數據安全成監管高度關注、行業風險集中領域

近日，普華永道聯合中國信息通信研究院及平安金融安全研究院發布《2018-2019年度金融科技安全分析報告》指出，隨著云計算、大數據、人工智能、區塊鏈等信息技術在金融領域的逐漸應用，金融科技正以迅猛態勢重塑金融行業生態，但被調查的大部分金融科技公司表示在過去一年內融資難度增大。

報告分析認為，隨著金融科技公司受到監管整治力度加大、行業前景不明朗、同業競爭激烈、投資人對金融科技行業的態度轉向審慎等因素影響，迫使金融科技公司的融資受限。

近期，多家數據公司因“違規爬蟲”被查。目前監管層要求銀行填寫是否與第三方數據公司開展合作，排查的合作內容主要涉及數據采集、信用欺詐、信用評分、風控建模等方面。同時，監管窗口指導所在轄區內大數據企業是否存在違規爬蟲業務，如果沒有則要求企業出承諾函，如果存在違規爬蟲業務，要上報并盡快整改。

“第三方數據公司在抓取數據時，還是要依照被抓取方的要求抓取，特別是涉及到一些政府網站、企業網站敏感信息時，對方明確表明不讓抓取，甚至拒絕抓取的，第三方數據公司還是不要做爬蟲處理?！逼杖A永道風險與控制服務合伙人李睿表示，“傳統金融機構在與第三方數據公司合作時，對于公共數據、企業數據和個人隱私數據要區別對待。特別是涉及到個人隱私數據方面，傳統金融機構一定要慎之又慎?！?/p>

在過去一年中，所有被調研企業均表示發生過不同類型的網絡安全事件，其中，針對客戶資料及企業重要業務數據的安全事件成為發生頻率最高的安全事件類別，合計高達44%的比例，而“DDoS攻擊” 及“ 有害程序攻擊 ，如網絡勒索、病毒、蠕蟲”則成為傳統安全攻擊類別的主要手段，特別是勒索病毒及蠕蟲，延續自2017年以來WannaCry的余波，仍然在2018年至2019年上半年成為持續影響金融科技企業主要的網絡安全風險。

普華永道表示，傳統網絡安全技術、網絡安全管理模式、金融業原有的網絡安全技術與管理模式，也必將發生變革，衍生出于金融科技行業業務屬性及特點相吻合的進入農高科技特有的網絡安全技術與網絡安全管理模式。

普華永道風險與控制服務合伙人李睿表示，“伴隨大數據、云計算、區塊鏈/虛擬貨幣、虛擬銀行、人工智能、RegTech等眾多金融科技應用基礎技術及應用場景的出現，金融科技在未來兩年將持續向傳統金融領域滲透，出現更多的創新應用。未來兩年除數據安全以外，網絡安全也將在區塊鏈及人工智能領域（特別是人工隱私安全領域）持續得到行業關注及資源投入?！?/p>

報告顯示，61.3%、60%、42.5%、42.5%的被調研企業中在風險識別、精準營銷、改善經營、服務/產品創新等領域開展了大數據來驅動金融交易業務，38%、36%、32%的被調研企業中在客戶風險預警、智能投顧、交易搜索及可視化等領域開展了利用人工智能來驅動金融業務。但是，仍然有20%的企業并沒有利用大數據來驅動金融交易業務，28%的企業也沒有開展人工智能來驅動金融業務？

對此，李睿分析認為，企業在利用大數據、人工智能等新技術的應用時考慮因素較多。一方面中小型企業無法承受大數據、人工智能等新技術的高成本，另一方面，大數據、人工智能在驅動金融交易業務方面，短時間內無法實現業務突破或尋找到新的業務增長點，從而會給企業正常運行帶來一定的風險。

報告顯示，信息安全引發了更多交易安全。針對交易安全的攻擊統計中，金融科技企業在過去一年半內，普遍反映遭受到多種類型的業務安全攻擊，幾乎沒有企業能夠獨善其身，具體包括，33%的金融科技企業受到交易安全攻擊（惡意貸款、積分套現、低價購買、市場營銷活動薅羊毛等），33%的金融科技企業受到賬戶安全攻擊（登錄、注冊、綁定關系找回），33%的金融科技企業受到系統級缺陷攻擊（二次打包、接口安全、應用層漏洞、數據存儲），17%的金融科技企業受到支付安全攻擊（支付系統邏輯缺陷、支付行為可信、支付數據篡改、高并發資源競爭、信用卡套現/欺詐），另外針對數據/隱私安全的攻擊也達到31%的比例。

在數據安全方面，云上的數據安全及隱私安全最受金融科技企業關注。報告顯示，72%的被調研企業有意識并且部署及使用數據脫敏的手段保護客戶及員工個人信息，但是仍然有37%的被調研企業未與用戶簽署隱私協議，因此，金融科技企業在跟進個人信息保護的法律法規方面仍存在滯后性。

同時，41%的被調研企業反映在使用云服務過程中，曾遭遇數據及隱私保護方面的風險事件。這表明業務數據及個人信息數據再使用第三方存儲及處理服務方面，仍然存在心理信任、實際合規符合性不足、透明度不足的問題。

普華永道預計，未來數據價值還有待進一步挖掘。目前行業在數據利用上，依然局限在用戶畫像、精準營銷及風險防控方面，其他利用領域的應用水平依然遠遠不及，整體數據使用成熟度、數據安全成熟度較低。

數據安全正成為監管高度關注、行業風險集中的領域。在金融科技這一強監管行業，伴隨《個人信息保護法》和《數據安全法》兩部重要法律列入立法規劃，必將進一步使得數據安全成為金融科技行業的工作重點。

網絡安全將成為金融科技的創新應用的組成部分。未來兩年除數據安全以外，網絡安全也將在區塊鏈及人工智能（特別是人工智能隱私安全領域）領域持續得到行業關注及資源投入。

責任編輯：方杰