金融客户敏感信息的“精细化管控”新范式

目    录

01 客户信息保护三箭齐发，金融IT亟需把握四个原则‍

02 制度制约阻碍信息保护的精细化管控

‍‍‍‍‍‍‍

03 敏感信息精细化管控范式的6个关键设计 

04 分阶段实施，形成敏感信息管控的长效运营的机制

05 未来，新挑战与新机遇并存

01‍

加强客户信息保护，是金融企业亟需解决的工作重点

2021年11月1日《个人信息保护法》开始实施，该法律成为了我国数据安全领域法规的第三支箭。此前，同样由全国人大分别在2016年6月1日和2021年9月1日，颁布并执行了另外两部法律：《网络安全法》和《数据安全法》。自此个人信息保护由幕后走到了台前。

此前一年的10月，人行发布了《中华人民共和国商业银行法（修改建议稿）》，这将是商业银行法的第三次修改。本次建议稿特别增设了“客户权益保护”相关内容，对商业银行营销、信息披露、风险分级与适当性管理、个人信息保护、收费管理等客户保护规范作出具体规定，即：在个人信息保护与数据安全方面，商业银行不得收集与业务无关的个人信息或者采取不正当方式收集个人信息，不得篡改、倒卖、违法使用个人信息。商业银行应当保障个人信息安全，防止个人信息泄露和滥用。

我们同时也注意到：就在今年7月24日，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》，并面向社会公开征求意见。其主要内容包括：规范数据分类分级要求、提出数据安全保护总体要求、压实数据处理活动全流程安全合规底线、细化风险监测、评估审计、事件处置等合规要求、明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查，以及数据处理者违反规定时对应的法律责任。

图1：个人信息保护顶层法规框架

我们从人民银行公开的处罚通告中也注意到：自2021年3月到今年6月，由于多家银行对客户信息保护不合规而导致的行政处罚金额累计3500万之多。可以预见，金融企业如何有效加强对个人客户信息的保护，尤其是在业务开展过程中建立起有效的客户敏感信息动态管控机制，将会成为接下来的工作重点。

图2：银行对个人客户信息保护不当而导致的行政处罚事件

人民银行也从数据安全的角度发布了《JR/T0223-2021金融数据安全 数据生命周期安全规范》，该规范从通用的数据安全管理做了统一，再结合个保法来看，金融企业个人客户信息保护同样适用于该安全框架，也需要满足：最小够用、全程可控、动态控制以及权责一致等原则。

图3：数据生命周期安全框架

• 最小够用原则：金融业机构应仅处理个人金融信息主体授权同意的金融数据，且处理的金融数据为业务所必需的最小金融数据类型和数量。

• 全程可控原则：应采取与金融数据安全级别相匹配的安全管控机制和技术措施，确保金融数据在全生命周期各环节的保密性、完整性和可用性，避免数据在全生命周期内被未授权访问。

• 动态控制原则：金融数据的安全控制策略和安全防护措施不应是一次性和静态的，应可基于业务需求、安全环境属性、系统用户行为等因素实施实时和动态调整。

• 权责一致原则：应明确本机构数据安全防护工作相关部门及其职责，有关部门及人员应积极落实相关措施，履行数据安全防护职责。

  ‍

结合金融企业应用系统建设，个人客户敏感数据应用往往涉及到复杂的金融交易场景，比如：发起者的权限级别，发起渠道，发起应用，访问客户不同的标签属性等条件，均需要精细化制订不同的控制策略，并显示不同的字段区间和范围。因此，金融IT方案建设需要考虑将个人敏感信息保护与数据应用场景更细粒度的结合，尤其是复杂业务场景下的开发、运维、运营和审计环节的精细化管控，是主要的建设难点。

02‍

制度制约阻碍信息保护的

精细化管控

客户敏感数据保护，需要在以下场景实现精细化管控目标：

• 不同角色柜员在同一个系统中不同的菜单下访问同一个客户相关资料，显示数值不同；

• 同一类客户，账户余额不同，系统显示客户信息不同；

• 经办柜员查询某高附加值客户资料，不能完全显示客户信息，但经过网点负责人授权后，可完全显示客户信息；

• 其他自定义条件控制数据项显示隐藏，比如：币种、金额、地域、交易时间段等灵活条件

• 不同的业务场景下(客户关系维护、客户营销、业务受理、客户服务)，同一个客户的客户信息、账户信息、交易信息、理财信息 控制权限不同…

• 
  

图4：客户信息按照用户角色及场景精细化管控框架

为了达成上述目标，银行以往的数据安全类解决方案往往有些鞭长莫及，其根本原因在于数据的存储、采集、传播等环节的IT建设和制度制约。

比如，现有客户信息权限控制框架通常是按照渠道、应用、子系统，结合用户角色及菜单码配置，通过权限参数及交易逻辑控制可见不可见或者可用不可用。最多只控制到数据域的隐藏或非隐藏，并没有将客户信息的管控粒度再进一步细化，如：交易字段级甚至更细颗粒度的脱敏或显示，且不能灵活定制，不满足权限控制最小够用以及动态控制原则。

