十三屆全國人大常委會第二十九次會議審議通過并正式發布的《數據安全法》，今天正式施行。哥的突出感覺是數據安全法所體現的業務導向和發展導向，圍繞“數據”和“數據安全”，已經不再僅僅是“技術”或“科技”，這將有利于發揮和挖掘“數據”的生產要素屬性和所蘊藏的經營潛力，使行業數字化轉型走向更為廣闊和更深融合的未來。分享哥的一些理解，敬請批評指正！

1.體現業務導向的四個嶄新特點

銀行業作為關乎國家安全和經濟金融發展的重要命脈，和保障社會大眾智能化公共服務的重要主體，既是海量數據的采集和存儲地，也是重要、敏感數據的主要應用場所或驗證源頭，同時還是探索推動服務、經營、管理等各層次數字化經營模式轉型升級的金融行業主陣地，在貫徹落實黨中央決策部署、國家安全觀要求和數據基本法時，將呈現四個嶄新特點：

一是體現業務發展導向。辦法鼓勵數據依法合理有效利用，聚焦統籌發展和安全，這也是人大常委會三次審議修訂的重點之一，其主旨是促進數據應用和數據要素價值挖掘?；跀祿撔聭?，提升對客的智能化服務水平和加速自身數字化經營模式轉型升級，同時支持產業數字化發展，是擺在銀行面前的新發展機遇，就銀行自身而言，隨著線上成為數據采集的主要源頭和應用的主要場所，聚焦線上業務和服務發展，以及在依法合規前提下對外開放數據和數字化服務能力的先導作用也將持續強化，并將助推數據開發和安全保障新技術發展。

二是體現客戶權益保障導向。辦法明確保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展，同時要求考慮長者和障者需求。銀行要落實客戶數據收集、存儲、使用、加工、傳輸、公開、刪除等方面的具體保障安排，覆蓋客戶知情、決定、查閱復制、信息轉移、更正、補充、出境安全等各個權益保障具體方面。同時，還要圍繞無障礙服務做更有針對性的部署，結合不可逆轉的數字化發展前景，前瞻研究彌合數字鴻溝的智能化、數字化安排，消減特殊群體使用難度，不斷優化客戶體驗，維護社會公德和倫理，增進人民福祉。

三是體現體系化管理導向。辦法明確要求建立健全全流程數據安全管理制度和保障安排，有效履行數據安全保護義務。具體到銀行，尤其要突出業務層面數據應用安全防控和應急保障安排，將客戶權益保障、線上服務體驗、客戶智能化服務種類、數量及數據處理活動等情況納入風險評估和業務應急安排體系，建立健全覆蓋線上渠道數據隱私保護政策、千人千面智能化服務、產品和營銷推薦以及應急保障等業務層面，線上智能風控體系和能力建設及數據應用監測管理層面，以及系統、架構、算法等技術部署及底層安全保障層面的全流程穿透式分類分級防御體系，和必要的自律懲戒合規管理安排。

四是有效銜接數字化監管和認證審查。辦法明確國家建立數據安全審查制度，和集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，統籌協調強化數據安全風險信息的獲取、分析、研判、預警等工作。對于銀行而言，面向數據應用、業務發展和體現數據價值的經營目標，進一步明晰數據治理管理構架，完善章程制度，強化自我評估機制，加強涉數合作管理，尤其是在線上化數字化轉型升級過程中，隨著監管行業標準制定和認證組織管理的不斷深入，積極協同實施機器可讀標準的嵌入式監管，在升級銀行服務經營管理模式的同時，助力數字化、智能化監管升級。商業銀行落實2018年5月銀保監會《銀行業金融機構數據治理指引》也將隨之走向新的發展階段。

2.貫穿服務經營和管理全程

對于銀行而言，數據安全法的合規利用數據、謀求業務發展主旨，大大擴展了數據安全工作的內涵和外延，將其從科技系統、應用技術、運行保障及應急等技術層面，擴展到貫穿客戶權益保障、業務發展、智能化服務和經營、業務及應急管理，以及數字化智能化監管的全方位和全流程，在繼續鞏固夯實技術層面各類安排的同時，聚焦客戶服務、管理、制度建設、智能化風險管理、投訴咨詢舉報核查響應和認證、監測及監管銜接等業務及管理維度，尤其是聚焦解決專業能力積累及隊伍建設、人才培養、頂層設計等方面所存在的薄弱環節和重要點位問題，將是規避合規風險，保障全面深入落實數據安全法，搶抓數字經濟發展機遇，推動體系化轉型升級和競爭能力建設的重中之重。

3.提高體系化治理能力

一方面，從去年以來各級監管部門針對各類APP應用所作的用戶權益保護檢查整治情況看，涉及的問題包括強制、頻繁、過度索取用戶權限、欺騙誤導強迫客戶、超范圍收集個人信息等等，具體表現還有開彈窗關閉按鈕不突出、營銷廣告推送頻繁、誘導跳轉、內容擺布不合理、存有安全隱患、性能不佳、視覺體驗不佳、流程安排不合理、關閉或退出、注銷等功能入口布放深等等。應該說，近年來，在各級監管部門的組織領導下，銀行業對于手機銀行APP等線上渠道的服務能力建設重視程度普遍提升，因此銀行業對于自身APP管理顯然更為縝密審慎，因此，違規情況相較其他行業少之又少。由于手機銀行等線上渠道事實上已經成為承載服務和經營的主陣地，以及保障數據安全和個人信息保護的主戰場，因此，銀行業整體都在不斷增強線上專業化服務能力和人才儲備，建立線上體驗設計規范，建成線上渠道智能機器人等直客服務體系，以及客戶聲音采集和面向客戶的咨詢、投訴、宣教支撐體系，建立并持續完善線上渠道數據埋點及應用基礎規范，強化深化線上數字化服務和經營能力，同時構建線上智能化風控體系，并不斷優化用戶隱私保護協議內容，增強可讀性，擴展涵蓋幅面，細化保護內容，提高修訂頻率，同時加強線上各類產品、服務、營銷活動、資訊內容上線面客前的消保審查。除此之外，也在不斷細化管理制度、加強底層技術防控能力。

