金融機構貫徹落實《網(wǎng)絡安全法》 路徑探析

王棟

近年來，為做好金融網(wǎng)絡安全和信息化工作，金融科技戰(zhàn)線圍繞整體發(fā)展戰(zhàn)略，不斷助力業(yè)務創(chuàng)新，持續(xù)深化網(wǎng)絡安全管理，為金融改革發(fā)展提供了有力支撐。2017年《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）的頒布實施，在法律層面將網(wǎng)絡安全工作提高到了國家戰(zhàn)略高度，面對《網(wǎng)絡安全法》的高標準嚴要求和金融科技帶來的機遇與挑戰(zhàn)，金融機構怎樣選擇有自身特色的網(wǎng)絡安全發(fā)展路徑值得深入思考。

一、《網(wǎng)絡安全法》概述

2017年6月1日，《網(wǎng)絡安全法》正式實施，這是我國第一部網(wǎng)絡空間綜合性法律，它明確了網(wǎng)絡安全的內涵和工作體制，反映了中央對國家網(wǎng)絡安全工作的總體布局，標志著我國網(wǎng)絡強國制度保障建設邁出了堅實的一步。

《網(wǎng)絡安全法》內容涵蓋了網(wǎng)絡安全工作的各個方面，明確規(guī)定了網(wǎng)絡安全等級保護、關鍵信息基礎設施安全保護、網(wǎng)絡安全審查和產(chǎn)品準入、監(jiān)測預警和信息通報、個人信息保護、網(wǎng)絡信息安全投訴舉報等制度，以及網(wǎng)絡安全事件應急預案和處置、網(wǎng)絡安全信息發(fā)布、網(wǎng)絡安全人員背景審查、網(wǎng)絡安全教育和培訓、數(shù)據(jù)留存和協(xié)助執(zhí)法等工作機制?！毒W(wǎng)絡安全法》的頒布實施對于確立我國網(wǎng)絡安全基本管理制度具有里程碑式的重要意義，具體表現(xiàn)為六個方面：一是服務于國家網(wǎng)絡安全戰(zhàn)略和網(wǎng)絡強國戰(zhàn)略；二是助力網(wǎng)絡空間治理，護航“互聯(lián)網(wǎng)+”；三是構建我國首部網(wǎng)絡空間管轄基本法；四是提供維護國家網(wǎng)絡主權的法律依據(jù)；五是有利于在網(wǎng)絡空間領域貫徹落實依法治國精神；六是為網(wǎng)絡參與者提供普遍法律準則和依據(jù)。

《網(wǎng)絡安全法》中明確指出，金融行業(yè)是關鍵信息基礎設施的運營者，一方面突出了金融行業(yè)的戰(zhàn)略地位和意義，另一方面也明確了金融行業(yè)做好自身網(wǎng)絡安全工作的義務和責任。同時，積極貫徹落實《網(wǎng)絡安全法》對金融業(yè)也具有重要意義，從機構角度，將持續(xù)推動改進網(wǎng)絡安全管理的框架和流程；從行業(yè)角度，將有效提升整體的網(wǎng)絡安全保護水平，促進科學、可持續(xù)發(fā)展。

二、金融網(wǎng)絡安全工作要求

《網(wǎng)絡安全法》規(guī)定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護的基礎上，實行重點保障”。這就從法律層面對金融業(yè)網(wǎng)絡安全工作提出了更高的要求。

一是金融機構應明晰網(wǎng)絡安全職責主體，完善網(wǎng)絡安全保障體系。《網(wǎng)絡安全法》規(guī)定了以下責任主體：國家、網(wǎng)絡相關行業(yè)組織、研究機構、企業(yè)、高等學校、職業(yè)學校、大眾傳播媒介、網(wǎng)絡運營者、網(wǎng)絡產(chǎn)品和服務提供者、關鍵信息基礎設施運營者、網(wǎng)絡安全服務機構、電子信息發(fā)送服務提供者、軟件下載服務提供者、個人和組織。明確了上述責任主體在網(wǎng)絡安全支持、網(wǎng)絡運行安全、網(wǎng)絡信息安全、網(wǎng)絡安全事件等諸多方面的職責，清晰界定了網(wǎng)絡安全保障體系各個層面主體責任。

二是金融機構應對關鍵信息基礎設施履行安全保護義務，并積極落實網(wǎng)絡安全等級保護制度?！毒W(wǎng)絡安全法》第一次以法律的形式確立了關鍵信息基礎設施和等級保護制度，在第二十一條和第三十四條中分別明確了“國家實行網(wǎng)絡安全等級保護制度”和“關鍵信息基礎設施的運營者安全保護義務”。根據(jù)第三十八條規(guī)定，“關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估”。

