金融業(yè)對智能數(shù)據(jù)脫敏的要求有哪些？

基于國家及業(yè)內(nèi)關(guān)于數(shù)據(jù)安全保護的規(guī)章制度，從數(shù)據(jù)服務(wù)、數(shù)據(jù)流通、數(shù)據(jù)管理三個角度，探討了金融業(yè)對智能數(shù)據(jù)脫敏的要求，以確保敏感數(shù)據(jù)在使用、傳遞、留存時的安全性。

一、數(shù)據(jù)服務(wù)安全要求

在數(shù)據(jù)服務(wù)層面，金融機構(gòu)通過數(shù)據(jù)脫敏技術(shù)，構(gòu)建了多層次的用戶隱私與數(shù)據(jù)安全保障體系。在提供數(shù)據(jù)服務(wù)的過程中，數(shù)據(jù)脫敏能夠顯著降低數(shù)據(jù)泄露風(fēng)險，確保敏感信息的安全性。數(shù)據(jù)服務(wù)主要涵蓋業(yè)務(wù)數(shù)據(jù)查詢、客戶數(shù)據(jù)分析、投資風(fēng)險管理等場景。

1.合規(guī)合法性 從“個人金融信息” 3的概念提出，到金融業(yè)數(shù)據(jù)工作的五大基本原則 4的確立，及至今年《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》的征集 5，不斷完善和嚴(yán)格的法律規(guī)章制度體現(xiàn)出監(jiān)管機構(gòu)對金融敏感數(shù)據(jù)的愈發(fā)重視。這要求金融機構(gòu)在使用數(shù)據(jù)提供服務(wù)前，如客戶的身份信息、財務(wù)數(shù)據(jù)等敏感數(shù)據(jù)需要根據(jù)《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》等法規(guī)在數(shù)據(jù)的原有形態(tài)上進行脫敏，以確保所見數(shù)據(jù)的合法、正當(dāng)。例如對身份證號碼、銀行賬號等數(shù)據(jù)進行掩碼處理，以降低泄露風(fēng)險。

2.精細(xì)化數(shù)據(jù)控制 客戶金融信息在完成數(shù)據(jù)分析后，可被應(yīng)用于個性化推薦或金融數(shù)字產(chǎn)品的投資風(fēng)險管理中。在此過程中，智能數(shù)據(jù)脫敏技術(shù)需嚴(yán)格遵循“最小必要原則”，實施精細(xì)化脫敏處理，僅提供完成業(yè)務(wù)目標(biāo)所需的基本信息，并對非必要展示的敏感數(shù)據(jù)進行脫敏。例如，在對可疑交易進行反洗錢監(jiān)控和審查時，系統(tǒng)傳遞給審查人員的交易數(shù)據(jù)需對客戶的敏感信息（如住址、身份證號等）進行脫敏處理，確保僅必要的賬戶交易信息可被查看，從而在滿足業(yè)務(wù)需求的同時，最大程度保護用戶隱私。此外，脫敏后的數(shù)據(jù)需保持統(tǒng)計代表性和分析有效性。這對智能數(shù)據(jù)脫敏技術(shù)提出了更高的要求：在確保數(shù)據(jù)業(yè)務(wù)特點得以保留的同時，還需對隱私信息進行有效保護。

3.實時性和多樣性需求 在金融科技領(lǐng)域，快速和簡便的操作是用戶選擇金融產(chǎn)品的標(biāo)準(zhǔn)，而“低用戶感知”是確保用戶體驗和滿意度的關(guān)鍵。為此在實時數(shù)據(jù)服務(wù)（如在線支付、跨行轉(zhuǎn)賬、反欺詐服務(wù)等）中，需要做到實時脫敏處理。智能數(shù)據(jù)脫敏技術(shù)應(yīng)具備低延遲性，確保不影響服務(wù)的實時響應(yīng)。此外，隨著可被采集的用戶信息日益多樣化，金融信息的數(shù)據(jù)結(jié)構(gòu)也趨向復(fù)雜化。這就要求脫敏技術(shù)具備一定的柔性，在快速處理結(jié)構(gòu)化數(shù)據(jù)的基礎(chǔ)上，能夠靈活處理半結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)。

二、數(shù)據(jù)流通安全要求

數(shù)據(jù)流通的安全強調(diào)在數(shù)據(jù)共享、交易和傳輸過程中保護數(shù)據(jù)的安全性和隱私性。涉及金融數(shù)據(jù)在不同環(huán)境、系統(tǒng)甚至機構(gòu)之間的傳遞。

