上海汇付支付有限公司运营中心总经理兼首席数据官 沈皓旻

  在数字经济高速发展的背景下，数据已成为驱动产业变革的核心生产要素。然而，数据的广泛流通与应用也带来了前所未有的安全挑战。上海汇付支付有限公司(以下简称“汇付支付”)作为持牌支付机构，以“技术驱动、生态协同、价值共创”为核心理念，通过构建覆盖数据全生命周期的安全防护体系、推进行业标准共建、打造数据流通基础设施等创新实践，为非银支付安全生态建设提供了可复制的解决方案。

  一、非银支付行业的数据安全挑战

  近年来，我国密集出台数据安全相关法规，为行业提供了明确的行动指南。例如，《网络数据安全管理条例》明确了数据处理活动的法律边界，强调数据开发利用与安全保障并重。此外，《中国人民银行业务领域数据安全管理办法》要求数据处理者加强安全保护措施，并细化了数据分类分级、风险评估等要求。这些政策的落地，既是对行业的规范，也为技术迭代和模式创新提供了政策红利。

  自2023年以来，汇付支付积极响应上海市通信管理局的号召，深度参与“浦江护航”数据安全专项行动及“磐石行动”网络安全攻防演练。在上海市通信管理局的推动下，“浦江护航”专项行动通过实践创新、监管驱动、生态共建等举措，形成了具有上海特色的数据安全管理模式。例如，该专项行动聚焦AI大模型、智能网联汽车等新兴技术领域的数据安全风险，提出了“安全与发展并重”的治理思路。这也为支付行业提供了重要的实践参考，促使行业机构重新审视数据安全在业务中的核心地位。

  随着AI、隐私计算、区块链等技术的快速发展，数据安全的内涵不断扩展。例如，混合式AI的兴起要求在保护用户隐私的前提下实现精准服务，这对数据的本地化处理和脱敏技术提出了更高要求。同时，AI大模型训练依赖海量数据，如何在数据共享与隐私保护之间取得平衡，成为行业亟待解决的难题。

  此外，支付行业面临的数据安全威胁日益复杂。以电信诈骗为例，不法分子利用伪冒注册、团伙欺诈等手段，通过多平台交叉攻击获取用户敏感信息。根据中国银联的统计，2024年金融欺诈案件中，涉及支付环节的比例高达68%，凸显了支付场景下的数据安全防护需求。在此背景下，企业需要通过技术升级和流程优化，构建多层次的防御体系。

  数据安全不仅仅是各企业的责任，更是需要行业共同参与的系统性工程。例如，在数据分类分级层面建立具有行业特点的分类分级指南或规范，以及中国银联推动的“金融欺诈数据开放共享平台”，均体现了行业协同的必要性。

  二、汇付支付的数据安全建设实践

  汇付支付的数据安全体系建设以合规牵引、技术筑基、智能运营为核心逻辑，围绕《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)及行业协会的技术规范要求，参考行业内如银联商务、西部证券等机构的建设实践，形成覆盖组织、制度、技术、运营的四层架构体系。

  1.组织体系

  数据安全体系建设不是另起炉灶，而是在已有安全架构基础上融合数据安全管理要求，联动业务、技术、运营、数据等各个部门，形成全员参与、多跨协同的管理体系。

  为确保数据安全管理制度能够更好地落地执行，汇付支付成立了由公司高层领导直接负责的数据安全管理委员会。该委员会通过正式文件任命了公司首席数据官，全面负责数据安全管理工作;成立了数据安全工作组，专门负责数据安全策略制定、风险评估、应急响应、合规审计、培训宣贯等工作;建立了跨部门协作机制，确保数据安全工作能够渗透到公司的各个业务环节和职能部门。

  同时，数据安全的相关工作采取“匹配责任制”，由具体数据安全事项匹配的主办方负责持续跟进，直至相关工作落实并形成闭环。对于无法明确匹配工作职责的数据安全事项，由工作组集体讨论并明确分工，相关成员单位根据讨论结果及分工，负责持续跟进。

  2.制度体系

  汇付支付深刻认识到数据安全的重要性，已建立了一套全面且细化的数据安全管理制度，以《汇付数据安全要求总纲》为制度建设指导，在分类分级、合规审计、数据管理、应急响应等方面建立了《数据分级与保护规范》《数据安全审计管理规范》《数据安全应急预案》等细化制度。这些制度不仅遵循了《网络安全法》《数据安全法》《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等国家法律法规，还结合了行业特性和自身业务特点，对数据的分类、存储、传输、处理、共享、销毁等全生命周期进行了详细规定。公司定期对制度进行审查和更新，确保其适应性和有效性，为数据安全建设的落地提供了坚实的制度保障。

