金融機構(gòu)多管齊下筑個人信息“防護(hù)墻”

　　金融機構(gòu)多管齊下筑個人信息“防護(hù)墻”

　　探索更合理數(shù)據(jù)使用 維護(hù)行業(yè)良性生態(tài)

　　伴隨著金融科技的高速發(fā)展，個人金融信息保護(hù)問題愈發(fā)突出。日前正式實施的《中華人民共和國個人信息保護(hù)法》，對個人金融信息保護(hù)提出了更高要求，金融賬戶等個人信息更是被歸入敏感個人信息當(dāng)中。

　　《經(jīng)濟(jì)參考報》記者日前采訪獲悉，當(dāng)前不少機構(gòu)正圍繞個人信息保護(hù)法、數(shù)據(jù)安全法等進(jìn)行研究，對現(xiàn)有的系統(tǒng)設(shè)置和業(yè)務(wù)模式進(jìn)行調(diào)整，積極探索新型技術(shù)防護(hù)手段，保障數(shù)據(jù)全生命周期安全。

　　更細(xì)更嚴(yán) 分級管理或成趨勢

　　人工智能、大數(shù)據(jù)、云計算、分布式記賬以及電子商務(wù)等技術(shù)廣泛應(yīng)用于金融領(lǐng)域，促使金融服務(wù)變得更普惠、便捷和高效。但與此同時，個人信息保護(hù)問題也顯得尤為重要。“個人金融信息安全、隱私保護(hù)領(lǐng)域存在一些頑疾，包括違規(guī)收集與使用信息，強制、頻繁、過度索取用戶權(quán)限，超范圍收集信息等�！币子^高級分析師蘇筱芮表示。

　　個人金融信息保護(hù)一直受到監(jiān)管層高度關(guān)注。人民銀行行長易綱近日在2021年香港金融科技周上發(fā)表視頻演講時表示，2005年以來人民銀行在反洗錢、消費者權(quán)益保護(hù)和征信等領(lǐng)域陸續(xù)出臺了個人信息保護(hù)相關(guān)制度。而從立法層面來看，今年6月和8月，我國分別出臺了數(shù)據(jù)安全法和個人信息保護(hù)法，初步建立了個人信息保護(hù)的法律制度體系。

　　11月1日正式實施的《中華人民共和國個人信息保護(hù)法》，是我國第一部個人信息保護(hù)方面的專門法律�！半m然個人信息保護(hù)法并沒有專門關(guān)注個人金融信息，但包括了對個人金融信息在內(nèi)的各類個人信息的周密保護(hù)�！北本┙鹑诜ㄔ悍ü俣∮钕璞硎�。他特別提及，個人信息保護(hù)法第二章第二節(jié)為“敏感個人信息的處理規(guī)則”，將生物識別信息歸入敏感個人信息中，而金融賬戶以及金融服務(wù)線上場景中常用的指紋、面部識別特征等都屬于敏感個人信息。

　　按照個人信息保護(hù)法規(guī)定，只有在具有特定目的和充分必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息；處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。

　　丁宇翔表示，金融機構(gòu)需要探索更為精細(xì)或者說更為嚴(yán)格的個人金融信息的分級管理措施。個人信息保護(hù)法將個人信息分為敏感個人信息和非敏感個人信息，而金融行業(yè)實際上劃分的更為精細(xì)。他提及，2020年，中國人民銀行出臺過一個行業(yè)標(biāo)準(zhǔn)，即個人金融信息保護(hù)技術(shù)規(guī)范，這個標(biāo)準(zhǔn)將個人金融信息按照敏感程度分為三個等級，針對每個等級，金融機構(gòu)需要實施的保護(hù)舉措是不一樣的。

　　“分級管理是一個大的方向，我預(yù)期所有的金融機構(gòu)會在個人金融信息分級管理措施上有更進(jìn)一步的跟進(jìn)舉措�！倍∮钕枵f，后續(xù)，金融機構(gòu)也需要針對不同等級不同敏感程度的個人金融信息，遵循不同的處理規(guī)則。

　　技術(shù)加持 常態(tài)化全周期防護(hù)

　　整體而言，數(shù)據(jù)安全法、個人信息保護(hù)法給金融機構(gòu)在信息獲取和使用、數(shù)據(jù)處理等方面提出了更高要求。記者在采訪中了解到，當(dāng)前，不少機構(gòu)正在根據(jù)新規(guī)進(jìn)行相應(yīng)調(diào)整。

　　平安銀行相關(guān)負(fù)責(zé)人表示，今年伊始，該行成立了平安銀行個人信息保護(hù)委員會，委員會包含了風(fēng)險、業(yè)務(wù)、科技、合規(guī)、消保、人力資源管理等各領(lǐng)域?qū)＜�，統(tǒng)籌管理全行個人信息保護(hù)相關(guān)工作。同時，該行不斷提升技術(shù)防護(hù)能力，保障數(shù)據(jù)全生命周期安全。技術(shù)防護(hù)能力逐步優(yōu)化，強化物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)防護(hù)措施的同時，也在積極探索新型技術(shù)防護(hù)手段，確保個人信息數(shù)據(jù)收集、傳輸、存儲、使用、刪除及銷毀的全生命周期安全。

