科技日报记者 李禾

    受新冠肺炎疫情影响，国内外出现了多起因违法违规采集使用个人信息、未明示收集使用规则等，导致个人信息泄露、滥用的风险事件发生。恰逢第38个国际消费者权益保护日期间，个人隐私保护再次受到关注。金融壹账通智能风控总经理施奕明3月20日表示，随着数据信息技术的发展，可以通过数据治理更好保护用户隐私不被泄露，不仅如此，数据治理还可有效推进国家治理体系和治理能力现代化建设，尤其在金融领域，在数字金融的大背景下，提升金融机构数字治理能力将有效护航用户个人信息安全，提升金融机构数字化经营实力。

    随着各行各业网络化程度的不断提升，个人信息安全面临着更大挑战。目前国内已有多部法律法规对个人信息安全提供保护，包括《侵权责任法》《刑法》《中华人民共和国网络安全法》《电信和互联网用户个人信息保护规定》等。

    2020年2月，央行发布了《个人金融信息保护技术规范》。施奕明说，“《个人金融信息保护技术规范》可以说是目前最严谨、最细致的数据管理条例，其中约定金融机构必须遵守相关用户信息保护规范，让原本容易‘暴露’在互联网的敏感信息变得更加安全。”

    《个人金融信息保护技术规范》对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护提出要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。其规范了对敏感数据的定义和保护机制，并对敏感数据进行了明确分类。

    施奕明说，以用户网上购物订单数据的存储为例，姓名、手机号等敏感信息的存储主要有明文、哈希算法、密钥加密、匿名化等几种方式对用户信息进行存储。其中，“明文存储”相当于用户信息“裸奔”，安全级别非常低；“哈希算法”属于一种被广泛使用的方法，在对原信息进行不可逆变换的同时又能保证信息的可关联性，但其中MD5、SHA1等低强度算法目前破解率相当高，任何一个后台员工一旦拥有访问数据库权限，就可随时调取用户数据，并通过碰撞方式进行破解，这种方式用户信息安全等级属于中等级别；“密钥加密”如RSA等加密算法虽然在目前算力下破解困难，但一方面需要做好密钥管理工作，另一方面当遇到网络黑客时，也可能通过看上去无关紧要的未加密数据如年龄、地址等，通过技术手段精准定位匹配出原始信息，用户信息安全等级属于中上级别；相比之下，“匿名化”技术通过将用户信息模糊化，如年龄“45岁”模糊化为“30岁以上”，或通过差分隐私等技术加入噪音数据，在保证数据去标识化不可还原的同时，又能用于统计分析或机器学习方法，通过这样的技术用户信息很难被定位，信息安全等级非常高。

    在科研技术不断创新升级加持下，原有信息安全泄露隐患被化解，不仅能更好利用数据分析解决问题，同时为用户信息安全加上一层“防护网”。提升数据治理能力不仅可以解决用户个人信息保护，还可以提升机构自身经营能力。为促进行业发展，央行多次提出将加强金融数据治理，加快推动涉企信息的安全共享，促进数据资源有效整合和规范利用，提升金融惠民服务能力。

    但目前，金融机构数据质量能力发展仍不均衡。以银行业为例，目前有很多中小型银行、区域性银行数据治理能力有待提升。根据金融壹账通、中小银行互联网金融（深圳）联盟、埃森哲此前联合发布的《中小银行金融科技发展研究报告（2019）》数据显示，27%的中小银行缺乏公司级数据规范，46%的中小银行初步搭建公司级数据管控体系和基础规范但应用尚未下沉到业务，仅18%的中小银行初步建立数据管理体系和管控工具，进行了平台整合，各部门基本落实公司数据规范体系；仅9%的中小银行实现有效数据治理，数据管理体系完善，全面实现大数据应用。

    在数据井喷式增长的当下，如何利用数据创造价值成了行业共同思考的问题。金融壹账通表示，在银行数据治理方面，提出了加马数据治理解决方案，同时解决几大市场难题。比如不同系统接入问题。以数据接线板对接不同数据类型，确保海量数据被不间断安全接入；数据量太多问题，通过基于hadoop的分布式大数据平台，实现智能化管理，保障高性能、低成本的分布式计算和存储；数据质量问题，利用元数据管理，利用可视化数据地图，数据血缘关系，展现数据上下游关系，结合数据质量监控，可进行数据变动异常扫描，对数据标准进行质量监控；数据计算效率问题，通过流计算模块，提供标准实时数据处理，提升数据处理效率，为数据实施应用提供保障；用户隐私保障问题，通过多种智能脱敏手段，系统智能识别敏感数据，动态脱敏，不仅符合合规要求，保障隐私安全的同时，结合用户认证授权，通过智能日志监控，对数据有效的管控，预防和实施监控数据泄露风险。

    当前，金融科技为金融服务提供了更为便捷、高效、低成本的接入方式。以此疫情为例，金融科技实力突出的机构可通过远程办公逐步恢复运营、开拓市场，相关工作得到技术合作伙伴的鼎力支持，受疫情冲击相对较小。