  3.技术体系

  汇付支付拥有专业的数据安全技术团队，在数据安全的技术建设上参考行业先进单位的建设体系并形成了具有自身特点的数据安全建设技术矩阵(如图1所示)。

图1 汇付支付数据安全建设技术矩阵

  在数据安全建设技术矩阵中，数据分类分级是数据安全建设的基石。汇付支付参照《网络安全标准实践指南》的分类分级策略、《支付信息保护技术规范》信息分类分级细则，构建了覆盖支付全业务场景的数据分类分级体系。通过自研数据分类分级平台的自动化扫描技术，自动化识别核心支付系统中的敏感数据(如用户身份信息、交易记录、商户经营数据等)，并建立《数据分类分级参照表》。根据数据敏感性、业务场景和合规要求，将数据划分为“公开、内部、机密”三级，并匹配差异化的防护策略。在数据加密存储、传输等方面，根据中国人民银行合规要求，对现有应用系统进行全面的国密改造，采用国密算法(SM4)对支付数据进行端到端加密，确保数据在传输过程中的安全性。在数据安全访问层面，通过与技术厂商合作已实现零信任架构落地，完成持续验证、多因素认证、最小权限原则等策略，限制内部用户和外部系统的访问权限。在数据安全应急响应层面，建设NOC监控中心，以实时大屏展示各类故障、风险、告警信息，编制各类自动化应急响应程序，建立“监测—预警—处置—复盘”闭环流程。

  4.运营体系

  数据安全的运营是一项长期工作，汇付支付通过现场检查、专项检查等形式对数据安全制度的执行、操作流程执行、投诉处理等情况进行定期的审计与检查，对数据各个生命周期阶段进行了精细化管理。在数据采集阶段，遵循“最小必要”原则，确保只收集业务所需的最少数据，并明确告知用户数据收集的目的、方式和范围。在数据存储和处理阶段，采用先进的加密技术和访问控制策略，确保数据不被未经授权访问和篡改;同时还建立了数据备份和恢复机制，以应对可能的数据丢失或损坏风险。在数据传输和共享阶段，采用安全可靠的传输协议和加密技术，确保数据在传输过程中的安全性和完整性。在数据销毁阶段，制定了严格的数据销毁流程和标准，确保敏感数据在不再需要时能够被彻底销毁。

  此外，汇付支付通过积极组织数据安全应急演练，锤炼运营团队的执行能力;通过参加上海市通信管理局“浦江护航”数据安全专项行动等，检验数据安全工作质量，在运营中查找问题，寻找解决方案，提升运营效率，提升数据安全治理水平。

  三、非银支付行业的数据安全生态共建

  在行业生态建设方面，汇付支付始终坚持“开放共生、共同发展”的理念，在数据安全的标准制定、技术分享、情报共享等方面积极贡献力量，推动支付行业数据安全防护从“单点防御”向“联防联控”升级。

  在“浦江护航”数据安全专项行动中，汇付支付主动接受上海市通信管理局的指导，针对支付场景中的数据安全风险(如API接口滥用、第三方服务漏洞)进行了专项整改。根据《非银行支付机构网络支付业务管理办法》《数据安全法》《个人信息保护法》等法律法规，修订内部数据安全管理制度，明确数据处理者的责任边界，建立违规行为的追责机制。通过在行业会议上积极分享“浦江护航”数据安全专项行动中取得的成果，为行业成员提供合规监管方面的经验与力量。

  汇付支付积极参与行业协会的业务发展形势会议，在支付数据安全的标准制定中参与《支付信息保护技术规范》编制，将公司数据分类分级体系标准转化为行业通用标准。在技术层面，汇付支付将自身研发的风控模型和技术方案开放，帮助行业整体提升安全能力。

  同时，汇付支付与上下游企业如网联公司定期组织开展攻防演习，并将关键信息基础设置、数据安全等方面纳入演练范畴，在演练中发现安全问题及风险，及时消除结构性、全局性风险。通过定期的安全演练活动，更全面地评估上下游企业的网络安全状况，发现潜在的漏洞、薄弱点和安全风险;帮助上下游企业员工更好地了解网络威胁和攻击手法，提高其安全意识;同时强化团队协作，通过多个企业之间的合作解决安全问题，提高企业间的团队协作效能。

  四、汇付支付在数据安全领域的新兴技术应用与研究

  AI技术的快速发展为数据安全领域提供了新的技术思路与方向。汇付支付成立了专门的技术团队，通过与技术厂商合作，积极探索AI在数据安全中的应用。

  一是数据安全威胁监测。威胁监测是数据安全的核心组成部分。传统的安全系统往往依赖于规则和签名来识别已知的威胁。然而，随着攻击手段的不断演变和创新，传统方法的有效性逐渐减弱。AI系统通过机器学习算法能够分析大量数据，识别出异常模式和潜在威胁。AI系统可以实时监控网络流量，分析用户行为，并识别出与正常行为模式不符的活动。例如，系统显示某个用户在短时间内尝试访问多个敏感文件，这表明其账户可能被攻击者入侵。AI系统可以迅速发出警报，并自动采取措施，如暂时锁定账户或限制访问权限。

  二是数据加密与脱敏。敏感数据的识别与脱敏是数据安全的重要前提。汇付支付AI团队基于NLP与深度学习技术，构建多模态数据分类模型，对结构和非结构化数据(如邮件、文档)进行语义分析，识别含手机号码、社保号等敏感字段的文本片段，提升在数据分类分级中的数据识别准确率。例如，在部署AI分类引擎后，数据分类中卡号识别准确率从人工识别的84%提升至99.5%。同时，在识别出敏感数据后基于AI的动态脱敏技术，针对不同分类分级的敏感数据进行加密脱敏，使不同权限人员返回不同级别数据，如开发人员访问时返回模拟数据，审计人员访问时返回脱敏后真实数据。