今年2月《数字中国建设整体布局规划》印发。随着顶层制度文件落地，数字全面赋能经济社会发展已展现图景。

在金融领域，近年来数字技术的创新应用层出不穷，因此行业对数字金融安全、银行科技安全等话题的讨论和关注也在不断深入。7月24日，中国人民银行起草的《中国人民银行业务领域数据安全管理办法（征求意见稿）》，也开始面向社会公开征求意见。

7月20日，第七届金融科技与金融安全大会在京举办。作为2023中关村论坛系列活动之一，大会以“强化数字创新 筑牢安全屏障”为主题。

在这场大会上，包括原中国保监会党委副书记、副主席周延礼，原中国银监会主席、中国证监会原主席尚福林，中国证监会原主席肖钢，中国互联网金融协会秘书长陆书春，光大银行副行长杨兵兵等在内的嘉宾出席并围绕数字金融安全展开讨论。

加强建设数据安全屏障

数据技术的创新正在改变各行各业，带来更加深入洞察，更高效的决策、更智能的服务。数据化的应用已经成为推动创新和发展的关键，随着数据广泛应用和数据化进程不断加速，数据安全问题也成为行业面临的重大挑战。

周延礼在发言中谈到，数据安全是数字经济和智能社会的重要基石，也是保障数字技术创新健康发展的必要条件，随着数据的泄露、隐私侵犯和算法歧视等威胁不断增强，必须加强建设数据安全屏障，确保数据能够得到有效保护。

周延礼认为，从数据的外部治理角度看，要加强数字技术的创新与监管，提高用户参与度和数据保护意识。加强安全技术创新和研发筑牢数据安全屏障的重要基础，需要不断推进数据安全技术的创新与发展，包括数据加密、数据隐私保护、数据安全传输和储存，还要加强数据安全意识和能力的培养，提高技术人员和用户的数据安全意识，以应对日益复杂的和隐匿的安全威胁。

谈及加强合规与监管时，周延礼指出，这是确保数据安全的关键。“数据合法、规范和透明，这些都是保障数据安全的基本要求，政府和监管机构应该加强对数据使用和保护的监管，确保相关的法律和相关标准得以执行。确保数据安全和合规性，同时，企业和组织也应承担起责任，建立健全数据治理体系，确保数据安全和隐私保护成为企业文化和价值观的一个重要组成部分。”周延礼说道。

事实上，近年来一些观点也认为，用户是数据安全的最后一道防线，用户的安全意识和行为习惯对于数据安全极为重要。周延礼对这一观点持肯定态度，周延礼认为，加强用户教育是参与筑牢数据安全屏障的重要环节。企业和组织应该积极与用户进行沟通互动，听取各方意见建议，将用户参与作为数据安全的这个重要环节得以有效贯彻实施。

论坛上，陆书春也就如何坚持发展和安全并举、创新与规范并重，构建金融科技安全防火墙提出以下建议:一是切实提高技术应用安全水平，确保金融领域技术应用安全可控。科学选择和应用相对成熟可控、稳定可靠的技术，着力提高对业务经营发展有重大影响的关键技术的自主研发能力，降低外部依赖，避免单一依赖。二是强化数字渠道安全，保障金融消费者权益。三是依法依规保护金融数据安全。四是不断加强外包合作安全。

金融科技发展存三方面风险

科技和金融深度融合是大势所趋。肖钢认为，随着科技对金融业的赋能和渗透，金融发展呈现出信息化、数字化、智能化新态势。所以金融机构既是科技创新的应用者，同时也是受益者。

当前金融科技的发展已进入到2.0到3.0过渡阶段，正在加速迈向智能化和数字化。肖钢指出，金融科技发展也带来一些新的风险，特别体现在三个方面：第一是数据风险，包括数据的隐私泄露、数据垄断、数据质量、数据的跨境等风险；第二是伦理风险，数据垄断造成无序竞争，数字化发展以后形成更多数字鸿沟；第三是算法风险，随着大模型的运用，算法滥用的风险、偏见风险、模型缺陷的风险、黑箱的风险、共振的风险等。

肖钢认为，健全金融科技安全治理，仍然有一些基本目标和原则需要坚持。如坚持以服务实体经济和人民生活为宗旨，要建立一套适配、有效金融科技安全治理框架；坚持金融持牌经营；坚持多元共治加强国际合作；坚持金融创新必须在审慎的前提下来进行等。

