2020年2月13日，中國(guó)人民銀行發(fā)布實(shí)施金融行業(yè)標(biāo)準(zhǔn)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020），在《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2017）等國(guó)家標(biāo)準(zhǔn)基礎(chǔ)上，就個(gè)人金融信息的保護(hù)作出的細(xì)化規(guī)定，就個(gè)人金融信息全生命周期提出安全技術(shù)和安全管理方面的要求。

適用主體范圍:

《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020）適用于提供金融產(chǎn)品和服務(wù)的金融業(yè)機(jī)構(gòu)，具體指由國(guó)家金融管理部門(mén)監(jiān)督管理的持牌金融機(jī)構(gòu)，以及涉及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)。

哪些個(gè)人金融信息受到規(guī)范:

根據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020），個(gè)人金融信息是指通過(guò)提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息，包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息和其他反映特定個(gè)人某些情況的信息。

個(gè)人金融信息按照其敏感程度從高到低分為C3、C2、C1三個(gè)類(lèi)別，以下為簡(jiǎn)要整理的類(lèi)別、范圍和以上行業(yè)標(biāo)準(zhǔn)針對(duì)不同類(lèi)別設(shè)定的要求：

在金融業(yè)由于企業(yè)應(yīng)用系統(tǒng)連接內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)，應(yīng)用系統(tǒng)數(shù)據(jù)的使用者既有來(lái)自互聯(lián)網(wǎng)的用戶、合作伙伴，也有來(lái)自企業(yè)內(nèi)部的員工，因此涉及個(gè)人信息和敏感數(shù)據(jù)的信息在處理、共享和使用過(guò)程中，面臨違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)泄漏的安全風(fēng)險(xiǎn)。然而，數(shù)據(jù)的治理與保護(hù)也面臨著諸多困難，當(dāng)前金融機(jī)構(gòu)數(shù)據(jù)多采用分散存儲(chǔ)，對(duì)數(shù)據(jù)控制的有效性面臨挑戰(zhàn)，主要有：

1、內(nèi)部人員通過(guò)客情系統(tǒng)（crm）違規(guī)竊取公民金融信息、個(gè)人信息等；

2、內(nèi)部人員對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪問(wèn)、數(shù)據(jù)濫用，導(dǎo)致數(shù)據(jù)外泄事件發(fā)生;

3、企業(yè)重要敏感信息，被員工或第三方合作公司濫用、外泄，給企業(yè)造成巨大的經(jīng)濟(jì)和聲譽(yù)損失；

4、員工對(duì)于應(yīng)用系統(tǒng)的訪問(wèn)不透明，無(wú)法了解數(shù)據(jù)的流動(dòng)方向；

5、企業(yè)應(yīng)用系統(tǒng)敏感接口管理混亂，無(wú)法有效的識(shí)別和管理;

因此，建立數(shù)據(jù)安全及風(fēng)險(xiǎn)治理體系，對(duì)應(yīng)用系統(tǒng)中敏感數(shù)據(jù)訪問(wèn)情況進(jìn)行審計(jì)和監(jiān)控，對(duì)異常數(shù)據(jù)訪問(wèn)行為進(jìn)行識(shí)別和告警，讓敏感數(shù)據(jù)訪問(wèn)現(xiàn)狀全部展現(xiàn)在“燈光”之下，避免敏感數(shù)據(jù)接口未知造成的安全隱患長(zhǎng)期存在，同時(shí)建立快速有效的數(shù)據(jù)泄漏事后溯源機(jī)制，是金融機(jī)構(gòu)自身發(fā)展的客觀要求。

解決方案

我們建議金融業(yè)機(jī)構(gòu)對(duì)照該行業(yè)標(biāo)準(zhǔn)，對(duì)業(yè)務(wù)中涉及的個(gè)人金融信息分級(jí)分類(lèi)，參照該行業(yè)標(biāo)準(zhǔn)執(zhí)行收集、處理、委托處理等個(gè)人金融信息全生命周期的安全要求。同時(shí)還應(yīng)根據(jù)具體服務(wù)場(chǎng)景以及該信息在其中的作用對(duì)信息的類(lèi)別進(jìn)行識(shí)別，并實(shí)施針對(duì)性的保護(hù)。

