数据安全榜:守护你的数字财富,哪家金融机构的金盾更坚固?
南方周末新金融研究中心研究员从四个维度设置了八项二级指标,并根据各指标重要性差异分别赋予子项不同权重。
金融机构数据安全榜显示,工商银行位列榜首,中国银行、中国人寿和农业银行位于第二梯队。
专利数量方面,国有银行专利数量普遍高于股份制银行和保险公司。但值得注意的是,中国平安的相关专利数量共119项仅低于工商银行的259项。仅此项指标,中国平安位列整个榜单第二名。
责任编辑:丰雨
数字金融时代,个人信息尤其是个人金融信息的安全关乎每个人的财富安全,更是金融机构的天职。
事实上,监管机构也一直将保护个人金融信息安全视作监管重任。2023年9月15日至10月15日,国家金融监管总局和中国人民银行等有关部委正在联合开展“金融消费者权益保护教育宣传月”活动。
早在2021年4月,中国人民银行已发布《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)。该《规范》结合金融数据特点,梳理金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,建立覆盖数据采集、传输、存储、使用、删除及销毁全周期的金融数据安全管理框架。其中,个人金融信息保护成为金融数据生命周期安全管理工作的重要组成部分。
在这个意义上,金融机构的数据安全犹如坚不可摧的金盾,而金盾的坚固程度是金融机构守护数据安全的实力体现。
为客观评估各金融机构的数据安全水平,南方周末新金融研究中心研究员从四个维度设置了八项二级指标,并根据各指标重要性差异分别赋予子项不同权重。在该指标体系下,南方周末新金融研究中心根据26家金融机构2022年年报、2022年ESG报告或社会责任报告披露的与八项二级指标相关的信息为基准,评选出“数据安全榜”。
鉴于各金融机构数据安全标准颇为严格,且尚未发生恶性事件,此榜单仅体现金融机构对数据安全的战略级重视和执行力。
四个维度 八项子指标
“数据安全榜”评价指标体系分为组织建设、制度流程、技术工具和成效四个维度。与此同时,我们将上述四个维度细分为八项二级指标。以下是对相关指标体系的详细说明。
组织建设是指金融机构在数据安全方面的组织结构情况。南方周末新金融研究中心评价组通过金融机构披露的相关负责部门数量来考量。该项指标反映了金融机构对数据安全和信息保护的重视程度。
制度流程是指金融机构在构建数据安全体系过程的规范程度。该指标主要通过自身相关制度数量和供应商管理相关规范文件数量两项二级指标综合考量。流程的规范化程度是考量金融机构数据安全体系构建是否合理的重要指标。
供应商管理是指金融机构对外部合作伙伴(IT服务提供商、云服务平台等)进行有效的风险识别和评估的过程。供应商会接触到金融机构的敏感数据。如果供应商存在安全漏洞和行为不规范,则会导致金融机构发生信息或数据安全事件。因此,金融机构每年都会对供应商进行评级审核。但大部分金融机构目前仅重点关注供应商在环境保护和社会责任方面的表现,为强化金融机构对供应商在数据安全方面的管理重视程度,南方周末新金融研究中心评价组将金融机构披露的供应商管理制度的文件数量也纳入到考量体系当中。
技术工具是网络安全体系的核心部分。这一项一级指标直接反映金融机构对数据和隐私的保护能力及数据安全的有效性和可靠性。
针对此项一级指标,南方周末新金融研究中心评价组设置了相关专利数量、相关系统数量和认证体系数量三项二级指标。其中,相关专利数量指被评测金融机构当年申请的专利摘要中包含数据安全、信息安全,漏洞和攻击等词语的专利数量。相关系统数量则根据被测评金融机构年报中所提及的平台和系统的数量。而认证体系数量则来自于被测评金融机构年报中公布的认证数量。
此外,在评测过程中,南方周末新金融研究中心研究员发现,部分银行没有披露本次评测的二级指标数据。因此,为减少信息不对称性,对于不公布某项指标的金融机构,该项指标得分皆为最低。
成效指标是本榜单唯一的定性指标,由发生安全事件数量(减分)和奖项(加分)构成。其中,奖项指标根据奖项的级别和数量进行了不同程度的赋分。
总榜:工行居榜首,平安专利数仅次于工行