值得关注的是，肖钢进一步指出，应当坚持审慎监管、业态监管、技术监管相统一，把技术风险监管上升到系统风险重要内容。“我们过去的监管强调审慎监管，现在科技与金融融合，业态发生很大变化，有的看上去不像保险，不像信贷，不像证券，业态开始模糊，把业态监管补充进来，技术监管放到突出的位置，既要注重大而不能倒的风险，同时也要关注小而分散长尾风险。”肖钢说道。

尚福林同样谈到了科技创新在金融领域应当遵循的基本要求。尚福林认为，金融在数字化转型过程中，催生了很多创新实践做法，也出现了不少问题，有些是从未遇到过的。这是一个新生事物发展的必经阶段，需要各方一起分析研究，共同妥善应对。

具体而言，尚福林认为发展金融科技应当有三条基本要求。

一是符合金融运行的客观规律。金融科技本质上是技术驱动的金融创新活动。科技让金融机构能够以更低的成本服务长尾客户，增加获客能力。同时，金融业务依然要遵循安全性、流动性、盈利性等行业基本原则。科技服务于金融，金融标准不能迁就于技术手段，特别是不能因为盲目追求技术便捷而降低金融风险防范的标准。

二是符合服务实体经济的需要。数字经济是新的经济增长点，也是改造提升传统产业的支点。基于我国经济运行规律和外部发展环境变化，金融的科技创新要顺应数字经济发展趋势，更好统筹供给侧结构性改革和扩大内需。智能投顾、供应链金融、消费金融都已有了比较好的技术应用案例。

三是符合风险防控的要求。科技没有改变金融业务的风险属性，又突破了金融服务的地域和行业限制，风险呈现出更强的网络化特征，风险传染速度更快、波及范围更广，不同类型的风险更容易相互交织。一方面，从内部看，要继续牢固树立安全发展理念，坚持底线思维，增强金融风险防控能力。另一方面，从外部看，要不断提升数字化监管能力。要不断适应金融数字化转型发展，强化金融科技创新的行为监管，加强风险监测预警，增强穿透式分析能力，健全与金融数字化相适应的监管规则体系。

谁来负责“防守”？

杨兵兵从实践角度谈到了数字经济时代的金融安全变化，并进一步剖析了这些变化的关键点、影响程度以及应当采取的措施，特别是在管理框架上，应该如何在当前形势下做好金融安全防护。

杨兵兵认为，数字经济时代带来了互联互通、数据为主、人工智能三大特征，将给金融机构带来运营安全、信息安全、数据安全、模型安全、场景安全五个方面的安全影响。

“我们（商业银行）传统的信用风险、操作风险、市场风险一直都存在，数字经济时代也没有什么改变。我今天提到的这五类安全，会使传统的信用风险、操作风险、市场风险加速叠加，而且因为这五个方面的安全边界模糊，也会使得传统风险的边界和传播速度发生变化。”杨兵兵说道。

具体在运营安全方面，杨兵兵谈到，当前分布式、全栈这两个趋势给金融机构传统运营安全带来了新的挑战。银行经过多年积累，无论是设备还是系统都形成了“大集中”的态势，分布式和全栈作为新的发展方向，对传统“大集中”的模式构成了挑战。

在信息安全方面，杨兵兵指出，商业机构的信息安全总有“防守”边界，当前金融机构与外部企业合作时候，也会帮助企业配置设备，甚至帮助其建设系统。那么随之而来的问题是，这些资产属于谁？谁来负责“防守”？一旦出现信息安全问题时，该如何面对安全边界？

那么，围绕这五类安全风险金融机构该如何应对？杨兵兵表示，光大银行在实践中不断摸索，形成“三个原则”、“五个方法”安全管理新举措。

具体而言，“三个原则”分别是集中统一和高效权威的领导机制、统筹各领域安全的大安全理念、统筹兼顾和科学辩证的系统思维。

“首先是领导机制，在银行整体机构层面，要有一个统一的、强化顶层设计的安全组织；其次是应该有大安全理念，现在独立的安全管理是无法应对新形势下新问题的，以前成立的单点安全组织应该在大安全体系下逐渐重整融合；第三是我们在重视发展问题和安全问题的同时，既要关注自身的安全，更要关注合作伙伴的安全，现在已经很难‘独善其身’了，‘自扫门前雪’在这个时代已经一去不复返了。”杨兵兵表示。

杨兵兵称，在前述三个原则指导下，该行制定推出了“五个方法”，即建立全面的组织体系、建立分层的风控体系、建立互补的技术体系、建立完善的文化体系、建立科学的人才体系，概览来讲就是组织、风控、技术、文化和人才五个方面。

责任编辑：王超