专家解读|金融行业跨机构核验中的数据流通安全治理——解读《基于金融业跨银行企业资金流水核验场景的安全多方计算技术应用案例》
近期,国家数据局公布了5个数据流通安全治理典型案例。清华大学电子工程系信息系统研究所副所长王钺对其中金融行业跨机构核验的实践——《基于金融业跨银行企业资金流水核验场景的安全多方计算技术应用案例》进行了解读。
2025年1月,国家发展改革委、国家数据局等6部门联合印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(以下简称《方案》),旨在统筹数据发展和安全的内在要求,完善数据流通安全治理机制,以推动数据要素合规高效流通。《方案》针对企业数据、公共数据、个人数据三种典型的数据流通与应用场景,梳理了安全问题,明确了安全责任、细化了安全规则,并强调通过制度、技术、市场的协同,最大化安全治理的效能。
落实《方案》任务,国家数据局组织遴选了数据流通安全治理典型案例,以具体的案例为切口,详细分析场景中数据流通的安全风险和合规问题,凝聚业务实践过程中形成的共识,规范实践行为,细化安全规则。
一、以小切口破题,细化数据流通安全规则
《基于金融业跨银行企业资金流水核验场景的安全多方计算技术应用案例》(以下简称《案例》)涉及金融行业内跨机构的数据流通安全问题。为提升金融风险管理水平,建立起银行间高效合规的数据交互与协同机制具有重要的意义。但金融行业业务复杂,数据敏感性高,监管要求严,建立金融行业数据共享生态面临巨大挑战。《案例》从贷款申请时跨银行的资金流水核验这一小场景切入,尝试打通银行之间的数据壁垒,推动数据在银行间的安全流动。
小切口破题是推动数据流通安全治理工作的要点。《案例》依据业务需求,将跨主体的数据查询简化成为数据核验服务,这种简化带来了两方面的好处:首先,核验由申请贷款的对公客户发起,查询银行与客户签署了信息查询使用授权书、客户借款合同等文件,这些明确的授权操作,保障了数据使用的合规;其次,核验服务只需返回一致与否的简单结果,可以避免复杂明文查询信息的交互,降低敏感信息直接流通的风险,更便于引入隐私计算等技术手段保护数据主体的权益。场景和问题聚焦之后,才能够进一步从安全技术、制度保障等方面细化落实数据流通安全治理的具体操作。
引入上述跨行核验服务后,对公客户申请贷款时,不再需要客户往返于银行间办理各种证明材料,而是转为委托贷款申请的受理银行进行跨行的资金流水核验,简化了贷款申请的流程,同时也丰富了银行识别、监测客户真实经营活动的方式和手段。跨主体的数据流通和交互,即便只是最简单的数据核验,也切实地体现出了数据的价值。
二、以技术为手段,提高数据流通安全保障能力
聚焦于跨主体的数据核验服务,需要细化具体的安全规则和技术要求。《案例》以具体的数据流通技术手段细化落实了国家、行业数据安全管理要求。《案例》采用安全多方计算技术实现银行间最小必要的数据交互。一方面,被查询银行不知道查询的是哪个主体、哪笔流水;另一方面,所有核验计算均在密态下进行,确保被查询银行对外提供的是密文计算的比对结果,而非原始敏感数据。最终实现银行间的数据安全交互。
更进一步,《案例》对数据流通的技术要求进行了细化。要求查询银行与被查询银行按照统一标准对资金流水数据进行预处理,按照统一标准部署安全多方计算节点,按照统一的协议进行加密和安全传输。同时,为保障数据保密性、完整性、可用性,还要求系统建设与应用单位从架构安全、传输安全、算法安全、系统安全等方面依据《金融业数据能力建设指引》(JR/T 0218-2021)等要求开展技术安全性评估。
三、以制度为核心,加强数据流通安全治理
近年来,商业银行不断提升自身数据治理水平,通过内控管理和风险管理的细化,提升整体合规管理的效能。数据流通安全治理不仅仅关系到安全技术的应用、安全平台的建设,还必须配套相关的安全管理制度,控制业务合规风险,确保数据流通全过程的安全可控。实践中,经常存在对数据流通安全治理复杂性低估的问题,认为只要运用了隐私计算等安全技术,实现了“原始数据不出域、数据可用不可见”,就实现了数据流通的安全合规。事实上,在安全治理过程中,还需要技术体系建设与制度建设深度融合,用技术控制风险、用制度推动合规。
《案例》中,与系统建设相配套,增加了以下管控措施:一是开展技术安全性评估,从架构安全、传输安全、算法安全、系统安全等方面对安全技术和系统进行评估,出具“基于隐私保护计算技术的他行资金流水核验服务”技术安全性评估报告;二是开展业务合法合规性评估,由系统应用单位出具合法合规性评估报告;三是建立风险补偿机制,制定了风险补偿方案,明确风险认定方式、制订风险赔付机制;四是明确退出机制,确保一旦发生安全事件,银行可根据多方签署的相关协议中约定的期限,在保障用户资金和信息安全的前提下,进行系统平稳退出。这一系列措施的细化落实,强化了《案例》场景中的风险管控能力。(本文作者系清华大学电子工程系信息系统研究所副所长王钺)
编辑:冯蕊
版权声明:未经新华财经书面授权许可,严禁任何个人或机构以任何形式复制、引用本文内容或观点。
免责声明:新华财经(中国金融信息网)为新华社承建的国家金融信息平台。任何情况下,本平台所发布的信息均不构成投资建议。如有问题,请联系客服:400-6123115
微信扫码,支付元
支付宝,支付元