Câu hỏi an ninh trong kỷ nguyên AI: Logic bảo vệ dữ liệu ngân hàng thay đổi

Báo cáo của phóng viên Cục Kinh tế Quan sát, Guo Jianhang, Bắc Kinh

Khi kỷ nguyên AI thu thập và sử dụng khối lượng dữ liệu khổng lồ tăng lên, tầm quan trọng của an ninh dữ liệu càng trở nên nổi bật.

Công nghệ AI phát triển nhanh chóng, trí tuệ nhân tạo sẽ thâm nhập vào các quyết định nghiệp vụ và hoạt động vận hành của ngân hàng với tốc độ nhanh hơn dự kiến. Trước đó, nhiều ngân hàng đã công khai tuyên bố sẽ tiếp tục thúc đẩy xây dựng chuyển đổi số, đẩy mô hình làm việc chuyển sang hướng dựa trên dữ liệu. Đồng thời, thị trường và cơ quan quản lý cũng đang đặt câu hỏi về việc liệu năng lực phòng hộ an ninh dữ liệu của ngân hàng có theo kịp đồng bộ hay không; việc bảo vệ an ninh dữ liệu của ngân hàng sẽ trực tiếp ảnh hưởng đến mức độ kinh doanh tuân thủ của ngân hàng.

Phóng viên của “China Business News” nhận thấy rằng, tính đến ngày 26 tháng 3, trong các quyết định xử phạt hành chính do Ngân hàng Nhân dân Trung Quốc và các đơn vị chi nhánh đã công bố, các vụ việc vi phạm liên quan rõ ràng đến “quản lý an ninh dữ liệu” hoặc “quản lý an ninh mạng” đã vượt quá 30 vụ.

Trương Kun, Tổng giám đốc Bộ phận Giao hàng (Giao tài sản dữ liệu) của Thần Châu Thông tin, cho biết: “Trong kỷ nguyên AI, quản lý an ninh dữ liệu của ngân hàng cần đổi mới và nâng cấp trên cơ sở quản trị dữ liệu truyền thống, dựa theo đặc điểm của các ứng dụng AI. Mấu chốt là thiết lập một hệ thống quản lý tinh vi ‘ngay từ khoảnh khắc dữ liệu được tạo ra thì đánh dấu rõ mục đích sử dụng, quyền hạn và vòng đời’, thông qua sự kết hợp hữu cơ giữa biện pháp kỹ thuật và ràng buộc bằng thể chế, vừa đảm bảo an toàn dữ liệu và tuân thủ, vừa hỗ trợ sự phát triển lành mạnh của công nghệ AI.”

Năm mở đầu, số vụ xử phạt vượt 30

Trong năm khởi động của giai đoạn “Kế hoạch 15 lần 5 năm” (15-15), môi trường an toàn đối với ngành ngân hàng ngày càng phức tạp. Từ tuân thủ bị động sang phòng thủ chủ động, từ quản trị đơn điểm sang vận hành theo hệ thống; cuộc giằng co xoay quanh an ninh dữ liệu có thể thấy rõ phần nào qua các vụ xử phạt khởi động năm của cơ quan quản lý.

Theo thông báo xử phạt do Ngân hàng Nhân dân Trung Quốc công bố trước đó liên quan đến vi phạm an ninh dữ liệu và an ninh mạng, các chi nhánh ở một số tỉnh/thành của các ngân hàng thương mại nhà nước lớn, các ngân hàng cổ phần và các ngân hàng thành thị - nông thôn đều nhận được các quyết định phạt.

Xét từ một số trường hợp xử phạt, Ngân hàng Nông thôn Tường Phong (RuiFeng) bị phạt 316,8 triệu nhân dân tệ, nằm ở mức cao trong tổng số tiền xử phạt của quý 1 năm 2026. Thông tin xử phạt hành chính do Ngân hàng Nhân dân Trung Quốc công bố cho thấy Ngân hàng Tường Phong đã vi phạm các quy định về quản lý thống kê tài chính, quy định quản lý tài khoản, quy định về quản lý an ninh dữ liệu và an ninh mạng, đồng thời còn có nhiều hành vi vi phạm khác như không thực hiện điều tra và báo cáo đầy đủ nghĩa vụ đối với khách hàng cũng như giao dịch có giá trị lớn theo quy định. Về tình hình xử phạt này, phía Ngân hàng Tường Phong trả lời với phóng viên: “Đây là hình phạt của giai đoạn sớm (hai năm trước), hiện đã hoàn tất chỉnh sửa. Chủ yếu liên quan đến vấn đề ứng dụng dữ liệu không chuẩn mực. Với các vấn đề mang tính chi tiết, về sau chúng tôi sẽ xây dựng kế hoạch liên quan dựa trên việc nâng cấp kỹ thuật và biến đổi của ngành; đồng thời có khoản đầu tư nâng cấp đối với hệ thống phòng vệ.”

