【金融街论坛】工行首席技术官吕仲涛:应在数据流动中实现动态数据安全与个人信息保护

新华财经北京10月22日电(吴郑思) 数字经济时代的数据安全与个人信息保护是当前广受关注的问题。在20日举行的2021金融街论坛年会以“数据安全与个人金融信息保护”为议题的分论坛上,中国工商银行首席技术官吕仲涛表示,数据作为关键的生产要素,其核心价值体现在使用过程中,应在数据流动中实现动态数据安全与个人信息保护。

吕仲涛认为,数据安全和个人信息保护涉及到的层面非常多,其中,个人是数据安全跟个人信息保护的最广泛的参与者;主要的市场参与者,即企业,则是数据安全和个人信息保护的关键主体;而在国家层面,要保障经济稳定与国家安全,维护国家的数据主权。

在他看来,在数字经济时代下,随着新技术、新应用的普及、个人信息泄露、过度收集、大数据杀熟等侵犯个人合法权益的事件屡屡发生,数字经济为个人生活带来极大便利的同时,也需要进行规范、约束。企业作为数据管理的主体,首先要从数据的采集、传输、使用等全生命周期的视角进行管理,来保证数据的完整性、保密性、可用性。同时,数字经济时代的企业之间的合作,也会带来跨机构之间的数据安全和个人信息保护问题,需要统筹考虑加以规范。

因此,关于数据安全和个人信息保护,吕仲涛建议从三个方面来入手:一是积极探索特定领域的跨机构合作,建议大型金融机构可率先开展金融领域数据要素市场化试点,探索相应的定价、运营和风控机制,同时充分利用隐私计算等新技术,促进数据跨机构流通,解决银行间的数据孤岛、数据垄断等问题。二是促进公共数据安全合规使用,加快建立规范化的数据交易市场,以负面清单制度作为数据交易的原则之一,对于涉及国家安全、经济安全、社会稳定、公共健康的数据要禁止交易,或者有特定主体进行交易,更好促进公共数据安全合规使用。三是研究数据跨境安全流动的机制,建议在现有法律法规的框架内与其他国家跟地区探索双边合作机制,保障数据安全有序、可控流动,更好服务双循环发展格局。

“数字经济的健康发展需要统筹使用与安全,以安全保发展,以发展促安全,数据安全和个人信息保护是数字经济发展要解决的基本问题,也是数字经济可持续发展和企业数字化转型成功实施的基本要求,其根本目的是为了规范使用、促进发展。”吕仲涛表示。


以下为演讲全文:

中国工商银行首席技术官吕仲涛:数字经济时代如何看待数据安全与个人信息保护

尊敬的各位领导、各位来宾,大家下午好!

非常荣幸受邀参加本次金融街年会论坛,与各位专家学者共同交流数据安全与个人信息保护这一重要意义的话题。借此机会,我结合工商银行的实践与大家共同探讨一下,在数字经济时代如何看待数据安全与个人信息保护,自己个人的一些思考。

随着人工智能、云计算、大数据、区块链等新技术的发展,数据已成为数字经济时代最具价值的生产要素,是国家经济发展的强大动力,正在深刻改变着人类社会的生产生活方式。党的十九届四中全会首次增列数据为生产要素。

数据具有天然的流动性、可复制等属性,导致在使用过程中易产生数据泄露、数据滥用等问题,损害企业和个人利益,严重时甚至危及国家安全。上面点了一些例子,我想可能在座很多同志都知道,就不再一一赘述了。

数字经济的健康发展需要统筹使用与安全,以安全保发展,以发展促安全,数据安全和个人信息保护是数字经济发展要解决的基本问题,也是数字经济可持续发展和企业数字化转型成功实施的基本要求,其根本目的是为了规范使用、促进发展。我原来想用治理跟管理这两个概念,我觉得强调治理更重要的一点,还是要强调平衡各方利益,强调比较健康的生态,还是要以应用为目的、为导向。这段话的意思,我的本意希望能够做到平衡、相辅相成的共促发展。

