实践 ................. 119 附录 B：其他行业数据保护治理实践案例 ............... 127 案例一：沪杭甬高速工业互联网数据保护治理方案 ..... 127 案例二：基于隐私计算技术的政务数据保护和应用 ..... 132 附录 C：数据出域相关法律法规标准 ................... 137 金融数据保护治理白皮书 摘要：目前业界已出台数据保护方面的治理模型，但围绕金 融数据保护治理的实践指导等尚不成熟，本课题围绕数据保护治 理的金融实践、发展现状，探索和标准化相关能力要求，归纳总 结相关建设范式，推进数据保护、治理在金融领域的研究应用。 金融数据保护治理白皮书 一、概述 （一）发展背景 1.面临挑战，积聚风险 随着信息科技的飞速发展，以数据为核心的数字经济正成为 驱动全球经济增长的新动力。金融领域也是如此，国务院金融稳 定发展委员会的数次会议上均提到要大力发展数字金融，数字技 术驱动金融业变革和发展已是大势所趋。 1 数字经济的不断发展，催生出海量数据。据 IDC 预测 ，2025 2 年全球数据量将高达 175ZB ， 其中中国的数据量预计将达 48.6ZB， 占比 27.8%。面对数据量的爆炸式增长，数据来源的日益丰富， 数据类型的不断创新，金融数据保护治理的广度、深度和难度与 日俱增。金融业主体依据业务运营需要对个人和组织数据的获取、 传递、使用、管理等诸多方面都不断推陈出新。数据在人们的金 融生活中扮演越来越多样的角色，发挥越来越重要的作用。 时至今日，不论是个人支付还是企业贷款，不论是城镇建设 还是国家发展，不论是货币流通还是进出口贸易，社会生活的方 方面面都流淌着金融数据的“血液”。包括互联网公司在内的泛 金融机构利用自身的平台优势和业务粘性吸附并留存了大量的 个人信息数据，不时有某某互联网公司数据泄露的新闻见诸报端， 1 IDC，全称 International Data Corporation，是信息技术、电信行业和消费科技市场咨询、顾问和活动服务 专业提供商。 2 ZB 是一种大数据容量存储单位。 1 金融数据保护治理白皮书 对合规监管带来了极大的挑战，安全风险不言而喻。美国 3 4 Verizon 公司发布的《2020 年数据泄露调查报告 DBIR》 指出， 55%的数据泄露事件涉及有组织犯罪，30%的数据安全事件源自企 业内部。 （1） 金融数据安全风险的识别难度不断增大 由于“科技赋能金融”的金融科技发展迅速，不论新技术还 是新场景都催生出新的安全风险。区块链、人工智能等新兴技术 在金融科技领域的快速应用，疫情、洪灾等公共卫生事件和气象 自然灾害的爆发带来的远程办公需求，臭名昭著的勒索软件等新 兴攻击技术的持续演化等，内嵌新兴技术的创新应用场景在某种 程度上增大了金融数据安全风险的识别难度，对金融数据保护治 理提出了更高的要求。 （2） 金融数据安全风险的管控复杂度不断增加 金融数据安全概念范畴广泛，既有私密性又有公共性，例如 个人金融信息带有强烈的私密属性，相较而言，金融监管过程中 收集的数据又具有明显的公共属性。因此，金融数据特有的多重 概念属性增大了金融数据保护治理的复杂度。 （3） 金融数据安全风险的危害程度不断提升 从业务的形态、逻辑和内涵等视角审视，当下的金融业务具 有纷繁多样、交错关联、复杂深厚等特性，业务产生和涉及的各 3 Verizon 是美国最大的本地电话公司、最大的无线通信公司，全世界最大的印刷黄页和在线黄页信息的提供 商。 4 Verizon 公司自 2008 年以来的第 13 份数据泄露调查报告。透过这份报告可以观察到与数据泄露相关活动的趋 势，许多重要发现和影响不仅适用于 IT 安全，同时也适用于 OT 安全。 2 金融数据保护治理白皮书 类数据在业务内外部交互多、交互过程复杂，这给数据流转的管 控增加了极大的难度。因此，金融业务的不断融合创新客观上提 升了金融数据安全风险的危害程度。 综上，金融数据的安全与否所关乎的利益愈发的纷繁复杂， 带来的影响愈发地长久深远。金融数据生命周期的链条串起的数 据流转节点上，每一家金融主体、每一位个体、每一个监管实体 既是数字金融的受益者，也是金融风险的责任人与应对挑战的参 战方。 金融数据保护治理需依靠全面科学的框架规范、准确合理的 技术手段、完整有效的落实方式，才能不断应对挑战，化解风险。 2021 年 7 月，国家互联网信息办公室发布通知称，某出行 APP 存 在严重违法违规收集使用个人信息问题。依据《中华人民共和国 5 网络安全法》 相关规定，通知应用商店下架某出行 APP，这正是 数据保护治理箭在弦上，势在必行的体现。 2.数据立法，标准出台 近年来，随着数据价值提升和数据安全事件频发，社会经济 和国家安全面临严峻的挑战。个人信息泄露、行业间数据外泄等 安全挑战不断发生。因此，全球主要国家和地区先后出台了数据 安全与隐私保护的相关政策与标准，对数据的采集、传输、存储、 使用、删除、销毁等全生命周期管理进行拘束和指引。这些政策 法规的出台，一方面可以有效确保数据经济的良性发展，规避伴 5 网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律，自 2017 年 6 月 1 日起施行。 3 金融数据保护治理白皮书 随数据经济发展可能造成的权利纠纷和侵害，破除数据内部潜在 的深层次犯罪基础；另一方面，政策法规对数据安全提出了严格 的要求，对各机构数据保护治理提出了新挑战。 （1） 各国先后出台数据相关政策，加强数据保护 美国分别于 2019 年 12 月和 2020 年 10 月发布了《联邦数据 6 7 战略和 2020 年行动计划》 和《国防部数据战略》 ，阐述了其对 数据在国家经济和安全领域的最新定位，同时还包括一系列促进 数据发展和保护的战略举措。欧盟在 2018 年 5 月发布了约束极 8 为严格的《通用数据保护条例》 （简称“GDPR”），此条例成为 全球各国制定数据保护政策的重要参考，在一定程度上加速了数 据保护治理领域的发展。2020 年 2 月，欧盟相继发布了《欧盟数 9 字化战略》《欧洲数据战略》 和《欧盟人工智能战略》，表明要 建立数据主权。 英国政府于 2020 年 9 月发布了《国家数据战略》 ， 阐述了数据的作用和保护数据的措施。 （2） 国家不断强化数据定位，持续推进法制建设 国家对数据在我国经济社会发展中的作用和意义有着高瞻 远瞩的认识。2017 年 12 月，习近平总书记在中共中央政治局就 实施国家大