另一方面，《國家安全法》對建立風險預防、評估和預警的相關制度，制定完善應對各領域國家安全風險預案做出明確要求，《數據安全法》明確了對數據應用的事前風險評估報告、事中監測預警、事后應急處置機制等的工作要求，《個人信息保護法》則進一步對包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡，以及不滿十四周歲未成年人個人信息等敏感個人信息權益做出了保障、賠償及懲戒安排，尤其是對通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，所進行的自動化決策，提出了要保持透明度、公平公正性、禁止不合理差別待遇，要同時提供不針對個人特征的選項或者向個人提供便捷拒絕方式安排，以及就對個人權益產生重大影響的自動化決策提供說明的權益保障安排。這對于銀行業數字化轉型發展而言顯然提出了新的更高要求：

業務和服務管理層面，建立和應用數字化、智能化的數據應用安全度量標準及手段，加快機器可讀標準的嵌入式、智能化管理在內部審計或外部監管管理進程，這也是人民銀行3月發布的《人工智能算法金融應用評價規范》管理精神要義所在；數據處理層面，加強加密、去標識化等安全技術應用；數據管理層面，加強數據分類應用、分類管理；數據應用及合作層面，研究匿名化數據引入、加工和輸出，挖掘不同管理框架下的數據交流合作潛力和金融數據的巨大商業價值。

4.數據分級分類標準化管理，展開確權交易等市場化探索

《數據安全法》第二十一條給出的建立數據分類分級保護制度基本原則包括對于經濟社會發展重要程度和破防后的危害程度兩個核心方面。2020年10月人民銀行正式發布《金融數據安全數據分級分類指南》(JR/T0197—2020)，根據金融機構數據安全性遭受破壞后，對國家安全、公眾權益、個人隱私、企業合法權益等所造成的影響程度，將數據安全級別由高到低劃分為五級，影響程度從高到低劃分為非常嚴重、嚴重、中等和輕微，并給出了建議的最低安全級別，特別強調對于個人數據信息的安全定級應從高考慮（如：如各類賬戶密碼等C3類信息屬于4級；支付賬號、動態口令等C2類信息為3級；賬戶開立時間、開立機構等C1類信息為2級）。

在實操中，要確定各級各類數據顆粒度和識別數據安全等級關鍵要素，不斷明晰和完善數據分級分類標準和定級工作流程；對于存量系統和數據，要建立跨系統的數據映射關系，實施數據清理，形成存量數據資產清單；對增量數據而言，尤其要結合當前線上渠道是數據采集和應用主戰場的趨勢和特點，從建立埋點采集和客戶隱私保護規范開始，貫穿基于客戶畫像的千人千面智能化服務、關聯引流等智能化推薦、場景化情景化智能營銷以及智能風控等各類智能化應用，實施起自源頭的全生命周期數據管理，形成標準化數據資產和應用規范，進而促成數據資產確權，成為可定價、可轉移、可交易數據生產要素，進一步向數據資產共享、流通和數據價值變現邁進。

因此，必須以客戶服務和業務導向，不斷建立健全覆蓋線上渠道數據隱私保護政策、千人千面智能化服務、產品和營銷推薦以及應急保障等業務層面，線上智能風控體系和能力建設及數據應用監測管理層面，以及系統、架構、算法等技術部署及底層安全保障層面的全流程穿透式分類分級防御體系，和必要的自律懲戒合規管理安排，從業務管理的視角做出資源、制度、工作體系等全方位安排，而不再僅局限于技術層面。

此外，數據交易的前提是確權和數據資產標準化，各行各業統一數據標準和管理強度，將是極具潛力也是極為挑戰的工作，因此，在數據管理相對規范，技術應用能力相對較強，業務發展場景豐富的銀行業內，圍繞普惠服務、綠色低碳和填補數字鴻溝，率先探索特定領域或場景下的數據資產交易或數據權益抵質押安排，促進行業內有章可循的數據交換或共享，研究其所帶來的產出價值和轉移形式，加強業內及跨業數據標準化進展交流，都將有利于逐步摸索形成更為成熟可控的市場化進程推動路徑。

5.守住個人信息保護和金融科技金融為本底線探索新興數據處理技術應用

各行各業都在積極挖掘數字化服務、經營、管理潛力，以期打破產能瓶頸，實現轉型升級，因此，銀行業基于線上化連接和數字化應用，不斷延展線上平臺化經營能力，聚合對公對私等各類服務生態，在依法合規前提下，加強自有數據整合應用，以及必要的數據引入和輸出，形成可對外開放的標準化服務輸出能力，在自身轉型發展的同時，支撐數字化產業和促進產業數字化發展，是提升行業競爭力的必選安排。

隨著《網絡安全法》《數據安全法》《個人信息保護法》等大法陸續施行，合規使用數據和有效防控風險日益重要，這客觀上促進了數據領域的各種新興技術應用探索，同時也對數據匿名化、信息脫敏、數據共享以及算法、算力、計算效率、置信度、計算成本、安全保護等各方面提出了更多要求，在技術尚待證明成熟或前景色尚待證明確鑿時，以有效落實個人信息保護和防控金融風險作為前提條件和基本原則，體現業務先導，重視線上渠道等數據采集及應用頭陣的源頭治理，讓技術服務于人，體現金融科技金融本質，應成為保障數據安全合規的基本遵循。

責任編輯：王煊