針對(duì)金融行業(yè)業(yè)務(wù)特點(diǎn)，我們提供以下兩種解決方案：

方案一：應(yīng)用數(shù)據(jù)風(fēng)險(xiǎn)分析和審計(jì)

此方案主要是面向應(yīng)用業(yè)務(wù)系統(tǒng)的安全管理覆蓋，通過(guò)應(yīng)用數(shù)據(jù)安全網(wǎng)關(guān)與數(shù)據(jù)風(fēng)險(xiǎn)分析審計(jì)系統(tǒng)來(lái)完成，實(shí)現(xiàn)敏感數(shù)據(jù)接口識(shí)別、數(shù)據(jù)行為審計(jì)、數(shù)據(jù)流向識(shí)別、異常風(fēng)險(xiǎn)分析以及安全事件的溯源，解決方案邏輯拓?fù)淙缦拢?/span>

應(yīng)用數(shù)據(jù)風(fēng)險(xiǎn)分析和審計(jì)方案主要提供了三個(gè)層次的功能：

1、應(yīng)用數(shù)據(jù)掃描

通過(guò)對(duì)應(yīng)用網(wǎng)絡(luò)全流量的分析，可以對(duì)企業(yè)內(nèi)部應(yīng)用層面的數(shù)據(jù)進(jìn)行掃描，從而使安全運(yùn)維人員第一次具備了從全局了解所有系統(tǒng)數(shù)據(jù)流向的能力。利用系統(tǒng)的數(shù)據(jù)掃描及敏感接口發(fā)現(xiàn)功能，安全運(yùn)維人員能夠知道系統(tǒng)對(duì)內(nèi)外的數(shù)據(jù)流出渠道，哪些類(lèi)型的數(shù)據(jù)通過(guò)什么渠道在流出，流出的數(shù)量是多少。

2、數(shù)據(jù)流動(dòng)審計(jì)

系統(tǒng)對(duì)應(yīng)用數(shù)據(jù)進(jìn)行掃描之后，對(duì)于其中的敏感接口之上的數(shù)據(jù)流動(dòng)需要進(jìn)行進(jìn)一步的精準(zhǔn)監(jiān)控，將對(duì)敏感數(shù)據(jù)的訪問(wèn)行為定位至用戶賬戶，安全運(yùn)維人員能夠?qū)υL問(wèn)這些接口的賬戶及其行為進(jìn)行記錄，從而實(shí)現(xiàn)對(duì)這些敏感數(shù)據(jù)的訪問(wèn)行為進(jìn)行審計(jì)。系統(tǒng)能夠?qū)γ舾薪涌诘乃性L問(wèn)都進(jìn)行記錄，并且從賬戶/IP/接口多個(gè)維度進(jìn)行行為畫(huà)像，從而使安全運(yùn)維人員對(duì)系統(tǒng)的敏感數(shù)據(jù)流動(dòng)有更為精準(zhǔn)的把握。

3、風(fēng)險(xiǎn)感知及泄露溯源

在對(duì)所有已經(jīng)配置接口數(shù)據(jù)進(jìn)行監(jiān)控的基礎(chǔ)上，系統(tǒng)能夠通過(guò)主動(dòng)的風(fēng)險(xiǎn)發(fā)現(xiàn)及被動(dòng)的線索溯源功能，實(shí)現(xiàn)整個(gè)應(yīng)用數(shù)據(jù)的風(fēng)險(xiǎn)預(yù)警及可追溯。

