長期以來，支持企業跨境對外貿易融資都是商業銀行國際化經營的重要內容，當前新冠肺炎疫情沖擊下使得外部國際形勢愈加復雜多變，對銀行跨境國際化業務提出了嚴峻挑戰，一方面企業仍然有跨境貿易融資的需求，境內外跨境信息交互不可避免；另一方面隨著中美貿易摩擦以及美國、歐盟等主要經濟區相繼出臺了信息安全相關法律條例，對隱私保護、防止信息泄露的要求愈發嚴格。在這種情況下，銀行需要同時滿足境內與境外不同的監管部門的要求，信息安全就是其中一項重要內容。

境內外信息安全監管現狀。目前境內外監管對于跨境信息保護的法案主要有我國的《網絡安全法》，歐盟的通用數據保護法（GDPR），美國NYDFS500法案等。其中我國《網絡安全法》于2017年6月1日起正式生效，是我國數據出境管理的主要法律依據，規定了關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲，因業務需要確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。歐盟GDPR是專門針對個人信息的保護法案，對于個人信息采集、信息出境、信息主體授權都提出了明確要求。美國NYDFS500目前并未限制跨境數據傳輸，但強調適用于美國法律的數據在離開美國后仍然適用，闡明了長臂管轄原則?？梢娦畔⒊鼍硣辣O管的趨勢已經越來越明顯，銀行必須做出適應性調整，盡可能降低合規要求所帶來的影響。

跨境信息傳輸安全評估。以往境內外跨境信息直接傳遞的方式已經無法適應監管要求，境內外業務往來必須根據業務場景明確具體交互的內容，境內外機構均需要對跨境傳輸的信息進行安全評估，確認相關信息可以出境，必要時向當地監管部門報備，并取得許可后再進行信息跨境傳輸。目前國內各主要商業銀行均已開展針對不同境外地區的跨境信息安全評估工作，與境內外相關法律機構合作開展信息安全研究課題，形成評估報告，并注重在不同業務領域的評估信息共享，用于指導境內外系統建設部署及信息交互。

建立靈活的跨境系統架構。各國監管對信息安全的要求復雜多樣，例如俄羅斯、泰國要求系統必須在當地部署，客戶信息數據不允許出境；而其他國家有些明確信息可以出境，但要經過合規性評估或客戶主體授權，有些要求出境信息存儲的系統均納入監管管轄范圍，有些則未做明確要求。采用統一部署的系統架構，雖然部署和運維成本較低，但面對差異越來越大的境外監管要求往往捉襟見肘，通過打補丁方式調整的代價巨大。如今支持國際化業務的系統建設越來越朝著專業、靈活、分布式方向發展，首先做到流程專業，跨境信息按照傳輸路徑最短、知悉范圍最小原則開展系統建設，針對境外不同監管要求進行合法合規的跨境信息收集，將影響控制在最小范圍，避免對境內其他系統產生影響。其次做到系統快速、靈活部署，采用數據分表存儲、集群松耦合等模式，能夠快速拆分、合并系統版本，靈活應對境外各地區監管要求的變化。在部署環境方面，開辟境外數據傳輸的外聯專用區域，與其他系統部署隔離，并對信息交互采取監控機制，真正做到安全可控。

筑牢跨境信息安全防火墻。為進一步規范跨境數據傳輸流程，加強境內、境外信息安全保護，應當構建境內外信息交互的中間層，筑牢信息安全防火墻。境內外交互信息應先在中間層落地，通過主體授權確認后再將數據發送到接收端，做到系統訪問透明?？缇硵祿捎肕D5、DES3等加密技術存儲，并采用Https等網絡加密傳輸，配合專用數字證書進行身份合法性識別，所有交互操作均有日志跟蹤留痕，并通過雙因素認證等手段強化安全級別。通過運用一系列技術手段，確?？缇承畔鬏斂杀O控、可追溯、可管理，最大程度保護信息安全?？缇持虚g層起到了隔離境內外系統、滿足境內外監管、構建安全傳輸架構的作用，使跨境信息交互更加規范透明。

從國家戰略到企業經營，從業務推廣到系統建設，信息安全都是確保各項工作平穩有序發展的重要基礎。未來在常態化防疫形勢下，商業銀行要及時轉變經營思路，把穩健合規作為開展跨境業務的重要前提，嚴防信息泄露，不斷提升國際化經營水平，避免出現跨境業務系統性風險。

責任編輯：王煊