金融行业数据合规体系建设

01、金融行业数字化转型趋势和挑战

围绕金融行业数字化转型的过程，有两个永恒的话题：一是如何通过利用数据和信息，给客户提供更好的金融服务，充分利用数据对服务进行个性化的改进；二是如何在符合法律规定的条件下充分使用数据。

在面对以上问题，可以看见金融行业数字化转型发展的一些趋势及挑战：

场景聚合及生态对接蓬勃发展。数字经济时代下金融行业需适应新时代下消费理念及需求，通过上下游合作伙伴生态对接，将多样化场景进行聚合形成优质的金融服务。

泛应用金融产品和服务强化。金融机构利用泛在应用开展营销和服务，拓展线上渠道，加强线上线下业务协同。

构建数字化金融一站式服务平台。建立统一投资交易平台和数字化运营服务体系，围绕重大项目、重点企业和重要产业链，加强场景聚合、生态对接，实现“一站式”金融服务。

普惠金融访问边界延展。数字化转型重点聚焦“小微金融”、“消费金融”等业务，力求打造多层次保险体系。通过基础网络资源改造，结合国家“东数西算”工程，扩大网点覆盖范围。

个人金融服务数字化深入转型。鼓励金融机构利用大数据、增强普惠金融、绿色金融和农村金融的服务能力。

数据要素潜能充分释放。推动金融与公共服务领域系统互联和信息互通，不断拓展金融业数据要素广度和深度，对跨机构、跨市场、跨领域综合应用夯实多维度数据基础。

为了应对以上发展趋势，企业可以从以下几方面入手：

1、重构基于零信任网络安全防护信任体系。原有的网络信任体系被全面打破，基于零信任原则边界延展和安全控制的网络、应用、数据和运营新的信任体系需要被重新建设；

2、强化敏捷的安全开发全生命周期管理。基于DevSecOps的泛在应用全生命周期整体安全防护体系需快速建立并强化于敏捷流程中，为泛应用金融产品和服务保驾护航；

3、加强安全运营中心的能力和建设。建设完善的数字化安全运营中心，充分利用态势感知、威胁情报、大数据等手段，提高网络安全风险监测、预警和应急处置能力，加强行业内外部协同联动；

4、建设基于无边界访问安全延展。金融行业自身业务拓展特点及新冠疫情的持续影响，通过云应用程序、SASE及远程办公成为普惠金融业务访问首选途径。

根据《关于银行业保险业数字化转型的指导意见》，对金融行业的数据合规要求可以大致划分为两部分——强化网络安全防护与加强数据安全和隐私保护。强化网络安全防护的能力，最终目的仍是在于保障数据，因为在未来的业务形态之下，数据是最重要、最核心的资产。《指导意见》对加强数据安全和隐私保护的规定，在技术、管理、运营等层面指明了如何做好数据安全合规工作，而此类工作离不开《个人信息保护法》与《数据安全法》两部上位法中的要求。

02、金融行业数据合规体系建设

金融行业数据合规体系可以分为数据合规组织、数据合规制度、基于数据生命周期的合规管理、数据合规基础能力、数据资产管理、数据安全技术、数据安全合规、自动化数据安全运营中心八个部分。

为了构建合理的数据安全和隐私保护管理体系，应当按照自上而下的阶段性逻辑进行建设。首先是数据合规基础体系建设，也就是企业“软实力”的建设。第二是管理体系建设，涉及到相关制度的建设。第三是技术体系建设，通过技术手段提升整体数据合规体系的要求。终极目标则是运营体系的建设，融入CARTA、SOAR等新兴理念。

第一，设计数据合规考核体系。梳理金融企业数据合规治理组织架构，结合数据合规治理组织架构明确各部门分工与职责，同时明确相关数据合规考核体系。

第二，建立沟通机制。建立面向金融企业各部门以及附属公司的的数据治理管理闭环，打通数据合规治理管理人员沟通渠道。

第三，培养数据合规意识。根据数据合规治理管理日常工作需求，通过培训、讲座等宣传数据安全的重要性，培养数据合规意识。第四，持续改进数据合规文化。根据金融企业数据合规治理水平和数据合规管理能力提升，可根据管理需要，对数据合规治理工作队伍中岗位及职责进行调整，建设企业数据合规文化。

阶段二：数据合规管理体系建设

该阶段的建设主要有以下几点要求：制度对标、制度完善、制度发布、制度维护。对制度的建设与修复是一个持续的过程，而不是静态的或一次性的做法。通过把制度数字化、知识化，输入到最终的运营中心，运营中心在运营过程中，随着企业业务或人员组织的变化，会自动识别制度的缺陷以及如何修正，这便是体系建设的最终目标。

阶段三：数据合规技术体系建设

数据合规技术体系的建设是为了实现制度建设所设立的要求，其所输出的日志、信息等内容最后都会输入至运营中心形成知识库。从数据的采集至数据的销毁，企业应当都要有对应的技术方案，从而落实到具体的场景。

阶段四：数据合规运营体系建设

数据合规运营体系建设是数据合规体系建设的最高目标，参考CARTA的理念，以“对数据合规风险的持续评估”，“数据合规技术服务化，合规服务集中化”为设计原则，构建数据合规运营中心，对其安全调度与运营管理所需的各类数据合规能力进行集中化建设并统一输出，通过建立一体化的数据合规主动保障体系，以数据合规运营系统为抓手，以安全运营为支撑，为数据合规提供弹性、主动和自动化的治理能力。

在数据合规决策示例中，把前三个阶段的组织层面、管理层面和技术层面所有的因素都列为数据合规过程中的威胁，借助SOAR理念的编排与自动化响应进行输出。由此可知，数据合规体系的建设并不是某个环节的问题，是体系化、工程化的要求。企业需借助外部力量设立清晰、可发展的体系规划，围绕该体系的每一个步骤与环节都要满足企业数据安全合规的要求。