全球隐私主管 Kadri Linask-Goode， Digital Realty
2024 年 10 月 18 日

在当今快速发展的数字环境中，金融服务中的数据主权和数据隐私已成为至关重要的问题。金融服务企业必须应对因国家和地区而异的复杂数据隐私法规和金融数据主权法律，不仅要保持信任，还要保持竞争力。全球金融服务企业的 IT 领导者需要持续平衡数据治理和总体业务目标，这需要适应性强、灵活且以数据为中心的 IT 基础设施。

数据隐私法规的全球格局

联合国贸易和发展会议发现，194 个国家中有 137 个国家（超过 70% 的国家）制定了有关保护数据和隐私的法律。此外，仅在美国，就有五项新的州级数据保护法将于 2023 年生效。

因此，金融服务企业的领导者应该熟悉越来越多的数据隐私法律，并分别评估法律对业务和处理的影响。

了解数据主权与数据驻留

数据主权：数据受数据收集、存储或处理所在国家的法律和治理结构的制约。这意味着金融机构在该司法管辖区处理数据时必须遵守当地的数据主权法律。
数据驻留：数据有其存储的物理或地理位置。一些国家要求在其境内收集的数据需要存储在本地，这种做法被称为数据本地化。

了解数据主权与数据驻留之间的区别对于金融服务企业至关重要，因为这会影响它们如何跨境存储、处理和传输数据。

金融服务企业的数据隐私法规

全球的一些数据隐私法规：

欧盟通用数据保护条例
欧盟的人工智能法
巴西通用数据保护法
新加坡 2012 年个人数据保护法
加利福尼亚州消费者隐私法

除地区数据主权法律外，主要市场的金融服务企业还需满足新的网络安全法律和数据驻留要求。

在美国，这些网络安全要求来自于：

纽约州金融服务部
联邦存款保险公司
格拉姆-里奇-布利雷法案
联邦贸易委员会

越来越多的法规要求全球金融服务企业除了遵守运营所在地的法律外，还要遵循个人客户的本地数据隐私法律。

IT 领导者需要创建一个能够适应新法规并管理复杂性的 IT 架构。因此，金融服务领域的数据主权加强了在存储、传输和保护数据时对混合 IT 解决方案的需求。

网络安全在金融服务中的重要性与日俱增

随着数字交易的兴起，金融服务中的网络安全变得比以往任何时候都更加重要。由于处理数据的敏感性，金融机构成为网络攻击的首要目标。实施强有力的金融数据安全措施对于防止数据泄露和遵守网络安全法规（如纽约州金融服务局的网络安全要求）至关重要。

以数据为中心的混合 IT 战略通过以下方式增强网络安全：

在所有平台上提供高级安全协议
启用实时监控和威胁检测
促进快速响应机制，减少潜在的违规行为

未能主动应对数据法规的风险

全球金融服务企业的 IT 领导者在遵守各种区域数据隐私和主权法规时面临独特的需求和挑战。

管理数据的两种方式：

积极构建网络，以合规方式处理数据，防止监管调查。
在立法颁布后盲目跟进，增加了出错的可能性，并面临监管执法行动的风险。

等待新法规生效后再予以反应会带来组织上的弊端：增加出错的可能性，面临监管执法风险，增加企业的压力。

由于金融服务企业管理着大量敏感数据，因此其不遵守法规而被处以巨额罚款和声誉受损的风险也随之增加。

DLA Piper 在其“GDPR 罚款和数据泄露调查”中指出，欧洲保护监管机构在 2022 年共开出 16.4 亿欧元（17.4 亿美元）的罚单，同比增长 50%。

其他地区也在加大经济处罚力度：新加坡个人数据保护委员会在《个人数据保护法执法说明》中透露，将经济处罚上限从固定的 100 万新元提高到组织年营业额超过 1000 万新元部分的 10%，以较高者为准。

随着许多国家越来越重视金融服务中的数据隐私问题，不合规的企业将面临严重后果。

金融服务企业如果能积极解决 IT 架构问题，满足不断变化的法规要求，就能避免可能出现的重大处罚，并能合规地最大限度地利用数据来支持企业使命，并提高客户价值。

解决碎片化的传统数据架构

强大的隐私和数据安全能力成为核心差异化因素，加之数据主权要求的演变，数据管理在金融服务领域发挥着至关重要的作用。

以数据为中心的混合 IT 战略涵盖：

实施有效的数据治理框架

有效的数据治理框架对于管理数据资产和确保合规性至关重要。其中包括：

制定明确的数据处理政策和程序
确定组织内数据管理的角色和责任
实施数据质量控制以确保准确性和可靠性
监控内部政策和外部法规的遵守情况

通过整合强大的数据治理框架，金融企业可以加强金融服务中的数据治理、降低风险并改进决策流程。

让数据为全球金融服务企业服务

金融服务企业的 IT 领导者可以携手拥有全球数据中心平台的组织，创造显著的竞争优势。

一个清晰的以数据为中心的混合 IT 基础设施可以控制数据的存储位置、汇总方式以及如何利用尖端技术来减少网络攻击。这有助于贵公司通过区域化数据存储，满足不断变化的金融数据主权和数据隐私要求。