1.跨環(huán)境、系統(tǒng)數(shù)據(jù)共享的“分級信任”策略金融系統(tǒng)常存在生產(chǎn)、開發(fā)和測試等多套環(huán)境。生產(chǎn)環(huán)境直接服務(wù)客戶，進行實際業(yè)務(wù)操作。開發(fā)、測試環(huán)境用于新功能開發(fā)以及單元、集成測試，以防止功能上線時出現(xiàn)問題產(chǎn)生實際影響。數(shù)據(jù)驗證環(huán)境高度模擬生產(chǎn)的環(huán)境，用于監(jiān)管報送等重要金融場景，使用仿真數(shù)據(jù)以確保測試結(jié)果準(zhǔn)確性。此時應(yīng)遵守跨環(huán)境的“分級信任”策略，根據(jù)請求環(huán)境、用戶的重要性等級，對不同訪問申請進行多層審批和多次身份驗證和權(quán)限校驗，確保數(shù)據(jù)在不同環(huán)境間傳遞時的安全，防止數(shù)據(jù)未經(jīng)授權(quán)的訪問。由于金融機構(gòu)業(yè)務(wù)范圍廣泛，客戶數(shù)據(jù)通常被多維度地存儲在不同的系統(tǒng)中。為構(gòu)建準(zhǔn)確的用戶畫像，數(shù)據(jù)要在多個系統(tǒng)和部門之間流動，甚至涉及到對外合作伙伴之間的數(shù)據(jù)共享。敏感數(shù)據(jù)在流通時，可能因安全漏洞等問題發(fā)生數(shù)據(jù)泄密。可以將數(shù)據(jù)存儲在一個集中管理的數(shù)據(jù)平臺，傳遞時遵循“分級信任”策略，根據(jù)請求系統(tǒng)的重要性提供差異化的信息展示。例如，給核心業(yè)務(wù)系統(tǒng)提供的業(yè)務(wù)數(shù)據(jù)保留更高的精度，而在外部系統(tǒng)中，僅展示脫敏后的結(jié)果。另外，可根據(jù)數(shù)據(jù)的重要程度，通過流量限制控制大規(guī)模敏感數(shù)據(jù)的傳輸，以保證數(shù)據(jù)安全。對于跨組織的數(shù)據(jù)流通，脫敏處理的方式要更加嚴(yán)格，如采用不可逆加密方式，保證數(shù)據(jù)即使被截獲也無法被利用。另外，為了防止由于外部調(diào)用導(dǎo)致的敏感數(shù)據(jù)外泄，基于API進行數(shù)據(jù)交換的場景中可加入對數(shù)據(jù)接口的管控。

2.跨地區(qū)、跨境數(shù)據(jù)傳輸?shù)暮弦?guī)性跨境數(shù)據(jù)流動在金融機構(gòu)全球化發(fā)展的今天變得更加普遍。這要求數(shù)據(jù)在跨境傳輸過程中能夠滿足不同國家和地區(qū)的數(shù)據(jù)保護法規(guī)（例如 GDPR、CCPA、PIPEDA 6）。為降低違反不同地區(qū)法規(guī)的風(fēng)險，智能脫敏技術(shù)應(yīng)使脫敏后的數(shù)據(jù)不具備個人可識別性。如客戶交易數(shù)據(jù)在跨地區(qū)、跨境傳輸前，剔除其中能夠直接識別個人身份的信息，如姓名、身份號碼等，并加密其他隱私信息，以減少因侵害客戶隱私而導(dǎo)致違反當(dāng)?shù)胤煞ㄒ?guī)的風(fēng)險。

3.動態(tài)脫敏與數(shù)據(jù)可跟蹤性客戶數(shù)據(jù)在流通過程中，信息被頻繁地訪問、傳輸和修改，要求數(shù)據(jù)脫敏時應(yīng)有動態(tài)加工的能力。脫敏策略需要根據(jù)具體的業(yè)務(wù)場景，在數(shù)據(jù)從一個部門流向另一個部門的過程中調(diào)整。不同的數(shù)據(jù)用戶，根據(jù)其權(quán)限和需求，獲取的敏感信息應(yīng)有所區(qū)別。比如客戶數(shù)據(jù)、交易數(shù)據(jù)是為客戶經(jīng)理展示的非脫敏信息，而與信貸風(fēng)險相關(guān)的信息則是風(fēng)控部門訪問的非脫敏信息。為此，智能數(shù)據(jù)脫敏技術(shù)應(yīng)具備根據(jù)不同訪問用戶對數(shù)據(jù)進行實時脫敏的能力。 同時，數(shù)據(jù)流通過程中的可追蹤性也很重要，為確保數(shù)據(jù)在各個節(jié)點上的運行都可以被追溯，數(shù)據(jù)的傳輸路徑應(yīng)是可記錄的。此外，數(shù)據(jù)跟蹤能夠提高數(shù)據(jù)的可信度和質(zhì)量，在問題發(fā)生時能夠清晰責(zé)任歸屬，優(yōu)化業(yè)務(wù)流程。