三是金融機構采購關鍵網(wǎng)絡產(chǎn)品和服務需通過國家審查?！毒W(wǎng)絡安全法》第三十五條規(guī)定，“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查”。許多金融機構均為關鍵信息基礎設施運營者，采購產(chǎn)品和服務時必須考慮上述因素，此外，還應“與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任”。

四是金融機構需采取措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失?！毒W(wǎng)絡安全法》第四十二條規(guī)定，“網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息”。此外，“網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全”。對于發(fā)生或可能發(fā)生信息泄露的情況，應按規(guī)定及時向用戶和主管部門“雙報告”。

五是金融行業(yè)需建立健全網(wǎng)絡安全監(jiān)測預警和信息通報機制。《網(wǎng)絡安全法》第二十九條規(guī)定，“國家支持網(wǎng)絡運營者之間在網(wǎng)絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網(wǎng)絡運營者的安全保障能力”。第五十一條明確“國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度”。第五十二條規(guī)定，“負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度，并按照規(guī)定報送網(wǎng)絡安全監(jiān)測預警信息”。

三、金融網(wǎng)絡安全工作路徑

《網(wǎng)絡安全法》的頒布實施，一方面為金融行業(yè)網(wǎng)絡安全建設管理提出了更高的要求；另一方面也提供了有力的法律依據(jù)，進一步指明了金融網(wǎng)絡安全工作的實施路徑。

（一）實施關鍵信息基礎設施保護是金融網(wǎng)絡安全管理的核心工作

目前，許多金融機構把握信息化發(fā)展規(guī)律的能力仍然不足，對網(wǎng)絡安全風險的認識還有局限，簡單堆砌網(wǎng)絡安全防護產(chǎn)品的現(xiàn)象仍較普遍，導致防線長、投入大、力量分散，關鍵信息基礎設施安全管理工作重點不突出，距離國家政策要求仍有不小的差距。

應該看到，關鍵信息基礎設施保護是《網(wǎng)絡安全法》提出的一項重要戰(zhàn)略舉措。保護金融業(yè)關鍵信息基礎設施，降低運營風險，有效應對潛在威脅，既是貫徹落實國家戰(zhàn)略的需要，也是金融業(yè)自身生存發(fā)展的內在需求。各金融機構應把保障關鍵信息基礎設施安全穩(wěn)定運行，守住不發(fā)生系統(tǒng)性、區(qū)域性風險底線作為關鍵信息基礎設施保護的工作目標，對重要信息系統(tǒng)的業(yè)務連續(xù)性和數(shù)據(jù)安全性予以足夠的重點保障。

（二）建立網(wǎng)絡安全審查機制實現(xiàn)自主可控是保障金融網(wǎng)絡安全的必經(jīng)之路

近年來，各金融機構逐步認識到掌握核心技術和自主知識產(chǎn)權的重要性，在系統(tǒng)開發(fā)、建設和維護上投入大量精力，對于產(chǎn)品采購也更加注重國產(chǎn)化、多元化，但總體上，金融領域核心產(chǎn)品自主可控程度仍然不高，核心技術產(chǎn)品長期受制于人?？陀^上，對于國家建立網(wǎng)絡產(chǎn)品審查機制的需要也日益迫切。

在國家層面，信息系統(tǒng)的供應鏈安全可控對網(wǎng)絡安全管理至關重要。作為《網(wǎng)絡安全法》的配套制度，《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》于2017年6月1日正式實施，其中明確規(guī)定金融等重點行業(yè)和領域主管部門“組織開展本行業(yè)、本領域網(wǎng)絡產(chǎn)品和服務安全審查工作”。下一步，各金融機構應在國家和行業(yè)網(wǎng)絡安全審查和產(chǎn)品準入機制基礎上，積極落實國家自主可控戰(zhàn)略，強化自主運維能力，推動金融業(yè)進一步掌握核心技術、培養(yǎng)核心能力，并將網(wǎng)絡安全主動權牢牢抓在自己手中。

（三）保護個人信息和重要數(shù)據(jù)安全是下一階段金融網(wǎng)絡安全工作重心

目前社會上系統(tǒng)數(shù)據(jù)失竊、用戶敏感信息泄露、非法倒賣大數(shù)據(jù)等網(wǎng)絡黑產(chǎn)趨利性犯罪日益猖獗，電信詐騙案件高發(fā)，公眾利益和金融穩(wěn)定受到巨大威脅。金融行業(yè)大數(shù)據(jù)安全及金融消費者個人數(shù)據(jù)保護刻不容緩，越來越多的金融機構將數(shù)據(jù)安全保護作為今后一段時期的工作重心。

