当前，国际形势风云变幻，金融、科技等领域成为大国博弈的焦点，加之数字技术持续迭代并广泛应用，国家金融网络安全治理面临重大挑战。作为数字技术先进国家，日本自21世纪初以来不断强化网络安全建设，逐步完善战略布局。近年来，随着日本加速推动数字化转型，人工智能、云计算等先进技术与金融业务深度融合，金融系统遭受的网络攻击明显增多。面对挑战，日本高度重视金融网络安全治理，在制度建设和政策实践方面取得了显著成效，其相关经验值得借鉴。

日本金融网络安全的制度建设

　　2023年9月，全球内容交付网络CDN服务领导者阿卡迈技术公司指出，金融服务业是亚太地区及日本遭受Web应用程序及API攻击最多的领域。金融业已成为日本遭受网络攻击的主要领域之一。面对严峻形势，日本持续强化金融网络安全制度建设，全力完善网络安全体系。

　　一是健全金融网络安全法律框架。2000年1月，日本政府发布网络安全领域首个政策文件——《保护信息系统免受网络攻击行动计划》；同年，日本国会通过《高速信息通信网络社会形成基本法》（也被称为“IT基本法”），明确指出“确保高速信息通信网络的安全性及可靠性”。2014年11月，日本国会批准了《网络安全基本法》，首次从法律意义上定义了“网络安全”的概念，并明确其主体、职责及战略理念，成为日本金融网络安全治理的根本遵循。此外，金融、信息保护等领域的基础法律也为日本依法治理金融网络安全提供重要支撑。例如，《金融商品交易法》强调要加强对金融科技行业的监管；《银行法》要求在推动数字金融和金融创新发展基础上，强化网络安全和信息保护；《个人信息保护法》明确规定了信息保护的主体与职责、个人信息泄露报告制度、第三方个人数据获取规则等事项。除此之外，涉及网络安全治理的重要法律还有《防止不正当竞争法》《禁止未经授权的计算机访问法》等。

　　二是完善金融网络安全战略布局。2013年6月，日本发布首个《网络安全战略》，并分别于2015年、2018年、2021年发布修订版，提出网络安全治理的中长期目标以及具体的政策举措。日本金融网络安全监管主要由金融厅负责，其于2015年7月制定了《加强金融领域网络安全的工作方针》（1.0版），并于2018年10月及2022年4月出台“2.0版”及“3.0版”。“3.0版”指出，金融网络安全治理工作重点围绕加强监测、升级安全演习、防范新风险、强化部门协作等方面进行。金融厅还与个人信息保护委员会共同制定了《金融领域个人信息保护指南》，用以指导金融机构采取合规操作确保客户等个人信息的安全与隐私。

　　三是构建金融网络安全治理组织架构。2015年，日本政府设立直属内阁领导的“内阁网络安全中心”（NISC）。此举有助于强化政府对金融网络安全治理的宏观指导。为了促进金融机构网络安全能力建设，金融厅在综合政策局内部下设网络安全对策企划调整室，专门负责相关政策制定与实施，并通过发起“网络安全对策相关人员合作会议”等，促进跨行业信息共享及突发事件应急处理的官民合作。尽管日本中央银行（日本银行）没有监管银行网络安全的职责，但它有权对银行网络安全进行持续性指导。日本也高度重视相关领域的官产学研合作，如设立联合实验室等推进生成式人工智能、量子密钥分发、量子认证等网络安全技术布局与应用。

日本金融网络安全治理的具体实践

　　一是重视金融网络安全监管。金融厅定期检查评估金融机构的网络安全建设，监管重点及方式根据行业、业务规模进行调整。例如，全年严格动态监管敏感度高、拥有全球经营网络的三大银行，督促其及时引进国际先进技术与理念；适度监管敏感度低的金融机构，着重提升其自律能力，为其开发针对性的网络安全自评估工具；根据更易受到的网络攻击类型调整检查项目；支持逐步推广零信任网络安全架构等。为提升金融网络安全监管工作质量，金融厅积极进行共性风险摸底，定期评估监管效果及制定改进方案。

　　二是提升网络攻防演习质量。一方面，鼓励金融机构采用“威胁主导渗透测试”（TLPT）等高水平的网络安全评估方法，根据威胁情报及实际系统环境模拟攻击场景，从而检测网络安全系统对外部冲击的响应能力。2019年9月，日本金融行业信息系统中心（FISC）发布了相关指南，为其有效应用TLPT提供框架性指导。另一方面，自2016年起，日本金融厅在每年10月左右组织大规模的跨行业金融机构网络安全实战演练，以提升金融领域整体网络安全保障能力。