Ngoài ra, hai ngân hàng ở Quý Châu bị xử phạt vì “vi phạm các quy định liên quan đến thu thập, cung cấp, tra cứu thông tin tín dụng và các quản lý liên quan”. Hai ngân hàng này cho biết hiện chưa có biện pháp chỉnh sửa nào có thể công bố. Một người trong ngành ở một ngân hàng nông thôn tại tỉnh Quý Châu cho biết với phóng viên: “Hiện nay, khi ngân hàng nông thôn thực thi các nguyên tắc như an ninh dữ liệu, an ninh mạng… nhìn chung đều dựa vào các quy phạm hành vi do liên hiệp tín dụng địa phương (省联社) xây dựng để quản lý. Sau khi ngân hàng và công ty bị xử phạt do vi phạm, thì các biện pháp chỉnh sửa cụ thể trong tương lai cũng do liên hiệp tín dụng địa phương ban hành.”

Việc rà soát các lý do bị xử phạt trong các lệnh phạt cho thấy, tần suất vi phạm các quy định về quản lý an ninh mạng và quản lý an ninh dữ liệu là cao nhất; tiếp theo là vi phạm các quy định về thu thập, cung cấp, tra cứu thông tin tín dụng và các quy định quản lý liên quan. Các hành vi vi phạm việc không thực hiện các biện pháp kỹ thuật như phòng ngừa vi-rút máy tính và tấn công mạng, xâm nhập mạng… nhằm gây hại đến an ninh mạng cũng có trường hợp.

Phía sau việc cơ quan quản lý liên tục mở các lệnh phạt, là việc hệ thống giám sát nhanh chóng hình thành đối với an ninh dữ liệu tài chính. Từ năm 2024, Cục Quản lý Giám sát Tài chính Nhà nước (Cơ quan giám sát tài chính quốc gia) và Ngân hàng Nhân dân Trung Quốc đã hình thành mô hình “giám sát hai tuyến”.

Thông tin công khai cho thấy: trong tháng 12 năm 2024, Cục Quản lý Giám sát Tài chính Nhà nước đã ban hành “Biện pháp quản lý an ninh dữ liệu đối với các tổ chức ngân hàng và bảo hiểm”, trong đó đưa vào “đánh giá an ninh dữ liệu” đối với các tổ chức ngân hàng và bảo hiểm; đến tháng 5 năm 2025, Ngân hàng Nhân dân Trung Quốc ban hành “Biện pháp quản lý an ninh dữ liệu trong lĩnh vực nghiệp vụ của Ngân hàng Nhân dân Trung Quốc”, cụ thể hóa và làm rõ các yêu cầu ranh giới tuân thủ về an ninh dữ liệu trong lĩnh vực nghiệp vụ của Ngân hàng Nhân dân Trung Quốc, đồng thời làm rõ nguyên tắc “ai quản lý nghiệp vụ thì ai quản lý dữ liệu nghiệp vụ, ai quản lý an toàn dữ liệu”.

Bước sang năm 2026, nhịp độ ban hành chính sách tiếp tục tiến triển ổn định. Văn phòng Cục Quản lý Giám sát Tài chính Nhà nước đã in và phát hành “Thông báo về việc triển khai chiến dịch nâng cao năng lực quản lý an ninh dữ liệu của các tổ chức tài chính”, trong đó nêu rõ yêu cầu tổng thể “phát hiện một lô, chỉnh sửa một lô, thông báo một lô, xử phạt một lô”. Ngoài ra, Văn phòng Kiểm soát Internet và Thông tin Quốc gia cũng công khai lấy ý kiến đối với “Hướng dẫn phân loại và phân cấp dữ liệu cho dịch vụ thông tin tài chính”, qua đó tiếp tục tinh chỉnh quy tắc phân hạng đối với dữ liệu cốt lõi, dữ liệu quan trọng và dữ liệu nhạy cảm thông thường.

