小橙数智 | 银行业数据合规与隐私保护解决方案

杭州用九智汇科技有限公司是一家专注于数据合规、隐私保护领域的科技公司，成立之初便获得知名资本元璟和红杉的投资。

公司两位创始人在大数据、AI、风控、安全领域工作经验均超过20年，都曾任阿里巴巴研究员（P10）。创始团队全部来自于阿里巴巴及蚂蚁集团，在大数据、人工智能、数据安全与合规领域拥有十余年的行业落地经验，拥有丰富的数据安全与合规实践经验，在业界积累了良好的口碑。团队成员已累计在安全、风控等相关领域获得数十项专利，参与的安全类研究项目获得2016年国家科技进步二等奖。团队成员作为第一起草人编写的信息安全技术标准在二十大“奋斗时代主题展”中进行国家标准建设成果展示，并参与了多部数据相关行业、地方标准的编制。

图1:用九智汇资质情况

2.1 金融行业数据合规监管体系日趋完善，违规处罚力度增强

截至2022年底，网络安全、数据安全与个人信息保护“三驾马车”的数据合规监管在金融领域全面铺开，成为金融监管与治理的重要一环；与此同时，金融行业掌握大量公民隐私数据，也是国家消费者权益保护在数据安全与合规方向的重点监管对象。因此，金融领域数据合规与隐私保护相关的标准体系在一行两会与金标委的带领下成为试点行业，体系化建设不断完善，规则和实践指导也在朝着深入与细化的方向发展。

图2：银行业数据合规与隐私保护相关要求

银行业违反数据合规与监管要求的处罚力度也在不断增强。

 图3：各地针对银行机构数据违规的处罚公告

2.2 银行业机构内部数据合规治理存在4大痛点

银行业作为数据密集型行业，面向个人和组织提供众多金融产品和服务，具有数据规模巨大、数据价值高、数据应用场景复杂等特点，对数据安全与合规有着天然的诉求。同时，《个人金融信息保护技术规范》、《金融数据安全 数据安全分级指南》、《金融业数据能力建设指引》、《金融数据安全数据生命周期安全规范》等政策、标准陆续发布实施。在内外双重压力下，金融行业强化数据应用的安全性与合规性迫在眉睫。

痛点1：系统与数据构成复杂。银行的业务场景中，除核心业务系统外，还包括清算、征信、联网核查、特色业务等多系统，复杂程度高；数据资源多元化、海量化、细分层级多，为识别、梳理、分析及标准化带来难度。

痛点2：数据归属复杂。金融业务数据归属情况复杂，管理难度大，需要建立统一、高效的数据治理架构、协作机制及标准流程。

痛点3：数据应用场景复杂。金融应用渠道广泛，流转节点多，数据资源共享与数据合规之间找到平衡困难。

痛点4：多头监管响应难度高。除数据合规的归属管理机构外，还需要接受人民银行、金融局、外管局等机构监管。多头监管带来合规要求多且复杂，更新频率高，合规职责清单梳理难度大，执行要求高的挑战。

2.3 银行业机构落实数据合规体系建设过程中面临着双重挑战

企业在数据合规建设中面临着来自于内外部的双重挑战，具体涉及合规义务落实、数据识别监测、风险分析防控三向的协同建设及内部管理提效的综合要求，具体包括：

企业内部的数据合规管理工作中，需要统筹底层数据治理、内部数据制度与管理体系搭建、内部合规安全能力建设及运营等多方面工作，涉及包括数据与技术部门、合规与安全部门、业务部门等众多部门的沟通与协同，需要兼顾安全与合规成效、业务发展需求及内部管理效率等多个目标。

随着数字化社会转型及隐私保护知识的普及，来自于企业外部的压力也不断推动企业完善自身合规体系建设。监管方面，不断完善的监管体系带来更多的数据合规义务，如何落地以及执行持续成为企业合规工作的难点之一；做好监管要求的响应和日常合规工作留痕也是企业需要高度重视的合规动作。用户方面，个人用户对隐私保护的关注要求企业做好隐私协议和授权管理，《个保法》赋予公民的数据权益更是要求企业具备响应用户主体行权的能力。而随着数据处理协同工作的增加，数据供应链牵涉了更多的环节和第三方合作，企业需要做好对合作方的准入和监督，通过协议约定双方责任义务，并防范数据风险的蔓延。

