01、金融行業數字化轉型趨勢和挑戰

圍繞金融行業數字化轉型的過程，有兩個永恒的話題：一是如何通過利用數據和信息，給客戶提供更好的金融服務，充分利用數據對服務進行個性化的改進；二是如何在符合法律規定的條件下充分使用數據。

在面對以上問題，可以看見金融行業數字化轉型發展的一些趨勢及挑戰：

場景聚合及生態對接蓬勃發展。數字經濟時代下金融行業需適應新時代下消費理念及需求，通過上下游合作伙伴生態對接，將多樣化場景進行聚合形成優質的金融服務。

泛應用金融產品和服務強化。金融機構利用泛在應用開展營銷和服務，拓展線上渠道，加強線上線下業務協同。

構建數字化金融一站式服務平臺。建立統一投資交易平臺和數字化運營服務體系，圍繞重大項目、重點企業和重要產業鏈，加強場景聚合、生態對接，實現“一站式”金融服務。

普惠金融訪問邊界延展。數字化轉型重點聚焦“小微金融”、“消費金融”等業務，力求打造多層次保險體系。通過基礎網絡資源改造，結合國家“東數西算”工程，擴大網點覆蓋范圍。

個人金融服務數字化深入轉型。鼓勵金融機構利用大數據、增強普惠金融、綠色金融和農村金融的服務能力。

數據要素潛能充分釋放。推動金融與公共服務領域系統互聯和信息互通，不斷拓展金融業數據要素廣度和深度，對跨機構、跨市場、跨領域綜合應用夯實多維度數據基礎。

為了應對以上發展趨勢，企業可以從以下幾方面入手：

1、重構基于零信任網絡安全防護信任體系。原有的網絡信任體系被全面打破，基于零信任原則邊界延展和安全控制的網絡、應用、數據和運營新的信任體系需要被重新建設；

2、強化敏捷的安全開發全生命周期管理。基于DevSecOps的泛在應用全生命周期整體安全防護體系需快速建立并強化于敏捷流程中，為泛應用金融產品和服務保駕護航；

3、加強安全運營中心的能力和建設。建設完善的數字化安全運營中心，充分利用態勢感知、威脅情報、大數據等手段，提高網絡安全風險監測、預警和應急處置能力，加強行業內外部協同聯動；

4、建設基于無邊界訪問安全延展。金融行業自身業務拓展特點及新冠疫情的持續影響，通過云應用程序、SASE及遠程辦公成為普惠金融業務訪問首選途徑。

根據《關于銀行業保險業數字化轉型的指導意見》，對金融行業的數據合規要求可以大致劃分為兩部分——強化網絡安全防護與加強數據安全和隱私保護。強化網絡安全防護的能力，最終目的仍是在于保障數據，因為在未來的業務形態之下，數據是最重要、最核心的資產。《指導意見》對加強數據安全和隱私保護的規定，在技術、管理、運營等層面指明了如何做好數據安全合規工作，而此類工作離不開《個人信息保護法》與《數據安全法》兩部上位法中的要求。

02、金融行業數據合規體系建設

金融行業數據合規體系可以分為數據合規組織、數據合規制度、基于數據生命周期的合規管理、數據合規基礎能力、數據資產管理、數據安全技術、數據安全合規、自動化數據安全運營中心八個部分。

為了構建合理的數據安全和隱私保護管理體系，應當按照自上而下的階段性邏輯進行建設。首先是數據合規基礎體系建設，也就是企業“軟實力”的建設。第二是管理體系建設，涉及到相關制度的建設。第三是技術體系建設，通過技術手段提升整體數據合規體系的要求。終極目標則是運營體系的建設，融入CARTA、SOAR等新興理念。

第一，設計數據合規考核體系。梳理金融企業數據合規治理組織架構，結合數據合規治理組織架構明確各部門分工與職責，同時明確相關數據合規考核體系。

第二，建立溝通機制。建立面向金融企業各部門以及附屬公司的的數據治理管理閉環，打通數據合規治理管理人員溝通渠道。

第三，培養數據合規意識。根據數據合規治理管理日常工作需求，通過培訓、講座等宣傳數據安全的重要性，培養數據合規意識。第四，持續改進數據合規文化。根據金融企業數據合規治理水平和數據合規管理能力提升，可根據管理需要，對數據合規治理工作隊伍中崗位及職責進行調整，建設企業數據合規文化。

階段二：數據合規管理體系建設

該階段的建設主要有以下幾點要求：制度對標、制度完善、制度發布、制度維護。對制度的建設與修復是一個持續的過程，而不是靜態的或一次性的做法。通過把制度數字化、知識化，輸入到最終的運營中心，運營中心在運營過程中，隨著企業業務或人員組織的變化，會自動識別制度的缺陷以及如何修正，這便是體系建設的最終目標。

階段三：數據合規技術體系建設

數據合規技術體系的建設是為了實現制度建設所設立的要求，其所輸出的日志、信息等內容最后都會輸入至運營中心形成知識庫。從數據的采集至數據的銷毀，企業應當都要有對應的技術方案，從而落實到具體的場景。

階段四：數據合規運營體系建設

數據合規運營體系建設是數據合規體系建設的最高目標，參考CARTA的理念，以“對數據合規風險的持續評估”，“數據合規技術服務化，合規服務集中化”為設計原則，構建數據合規運營中心，對其安全調度與運營管理所需的各類數據合規能力進行集中化建設并統一輸出，通過建立一體化的數據合規主動保障體系，以數據合規運營系統為抓手，以安全運營為支撐，為數據合規提供彈性、主動和自動化的治理能力。

在數據合規決策示例中，把前三個階段的組織層面、管理層面和技術層面所有的因素都列為數據合規過程中的威脅，借助SOAR理念的編排與自動化響應進行輸出。由此可知，數據合規體系的建設并不是某個環節的問題，是體系化、工程化的要求。企業需借助外部力量設立清晰、可發展的體系規劃，圍繞該體系的每一個步驟與環節都要滿足企業數據安全合規的要求。