Người trong ngành cho rằng, định hướng cốt lõi của giám sát nằm ở việc thúc đẩy ngân hàng đưa an ninh dữ liệu và an ninh mạng vào quản trị doanh nghiệp và quản lý vận hành hằng ngày, thực hiện sự chuyển đổi từ tuân thủ theo giai đoạn và bị động sang quản trị lâu dài và liên tục.

“Tư duy đắp tường” chuyển sang “tư duy quản lý dòng chảy”

Dưới tác động thúc ép của chính sách giám sát, các mắt xích yếu trong xây dựng an ninh dữ liệu của ngành ngân hàng cũng ngày càng rõ ràng. Hiện tại, ngân hàng đang tồn tại những mắt xích yếu rõ ràng nào trong xây dựng an ninh dữ liệu?

Trương Kun cho rằng: Thứ nhất là năng lực kiểm kê toàn diện tài sản dữ liệu còn thiếu. Nhiều ngân hàng không hoàn toàn hiểu rõ “tài sản dữ liệu” của chính mình; đặc biệt là đối với “dữ liệu ẩn” nằm rải rác trong các hệ thống nghiệp vụ khác nhau, môi trường thử nghiệm, máy tính cá nhân và các hệ thống kế thừa còn tồn tại từ trước, thiếu quản lý thống nhất hiệu quả. Không biết dữ liệu nằm ở đâu thì đương nhiên không thể nói đến bảo vệ hiệu quả. Thứ hai là khả năng quan sát và kiểm soát trong quá trình luân chuyển dữ liệu còn thiếu. Một vấn đề đau đầu thường được nhắc đến trong ngành là “dữ liệu có thể thấy nhưng không thể kiểm soát”, tức là dữ liệu an toàn trong hệ thống lõi, nhưng một khi được trích xuất bằng nhiều cách khác nhau sang Excel, kho dữ liệu thử nghiệm hoặc hệ thống bên thứ ba, thì sẽ bước vào “vùng mù giám sát”. Các hệ thống truyền thống chống rò rỉ dữ liệu (DLP) chủ yếu tập trung vào luồng xử lý tệp tin, nhưng đối với hành vi truy cập dữ liệu thông qua gọi API, truy vấn cơ sở dữ liệu… thì năng lực giám sát và kiểm soát tương đối yếu. Thứ ba là vấn đề về ý thức an ninh dữ liệu của nhân viên nội bộ và tính chuẩn mực trong thao tác. Dù biện pháp kỹ thuật có tiên tiến đến đâu, nếu ý thức an toàn của nhân viên không theo kịp thì vẫn sẽ tạo ra lỗ hổng rủi ro lớn; đặc biệt là khi các bộ phận nghiệp vụ vì tăng hiệu suất làm việc mà bỏ qua quy trình an toàn hoặc xảy ra thao tác vi phạm trong quá trình chia sẻ và phối hợp dữ liệu.

Trương Kun cho rằng, trong bối cảnh chính sách và quy định pháp luật được ban hành, xây dựng an ninh dữ liệu của ngân hàng đang bước vào giai đoạn then chốt chuyển từ “động lực tuân thủ” sang “kiểm soát rủi ro”. Nhưng trong môi trường giám sát hiện tại, việc xây dựng an ninh dữ liệu của ngân hàng trong thực tiễn triển khai cụ thể vẫn đối mặt nhiều thách thức. Ví dụ, ngân hàng đã xây dựng hệ thống phân loại và phân cấp dữ liệu, nhưng trong thực thi thực tế lại gặp cảnh “khó triển khai”. Lại như, khi nghiệp vụ ngân hàng quốc tế hóa được đẩy nhanh, các tình huống dữ liệu ra nước ngoài ngày càng nhiều; các yêu cầu tuân thủ luồng dữ liệu xuyên biên giới bị siết chặt hơn, ngân hàng cần xây dựng cơ chế đánh giá an toàn dữ liệu ra nước ngoài. Hiện nay, luồng dữ liệu phụ thuộc vào “các kênh dữ liệu mới” như giao diện API, kết nối trực tiếp cơ sở dữ liệu… từ đó cũng tạo ra những vấn đề như bề mặt rủi ro mới.

Trên thực tế, dưới bối cảnh ứng dụng sâu rộng các công nghệ mới như trí tuệ nhân tạo (AI), logic bảo vệ an ninh dữ liệu trong ngành tài chính đã thay đổi căn bản.