数据安全和个人信息保护涉及到的层面非常多,我是试图从三个层面来看,个人是数据安全跟个人信息保护的最广泛的参与者,因为整个社会经济活动个人也是一个主要的参与者,需要加强对个人信息的保护,保障个人的合法权益,维护人格尊严。主要的市场参与者,我简化成企业,企业是数据安全和个人信息保护的关键主体,保障企业数据安全,对于产业健康发展也同样具有重要意义。企业层面要保证合法合规的利用数据,促进产业有序发展。同样,数据安全目前也是网络空间安全的一个焦点,事关国家安全,经济社会发展的重大问题。在国家层面,要保障经济稳定与国家安全,维护国家的数据主权。

在数字经济时代下,随着新技术、新应用的普及、个人信息泄露、过度收集、大数据杀熟等侵犯个人合法权益的事件屡屡发生,数字经济为个人生活带来极大便利的同时,也需要进行规范、约束。个人信息保护关系到个人的人格权、隐私权、知情权等多种权利,通过规范个人信息的处理活动,明确信息处理者的责任和义务,更全面的保护个人信息安全,维护数字社会中的人格尊严与自由,保障个人合法权益不受侵害。

从国家层面来讲,非常高度重视个人信息保护,积极开展相关立法。当前,我国已经有近40部法律、30部法规、200多个规章涉及到个人信息保护。2012年8月20日,国家出台的《中华人民共和国个人信息保护法》,这是我国第一部个人信息保护的专门法律,至此个人信息保护迈入了新的阶段。从内容上来看,个人信息保护法中规定的根据宪法制定本法,充分体现了国家尊重和保障人权,同时更加严格的限制敏感个人信息的处理,规范个人信息自动化的决策,加大对侵犯个人信息行为的惩处力度,充分体现了国家对个人信息的保护的重视和决心。

在数字经济时代,各行业的经济主体在经济经营管理活动中积累了大量的数据和个人信息。随着数字经济快速发展和数字生态建设,内部的用数场景日益增多,数据边界逐渐模糊,企业作为数据管理的主体,首先要从数据的采集、传输、使用等全生命周期的视角进行管理,来保证数据的完整性、保密性、可用性。此外,我们也看到平台型的企业数据垄断现象日趋明显,超范围收集、大数据杀熟、算法歧视、过度逐利等问题时有发生,影响客户利益,进而会影响国家利益,甚至于国家安全。同时,数字经济时代的企业之间的合作,也会带来跨机构之间的数据安全和个人信息保护问题,需要统筹考虑加以规范。

为此,国家也制定出台各类法律法规,明确了企业主体的责任和义务。保障不同主体之间公平、公正利用数据,防范不正当竞争和数据垄断,推动数据有序推动。这一系列法律法规和规范,为数据合理、合法、合规使用和流通提供了制度和规范基础,对企业的数字化发展具有重要意义。

网络空间安全是国家安全的重要组成部分,数据安全是网络空间安全的焦点,已成为事关国家安全与经济社会发展的重大问题。《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律对数据安全、数据分类、分级保护、关键信息基础设施等提出的要求,充分体现了国家对数据安全跟个人信息保护的重视,做好数据安全工作,对维护人民群众的合法权益,推动数字经济健康发展,保障国家安全具有重要的意义。

刚才也谈到了很多说个人数据保护可以用匿名、标签化等等,但实际上跟量有一定的关系,对于离散的个别的个人数据的隐私的泄露可能是侵犯了个人合法权益,但它还不足以上升到国家安全。但是如果一旦超大型的数据公司、超大型的平台公司收集了大量的个人信息,到一定的范围情况下,那它就不管你用什么标记化、匿名化,它同样会产生国家安全问题,可以从当中分析出很多你可能不知道的一些趋势性的问题。所以我认为这当中要辩证的去看,对于数据超融合的平台的数据安全问题要引起更高的重视,不单单是匿名化的问题。

