中国工商银行软件开发中心高级专家 杨一军

  在数字经济纵深发展、全球欺诈风险加剧、监管要求趋严、技术迭代提速背景下，支付数据作为金融基础设施的核心生产要素，其安全治理已突破传统风险防控范畴，演变为重塑金融生态竞争力的战略命题。全球支付业态正面临三重范式重构：数据流动需求指数级增长与安全风险加剧的动态博弈、隐私保护刚性要求与数据价值联动张力的冲突、技术快速迭代与金融系统高可用性和低延迟要求的矛盾。中国工商银行软件开发中心(以下简称“软件开发中心”)以“数字工行”建设战略为指引，积极探索支付数据安全从“被动合规”向“主动赋能”的范式转型，在数据安全体系、智能反诈风控、多方隐私计算及跨境支付安全等领域持续突破，并通过构建“制度—技术—运营”螺旋协同机制，推动产业链共建共享与跨境安全生态建设，形成了一套可复制的数据安全治理范式，为金融业数字化转型提供了重要的技术支撑与战略参考。

  一、支付数据安全战略格局的重构与挑战

  数字经济的快速发展推动支付数据成为金融行业核心资产并兼具商业价值与社会价值，支付数据安全已从单一技术问题演变为涵盖制度、生态的复杂系统工程。随着全球欺诈交易风险的攀升、监管政策的完善、技术迭代的加速，支付安全领域正面临三重挑战。

  1.数据要素流通与安全合规的博弈

  在《银行保险机构数据安全管理办法》《中国人民银行业务领域数据安全管理办法》等监管要求全面落地背景下，数据分类分级管理成为刚性约束，不仅要求建立“业务—数据—安全”责任穿透机制，更通过数据资产地图构建、全生命周期安全保护等手段，强化数据流动中的最小化存储与动态脱敏要求。2024年金融业数据泄露事件中，32%的事件源于跨机构接口滥用，揭示出开放银行生态下数据共享与APT攻击防御的深层矛盾。

  2.数据价值联动与隐私保护的平衡

  联邦学习、隐私计算等技术虽实现“数据可用不可见”，但监管办法强调联合建模需完成必要性论证及数据生命周期备案，数字化运营面临历史数据短缺、准确度待论证等挑战。“技术与合规双驱动”要求下，机构间数据要素市场亟待创新解决方案。

  3.支付安全与客户体验的共生演进

  分布式转型在提升系统能力的同时，一定程度上打破单体高性能集中式系统设施的稳定可靠性，这使数据完整性和支付场景下毫秒级响应与零差错要求受到严重威胁，支付安全与客户体验的共生演进诉求凸显。

  面对新的机遇与挑战，软件开发中心始终秉承安全与发展并重原则，在“数字工行”建设新征程中，积极探索数字时代新环境下的数据安全建设路径，积极推动监管要求向内部转化，打造企业级支付数据安全体系和平台，建立多方隐私计算协同机制，重构支付系统安全架构，同时从制度和产业链角度推进生态化治理。目前已形成多层次、立体化的数据安全技术框架，构建数据全生命周期安全管控机制，有效落实监管要求，为全行数字化转型提供强有力支撑。

  二、支付数据安全技术迭代的演进和实践

  1.构建数据安全体系，促进数据要素合规流通

  当前，一系列监管规范对数据全生命周期安全保护提出更高要求，黑灰产对抗程度的日益激烈造成安全防控难度日趋加大。构建卓有成效的安全防控机制，同时保持支付清算等业务可持续发展，成为商业银行工作的重中之重。

  (1)数据安全基座护航信息传输和运作安全合规

  软件开发中心以数据资产安全为核心出发点，加强全生命周期技术管控，从企业级视角规划构建多层次、立体化数据安全技术框架，建立覆盖数据全生命周期的组织保障与制度体系。横向形成数据视角的“防护—监测—响应—溯源”闭环框架，纵向建立“(操作)系统、终端、网络、应用”四层防控体系。依托数据安全技术平台、加密服务平台等基础支撑平台，提供智能分类分级、统一加密、电子文件管控等核心能力，强化全行数据安全防护。支付清算系统严格遵循“最小必要”原则，实现贯穿支付业务全链条的安全防护：数据采集环节按中国人民银行报文规范精简字段，通过柜面系统获取用户授权;数据传输环节使用商用密码认证加密技术;数据存储环节自动删除非必要身份标识信息;数据使用环节通过动态脱敏技术隐藏支付凭证中敏感内容。

