一、项目背景及目标

数据作为数字经济时代核心、具价值的生产要素，正在加速成为全球经济增长的新动力、新引擎。银行业是典型的数据密集型行业，数据已成为银行的重要资产和核心竞争力，驱动业务运营和决策，在享受数据带来的巨大价值的同时，银行也面临着更多的数据安全风险难题。

数据安全是国家安全体系的重要组成部分，习近平总书记高度重视数据安全工作，强调要把安全贯穿数据治理全过程，守住安全底线。从政策层面看，近年来我国高度重视数据安全和隐私保护的立法工作，相继发布了《网络安全法》、《数据安全法》、《个人信息保护法》等法律，金融行业监管机构也发布了《银行保险机构数据安全监管办法》、《中国人民银行业务领域数据安全管理办法（征求意见稿）》，对数据安全提出了明确要求，这些法律法规和监管制度的出台，对银行业开展数据安全管理和隐私保护工作提出了更加严格的要求。同时随着消费者个人信息保护意识的逐渐增强，消费者对于个人数据的使用和保护也越来越关注，银行必须高度重视数据安全和隐私保护工作，确保消费者的个人信息得到充分保护。此外，近年来金融机构数据安全事件频发，监管机构对金融机构在数据安全方面的处罚力度越来越大。据统计，2023年金融机构因数据合规受到监管机构的处罚金额约为50.39亿元，较上年增长1929.39%。

因此，银行加强数据安全工作，既是维护国家安全战略方针，满足监管要求，免遭监管处罚，维护银行声誉的基石，又是保障全行新金融实践，推进高质量发展的底线。

二、创新点

1.建立数据资产全链路数据流转监测机制

实现了从数据产生、加工整合到服务应用的全链路数据关系的全覆盖,全面掌握端到端数据流转情况及健康状态,包括数据的流入流出、所在节点等,确保所有敏感数据的流转都可被监测、记录、分析和溯源。

2.实施全域数据生命周期安全分级保护

在数据资产盘点整合的基础上,进行数据分类分级。依据行业标准和监管指导,确定了数据分类分级规则;面对海量数据,自主研发了数据安全自动化辅助定级模型,通过机器学习等方法实现数据安全等级的自动化初判,并对初判结果进行人工复核,将数据安全级别落实到每个数据项上,为数据分级管控打下基础。同时,结合监管要求和管理实际,细化数据安全分级管控策略,明确数据分类分级保护要求,让安全管理有据可循,将数据安全分级保护贯穿数据采集、传输、存储、处理、销毁的全过程。

3.建立统一数据授权使用管控机制

搭建了覆盖所有信息系统的全行统一用户权限管控体系,确保按照"小必要"原则设立使用权限。同时,围绕"数据用数"和"个人客户的隐私授权"个重要场景建立企业级的授权管理机制,为全行"快捷用数、安全用数、合规用数"提供保障。打造个人隐私授权统一管理平台,把全行个人客户的安宁权授权、个人隐私授权、单独授权等场景进行统一管理,确保数据分析活动均在个人客户授权下进行,加强个人数据使用合规管理及安全管控,充分保护个人客户的相关权益,并大限度地减少对客户的打扰。

4.探索利用隐私计算技术促进数据安全共享

积极探索联邦学习、多方安全计算等技术应用,支持联合计算、联合建模等丰富功能,支持集团内外部各机构快速部署和使用,在确保"数据不出域"的前提下,实现数据"可用不可见",充分发掘跨机构数据在建设银行苏州分行风控、营销、监管等场景的价值,促进数据融合应用。

5.建立数据安全风险评估机制

组织开展全集团数据安全风险评估，推进常态化数据安全评估联动机制建设,强化数据风险管控。围绕重点场景开展影响评估、加强对个人信息保护、第三方合作、数据出境、产品创新等多种场景下的数据安全评估,做到风险早发现,早预防、早解决、从而保障建设银行数据创新应用的正当性和合规性。

6.建立数据安全应急管理机制

完善应急管理体系,制定数据安全事件应急管理制度,明确了职责分工和报告流程,事件分级和重点场景,指导全行对数据安全事件进行识别和差异化响应,并建立了覆盖各级机构的应急联系通信录,确保联系到人。强调了数据安全事件与网络和信息安全事件、业务连续性事件、声誉事件等协同处置,确保各方密切配合，一旦有事件发生,能够快速响应、各司其职、相互协作、处置得力。

三、项目技术方案

2023年，建行苏州分行全面对标数据安全法律法规及监管要求，建立健全适用于建行苏州分行业务发展目标的数据安全管理体系。通过建设数据安全管理体系，实现逐项达标，提高数据安全管理的规范化、制度化水平；平衡发展和安全，借助数据安全技术，守牢数据安全底线的同时，保障全行业务经营的高质量发展。

