国家层面,《数据安全法》、《个人信息保护法》、《网络安全法》初步构建了数据安全保护的法律框架。行业层面,证监会发布 152 号令《证券基金经营机构信息技术管理办法》。行业标准层面,发布《JR/T 0197-2020 金融数据安全数据安全分级指南》、《JR/T 0223-2021 金融数据安全 数据生命周期安全规范》,以及2022 年 11 月份发布的《证券期货业数据安全管理与保护指引》。
这些法律法规和行业标准都对敏感数据的范围以及保护措施做了涉及和规定。从国内国际形势上看,对于敏感数据的保护,特别是对个人敏感数据的保护已成为了监管重点的检查对象。
在数据化转型的背景下,数据安全能力成为了组织的核心竞争力之一,值得信赖的数据安全和敏感数据保护能力成为用户选择平台的重要维度,这在证券行业抢占大资管和财富管理市场具有重要意义。
在中金开展数据化转型的背景下,中金数据团队以建设中金集团级别的数据中心为目标,搭建统一的数据管理平台。运营数据资产,推动中金数字化转型战略。数据治理团队负责搭建公司级的数据资产管理平台,着力在元数据管理,数据质量,数据标准,安全等领域发力,以数据资产盘点、主数据标准、STP 端到端打通为抓手,推动公司数据治理能力提升。
1. 中金公司敏感数据管理常态化运营机制
(1)厘清数据安全风险,明确安全治理方向
如下图所示,中金公司在敏感数据管理上,通过梳理敏感数据范围,制定数据脱敏制度,搭建数据脱敏平台,赋能敏感数据使用场景提升数据脱敏管理能力。
2. 中金公司数据脱敏平台建设实践
(1)制定敏感数据范围
针对证券期货业特有的敏感信息,目前并没有相关的标准定义,这就要求证券期货业必须在法律法规的基础上,结合实际情况进行敏感范围的界定。为加强对敏感
(图:中金公司敏感数据管理常态化运营机制)
数据的有序管理,中金公司以个人敏感信息为基础,纳入金融行业和证券行业特有的以及展业过程中衍射出的敏感信息,再结合公司运营管理中出现的较为敏感的数据综合划定敏感数据范围。
(2)梳理敏感信息
对敏感信息梳理的作用是来自于多方面的,数据治理和数据安全管理的最终目标还是要发挥业务价值。对敏感信息的梳理动力来自于治理领域内外部两个方面。对数据治理工作内部来说,数据安全本身需要贯穿于数据治理的各个领域,如源端的数据治理,数据共享或数据权限的管理,数据资产管理平台的建设,元数据的管理,都需要通过对数据分类分级以及进行敏感标识实现数据资产的有效掌握。
另一侧是来自于业务的直接需求,在企业级重点用例或端到端打通,或重点信息化项目的建设中,都需要对数据进行安全识别,便于数据流程。两个途径相互补充,各有侧重。
从治理领域内部规划推出的资产盘点过程一般有序推进,更加系统化和标准。从业务侧来源的诉求可以成为敏感梳理的有效推动力,并且可以帮助在实践过程中对敏感范围进行反馈,优化敏感范围建设。
(3)构建脱敏平台
为加强对敏感数据脱敏的效率与质量,中金公司于 2020 年启动脱敏平台的立项工作。在经过多次的 POC 和调研后,中金采取成熟产品加定制化开发的模式,建设了一套对成熟商业数据库、信创数据库、大数据环境都能够支持的脱敏平台,并同时兼具动态脱敏能力和静态脱敏能力,可以有效的对各类场景进行支撑。作为企业级的脱敏平台,脱敏平台应该具备以下几个特性:
a.丰富的数据库支持能力
数据库支持能力包括两个方面,一是对数据库支持的个数,二是丰富的跨库支持能力。除常见的 MYSQL、ORACLE、PG、CH 等数据库外,作为企业级的数据脱敏平台,随着大数据的不断推进,对 HIVE、impala 和国产数据库的支持能力也应该纳入考虑范围内。同时,脱敏平台应该尽量的支持跨库脱敏,以应对层出不穷的数据入湖需求和场景,减少在数据脱敏过程中的讨论成本。
b.高效的数据脱敏性能
数据加工,一般都会有性能损耗,在静态脱敏环节中,需要考虑的是大批量数据的进行脱敏和定时脱敏对目标源以及数据源的查询压力,以及批量数据静态脱敏的时间。动态脱敏中,应当充分对比实时查询与通过代理等方式在脱敏之后查询的效率损耗并不断进行优化,以期将数据损耗维持在可接受范围内,多种类型的算法策略以加强对各类脱敏需求的支持能力。
c.精准的敏感数据探查能力
事实上,数据治理团队本身定义的数据管理政策,往往也是数据治理团队无法掌握真实数据的掣肘之一,虽然可以通过元数据进行敏感数据的初步发现,但如果前期系统的词根标准化程度不高,或在指标竖表中敏感信息数据隐藏的较深,就难以通过元数据进行敏感信息梳理。另外对于企业级数据平台来说,周期性的敏感数据发现和审计也是经常需要做的工作之一,因为精准的敏感数据探查能力可以大大降低人为梳理的成本,提高数据安全治理的效率。
(4)建立数据脱敏制度
为更有效的推进数据脱敏工作,在公司级数据治理政策与数据安全规范的基础上,制定了数据脱敏管理办法,通过制度规定了敏感数据的范围,规定了在跨部门合作中信息技术部,数据认责部门,法律合规部等相关部门在敏感数据管理以及脱敏管理中的权利以及义务。同时不断优化操作流程,探索利用开发效能平台,OA 等多种手段规范脱敏操作流程,打通与业务部门,运维,科技内嵌团队的工作流程,促进脱敏工作顺利实施。
3. 中金公司数据脱敏实施与成果
中金公司的脱敏平台针对生产数据向测试环境恢复、样例数据展示、测试环境敏感数据审计,测试环境脱敏入湖等多种场景的数据安全需求,严格保护敏感数据的同时,大幅提高数据可用性、业务用户数据使用与数据价值发现。
仅一年内累计完成910 张表、6456 项字段的敏感标识,其中 699 张表、4974 项字段借助平台完成脱敏。数据安全等级及敏感标识是数据权限管理的重要凭据、数据授权流程的必需信息。目前累计确认了 1965 张表、42593 项字段的安全分级与敏感标识,通过对敏感数据的识别,优化了权限申请工作,加快了数据共享安全有效。