三、數(shù)據(jù)管理安全要求

數(shù)據(jù)存儲劃分為在線區(qū)、近線區(qū)和離線區(qū)數(shù)據(jù)7，以達(dá)到兼顧不同數(shù)據(jù)服務(wù)場景訪問效率和經(jīng)濟化數(shù)據(jù)使用成本的目標(biāo)。本節(jié)主要聚焦于近線區(qū)和離線區(qū)數(shù)據(jù)在存儲、歸檔和銷毀時的管理要求。

1.數(shù)據(jù)存儲中的去標(biāo)識化處理數(shù)據(jù)存儲中的去標(biāo)識化處理主要應(yīng)用于數(shù)據(jù)庫中的近線區(qū)數(shù)據(jù)，該部分?jǐn)?shù)據(jù)通常趨于靜態(tài)存儲，不再頻繁更新或訪問，這部分?jǐn)?shù)據(jù)也是數(shù)據(jù)管理過程中最容易造成大規(guī)模數(shù)據(jù)外泄的風(fēng)險點。智能數(shù)據(jù)脫敏技術(shù)需對存儲的敏感數(shù)據(jù)進行去識別化或加密處理，以防止敏感信息在存儲過程中泄露。例如，將客戶的身份信息與交易數(shù)據(jù)加密后分開存儲，確保不能直接識別客戶的完整信息，即使單個數(shù)據(jù)集泄露，也無法識別客戶的完整信息。另外，大型金融機構(gòu)通常會建立雙活環(huán)境、災(zāi)備環(huán)境以保障發(fā)生故障時系統(tǒng)的穩(wěn)定運行。但備份數(shù)據(jù)存儲的安全級別通常相對較低，因此可以對災(zāi)備環(huán)境的數(shù)據(jù)進行智能數(shù)據(jù)脫敏處理，以進一步降低數(shù)據(jù)泄露的風(fēng)險。

2.數(shù)據(jù)歸檔、銷毀前的分級管理為存儲不斷增加的客戶數(shù)據(jù)，數(shù)據(jù)集群需要不斷花費成本擴容節(jié)點，而擴容后的數(shù)據(jù)重分布、批量暫停也對服務(wù)的穩(wěn)定提供造成壓力。對于超出常規(guī)存儲時間范圍的離線區(qū)數(shù)據(jù)，可根據(jù)《2024 金融數(shù)據(jù)安全治理白皮書》8建議將金融數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)三大級別，以確定數(shù)據(jù)是否應(yīng)歸檔保存。而智能數(shù)據(jù)脫敏技術(shù)應(yīng)能根據(jù)數(shù)據(jù)的不同級別，提供靈活且有效的脫敏策略。 而對于需要歸檔的核心級敏感數(shù)據(jù)，可在歸檔前進行多重脫敏（如數(shù)據(jù)遮蓋、字符替換、哈希處理等），即使歸檔數(shù)據(jù)的某一層保護措施被攻破，剩余的脫敏方式仍然可以有效地保護數(shù)據(jù)安全。保證攻擊者即便獲取到部分已歸檔數(shù)據(jù)，也難以復(fù)原原始數(shù)據(jù)。 對于確認(rèn)不再使用的離線區(qū)數(shù)據(jù)，應(yīng)通過不可逆的脫敏處理，使數(shù)據(jù)變得沒有意義，從而確?？蛻綦[私及金融安全不受威脅，防止已銷毀數(shù)據(jù)被惡意恢復(fù)。

3.管理過程中的風(fēng)險評估與合規(guī)審核在數(shù)據(jù)管理過程中，金融機構(gòu)常要面對持續(xù)不斷的行業(yè)風(fēng)險評估和合規(guī)性審計。為此，在進行數(shù)據(jù)脫敏后，應(yīng)保留詳細(xì)的脫敏日志、對應(yīng)數(shù)據(jù)的加載策略以及生命周期轉(zhuǎn)儲策略的記錄，以確保脫敏數(shù)據(jù)能達(dá)到國內(nèi)外最新數(shù)據(jù)保護條例的要求。最后，智能數(shù)據(jù)脫敏技術(shù)應(yīng)具備支持合規(guī)審核的功能，幫助金融機構(gòu)及時發(fā)現(xiàn)數(shù)據(jù)管理中違反最新數(shù)據(jù)保護條例的潛在風(fēng)險，以及進行調(diào)整脫敏策略后的安全風(fēng)險評估。