工商银行作为一个市场参与主体、一个企业,我们是始终坚持发展与安全并重,积极落实国家法律法规要求,在全集团数据治理框架内全面做好数据安全管理和个人信息保护,充分激发数据要素的内在价值,防范金融风险,优化业务流程,提升客户体验,推动我行数字化转型的健康发展。下面我主要从组织保障、业务管理、技术体系、隐私计算四个方面简要介绍一下工商银行的实践情况。

在组织保障方面,工商银行已明确顶层设计,构建了决策、管理、执行、监督、四位一体的组织架构,决策机构、管理机构、执行机构、监管机构协调联动,共同保障我行的数据安全。同时,工商银行遵循依法合规、分级管理和谁主管谁负责、谁使用谁负责的原则,对数据及数据归属系统的安全进行了全面审慎的管理。

在业务管理方面,我们从制度建设、管理机制、个人信息保护、大数据安全等领域统筹开展工作。一是结合国家法律法规和监管要求,持续完善行内数据安全制度体系,出台了相关的管理制度、规定、办法。二是建立健全业务管理机制,不断提升个人客户信息、征信信息等领域的安全管控能力。三是持续加强个人信息大数据等方面的安全保护,完善个人信息保护政策和产品服务协议,构建大数据服务云安全管理体系,为全行业务管理提供安全保障。

在技术体系方面,我们结合国家标准DSMM模型,从企业级视角规划建立了多层次、立体化的数据安全技术体系架构,以数据资产安全为核心出发点,强化数据全生命周期技术管控,并结合行内的基础安全和监测响应手段,为我行数据安全管理和运营提供技术支撑。目前,已建设加密服务平台、电子文件安全控制系统、客户端安全管理系统、云文档平台、安全运营平台等等,提供了统一的加密服务、电子文件的安全管控、终端的安全管控等多种安全技术支撑能力,多措并举,全面加强数据安全防护,为全行数据安全管控保驾护航。

为了更安全的使用数据,工商银行积极探索多方安全计算,联邦学习、同态加密等新技术的使用,统筹规划建设企业级的隐私计算平台。目前,已在行内多个场景开展试点应用,积极推广隐私保护计算技术在我行业务场景的落地。比如,我们基于地产信息利用联邦学习模型进行企业贷中监测,与某金控公司合作,在银行原有的企业贷款数据相关特征基础上,引入了金控公司的地产特征,在两方原始数据不出库的前提下,构建贷中预警监测模型,预测模型效果比原模型提高了4%,显著提升我行风险监测业务能力。在数据可用不可见的前提下,提升了工行贷中管理能力,支撑了企业信用风险的分析工作和企业贷款的良性运转。

数据作为关键的生产要素,其核心价值体现在使用过程中,应在数据流动中实现动态数据安全与个人信息保护,在充分保障安全的前提下,用好数据要素,推进数字经济发展:

关于数据安全和个人信息保护,我主要谈以下三个建议。

1.积极探索特定领域的跨机构合作。建议大型金融机构可率先开展金融领域数据要素市场化试点,探索相应的定价、运营和风控机制,同时充分利用隐私计算等新技术,促进数据跨机构流通,解决银行间的数据孤岛、数据垄断等问题。

2.促进公共数据安全合规使用。加快建立规范化的数据交易市场,以负面清单制度作为数据交易的原则之一,对于涉及国家安全、经济安全、社会稳定、公共健康的数据要禁止交易,或者有特定主体进行交易,更好促进公共数据安全合规使用。

3.研究数据跨境安全流动的机制。目前,各个国家数据主权意识越来越强,在基于开放条件下的双循环经济格局下,数据跨境流动不可避免,建议在现有法律法规的框架内与其他国家跟地区探索双边合作机制,保障数据安全有序、可控流动,更好服务双循环发展格局。

谢谢大家!


编辑:罗浩

声明:新华财经为新华社承建的国家金融信息平台。任何情况下,本平台所发布的信息均不构成投资建议。

新华社民族品牌工程:服务民族企业,助力中国品牌

新华社品族品牌工程

[责任编辑:罗浩]