商业银行国际化需做好跨境信息安全管理

商业银行国际化需做好跨境信息安全管理文II中国农业银行科技与产品管理局李晓轩
期以来，支持企业跨境对外贸易融
资都是商业银行国际化经营的重要 内容，当前新冠肺炎疫情冲击下使得外部 国际形势愈加复杂多变，对银行跨境国际 化业务提出了严峻挑战，一方面企业仍然 有跨境贸易融资的需求，境内外跨境信息 交互不可避免；另一方面随着中美贸易摩 擦以及美国、欧盟等主要经济区相继出台 了信息安全相关法律条例，对隐私保护、防止信息泄露的要求愈发严格。

在这种情 况下，银行需要同时满足境内与境外不同 的监管部门的要求，信息安全就是其中一 项重要内容。

境内外信息安全监管现状。

目前境内外监管对于跨境信息保护的法案主要有 我国的《网络安全法》，欧盟的通用数据 保护法(GDPR)，美国NYDFS500法案等。

其中我国《网络安全法》于2017年6月1日起正式生效，是我国数据出境管理的 主要法律依据，规定了关键信息基础设施 的运营者在中华人民共和国境内运营中收 集和产生的个人信息和重要数据应当在境 内存储，因业务需要确需向境外提供的，应当按照国家网信部门会同国务院有关部 门制定的办法进行安全评估。

欧盟GDPK 是专门针对个人信息的保护法案，对于个 人信息采集、信息出境、信息主体授权都 提出了明确要求。

美国NYDFS500目前 并未限制跨境数据传输，但强调适用于美 国法律的数据在离开美国后仍然适用，阐 明了长臂管辖原则。

可见信息出境严监管 的趋势已经越来越明显，银行必须做出适应性调整，尽可能降低合规要求所带来的
影响。

跨境信息传输安全评估。

以往境内
外跨境信息直接传递的方式已经无法适应
监管要求，境内外业务往来必须根据业务
场景明确具体交互的内容，境内外机构均
需要对跨境传输的信息进行安全评估，确
认相关信息可以出境，必要时向当地监管
部门报备，并取得许可后再进行信息跨境
传输。

目前国内各主要商业银行均已开展
针对不同境外地区的跨境信息安全评估工
作，与境内外相关法律机构合作开展信息
安全研究课题，形成评估报告，并注重在
不同业务领域的评估信息共享，用于指导
境内外系统建设部署及信息交互。

建立灵活的跨境系统架构。

各国监管
对信息安全的要求复杂多样,例如俄罗斯、
泰国要求系统必须在当地部署，客户信息
数据不允许出境；而其他国家有些明确信
息可以出境，但要经过合规性评估或客户
主体授权，有些要求出境信息存储的系统
均纳入监管管辖范围，有些则未做明确要
求。

采用统一部署的系统架构，虽然部署
和运维成本较低，但面对差异越来越大的
境外监管要求往往捉襟见肘，通过打补丁
方式调整的代价巨大。

如今支持国际化业
务的系统建设越来越朝着专业、灵活、分
布式方向发展，首先做到流程专业，跨境
信息按照传输路径最短、知悉范围最小原
则开展系统建设，针对境外不同监管要求
进行合法合规的跨境信息收集，将影响控
制在最小范围，避免对境内其他系统产生
影响。

其次做到系统快速、灵活部署，采
用数据分表存储、集群松耦合等模式，能
够快速拆分、合并系统版本，灵活应对境
外各地区监管要求的变化。

在部署环境方
面，开辟境外数据传输的外联专用区域，
与其他系统部署隔离，并对信息交互采取
监控机制，真正做到安全可控。

筑牢跨境信息安全防火墙。

为进一步
规范跨境数据传输流程，加强境内、境外
信息安全保护，应当构建境内外信息交互
的中间层，筑牢信息安全防火墙。

境内外
交互信息应先在中间层落地，通过主体授
权确认后再将数据发送到接收端，做到系
统访问透明。

跨境数据采用MD5、DES3
等加密技术存储，并采用Https等网络加
密传输，配合专用数字证书进行身份合法
性识别，所有交互操作均有日志跟踪留痕，
并通过双因素认证等手段强化安全级别。

通过运用一系列技术手段，确保跨境信息
传输可监控、可追溯、可管理，最大程度
保护信息安全。

跨境中间层起到了隔离境
内外系统、满足境内外监管、构建安全传
输架构的作用，使跨境信息交互更加规范
透明。

从国家战略到企业经营，从业务推广
到系统建设，信息安全都是确保各项工作
平稳有序发展的重要基础。

未来在常态化
防疫形势下，商业银行要及时转变经营思
路，把稳健合规作为开展跨境业务的重要
前提’严防信息泄露，不断提升国际化经营
水平’避免出现跨境业务系统性风险。

g
77。