为满足企事业单位合规体系建设需求，解决“数据资产难摸清、监管尺度难把握、泄露风险难防控”三大难题，用九从底层数据资产的发现识别与分类分级出发，整合法规解析、场景分析及数据合规实践，形成智能化数据合规管理能力，将数据属性和合规要点作为数据风险监测和安全防护的重要输入，构建数据合规LED （Law，Event ，Data） 架构。

合规智能（Law）：以标签化法律知识库为基础，串联企业数据的合规义务梳理、场景认定、合规评估、隐私协议管理等能力，提升企业数据合规工作深度和效率。

风险监测（Event）：综合分析数据资产情况与合规义务要求，基于不同等级与类型数据的合规/安全管控要求，通过访问控制限定数据的使用场景，并借助行为日志关联和异常行为监测，实现风险的动态监测和防范。

数据底座（Data）：通过智能化工具实现数据主动发现与识别，并根据企业制定的分类分级标准自动完成分类分级，结合数据血缘技术锁定敏感数据，实现数据全生命周期流转监测。

基于LED框架，通过构建由隐私合规、隐私保护、数据治理套件组成的一站式数据合规平台，上通法律法规、下联数据安全，实现隐私合规管理、风险防护监测、数据发现识别的三向协同，最终形成的产品矩阵如下：

图4：用九数据合规产品矩阵

4.1 帮助银行业构建完善的数据合规与隐私保护体系

通过健全数据合规与隐私保护的管理体系，优化金融数据全生命周期防控策略，将数据合规与隐私保护的风险评估机制贯穿业务始终。

图5：银行业数据合规与隐私保护体系方案

4.2 银行业机构数据合规与隐私保护平台框架

平台以数据资产盘点为基础，以数据处理活动与合规评估为中心，上联法律法规，以一体化平台设计和智能化能力高效落实合规管理和风险防控要求。贯穿风险控制的事前、事中、事后三道防线。

图6：数据合规与隐私保护平台框架

4.3 用九数据合规与隐私保护方案核心优势

实现数据安全与合规的有效闭环。从数据资产发现、敏感识别、分类分级，到访问控制与安全审计的持续保护，再到数据处理活动链路刻画、应用场景认定与风险评估，形成高效的联动闭环，从数据安全侧与隐私合规侧双向切入，将数据安全与数据合规并行思考，统筹解决，形成一站式解决敏感数据和个人隐私从发现识别直至完成安全保护与合规管理的一体化平台，充分满足安全合规与管理协同的双向需求。

智能化工具实现全链路提效。开放模型+机器学习+预置模版规则+风险与应对方案沉淀及自由化+大量自动化流程工具，大量的智能化能力帮助实际运营的用户低成本使用平台，有效减少人工成本并提升运营效率。

5.1 某商业银行总行

经过梳理客户的需求和建设目标，结合对客户现状的差距分析，帮助客户从合规数字化/合规体系化入手，建立隐私合规PbD，主要包含2部分：合规数字化（隐私协议管理，合规流程管理数字化运营）、合规体系化（Privacy by Design，将合规体系融入业务发展过程中）。以数据合规评估平台为核心，构建自动化评估流程管理和智能化合规风险治理工具，全面梳理各类业务场景的数据处理活动流程并进行合规场景认定，最终通过有效的隐私协议管理强化具体工作的落地成效。

5.2 包含金融业务的大型集团公司

用户主要需求：作为业务领域覆盖多个场景的大型综合集团，既需要对内做实数据安全与合规管理，构建有效的安全合规体系，又需要将强对外部风险的监测防控，并不断塑造企业的数据安全与合规形象。在此基础上，不断提升内部合规管理效率，建设合规科技能力。

用九解决方案：根据用户实际情况，分期推进企业整体数据安全与合规体系的建设。在流程上，充分结合法律法规、内部安全合规管理要求和业务需求，建设统⼀的标准化数据安全与合规评估流程；在效率上，沉淀业务场景的合规要求，形成场景库和规则库，通过场景自动匹配内置规则，提升合规评估的效率；在风险防控上，以数据资产发现和分类分级为基础，联通数据使用申请与合规评估，强化访问控制与行为监控，实现数据安全风险的管控和审计；在心智塑造上，建设面向管理层、面向员工、面向监管、面向用户的多视角运营平台，让目标受众充分体会安全与合规体系建设成果。