金融业对智能数据脱敏的要求有哪些？

基于国家及业内关于数据安全保护的规章制度，从数据服务、数据流通、数据管理三个角度，探讨了金融业对智能数据脱敏的要求，以确保敏感数据在使用、传递、留存时的安全性。

一、数据服务安全要求

在数据服务层面，金融机构通过数据脱敏技术，构建了多层次的用户隐私与数据安全保障体系。在提供数据服务的过程中，数据脱敏能够显著降低数据泄露风险，确保敏感信息的安全性。数据服务主要涵盖业务数据查询、客户数据分析、投资风险管理等场景。

1.合规合法性 从“个人金融信息” 3的概念提出，到金融业数据工作的五大基本原则 4的确立，及至今年《银行保险机构数据安全管理办法》的征集 5，不断完善和严格的法律规章制度体现出监管机构对金融敏感数据的愈发重视。这要求金融机构在使用数据提供服务前，如客户的身份信息、财务数据等敏感数据需要根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法规在数据的原有形态上进行脱敏，以确保所见数据的合法、正当。例如对身份证号码、银行账号等数据进行掩码处理，以降低泄露风险。

2.精细化数据控制 客户金融信息在完成数据分析后，可被应用于个性化推荐或金融数字产品的投资风险管理中。在此过程中，智能数据脱敏技术需严格遵循“最小必要原则”，实施精细化脱敏处理，仅提供完成业务目标所需的基本信息，并对非必要展示的敏感数据进行脱敏。例如，在对可疑交易进行反洗钱监控和审查时，系统传递给审查人员的交易数据需对客户的敏感信息（如住址、身份证号等）进行脱敏处理，确保仅必要的账户交易信息可被查看，从而在满足业务需求的同时，最大程度保护用户隐私。此外，脱敏后的数据需保持统计代表性和分析有效性。这对智能数据脱敏技术提出了更高的要求：在确保数据业务特点得以保留的同时，还需对隐私信息进行有效保护。

3.实时性和多样性需求 在金融科技领域，快速和简便的操作是用户选择金融产品的标准，而“低用户感知”是确保用户体验和满意度的关键。为此在实时数据服务（如在线支付、跨行转账、反欺诈服务等）中，需要做到实时脱敏处理。智能数据脱敏技术应具备低延迟性，确保不影响服务的实时响应。此外，随着可被采集的用户信息日益多样化，金融信息的数据结构也趋向复杂化。这就要求脱敏技术具备一定的柔性，在快速处理结构化数据的基础上，能够灵活处理半结构化和非结构化的数据。

二、数据流通安全要求

数据流通的安全强调在数据共享、交易和传输过程中保护数据的安全性和隐私性。涉及金融数据在不同环境、系统甚至机构之间的传递。

1.跨环境、系统数据共享的“分级信任”策略金融系统常存在生产、开发和测试等多套环境。生产环境直接服务客户，进行实际业务操作。开发、测试环境用于新功能开发以及单元、集成测试，以防止功能上线时出现问题产生实际影响。数据验证环境高度模拟生产的环境，用于监管报送等重要金融场景，使用仿真数据以确保测试结果准确性。此时应遵守跨环境的“分级信任”策略，根据请求环境、用户的重要性等级，对不同访问申请进行多层审批和多次身份验证和权限校验，确保数据在不同环境间传递时的安全，防止数据未经授权的访问。由于金融机构业务范围广泛，客户数据通常被多维度地存储在不同的系统中。为构建准确的用户画像，数据要在多个系统和部门之间流动，甚至涉及到对外合作伙伴之间的数据共享。敏感数据在流通时，可能因安全漏洞等问题发生数据泄密。可以将数据存储在一个集中管理的数据平台，传递时遵循“分级信任”策略，根据请求系统的重要性提供差异化的信息展示。例如，给核心业务系统提供的业务数据保留更高的精度，而在外部系统中，仅展示脱敏后的结果。另外，可根据数据的重要程度，通过流量限制控制大规模敏感数据的传输，以保证数据安全。对于跨组织的数据流通，脱敏处理的方式要更加严格，如采用不可逆加密方式，保证数据即使被截获也无法被利用。另外，为了防止由于外部调用导致的敏感数据外泄，基于API进行数据交换的场景中可加入对数据接口的管控。