图5：企业客户信息权限模型

在这种情况下，实现精细化管控业务目标，现有IT方案就在以下方面存在需要克服的阻碍：

开发&运维：

• 开发工作量大：通过硬编码形式实现客户敏感数据精细化管控需求，灵活度低。如全行数十个对客业务系统，开发及测试工作量大。

• 运行维护复杂：数据权限变更需要调整代码，调整参数文件，并将参数下发至对应系统，应用端需要重新加载或重新签退签到后才能生效。

运营&审计：

• 无法提供过程汇总快照：针对客户信息数据使用的场景及过程，无法按照分级管理要求提供使用快照，并汇总给监管审查人员。

• 控制逻辑可解释性差：原有数据权限模型的逻辑采用纯技术语言表示，对于业务人员来说需要翻译，并且不支持可视化配置及查询。

  ‍

03

敏感信息精细化管控范式的

6个关键设计

图6：金融客户敏感信息的“精细化管控”架构设计

1、脱敏信息分级分类，响应制度要求

客户敏感信息分布于多个数据源系统中，比如：核心系统中的账户信息，ECIF中的客户主数据信息，CRM的客户关系信息以及签约信息，贷款系统中的借贷信息，贷记卡和借记卡系统中的交易信息，以及代销类系统中的理财购买信息等。按照个保法要求这些信息均属于金融敏感信息，因此，首先需要对接入渠道系统的交易报文中的敏感客户信息相关字段进行探测识别，并且将探测结果中已确认的敏感信息字段分级分类，并形成敏感数据字典，以满足制度要求。

2、抽象规则参数配置，形成灵活控制

首先，对交易报文中的规则逻辑进行抽象，并形成访问控制模型中的控制参数，即抽取在什么条件下，需要脱敏什么字段，包括对于业务主管授权、客户本人授权等动作指令也可以作为控制条件映射到访问控制模型中，以实现在该种条件下对相应的客户敏感信息免脱敏。这样，根据访问控制模型中控制参数及命中字段获取对应的脱敏算法，报文脱敏或免脱敏后，报文返回到业务渠道端，渠道系统展示端就可以在敏感数据安全管控范围内完成业务的办理，全过程没有硬编码，应用端实时生效，形成灵活的信息保护控制。

图7：ABAC访问控制策略模型

图8：脱敏组件

3、数据使用记录快照，满足合规准则

系统对于客户敏感数据的查询、使用授权等信息进行记录快照，提供给内部或外部进行合规审查。

4、外接系统低侵入设计，降低迁移成本

与第三方系统的对接，采用低侵入的离线SDK和实时API接口访问两种模式。可以实现业务系统应用端的改造尽量少的代码(不超过50行)修改，即可实现接入脱敏功能和服务。

在复杂网络、跨网段情况下，接入方系统可选择离线SDK接入模式。在该种模式下，只需要调用本地的控制策略规则和脱敏算法即可完成条件脱敏。对于同一网段的应用系统，可通过调用统一的API脱敏服务接口，实现远程条件脱敏。

5、 集群部署冗余设计，实现高可用高可靠

敏感信息安全防护涉及全行交易系统的数据脱敏，因此对平台业务承载能力以及实时性要求必须按照A类应用设计，这里面既包括即时性要求还包括应急保障要求。平台采用集群冗余部署来保障7 X 24小时不间断服务。

6、失败返回原始信息，保障交易稳定持续

金融IT系统，保障交易的稳定和持续是第一要务，在进行敏感信息保护的架构设计时，考虑脱敏失败或服务不可用的极端情况，需要将原始报文作为异常处理响应结果，直接返回服务请求端，以保障交易系统的正常运行。

04‍‍

分阶段实施，形成敏感信息管控的长效运营的机制

不同企业的系统环境，数据状况、发展阶段各不相同，设计和建立敏感信息精细化管控架构，可以按照实际情况，分阶段实施，包括敏感数据定义、敏感数据发现、敏感数据管控、敏感数据监督和持续运营服务几个阶段。

敏感数据定义：参考《个人金融信息保护技术规范》和《金融数据安全 数据安全分级指南》，圈定敏感金融客户信息的字典范围，并将信息字段做分级。

敏感数据发现：根据敏感数据定义级别对拟接入的应用系统报文进行探测发现，构建应用级敏感数据字典。

敏感数据管控：抽象交易场景中客户信息域显示/隐藏控制逻辑形成决策控制模型中的规则。当应用系统需要使用客户敏感信息时，则传入报文参数并对规则进行匹配， 根据规则匹配结果对配置的脱敏字段进行脱敏控制。所有的脱敏日志以及授权免脱敏记录快照信息。

敏感数据监督：对所有免脱敏事件进行警示标记，通过设置不同的预警条件，达到即时监督的目的。

持续运营服务：对不断变化的控制条件和字段修改持续跟踪调整敏感字段控制访问策略，优化命中规则。同时从脱敏日志以及授权面脱敏快照中生成数据使用审计报告，供业务审计人员检核。

图9：方案实施路径

05

未来，

新挑战与新机遇共存

随着数字化转型进程的推进和深入，金融企业需要进行管控的客户敏感信息也在向多模态多形式扩展。精细化管控范式也需要不断发展和升级，以适应新的数据管控需要，在交易场景中，不只需要实现对结构化数据报文的脱敏，也需要对非结构化影像单据的敏感信息进行脱敏。

新技术的蓬勃发展为解决此类问题带来了新的机遇。例如，通过集成OCR识别模型和AIGC(GAN生成对抗网络模型)能力，结合脱敏规则条件设计，即可实现影像单据(汇票、支票、电票等)中敏感信息要素的实时脱敏。

图11：非结构化影像单据敏感字段条件脱敏流程

对于金融企业而言，客户信息保护，涉及两个重要方面，一是确保信息利用合法合规，二是通过对客户信息的合理利用提升服务体验。从政策和法规层面，前者是不可触碰的红线，从金融业务发展趋势看，后者是必由之路。客户敏感信息的“精细化管控”的规划和实施，需要取道其中，合理平衡，一方面通过方法论建设理清思路，另一方面通过技术应用落地规划蓝图，以满足金融企业数字化转型的需要。

关于作者：沈乾，金融方案研发中心资深售前架构师，扎根软件行业16年，拥有丰富的系统分析、架构设计、客户咨询及产品落地方案经验，参与多个银行业务系统的研发、实施与售前项目。