各金融機構應認真貫徹落實《網(wǎng)絡安全法》在個人信息保護方面的要求：一是不經(jīng)金融消費者授權，避免對第三方提供或者泄露個人信息。二是建立健全數(shù)據(jù)分類分級機制，明確不同類型數(shù)據(jù)的保護級別，對個人信息和重要業(yè)務數(shù)據(jù)通過備份、加密等方式進行保護，防止未經(jīng)授權訪問、篡改和破壞。三是對于發(fā)現(xiàn)信息泄露或可能泄露的情況，應及時向金融消費者和有關主管部門報告。

（四）建立健全網(wǎng)絡安全監(jiān)測預警和信息通報機制是維護安全態(tài)勢的必然要求

近年來，國家網(wǎng)絡安全和金融業(yè)監(jiān)管部門不斷完善網(wǎng)絡安全通報機制，對網(wǎng)絡空間出現(xiàn)的最新風險和威脅進行及時和有針對性的提示，各金融機構依據(jù)預警和通報信息在風險大規(guī)模爆發(fā)之前進行了切實有效的防護，收到良好效果。

下一步，金融機構應進一步健全安全事件應急和響應、通報等安全風險全流程閉環(huán)管理機制，結合國家層面網(wǎng)絡安全監(jiān)測預警和信息通報制度，統(tǒng)籌加強各類網(wǎng)絡安全事件和風險的監(jiān)測、通報，努力形成更加完善的態(tài)勢感知和監(jiān)測預警體系。此外，還應在不斷增強自身專業(yè)能力的同時，協(xié)同聯(lián)動國家、行業(yè)或區(qū)域網(wǎng)絡安全?？仃犖?，增強新型、復雜、高級風險應對處置能力。

（五）在法律框架內加強新興技術與金融融合研究應用是金融網(wǎng)絡安全發(fā)展趨勢

近年來，以互聯(lián)網(wǎng)和信息技術為基礎的金融科技（Fintech）發(fā)展迅速，金融創(chuàng)新進程逐步加快。區(qū)塊鏈、大數(shù)據(jù)、云計算、人工智能等技術在金融領域的應用，促生了新的金融形態(tài)和服務模式，降低了金融交易成本，推動了金融脫媒進程。與此同時，金融科技也帶來一定的技術風險和監(jiān)管挑戰(zhàn)，一方面，金融科技以快速傳輸?shù)男畔⒑蛿?shù)據(jù)為基礎，突破原有業(yè)務范疇，不同業(yè)務互相滲透，風險傳導性強，傳播速度快；另一方面，金融創(chuàng)新產(chǎn)品過度包裝，其風險難以識別和度量，風險隱蔽性更高。

《網(wǎng)絡安全法》明確提出要促進網(wǎng)絡基礎設施建設和互聯(lián)互通，鼓勵技術創(chuàng)新和應用，強調要應用網(wǎng)絡新技術提高網(wǎng)絡安全水平。金融機構應進一步跟蹤信息技術與金融融合的發(fā)展趨勢和演進方向，分析由此帶來的風險，不斷加強新技術與金融融合發(fā)展及其在法律實施方面的研究。監(jiān)管部門應在鼓勵金融科技發(fā)展的同時，出臺相配套的監(jiān)管制度，充分利用大數(shù)據(jù)、云計算、人工智能等技術，實現(xiàn)金融風險態(tài)勢感知、風險交易挖掘，提升監(jiān)管時效性、針對性和合規(guī)性，鼓勵和引導金融科技健康發(fā)展，實現(xiàn)新技術風險可防可控。

（六）加強網(wǎng)絡安全意識培育和人才培養(yǎng)是保障金融網(wǎng)絡安全良好態(tài)勢的重要舉措

《網(wǎng)絡安全法》提出要采取措施“提高全社會的網(wǎng)絡安全意識和水平”，金融領域良好的網(wǎng)絡安全環(huán)境也必須依靠意識培育和人才培養(yǎng)。《網(wǎng)絡安全法》明確提出“支持培養(yǎng)網(wǎng)絡安全人才”，規(guī)定關鍵信息基礎設施運營者必須“定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓”。金融消費者網(wǎng)絡安全意識培育和金融網(wǎng)絡安全人才培養(yǎng)成為今后金融行業(yè)的重要任務已毋庸置疑。

（責任編輯 劉西順；校對 XS）