金融机构数据安全榜显示,工商银行位列榜首,中国银行、中国人寿和农业银行位于第二梯队。在股份制银行中,兴业银行和光大银行表现不错,其中光大银行在相关系统和获得的认证数量上更好,而兴业银行则是因在年报中披露了详细的数据安全和隐私保护工作内容而获得更多分数。
专利数量方面,国有银行实力更强,国有银行专利数量普遍高于股份制银行和保险公司。但值得注意的是,中国平安的相关专利数量共119项仅低于工商银行的259项。仅看这一项二级指标,中国平安位列整个榜单的第二名。这是因为中国平安既有银行业务也有保险业务。相比于单一行业的金融机构而言,中国平安数据的多样性和复杂程度更高,保证数据安全的要求也更高。
综合定量指标,中国银行、工商银行和农业银行作为国有大行位列前三,定量指标总分均大于400分。而邮储银行则以196分的定量指标分数排在最后,也是本榜单唯一定量指标总分低于200分的机构。
综合定性指标,工商银行、中国人寿和交通银行位列前三,分数均大于150分。其中,工商银行稳居榜首,主要因其获得的奖项均为国家级,且在数据安全多个领域入选为试点示范单位。而中国人寿和交通银行在定性指标上则凭借着多个不同级别的奖项紧随其后。此外,太平洋保险、招商银行、中国人保和浦发银行则因为没有在2022年年报里披露奖项而导致其定性指标的分数皆为0分。
虑及银行和保险业务性质不同,南方周末新金融研究中心评价组将总榜单拆分为银行业金融机构数据安全榜单和保险业金融机构数据安全榜单两个子榜单,以更客观呈现金融机构的数据安全竞争力。
银行榜单:追超进行时,各梯队均有领先者
银行业金融机构数据安全榜单显示,六大国有行中,工商银行、中国银行和农业银行三大国有行位居前三。交通银行和建设银行位列第七、第八名。上述五家国有银行皆排名前十。而邮储银行则以125.65分的成绩排尾,较之第一名,相差223.93分。
实际上,邮储银行在数据安全方面的表现较差或与其数字化建设水平较低有关。在《数字金融榜:工行居银行之首,友邦列险企最尾》中,邮储银行即以431.62分位列六大国有行最后。因此,在数字化金融建设和数据安全体系建设上,邮储银行尚需努力。
在股份制银行中,兴业银行、平安银行和光大银行凭借在技术工具指标方面的优势分别以238.36分、237.24分和233.94分超越交通银行和建设银行两大国有行,跻身前六。但广发银行、华夏银行和浦发银行在数据安全方面的表现则不如部分城商行。这三家银行的排名均在十名之后,且穿插在城商行名次之中。
城商行则受制于地域、业务量和规模因素,整体分数不及国有行和股份制银行。但其中也不乏表现较好者。以宁波银行和北京银行为例,这两家城商行分别以185.48分和172.67分,分别超越广发银行和华夏银行两家股份制银行。从定性指标上看,这两家城商行的成绩较为突出。
保险榜:国寿获奖夺冠,平安专利称雄
纵览保险业金融机构数据安全榜单,中国人寿和中国平安分别因其奖项数量和专利数量优势分居冠亚之位。
对于保险业而言,中国人寿构建了行业内首个安全、绿色和弹性混合云。该分布式混合云获得第二届首都金融创新激励项目“金融创新成果奖”特等奖。
在数据安全相关专利数量方面,除中国平安因上述兼具银行和保险的业务性质而获得119个专利外,其他保险机构披露的关于数据安全相关专利数量均不超5个。
阳光保险则因其在数据安全方面的各项指标分数排名靠后,导致总分垫底,也是在保险业金融机构数据安全榜单里唯一低于150分的金融机构。与邮储银行类似,阳光保险在《数字金融榜:工行居银行之首,友邦列险企最尾》的保险业金融机构数字金融榜单里排名倒数第二。无论数字化金融,还是数据安全,阳光保险和其他金融机构仍有一定距离。但不排除得分与阳光保险披露的数据量少有关。
总体而言,排名靠后的银行业金融机构和保险业金融机构,其数字化金融和数据安全建设还不够完善。南方周末新金融研究中心研究员认为,这些企业亟需提升对数字化转型的战略考量,在提升数字化金融水平的同时重视建设和完善数据安全体系。
南方周末新金融研究中心研究员同时呼吁,各金融机构应尽量披露相关数据和信息,使其更透明,以增强客户的信任度。
(助理研究员邹欢 梁承昊 杨超群亦有贡献)
校对:星歌