Người phụ trách công ty quản lý điện toán đám mây và vận hành điều phối tính toán thông minh của công ty佳杰云星, cho biết với phóng viên: “Tác động lớn nhất của kỷ nguyên AI đối với xây dựng an ninh dữ liệu ngân hàng là các chiến lược an toàn phải đi kèm với mỗi lần dữ liệu được gọi và mỗi tuyến đường được triển khai động. Trong lộ trình truy cập dữ liệu truyền thống ‘người dùng—hệ thống ứng dụng—cơ sở dữ liệu’, chiến lược an toàn chủ yếu được xây dựng xoay quanh ranh giới mạng và một ứng dụng đơn lẻ. Ở kỷ nguyên AI, lộ trình truy cập lấy tác nhân AI làm trung tâm trở nên cực kỳ động; người dùng gọi các công cụ và API khác nhau thông qua tác nhân AI, truy cập tài nguyên dữ liệu doanh nghiệp qua nhiều hệ thống, tự lập kế hoạch tuyến đường và luân chuyển liên miền, khiến cho cơ chế kiểm soát truy cập truyền thống dựa trên ranh giới và ứng dụng khó có thể phát huy hiệu quả. Đồng thời, rủi ro rò rỉ dữ liệu từ một kịch bản đơn lẻ mở rộng thành nhiều tuyến đường song song. Ngoài ra, để bảo đảm hoàn thành nhiệm vụ của tác nhân, việc cấp quyền rộng rãi rất dễ dẫn đến các rủi ro như truy cập vượt quyền. Tất cả các yếu tố trên đang tác động đến sự chuyển đổi chiến lược bảo vệ dữ liệu trong kỷ nguyên AI.”

Trong kỷ nguyên AI, quản lý an ninh dữ liệu của ngân hàng sẽ bao phủ toàn bộ vòng đời dữ liệu như thế nào? Trương Kun cho rằng, ngân hàng cần xây dựng khung quản trị AI lấy dữ liệu làm trung tâm, từ nhiều góc độ nâng cao năng lực quản lý toàn bộ vòng đời dữ liệu. Ở giai đoạn thu thập, cần thiết lập cơ chế đánh giá chuyên đề việc thu thập dữ liệu cho ứng dụng AI. Đối với nhu cầu dữ liệu của dự án AI, phải giải thích theo từng trường về mục đích và tính cần thiết, kiên trì nguyên tắc “giới hạn mục đích + tối thiểu cần thiết”. Đồng thời, cần đưa công cụ kiểm tra tuân thủ tự động vào, thực hiện quét tuân thủ về quyền riêng tư đối với dữ liệu đưa vào kho, và thiết lập cơ chế truy vết nguồn dữ liệu, bảo đảm tính “sạch” và hợp pháp của dữ liệu huấn luyện. Ở giai đoạn lưu trữ và sử dụng, nên áp dụng rộng rãi các công nghệ tăng cường quyền riêng tư. Đặc biệt, với công nghệ quyền riêng tư sai phân (differential privacy), bằng cách thêm nhiễu toán học vào dữ liệu, khiến kẻ tấn công không thể suy ngược ra thông tin quyền riêng tư của từng cá nhân cụ thể từ đầu ra của mô hình. Ở khâu chia sẻ, cần xây dựng cơ chế quản lý chia sẻ dữ liệu tinh vi dựa trên bối cảnh. Với đặc điểm của ứng dụng AI, xác định rõ phạm vi chia sẻ dữ liệu, cách thức chia sẻ và yêu cầu an toàn trong các bối cảnh khác nhau. Có thể áp dụng các công nghệ như học liên bang (federated learning) để, trong điều kiện bảo vệ quyền riêng tư dữ liệu, vẫn thực hiện chia sẻ giá trị dữ liệu. Ở khâu tiêu hủy, cần thiết lập cơ chế vận hành tự động hóa vòng đời có tính thông minh. Sử dụng công cụ tự động để gắn nhãn và quản lý dữ liệu theo toàn chuỗi; khi dữ liệu hoàn thành nhiệm vụ huấn luyện AI hoặc vượt quá thời hạn lưu giữ theo tuân thủ, hệ thống sẽ tự động kích hoạt quy trình tiêu hủy an toàn và tạo chứng từ tiêu hủy không thể bị làm giả.

Khối lượng thông tin khổng lồ, diễn giải chính xác, tất cả có tại ứng dụng Sina Finance