金融机构贯彻落实《网络安全法》 路径探析

王栋

近年来，为做好金融网络安全和信息化工作，金融科技战线围绕整体发展战略，不断助力业务创新，持续深化网络安全管理，为金融改革发展提供了有力支撑。2017年《中华人民共和国网络安全法》（以下简称《网络安全法》）的颁布实施，在法律层面将网络安全工作提高到了国家战略高度，面对《网络安全法》的高标准严要求和金融科技带来的机遇与挑战，金融机构怎样选择有自身特色的网络安全发展路径值得深入思考。

一、《网络安全法》概述

2017年6月1日，《网络安全法》正式实施，这是我国第一部网络空间综合性法律，它明确了网络安全的内涵和工作体制，反映了中央对国家网络安全工作的总体布局，标志着我国网络强国制度保障建设迈出了坚实的一步。

《网络安全法》内容涵盖了网络安全工作的各个方面，明确规定了网络安全等级保护、关键信息基础设施安全保护、网络安全审查和产品准入、监测预警和信息通报、个人信息保护、网络信息安全投诉举报等制度，以及网络安全事件应急预案和处置、网络安全信息发布、网络安全人员背景审查、网络安全教育和培训、数据留存和协助执法等工作机制。《网络安全法》的颁布实施对于确立我国网络安全基本管理制度具有里程碑式的重要意义，具体表现为六个方面：一是服务于国家网络安全战略和网络强国战略；二是助力网络空间治理，护航“互联网+”；三是构建我国首部网络空间管辖基本法；四是提供维护国家网络主权的法律依据；五是有利于在网络空间领域贯彻落实依法治国精神；六是为网络参与者提供普遍法律准则和依据。

《网络安全法》中明确指出，金融行业是关键信息基础设施的运营者，一方面突出了金融行业的战略地位和意义，另一方面也明确了金融行业做好自身网络安全工作的义务和责任。同时，积极贯彻落实《网络安全法》对金融业也具有重要意义，从机构角度，将持续推动改进网络安全管理的框架和流程；从行业角度，将有效提升整体的网络安全保护水平，促进科学、可持续发展。

二、金融网络安全工作要求

《网络安全法》规定，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏，丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护的基础上，实行重点保障”。这就从法律层面对金融业网络安全工作提出了更高的要求。

一是金融机构应明晰网络安全职责主体，完善网络安全保障体系。《网络安全法》规定了以下责任主体：国家、网络相关行业组织、研究机构、企业、高等学校、职业学校、大众传播媒介、网络运营者、网络产品和服务提供者、关键信息基础设施运营者、网络安全服务机构、电子信息发送服务提供者、軟件下载服务提供者、个人和组织。明确了上述责任主体在网络安全支持、网络运行安全、网络信息安全、网络安全事件等诸多方面的职责，清晰界定了网络安全保障体系各个层面主体责任。

二是金融机构应对关键信息基础设施履行安全保护义务，并积极落实网络安全等级保护制度。《网络安全法》第一次以法律的形式确立了关键信息基础设施和等级保护制度，在第二十一条和第三十四条中分别明确了“国家实行网络安全等级保护制度”和“关键信息基础设施的运营者安全保护义务”。根据第三十八条规定，“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”。

三是金融机构采购关键网络产品和服务需通过国家审查。《网络安全法》第三十五条规定，“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。许多金融机构均为关键信息基础设施运营者，采购产品和服务时必须考虑上述因素，此外，还应“与提供者签订安全保密协议，明确安全和保密义务与责任”。

四是金融机构需采取措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。《网络安全法》第四十二条规定，“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息”。此外，“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全”。对于发生或可能发生信息泄露的情况，应按规定及时向用户和主管部门“双报告”。

五是金融行业需建立健全网络安全监测预警和信息通报机制。《网络安全法》第二十九条规定，“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力”。第五十一条明确“国家建立网络安全监测预警和信息通报制度”。第五十二条规定，“负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息”。

三、金融网络安全工作路径

《网络安全法》的颁布实施，一方面为金融行业网络安全建设管理提出了更高的要求；另一方面也提供了有力的法律依据，进一步指明了金融网络安全工作的实施路径。

（一）实施关键信息基础设施保护是金融网络安全管理的核心工作

目前，许多金融机构把握信息化发展规律的能力仍然不足，对网络安全风险的认识还有局限，简单堆砌网络安全防护产品的现象仍较普遍，导致防线长、投入大、力量分散，关键信息基础设施安全管理工作重点不突出，距离国家政策要求仍有不小的差距。