  (2)企业级智能化反诈体系实现“数据”到“数智”转换

  面对黑灰产技术对抗升级及电信网络诈骗这一全社会共同面临的难题，软件开发中心以“主动防、智能控、全面管”为核心理念，建成覆盖20余个业务条线、200多个资金场景的智能反诈体系，日均处理交易10亿笔，拦截风险交易超400万笔，为7亿个人及千万企业客户提供实时保护。通过深化云计算、大数据、AI技术应用，软件开发中心自主研发决策引擎替代外购系统。首创服务编织架构，使海量支付交易的风控响应速度缩短至10毫秒。“双十一”大促期间，99.998%的交易可在50毫秒内完成风险判定。借助百亿级电诈图谱与设备指纹技术精准识别黑产设备，配合“非本人意愿”交易模型，2023年成功防范欺诈损失7亿元。在跨境支付领域，实时监测高频小额转账等异常资金流动，通过关联分析有效识别隐蔽欺诈网络。总体建设思路如图1所示。

图1 总体建设思路示意

  (3)准实时对账机制守护账务数据无差错

  传统支付对账依赖日终批量处理，难以满足亿级交易实时清算和资金核验的时效要求。软件开发中心创新设计“端到端准实时对账”机制，将亿级交易核对前移至日间每小时滚动执行，使单批次处理时间缩短至2分钟以内，较传统模式效率提升20倍。为避免跨机构数据交叉污染，软件开发中心采用数据分片处理技术，按支付机构、产品维度建立独立清算子群组，同时与中国人民银行支付系统、第三方平台建立数据通道，实现清算状态秒级可视。此外，弹性扩展架构支持独立子群组运行，确保“双十一”等峰值时段支付核对效率不受影响，为支付业务连续性提供底层保障。

  2.建立数据价值联动机制，平衡隐私与数据联动

  支付场景下业务联动发展日益体现数据跨机构验证、跨域流动价值，同时也凸显出与用户隐私保护之间的矛盾，软件开发中心通过将多类技术路线灵活组合，实现技术资源优势互补，构建多形式的金融数据生态和数据流通“安全中间件”。形成的多形态数据生态圈如图2所示。

图2 多形态数据生态圈示意

  (1)技术层演进：多技术路线融合适配

  传统数据共享面临双重挑战：一方面，风险防控需聚合多维度交易信息以识别异常行为;另一方面，监管数据安全、个人信息保护相关制度规范要求严格限制敏感数据流转。软件开发中心在隐私计算技术实践中提出，单一技术路线存在局限性，需通过多技术融合实现场景适配。例如，在跨境支付场景中，采用“联邦学习+可信执行环境”的混合架构：以联邦学习保障交易特征数据不出域，将可信执行环境用于加密环境下的实时风险模型迭代，在提升反欺诈精度的同时，满足跨境数据合规要求。在境内通过与多家支付机构合作，利用隐私求交技术和用户时空属性，实现新增绑卡客户数超百万户，增量消费额增加超数千万元。

  (2)集团级实践：银行集团级联防联控

  集团内母行与各子公司之间以及各子公司间存在业务和客户交叠，如何安全高效链接数据，强化集团内部资源共享成为一大挑战。软件开发中心基于隐私计算技术体系构建集团级数据共享平台，有效化解集团内各机构数据融合需求与隐私保护之间的核心矛盾，深度释放集团数据要素价值。该平台以场景为导向构建定制化解决方案，完善集团风险联防联控体系，增强多维度风险识别与处置能力;建立客户金融画像联合评估机制，提升精准服务能力，为集团数字化转型提供安全可靠的基础设施支撑。

  (3)行业级协同：银行同业间数据共享共建

  数据传输隐私保护已成为金融行业共性问题，为开拓银行间数据共享生态建设新局面，软件开发中心联合中国银行、农业银行等机构落地银行间数据共享平台，该平台首个应用场景聚焦对公客户资金流水验真。三家银行基于多方安全计算技术，实现客户历史交易数据的加密核验：银行A发起查询时，银行B/C仅返回指定客户流水真实性判断，不泄露具体交易金额、对手方等敏感信息。该应用创新了银行同业间数据共享合作模式，是开拓银行间数据共享生态新局面的创新举措，目前已经逐步推广至更多银行，该平台在2024年金融街论坛年会上作为“十大成果”发布。

  3.演进支付架构，助力客户体验与支付基础共生进化

  支付系统的架构韧性不仅是业务连续性的保障，更是金融数据全生命周期安全的核心载体。软件开发中心通过在支付领域践行服务连续性提升、交易终态推定与全链路耗时治理的三重突破，以系统架构革新筑牢数据安全底座，用数据防护需求驱动系统能力升级，推动支付金融基础设施安全建设从单维防御向立体护盾转型。

