商业银行数字化转型的信息风险及对策

樊敬

中国农业银行股份有限公司北京宣武支行 北京 100000

1 商业银行数字化的本质

信息化和数字化正促使各行各业重新定义业务模式和服务体验，商业银行数字化就是依靠先进的数字技术进行业务与科技深度融合、对商业银行基础设施软硬件改造、建设相应的团队和组织架构实现体制机制转型，来满足客户便捷、高效、普惠、安全的定制化、多样化、人性化的产品和服务需求，而数字化实施的关键在于数据量化和反馈，否则客户的体验模式与传统的客户服务体系无异。简而言之，商业银行数字化的核心就是真正地践行”以客户为中心”。工业时代，人们物质水平低下，主要是生存型消费。但随着经济发展，数字经济时代下人们不再局限于生存问题，需求不断地升级，商业银行传统的” 坐商” 式经营模式已经不再适用。过去的经营模式主要是针对客户的财产保障等安全需求，客户办理业务更多是主动到线下网点或者使用网上银行等渠道。而且商业银行贷款、信用卡等业务审批手续麻烦，等待时间长，客户对于自己能否获得授信也不清楚，许多客户的这种高层次的需求并不能被很好地满足。产业经济大规模数字化之后，多数商业银行不再坐等客户上门，而是主动出击接触目标客户，这种 “行商” 的经营模式赋予了客户更多的选择权与尊重，业务办理更加高效，客户的自我认知和自我实现也得以提升[1]。

2 商业银行数字化转型过程中面临的主要信息风险

2.1 生产交易系统资金安全风险

互联网金融的发展使得大量商业银行业务转为线上办理，虽然用户可以通过手机、电脑等移动端随时随地享受服务，业务办理更加方便快捷，但交易系统安全风险也大大增加了。线上业务交易链条不断延伸，具有交易连接模式复杂，与外部合作机构信息交互多的特点，所以商业银行要加强安全风险防范意识和内控管理，升级技术支持和管理手段，否则，很容易发生业务数据被篡改、替换，产品系统被入侵造成资金损失等安全事件。

2.2 信息系统业务连续性风险

（1）系统安全漏洞威胁上升。越来越多的业务处理和信息系统通过互联网来完成，信息安全高危漏洞也越来越多。2017 年美国征信巨头Equifax 有1．46 亿美国消费者个人信息被盗，甚至英国和加拿大居民也受到波及，Equifax 面临7 亿美金的巨额赔偿，而黑客就是利用其系统中未修复的Apache Struts漏洞发起的攻击。

（2）移动端安全风险突出。目前网上银行、手机银行等移动端APP 线上服务已经基本覆盖了大多数基础类金融服务需求，然而这些移动应用程序大多都没有安装防病毒软件，导致利用移动端进行欺诈和盗窃的风险概率达到了最高。种种网络安全事件警示我们，互联网大环境下，加强网络安全风险预警和监控，强化网络深度安全测试才能提升网络抵御攻击和快速应对的能力[2]。

3 对策建议

3.1 科技赋能的同时加强信息风险防范

新科技赋予了商业银行和用户诸多方便的同时，各个商业银行不论是客户资源稳定的大银行，还是快速扩张的中小银行都面临着数据安全管理难度增大的问题，一旦数据泄露，商业银行不止会流失客户，更面临着道德和法律风险，因此金融基础设施网络安全的重要性不言而喻。而信息安全事件爆发的根源在于安全意识淡薄和运维投入不足。一方面，商业银行要加强系统安全防护，可以通过部署系统的异常流量监测、审计数据库用户的操作行为、关注防护设备的警报等提前修补漏洞，避免不必要的风险。另一方面，商业银行也要加大对IT 运维人员的教育培训，使其网络安全意识、数据安全管理能力以及安全事件处理能力随着大数据的发展得到相应的提高[3]。

3.2 依法合规加强客户数据信息保护

金融机构的数字化转型离不开国家对互联网金融市场秩序的规范管理，随着互联网金融的发展，国家对消费者权益保护与个人信息安全的重视力度越来越大。数据作为商业银行的重要资产，是商业银行经营管理特别是风险管理的重点。2018 年银监会起草的《商业银行业金融机构数据治理指引（征求意见稿）》中明确要求商业银行要秉持数据真实客观的原则建立良好的数据文化，强化数据意识与安全事宜，合法科学用数。为防止过度采集、滥用数据致使客户隐私泄露，商业银行在个人信息采集、保管、使用等环节要规范操作，强化内部员工的信息保护意识，建立客户信息安全保护制度。

3.3 审慎对待新技术的应用与第三方机构合作

数字化转型需要决策层具有一定的前瞻性，商业银行对待新技术的态度应该既积极又谨慎，尤其对于是否要把商业银行核心数据交付给尚不成熟的新技术时要持谨慎态度。新技术确实能给行业带来管理和服务上的创新，但金融产品与新技术的融合往往面临预期与现实的差距，前沿技术由于自身发展阶段的限制未必完全适用当前的金融领域，且用户的产品体验也未必达到理想预期。由于新技术的成熟与普及需要时间，商业银行可以先采用试点性应用来降低风险，将更为成熟的技术应用于现有的金融服务中，在保证服务安全性的同时又能提升数字化服务能力。商业银行由于相关技术相对滞后往往会与第三方信息科技公司合作来弥补此类问题，与第三方机构合作一定程度上能拓宽其数据维度，将金融产品和金融科技更完美融合。但第三方机构质量参差不齐，商业银行要谨慎挑选合作伙伴，对其质量进行把关，特别是在打造开放商业银行、开放数据与端口时要谨慎考量其风控能力，避免风险传染与信息泄露事件。