360金融信息安全专家吴业超：用户信息保护需全生态一同打造

日前，为推动社会各方共同探讨数字经济新形势下的个人金融信息保护，金融大数据及个人隐私保护研讨会在京召开，各界专家共商个人信息保护的解决之道。

北大法学院副院长薛军教授指出，当如今一切皆可数字化，作为重度依赖信息输入的行业，个人信息保护为金融科技行业的运行设定制度前提，要求从业者在个人信息保护的法律框架下开展活动。同时个人信息保护需要从互联网技术，科技平台的流程治理、行业生态、产业链监管，制度保障、法律共建治理体系，亟需行业生态、产业链监管和制度保障做后盾。

社会科学院大学互联网法治研究中心执行主任刘晓春表示，个人信息保护是数字经济的基石，民法典的颁布在我国具有划时代性的意义，为司法实践有序、有预期性和系统性地进行隐私权与个人信息保护划定了非常重要的规范基础。同时她也认为在互联网时代，技术的合理应用配以制度设计的对冲缓解，可以弥补完善法律层面对个人信息安全的保护。

360金融信息安全专家吴业超指出，金融行业中个人金融信息由于其数据价值高，信息非法交易问题尤其严峻，暴露出第三方内控不严、信息系统出现安全漏洞，信息泄漏传输链条长，难追溯等问题。用户信息的保护不仅需要金融科技企业等加强内控与管理，同时针对无法约束第三方机构数据管理等问题，需要行业与警方，法学界、高校、实验室全生态一同打造数据安全生态。

个人数据安全如何做到行之有效的保护？吴业超分享了360金融应对信息安全挑战的经验，称360金融在用户信息保护上建立了“一个中心，两个方向，三个重点”数据治理理念。

一个中心是以数据为中心，无论是网站、系统、还是人员操作，最终都需要调取数据，常规的系统入侵、人员违规并不能必然导致核心数据遭到破坏或者窃取；

两个方向即对内利用ATT&CK模型建立防御体系，严控黑客入侵和安全问题带来的数据泄露和威胁，对外以舆情信息为基础，第一时间获取互联网上的安全舆情、数据舆情，通过多部门的合作和自身安全攻防技术打击犯罪和数据风险问题。

另外，三个重点则是以数据安全监控、数据生命周期的管控、数据隐私保护及管理制度为重点。