应该看到，关键信息基础设施保护是《网络安全法》提出的一项重要战略举措。保护金融业关键信息基础设施，降低运营风险，有效应对潜在威胁，既是贯彻落实国家战略的需要，也是金融业自身生存发展的内在需求。各金融机构应把保障关键信息基础设施安全稳定运行，守住不发生系统性、区域性风险底线作为关键信息基础设施保护的工作目标，对重要信息系统的业务连续性和数据安全性予以足够的重点保障。

（二）建立网络安全审查机制实现自主可控是保障金融网络安全的必经之路

近年来，各金融机构逐步认识到掌握核心技术和自主知识产权的重要性，在系统开发、建设和维护上投入大量精力，对于产品采购也更加注重国产化、多元化，但总体上，金融领域核心产品自主可控程度仍然不高，核心技术产品长期受制于人。客观上，对于国家建立网络产品审查机制的需要也日益迫切。

在国家层面，信息系统的供应链安全可控对网络安全管理至关重要。作为《网络安全法》的配套制度，《网络产品和服务安全审查办法（试行）》于2017年6月1日正式实施，其中明确规定金融等重点行业和领域主管部门“组织开展本行业、本领域网络产品和服务安全审查工作”。下一步，各金融机构应在国家和行业网络安全审查和产品准入机制基础上，积极落实国家自主可控战略，强化自主运维能力，推动金融业进一步掌握核心技术、培养核心能力，并将网络安全主动权牢牢抓在自己手中。

（三）保护个人信息和重要数据安全是下一阶段金融网络安全工作重心

目前社会上系统数据失窃、用户敏感信息泄露、非法倒卖大数据等网络黑产趋利性犯罪日益猖獗，电信诈骗案件高发，公众利益和金融稳定受到巨大威胁。金融行业大数据安全及金融消费者个人数据保护刻不容缓，越来越多的金融机构将数据安全保护作为今后一段时期的工作重心。

各金融机构应认真贯彻落实《网络安全法》在个人信息保护方面的要求：一是不经金融消费者授权，避免对第三方提供或者泄露个人信息。二是建立健全数据分类分级机制，明确不同类型数据的保护级别，对个人信息和重要业务数据通过备份、加密等方式进行保护，防止未经授权访问、篡改和破坏。三是对于发现信息泄露或可能泄露的情况，应及时向金融消费者和有关主管部门报告。

（四）建立健全网络安全监测预警和信息通报机制是维护安全态势的必然要求

近年来，国家网络安全和金融业监管部门不断完善网络安全通报机制，对网络空间出现的最新风险和威胁进行及时和有针对性的提示，各金融机构依据预警和通报信息在风险大规模爆发之前进行了切实有效的防护，收到良好效果。

下一步，金融机构应进一步健全安全事件应急和响应、通报等安全风险全流程闭环管理机制，结合国家层面网络安全监测预警和信息通报制度，统筹加强各类网络安全事件和风险的监测、通报，努力形成更加完善的态势感知和监测预警体系。此外，还应在不断增强自身专业能力的同时，协同联动国家、行业或区域网络安全专控队伍，增强新型、复杂、高级风险应对处置能力。

（五）在法律框架内加强新兴技术与金融融合研究应用是金融网络安全发展趋势

近年来，以互联网和信息技术为基础的金融科技（Fintech）发展迅速，金融创新进程逐步加快。区块链、大数据、云计算、人工智能等技术在金融领域的应用，促生了新的金融形态和服务模式，降低了金融交易成本，推动了金融脱媒进程。与此同时，金融科技也带来一定的技术风险和监管挑战，一方面，金融科技以快速传输的信息和数据为基础，突破原有业务范畴，不同业务互相渗透，风险传导性强，传播速度快；另一方面，金融创新产品过度包装，其风险难以识别和度量，风险隐蔽性更高。

《网络安全法》明确提出要促进网络基础设施建设和互联互通，鼓励技术创新和应用，强调要应用网络新技术提高网络安全水平。金融机构应进一步跟踪信息技术与金融融合的发展趋势和演进方向，分析由此带来的风险，不断加强新技术与金融融合发展及其在法律实施方面的研究。监管部门应在鼓励金融科技发展的同时，出台相配套的監管制度，充分利用大数据、云计算、人工智能等技术，实现金融风险态势感知、风险交易挖掘，提升监管时效性、针对性和合规性，鼓励和引导金融科技健康发展，实现新技术风险可防可控。

（六）加强网络安全意识培育和人才培养是保障金融网络安全良好态势的重要举措

《网络安全法》提出要采取措施“提高全社会的网络安全意识和水平”，金融领域良好的网络安全环境也必须依靠意识培育和人才培养。《网络安全法》明确提出“支持培养网络安全人才”，规定关键信息基础设施运营者必须“定期对从业人员进行网络安全教育、技术培训”。金融消费者网络安全意识培育和金融网络安全人才培养成为今后金融行业的重要任务已毋庸置疑。

（责任编辑 刘西顺；校对 XS）