应对跨境数据传输的挑战

跨境数据传输的有效管理对全球金融运营至关重要。金融服务企业必须考虑：

在不同司法管辖区传输数据的法律影响
遵守国际数据传输法规，例如《标准合同条款》和《具有约束力的公司规则》
实施安全数据传输协议以保护数据的完整性和机密性

以数据为中心的混合 IT 战略通过利用本地化数据中心和互联网络，促进安全且合规的跨境数据传输。

借助数据实现金融业的数字化转型

有效的数据利用和监管合规推动了金融业的数字化转型。通过采用现代金融服务 IT 基础设施，企业可以：

通过个性化服务提升客户体验。
通过自动化和高级分析提高运营效率。
通过利用大数据和人工智能推动创新。
将监管要求纳入 IT 系统，确保合规。

拥抱数字化转型使金融服务企业能够保持竞争力，满足客户不断变化的需求。

例如，要在全球银行业中驾驭复杂的数据主权、数据隐私和监管合规问题，就必须采取积极主动的战略方法。通过实施以数据为中心的混合 IT 战略，全球银行企业可以应对支离破碎的旧版系统带来的挑战，遵守各种法规，并将数据作为促进增长和创新的战略资产加以利用。

Digital Realty 提供全方位的数据中心、主机托管和网络互联解决方案，将企业和数据结合，为创新提供动力。PlatformDIGITAL® 是我们的全球数据中心平台，为客户提供安全的数据场所。

访问我们的金融服务行业页面，了解 PlatformDIGITAL® 如何帮助 IT 领导者通过数据驱动的转型解锁增长机会和竞争优势。

作者简介：Kadri 拥有 20 余年合规经验和 9 年数据隐私经验，主要负责与 Digital Realty 的全球客户、员工、供应商、产品和运营相关的隐私事务。

常见问题解答

金融服务的数据主权是什么？

金融服务中的数据主权是指金融数据必须遵循其收集、存储或处理所在国家的法律和治理结构的概念。这意味着金融机构必须根据各国的具体法规存储、管理、保护和传输数据，确保遵守当地的数据隐私和保护法律。

为什么数据隐私在金融服务业很重要？

数据隐私在金融服务业至关重要，因为这些企业要处理敏感的个人和财务信息。保护这些数据可以建立与客户之间的信任，确保遵守全球和地区法规，并防止因数据泄露或不遵守数据保护法而受到法律处罚和声誉损害。

影响金融服务企业的关键数据隐私法规有哪些？

影响金融服务的主要数据隐私法规包括：

欧盟的通用数据保护条例
欧盟的人工智能法案
美国加利福尼亚州消费者隐私法
巴西《通用数据保护法》
新加坡个人数据保护法
特定行业的法规，如《Gramm–Leach–Bliley Act》和来自纽约州金融服务部的指令

这些法规规定金融机构如何收集、存储、处理和传输个人数据。

金融服务企业如何遵守数据主权法律？

企业可以通过以下方式合规：

实施本地化数据存储，将数据保存在收集数据的辖区内
采用以数据为中心的混合 IT 战略，允许对数据放置进行灵活控制
制定符合当地法规的稳健数据治理政策
与 Digital Realty 等全球数据中心提供商合作，利用符合要求的基础设施和专业知识

什么是以数据为中心的混合 IT 战略？

以数据为中心的混合 IT 战略结合了本地部署、私有云和公有云服务，以优化数据放置和处理。其重点是：

本地化数据存储，确保合规性
混合 IT 控制，实现治理和安全
互联数据交换中心，提高性能
优化数据流，应对数据引力等挑战

这种方法使金融机构能够灵活地遵守不同的数据主权法律。

金融服务业不遵守数据隐私法规的风险有多大？

不合规风险包括：

巨额罚款和财务处罚，可能占年营业额的一定比例
声誉损害，导致失去客户信任和业务
来自监管机构的法律行动和制裁
因强制变更或限制而导致的运营中断
由于数据保护措施不足，更容易发生数据泄露事件

数据引力如何影响金融服务企业？

数据引力指的是一种现象，其中数据的积累吸引了更多的服务和应用程序。在金融服务领域，大量数据可以：

如果管理不当，会导致延迟问题。
提升数据管理和合规的复杂性。
需要优化的数据交换解决方案，以确保高效的处理和分析。
影响依赖数据可访问性的应用和服务的性能。

金融服务企业如何解决旧版数据架构分散的问题？

企业可以：

进行 IT 基础设施评估，找出分散点。
实施统一的、以数据为中心的 IT 架构，整合数据管理。
借助混合 IT 解决方案将传统系统与现代技术相结合。
采用标准化的数据治理框架来简化流程。
与经验丰富的数据中心提供商合作，高效实现基础设施现代化。

什么是 Digital Realty 的 PlatformDIGITAL®，它如何帮助实现数据主权？

PlatformDIGITAL® 是 Digital Realty 的全球数据中心平台，可以：

在多个地区提供安全、合规的数据存储解决方案
促进高效数据交换的网络互联服务
提供可扩展的基础设施，以适应不断变化的数据主权法律
防范网络威胁的高级安全措施

通过 PlatformDIGITAL®，金融服务企业可以根据当地法规管理数据，同时优化性能和可扩展性。

金融服务企业为何应采取积极措施来应对数据隐私法规？

采取积极的方法使企业能够：

保持在监管变化的前沿，降低不合规风险。
通过确保遵守法律，减轻潜在的罚款和法律后果。
通过展示对数据保护的承诺，增强客户的信任。
将合规性融入 IT 战略，提高运营效率。
将数据作为战略资产，以推动创新和竞争优势。

金融服务中的数据主权和隐私：通过以数据为中心的架构，加快适应