1.履行管理责任，健全数据安全管理体系

建立数据安全组织架构。建设银行建立了覆盖管理层、执行层和监督层三个层次数据安全组织架构。管理层，明确了金融科技与数字化建设委员会统筹数据安全工作。执行层，数据管理部门牵头管理全行数据安全工作，科技部门负责在信息科技领域落实数据安全工作，各业务部门负责在所辖业务领域工作中落实数据安全管理要求。监督层，风险管理部门、内控合规部门在职责范围内落实数据安全风险管理、内控评价、问责处置等工作。同时，建行苏州分行将数据安全风险纳入全面风险管理体系，压实“三道防线”责任，加强协同联动，确保数据安全风险管控“横向到边，纵向到底”。

完善数据安全专项制度体系。落实合规要求，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，监管机构相关监管规定和标准，以及《中国建设银行数据安全管理办法（2023年版）》、《中国建设银行数据分类分级保护实施细则（2023年版）》、《中国建设银行数据安全事件应急预案（2023年版）》等规章制度，制定《中国建设银行苏州分行数据安全管理实施细则（2023版）》、《中国建设银行苏州分行数据分类分级保护实施细则（2023版）》、《中国建设银行苏州分行数据安全应急预案（2023版）》，确保数据安全管理工作有制可循，有章可依。

2.践行全流程管理，完善数据安全管理机制

开展数据安全评估检查，识别潜在安全风险。开展全行数据安全自评估，从数据安全管理、数据安全保护、数据安全运维3个评估领域、23个评估维度、180余个评估项覆盖数据处理全流程，全面排查全行数据安全风险；加强新产品、数据对外合作、数据出境等场景化数据安全影响评估，确保在事前避免数据安全风险，并采取相应的缓解措施。

建立数据安全应急机制，确保及时响应处置。加强数据安全投诉和舆情监测，持续进行相关投诉和舆情监测，建立覆盖各级机构的应急联系通讯录，确保联系到人，保障一旦有事件能够及时响应和处置。

健全数据安全文化建设，增强员工安全意识。全行各部门、分支机构定期组织开展数据安全宣传，尤其是针对新员工、科技部门、数据使用部门的重点员工，以案例警示、培训、专家授课等多种方式，强化员工数据安全意识。同时，业务部门及各分支机构将数据安全培训融入业务培训中，细化在业务场景中相关岗位的数据安全职责分工，保障安全控制措施有效落实。

3.应用安全技术，赋能乡村振兴和绿色金融

依托金融科技赋能数据安全管理，强化数据使用环节的安全风险防控能力。积极探索先进技术在数据安全领域的应用场景，提升数据安全管控能力，采用加密算法、双因素认证、访问控制、数据脱敏、网络安全防护、日志监控和审计等多种技术手段，增强数据的安全性和透明度，更好地保护数据安全和隐私。

四、项目过程管理

根据建行苏州分行数据风险项目管理要求，本项目项目周期为2023年11月至2024年5月，具体分阶段项目过程如下所示：

2023年11月 建行苏州分行数据安全管理实施细则；

2023年11月 建行苏州分行数据分类分级保护实施细则；

2023年12月 建行苏州分行数据安全数据应急预案；

2024年1月-2月 分行各部门及二级行风险自查；

2024年3月 数据安全风险检查及风险模型监测；

2023年4月 外部数据接入风险排查。

五、运营情况

目前建行苏州分行数据风险三大发文已全部发布，数据安全体系已初步建立。

六、项目成效

建行苏州分行践行乡村振兴和绿色金融理念，积极尝试依托于数据安全技术的创新服务模式，开辟赋能数字化新路径。在构建张家港永联村“数字乡村，智慧永联”乡村信用体系时，针对多渠道数据融合，打造融通数据中台，探索借助多方数据加密算法及隐私计算，确保形成数据黑盒，形成“永联分”，确保村民信用权益安全无忧兑现。针对绿色信贷中使用到的工商、电力等外部数据也同步开展数据安全分类分级，并结合汇聚融合的规模匹配一定的规则进行外部数据安全等级调整，同时针对外部数据落实分级管控措施，如开展内外部数据融合的数据安全评估，加强外部数据在传输过程中的数据安全保护。

七、经验总结

建设银行作为国有大行,在推进自身安全体系建设的同时,还积极参与金融行业数据安全标准的制定。同时与领先的金融机构和互联网公司一道深度参与中国信息通信研究院发起数据安全推进计划,共同开展相关领域学术交流研究,携手建设数据安全治理生态。

未来,建设银行将继续坚持总体国家安全观,以高度的政治责任感落实数据安全各项要求,完善数据安全顶层设计,推进各项保障工作落地,不断提升数据安全保护水平。作为支付清算协会成员、积极与监管机构、金融同业、行业协会等各方共同构建数据安全协同治理模式,保障支付产业数据安全流通,助推高质量发展。