核心價(jià)值

自動(dòng)梳理涉敏應(yīng)用和接口、及時(shí)發(fā)現(xiàn)新的涉敏應(yīng)用和接口；

智能監(jiān)測(cè)失活接口、低頻高敏接口、未脫敏接口等；

宏觀掌握不同信任域之間的數(shù)據(jù)流向鏈路；

方案二、數(shù)據(jù)地圖

數(shù)據(jù)地圖是一款針對(duì)數(shù)據(jù)存儲(chǔ)的隱私合規(guī)與數(shù)據(jù)治理的產(chǎn)品。采用數(shù)據(jù)掃描技術(shù)、數(shù)據(jù)打標(biāo)技術(shù)、熱詞分析技術(shù)、數(shù)據(jù)歸類(lèi)技術(shù)構(gòu)建數(shù)據(jù)圖譜,幫助企業(yè)識(shí)別有哪些數(shù)據(jù)、存儲(chǔ)在哪里、誰(shuí)可以使用,進(jìn)而對(duì)數(shù)據(jù)結(jié)構(gòu)變動(dòng)進(jìn)行監(jiān)測(cè),進(jìn)行有針對(duì)性的治理。同時(shí)采用隱私數(shù)據(jù)發(fā)現(xiàn)與識(shí)別技術(shù)、數(shù)據(jù)主體聚合技術(shù),幫助識(shí)別企業(yè)有哪些隱私數(shù)據(jù)、存儲(chǔ)在哪里、如何被使用,進(jìn)而滿足GDPR或《個(gè)人信息安全規(guī)范》的要求。

數(shù)據(jù)地圖提供的的主要功能：

1、數(shù)據(jù)資產(chǎn)梳理

通過(guò)對(duì)數(shù)據(jù)存儲(chǔ)中的數(shù)據(jù)進(jìn)行采樣分析，依據(jù)數(shù)據(jù)內(nèi)容進(jìn)行數(shù)據(jù)特征識(shí)別,為數(shù)據(jù)進(jìn)行打標(biāo)。根據(jù)業(yè)務(wù)特點(diǎn)制定數(shù)據(jù)集規(guī)則，并結(jié)合熱詞分析等技術(shù)對(duì)數(shù)據(jù)進(jìn)行分類(lèi)，幫助企業(yè)了解自己有什么數(shù)據(jù)存儲(chǔ)在哪、是否保護(hù)得當(dāng)。

2、數(shù)據(jù)主體分析

系統(tǒng)通過(guò)數(shù)據(jù)主體定義，識(shí)別企業(yè)已經(jīng)采集的數(shù)據(jù)主體信息，并結(jié)合隱私政策與用戶同意記錄，分析隱私數(shù)據(jù)的采集合法性。通過(guò)數(shù)據(jù)主體關(guān)聯(lián)聚合技術(shù),以數(shù)據(jù)主體視角展示數(shù)據(jù)分析。幫助企業(yè)了解有哪些主體數(shù)據(jù),采集是否合規(guī),同時(shí)具備響應(yīng)數(shù)據(jù)主體權(quán)利的能力。

3、數(shù)據(jù)流圖繪制

系統(tǒng)提供智能化數(shù)據(jù)流圖繪制功能，通過(guò)以數(shù)據(jù)主體為中，以數(shù)據(jù)存儲(chǔ)為起點(diǎn)，快速構(gòu)建上下游數(shù)據(jù)流動(dòng)關(guān)系。幫助企業(yè)快速梳理數(shù)據(jù)被用在哪些場(chǎng)景，誰(shuí)在使用數(shù)據(jù)，實(shí)際使用目的與對(duì)外聲明的是否一致。

4、數(shù)據(jù)質(zhì)量監(jiān)測(cè)

通過(guò)建立數(shù)據(jù)質(zhì)量模型，然后在實(shí)際數(shù)據(jù)中進(jìn)行比對(duì)分析，監(jiān)測(cè)數(shù)據(jù)表和字段的變化，及時(shí)發(fā)現(xiàn)不合規(guī)的數(shù)據(jù)，幫助企業(yè)落地?cái)?shù)據(jù)治理規(guī)范，提升數(shù)據(jù)質(zhì)量。

核心價(jià)值：

自動(dòng)化校驗(yàn)隱私數(shù)據(jù)采集合法性；

低成本滿足數(shù)據(jù)主體權(quán)利要求；

可視化記錄數(shù)據(jù)處理活動(dòng)；