2.跨地区、跨境数据传输的合规性跨境数据流动在金融机构全球化发展的今天变得更加普遍。这要求数据在跨境传输过程中能够满足不同国家和地区的数据保护法规（例如 GDPR、CCPA、PIPEDA 6）。为降低违反不同地区法规的风险，智能脱敏技术应使脱敏后的数据不具备个人可识别性。如客户交易数据在跨地区、跨境传输前，剔除其中能够直接识别个人身份的信息，如姓名、身份号码等，并加密其他隐私信息，以减少因侵害客户隐私而导致违反当地法律法规的风险。

3.动态脱敏与数据可跟踪性客户数据在流通过程中，信息被频繁地访问、传输和修改，要求数据脱敏时应有动态加工的能力。脱敏策略需要根据具体的业务场景，在数据从一个部门流向另一个部门的过程中调整。不同的数据用户，根据其权限和需求，获取的敏感信息应有所区别。比如客户数据、交易数据是为客户经理展示的非脱敏信息，而与信贷风险相关的信息则是风控部门访问的非脱敏信息。为此，智能数据脱敏技术应具备根据不同访问用户对数据进行实时脱敏的能力。 同时，数据流通过程中的可追踪性也很重要，为确保数据在各个节点上的运行都可以被追溯，数据的传输路径应是可记录的。此外，数据跟踪能够提高数据的可信度和质量，在问题发生时能够清晰责任归属，优化业务流程。

三、数据管理安全要求

数据存储划分为在线区、近线区和离线区数据7，以达到兼顾不同数据服务场景访问效率和经济化数据使用成本的目标。本节主要聚焦于近线区和离线区数据在存储、归档和销毁时的管理要求。

1.数据存储中的去标识化处理数据存储中的去标识化处理主要应用于数据库中的近线区数据，该部分数据通常趋于静态存储，不再频繁更新或访问，这部分数据也是数据管理过程中最容易造成大规模数据外泄的风险点。智能数据脱敏技术需对存储的敏感数据进行去识别化或加密处理，以防止敏感信息在存储过程中泄露。例如，将客户的身份信息与交易数据加密后分开存储，确保不能直接识别客户的完整信息，即使单个数据集泄露，也无法识别客户的完整信息。另外，大型金融机构通常会建立双活环境、灾备环境以保障发生故障时系统的稳定运行。但备份数据存储的安全级别通常相对较低，因此可以对灾备环境的数据进行智能数据脱敏处理，以进一步降低数据泄露的风险。

2.数据归档、销毁前的分级管理为存储不断增加的客户数据，数据集群需要不断花费成本扩容节点，而扩容后的数据重分布、批量暂停也对服务的稳定提供造成压力。对于超出常规存储时间范围的离线区数据，可根据《2024 金融数据安全治理白皮书》8建议将金融数据分为核心数据、重要数据和一般数据三大级别，以确定数据是否应归档保存。而智能数据脱敏技术应能根据数据的不同级别，提供灵活且有效的脱敏策略。 而对于需要归档的核心级敏感数据，可在归档前进行多重脱敏（如数据遮盖、字符替换、哈希处理等），即使归档数据的某一层保护措施被攻破，剩余的脱敏方式仍然可以有效地保护数据安全。保证攻击者即便获取到部分已归档数据，也难以复原原始数据。 对于确认不再使用的离线区数据，应通过不可逆的脱敏处理，使数据变得没有意义，从而确保客户隐私及金融安全不受威胁，防止已销毁数据被恶意恢复。

3.管理过程中的风险评估与合规审核在数据管理过程中，金融机构常要面对持续不断的行业风险评估和合规性审计。为此，在进行数据脱敏后，应保留详细的脱敏日志、对应数据的加载策略以及生命周期转储策略的记录，以确保脱敏数据能达到国内外最新数据保护条例的要求。最后，智能数据脱敏技术应具备支持合规审核的功能，帮助金融机构及时发现数据管理中违反最新数据保护条例的潜在风险，以及进行调整脱敏策略后的安全风险评估。