  (1)服务连续性的架构革命

  面对分布式转型后多节点协同故障频发的挑战，完全依赖基础设施恢复的机制已无法满足支付业务对服务连续性的严苛需求。软件开发中心基于“逃生双通道”理念，通过解耦服务分片(系统功能拆分为独立模块)。

  与数据分片(分散存储数据单元)实现系统无损自愈。在交易层面，针对健康探活机制无法识别分片维度的问题，创新研发异常行为识别算法，实时捕捉支付服务调用链突变特征，使服务分片级切换恢复时间趋近于零。数据分片恢复依托自研异步探活组件与双库互备机制，将数据库接管时间压缩至10秒内。2024年，该机制成功应对多次设施故障，实现支付系统分钟级无缝切换且交易成功率保持99.999%，通过“数据分区、逻辑隔离、加密传输”三位一体机制保障敏感交易全程可控，同时确保中断交易完整追溯与资金流精准复现。

  (2)交易终态推定的强一致性实践

  支付系统账务抖动引发的“幽灵交易”风险，已成为影响金融稳定的潜在威胁，在支付领域可能导致客户无法确认资金状态而重复发起交易，或未成功支付导致次生灾害，进而引发客户投诉和监管问题。对此，软件开发中心创新构建智能轮询与强制终态双轨机制：通过异步调用的疑账查询服务，按交易场景差异化设置轮询策略实时核验交易状态，利用多通道状态比对实现终态判定;在账务系统植入场景化强制终态接口，当轮询超限后自动触发终态操作。2020年至今，共涉及14.5万笔终态差错交易，自动闭环率为95%。

  (3)全链路耗时优化的客户体验重构

  服务化架构带来的交易链路复杂化除引发故障概率攀升外，还带来交易耗时增长的问题，在多渠道多产品形态的支付系统上表现尤为突出。软件开发中心通过“极简流程—访问提速—轻量路由”的方式实现效能突破。通过核心交易路径精简(如风控统一前置、本地缓存提速)将跨园区访问占比从35%降至7%，关键路径处理耗时缩减42%;将分片元数据前置协议要素实现智能路由，使交易精准直连目标服务节点，非必要访问下降93%。改造后以同业最快107ms交易平均耗时稳定支撑“双十一”等高并发场景最高3万笔每秒的洪峰考验。

  三、生态化治理的“工行范式”

  在支付数据安全治理中，单一主体技术迭代难以破解制度规范滞后、技术防护单点化等多维困局，急需构建生态化治理的新模式。软件开发中心联合银行、监管部门、跨境机构等300余家单位共建风险数据库、共享30亿条风险数据，形成生态联防网络。通过“制度—技术—运营”三螺旋体系将制度转化为场景化指引，实现合规穿透内生化，最终在跨境支付等复杂场景中验证范式效能。

  1.架构治理：“制度—技术—运营”的三螺旋穿透

  在传统单点防御基础上，形成“制度牵引技术、技术赋能运营、运营反哺制度”的闭环治理架构。制度端建立支付数据全生命周期合规图谱;技术端通过“区块链+隐私计算”实现“数据可用不可见”，在跨境支付场景中，通过分布式账本技术保障多国监管合规;运营端打造“监测—响应—溯源”分钟级处置闭环，以“融安e核”系统实时对接公安部门黑名单库，实现风险实时阻断。三螺旋体系使合规要求、技术防控与业务流程深度融合，形成内生安全能力。

  2.机制协同：“标准—数据—监管”的生态联防

  通过标准共建、威胁情报共享、监管协同多重手段推进产业链生态联防治理，将单点防控升级为全局治理。牵头制定数据接口标准，推动京津冀信用代码库等基础设施建设;与300余家机构共享“融安e信”风险数据库，整合风险数据超30亿条。通过生态化治理实践，支付业务风险防控能力显著增强，2023年客户资金损失率同比下降82%，跨境支付业务规模增长156%。该模式为金融业数据安全治理提供了可复制经验，助力行业数字化转型行稳致远。

  3.场景验证：“空间—时间—价值”的跨境支付实践

  通过区块链与隐私计算构筑可信数据流通底座，依托智能风控系统实现毫秒级风险研判，借助全球协作网络打破监管壁垒，在跨境场景中验证范式效能。在空间维度，搭建覆盖50余种货币的区块链清算网络，通过智能合约实现7×24小时合规校验;在时间维度，构建“事前尽职调查—事中毫秒级拦截—事后溯源追偿”的全链路防控，使风险处置时效压缩至5分钟;在价值维度，创新“报关—支付—结算”数字化闭环，为万余家企业降低20%运营成本。2023年，在跨境支付规模增长156%的同时保持零重大风险事件，证明生态化治理可实现业务扩张与风险收敛的动态平衡。

  四、未来展望：构建智能协同的支付数据安全新生态