　　三是促进信息共享。日本积极建立健全多层次、跨机构的金融网络安全信息共享机制。2023年3月，日本发布《网络攻击危害信息的共享与发布指南》，通过问答形式引导受网络攻击的组织共享相关信息。日本仿效美国的做法于2014年成立了金融信息共享与分析中心（FISAC），旨在促进金融机构之间共享网络攻击威胁信息及技术漏洞信息并共商应对办法。金融厅与NISC、FISAC、经济产业省、警察厅等均建立了信息共享机制，并指导金融机构加强与设备供应商、服务外包商及客户的信息交流。另外，日本通过提供多元化共享范式、视情况允许数据匿名化及延迟发布、责任豁免等多种方式，尽力消除相关组织对共享过程中承担法律风险及名誉损失等的担忧，促进信息共享及时、畅通。

　　四是重视人才培养。2021年4月，日本经济产业省发布《网络安全体系建设和人力资源保障指南》，为企业等部门健全网络安全风险管理体系及加强相关人才培养提供指导。据此，日本金融厅要求金融机构持续加强网络安全人才队伍建设。例如，制定及落实人才培养计划，完善激励与评价机制；重视提升管理层网络安全意识，定期开展内部培训及跨部门交流；尽量保障各部门均配备专职网络安全人员，在人员短缺情况下支持其在各部门定期轮岗。

　　五是加强国际合作。针对跨国金融网络犯罪日益严重的趋势，日本金融监管部门通过双边及多边机制，在信息共享、政策协调、实战演习、标准制定等领域加强金融网络安全国际合作。例如，日本金融厅和日本中央银行与美国、欧洲、澳大利亚、印度等国家的相关部门合作，推进网络安全领域的信息共享与人才培养合作；通过G7、G20、金融稳定委员会（FSB）、反洗钱金融行动特别工作组（FATF）等国际组织积极参与金融网络安全技术标准与国际规则的研讨。

相关启示

　　近年来，我国高度重视网络安全治理，2017年颁布实施的《网络安全法》是我国首部网络安全方面的综合性立法，成为我国网络安全治理的根本遵循。随后，国家层面陆续出台了《数据安全法》《个人信息保护法》《网络安全审查办法》等法律法规及部门规章。金融系统也制定了高起点、高标准的金融网络安全治理规划和行业指引，如《金融行业网络安全等级保护实施指引》《证券期货业网络和信息安全管理办法》等。但随着金融业的创新发展及网络技术的持续迭代，金融网络安全面临的挑战日益突出。为此，我国金融网络安全治理建设在结合本国实际的同时，也需要不断借鉴国际先进经验。

　　一是构建统筹兼顾、分工协作的监管体制。当前，我国金融领域网络信息安全主要受国家网信办、公安部、工信部、“一行一总局一会”等部门不同维度的监督管理。为了平衡合力监管与分业监管优势，各部门应明确职能分工，既要避免监管重叠也要防止监管真空，确保金融网络不留监管死角。一方面，协调上述职能部门成立金融网络安全监管中心，作为“司令塔”为金融网络安全监管提供系统的宏观指导，同时负责对具有混合业态属性的金融科技机构的监管。另一方面，发挥分业监管优势，以“一行一总局一会”为主导，根据国内外网络安全形势变化，针对不同行业制定网络安全监管细则。

　　二是提升金融系统的主动防御能力。相关政府机构和金融监管部门常态化组织金融系统开展大规模跨行业网络攻防演习，不断丰富业务连续性演练场景。成立网络安全应急工作小组，指导金融机构组建应急管理团队、制定应急预案、提高应急处置能力。通过设立专项经费、指导创建产学研联合实验室等，加速推进零信任、人工智能、量子信息技术等网络安全技术布局与应用。

　　三是促进金融网络安全信息共享。健全金融网络安全信息共享的政策体系，促进金融机构与国家安全机构、监管部门、金融同业、外部安全厂商等不同层次机构建立威胁情报共享机制。强化措施提升信息共享工作质效，如完善高质量、多维度、全覆盖的金融业网络态势感知与信息共享平台建设，消除信息孤岛；提供多元化共享范式、赋予信息共享主体适当责任豁免，促进信息共享安全畅通。另外，鉴于跨国金融网络犯罪日益猖獗，应重视国际金融网络安全信息共享合作，尝试与“一带一路”共建国家合作搭建相关数据库及信息资源共享平台，借助信息社会世界峰会等平台增加与他国就相关问题的磋商与对话。