本文整理自 BSI 英国标准协会中国区战略业务发展总监 Anya 以及乐信集团信息安全中心总监刘志诚在 iLAW 直播间的直播内容。
Q1 :金融业务场景的利益相关方很多,那过程中怎么样去平衡?在数据的整个供应链的数据合规层面上有什么难点,乐信开展了哪些专业的工作?
刘:我到乐信之后,首先关注到生态链的这种复杂的场景。我们最典型的场景,第一个是资金合作方,像银行、消金这些公司,他们的安全能力基本上还是可以的,但是我们还会碰到一些数据产品化公司,他们虽然是做数据的,也有一定的保障能力,但是相对资金方就会弱一些。
还有一些就是服务商,其中比较典型的就是短信服务商,短信服务商在中国是比较特殊的一个存在,因为它提供短信服务包含业务信息是非常关键的,它也是频出问题的一类厂商,而且它们信息安全的能力是比较参差不齐的。
我们还涉及到我们的商户、我们的一些担保方,基本上它们的数据安全保障能力是偏弱的。
基于这个情况,我们当时建立了数据合作伙伴的安全管理办法。
第一个是准入环节。准入环节要求做形式上的审查,包括安全能力、安全水平、安全制度、第三方的认证和体系、组织架构、配置等。
第二,我们会进行一个风险高中低的评价,高风险我们是一票否决的,是不允许接入的。第二个环节我们会建立实时的监控机制。我们去年和奇安信战略合作了一个产品,叫应用安全网关。
我们所有的和数据合作伙伴的数据交互必须通过数据安全网关。双方的认证,协议的确认,包括传输数据的记录,都会记录在案。
这里面我们也要求在接口开发环节要有相应的安全设计,如有字段加密,传输加密,限频限流等。
第三,事后我们也有一个约定机制。我们在合作的时候会签署双方的责任条款,这个责任条款包括如果出现数据泄露风险或者是有数据风险的时候,它有协助我们排查和调查的义务,当我们确认是它造成的这种风险,它们要有赔偿的机制和义务。这项工作我们现在叫做数据供应链的安全。
我们内部还有一个合作方风险的监控平台。
比如说短信这件事,我们有十几个短信服务供应商,对不同供应商我们是随机去发送短信的。
我们会监控用户收到骚扰和诈骗电话的情况,根据投诉等我们搜索到的情况,如果发现某一条链路和大盘是有差异的,那我们就会去警告,也会去发律师函给对方,要求对方协助排查排除风险。
Q2 :合作方的信息安全能力如果不符合或者没有达到贵司的安全能力等级要求怎么办?
刘:我们分成低中高三档,低风险基本上我们都接入了,中风险我们是会给整改期的,比如说三个月到半年要把风险降成到低。高风险我们是不准接入的,除非够条件了,再申请合作也是可以的。
Q3 :那低中高它是怎么评价的?是从哪些维度呢?
刘:我们有一个评分机制,这个评分机制包括:
第一,如果拿到像 ISO 27001 这种安全认证的资质,拿到等保三级的资质,这种是有权威第三方背书的,那安全能力上,会明确说一个证书在这多少分。
第二,有没有安全的专业组织,从业人员有没有相应的专业证书,设计、软件、系统有没有第三方的测评或者是渗透测试和审计的报告。
第三,接口的设计,架构的设计,对于保密、权限、认证这些整个的设计机制,我们会有一个评审。
我们经过这一系列的评分计算机制评估出来在什么分数的情况下,我们认为是低风险的,什么分是中风险的,什么分是高风险的。
Q4 :乐信本身也是美股上市的企业,在海外资本市场上市的时候会遇到一些特殊的监管要求。那么结合乐信的业务场景,在数据合规领域有哪些特殊的监管以及我们怎么样去响应?
刘:无论从 GDPR 还是从《个人信息保护法》和《关键基础设施保护条例》,都有一个重要的一个条款,就是关于数据跨境的问题。
我们主要的业务是在国内运营的,我们的海外业务其实是跟国内业务完全隔离的,不存在数据出镜这个情况,这个风险其实是可以弱化的。
从国家的角度上来讲,有一个重要数据的概念,涉及到国家安全和国计民生的一些数据的风险问题有一个管控机制。
典型的案例就是滴滴去年的这个事件。
它其实只是在西方的一个研究室研究一些脱敏数据。从个人合规的角度来讲,它不包含个人信息,都是一些匿名化和脱敏数据。
但是因为涉及到相应的位置信息,涉及到相应的部门的信息,就跟国家安全挂上钩了。
那问题是什么呢?问题是去年 SEC 美国证监会提出来的审计底稿的问题。
这个和瑞幸咖啡又有关系,因为海外证监会对业务作假这件事情查得比较紧。在交易过程中为了实现对交易细节的证实,要提供交易底稿,但是交易底稿可能会涉及到重要数据。
虽然我们的审计底稿也可以提供脱敏的交易底稿,但是因为数据量,因为涉及到金融领域,可能会跟国家安全相关。所以这是一个需要美国证监会和中国证监会协商的一个问题。
Q5:除了常见的 ISO 这一系列的认证,行业里还有哪些相对比较权威、比较常见,尤其是能够辅助我们的业务面向监管机构,面向广义的利益相关方,甚至资本方的一些认证和评估的项目?
刘:认证分成个人、公司、系统,各个层面有技术的,也有合规的,大家可以根据不同的场景、不同的情况去查看。
其中比较典型的是 ISO 27001 这种信息安全的保障体系, ISO 27701 这种隐私保护体系,ISO 系列在整个的安全、技术风险、治理可持续性上有一系列的规范和标准。
包括涉及到云平台的,像 CSA STAR 的认证,像可信计算、可信云的认证。国内的 CCRC 信息安全测评中心,他们的系统的认证和风险评估认证我觉得都是可以作为参考的。
像等级保护,产品的认证,系统的认证,还有测评中心的认证,都是能够证明我们能力的东西。还有一些像安全成熟度的认证,那要看看有没有这个必要。这些都是公司级的一些认证。
那人的认证里面,包括 IAPP、CIPT、CIPP 些认证,还有 EXIN 的 DPO 的认证,包括 CDPSE ,都是一些关于个人能力的资质的认证,对于推动整个公司的水平也有很大的帮助。
Q6 :对于科技公司在采纳这几个标准和推进专项数据合规工作的时候,有哪些重点建议?
刘:第一个,我们都是合规驱动参与这个事情的,那对法律法规、政策制度、规范标准的解读和理解,首先是要到位的。
中国的《个人信息保护法》和《数据安全法》都是2021年才出台实施的,后续相应的管理规范,相应的国家标准和行业标准都会陆续有一些修订和调整。我们对法律法规、规范标准的条文的解读和掌握一定要与时俱进,不能有所偏差。如果自己有限的话,可以和第三方机构合作。
第二个,要有技术支撑。东西要落地,就要跟技术结合起来。大家最起码要知道这些技术,要知道找谁去学习或者是去掌握。因为必须要有工具和技术,才能辅助将合规落实到业务和产品体系里,才能把东西完善。
第三个,要从整个公司的文化和意识体系里面能够形成统一的力量,其实就是把你的文化,你的意识,贯穿到整个公司里面去,如果只是专业部门或者只是领导重视,很难去落实和推动。
金融科技公司数据合规体系建设
作者:刘志诚来源:iLaw合规

本文整理自 BSI 英国标准协会中国区战略业务发展总监 Anya 以及乐信集团信息安全中心总监刘志诚在 iLAW 直播间的直播内容。 Q1 :金融业务场景的利益相关方很多,那过程中怎么样去平衡?