　　記者從浦發(fā)銀行了解到，其根據(jù)數(shù)據(jù)安全法、個人信息保護(hù)法等法律法規(guī)和監(jiān)管要求，正持續(xù)提升數(shù)據(jù)安全防護(hù)能力，著力打造全覆蓋體系化網(wǎng)絡(luò)安全防護(hù)體系，持續(xù)強化數(shù)據(jù)安全和客戶隱私保護(hù)力度，建立全周期多層次數(shù)據(jù)安全保障體系，從治理、管理、技術(shù)三個層面，實施數(shù)據(jù)采集、傳輸、存儲、使用、刪除銷毀等全生命周期安全控制，防護(hù)數(shù)據(jù)安全。

　　“主要措施包括，一是構(gòu)建綜合安全治理框架，建立常態(tài)化安全內(nèi)控規(guī)范機制；二是建立數(shù)據(jù)安全分類分級標(biāo)準(zhǔn)，采取分級保護(hù)；三是實施多層次的縱深防御策略，持續(xù)升級網(wǎng)絡(luò)安全防護(hù)體系�！痹撠�(fù)責(zé)人表示。

　　值得注意的是，為了做到完全合規(guī)，金融機構(gòu)也需在業(yè)務(wù)模式和系統(tǒng)上進(jìn)行調(diào)整。

　　一家股份制銀行信用卡中心相關(guān)負(fù)責(zé)人對記者表示，銀行信用卡部門因為客戶量眾多，為了提高合約簽訂的效率，銀行和客戶建立業(yè)務(wù)關(guān)系時使用的合同條款多是格式條款。但格式條款在新的個人信息保護(hù)法實施后，則遭遇了很大挑戰(zhàn)�！耙驗閭�人信息保護(hù)法要求敏感個人信息的對外提供和使用需要取得客戶的單獨授權(quán)和同意，不允許通過格式條款‘一攬子’提供。另外，個人信息保護(hù)法要求客戶在同意提供個人信息之后，還享有撤回的權(quán)利。以上這些要求都需要我們對現(xiàn)有的系統(tǒng)設(shè)置和業(yè)務(wù)模式進(jìn)行調(diào)整�！彼�說。

　　該負(fù)責(zé)人也表示，個人信息保護(hù)法所保護(hù)的客戶享有的權(quán)利對應(yīng)的則是銀行應(yīng)該承擔(dān)的義務(wù)，這意味著銀行不可避免要進(jìn)行成本上的投入，這或?qū)︺y行的利潤等產(chǎn)生一定影響。

　　難題待破 制度將進(jìn)一步完善

　　不過，金融機構(gòu)人士也表示，在落實個人信息保護(hù)和數(shù)據(jù)安全治理的過程中，存在一些難點和挑戰(zhàn)。

　　平安銀行相關(guān)負(fù)責(zé)人表示，銀行因業(yè)務(wù)發(fā)展或風(fēng)險管理需要，存在外部數(shù)據(jù)引入及向外部提供數(shù)據(jù)的需求，該行難以完全掌握外部合作方的個人信息保護(hù)工作落實情況，提升了在個人客戶信息數(shù)據(jù)保護(hù)的工作難度。而外部方并非完全受到金融行業(yè)監(jiān)管約束，這使得在客戶個人信息方面，銀行與外部方合作的風(fēng)險難以完全有效緩釋。

　　浦發(fā)銀行相關(guān)負(fù)責(zé)人也表示，在推進(jìn)數(shù)據(jù)安全治理過程中有如下難點：一是數(shù)據(jù)的多樣化、復(fù)雜性給識別數(shù)據(jù)資產(chǎn)以及數(shù)據(jù)分級分類帶來一定難度；二是數(shù)據(jù)安全的相關(guān)法律法規(guī)有待進(jìn)一步完善，為數(shù)據(jù)確權(quán)提供依據(jù)。

　　業(yè)內(nèi)人士預(yù)期，未來相關(guān)法律制度將進(jìn)一步完善，以促進(jìn)個人金融信息保護(hù)工作的更好開展。

　　蘇筱芮表示，伴隨著頂層制度的不斷完善，金融業(yè)的數(shù)據(jù)治理工作將邁入常態(tài)化階段。個人信息保護(hù)法的出臺不僅能夠為個人信息保護(hù)工作的順利開展奠定優(yōu)良根基，且作為信息保護(hù)領(lǐng)域的上位法，后續(xù)亦將助推其他個人金融信息保護(hù)領(lǐng)域相關(guān)的法規(guī)條例加速出臺。

　　“未來，我們會進(jìn)一步完善金融領(lǐng)域個人信息保護(hù)的法律制度，并加大對個人信息保護(hù)的監(jiān)管力度�！币拙V說。

　　易綱還表示，個人信息保護(hù)的最終目的是促進(jìn)數(shù)據(jù)的合理使用。要在充分保護(hù)個人信息的前提下，探索實現(xiàn)更加精確的數(shù)據(jù)確權(quán)，更加便捷的數(shù)據(jù)交易，更合理的數(shù)據(jù)使用，激發(fā)市場主體活力和科技創(chuàng)新能力。

　　“個人金融信息保護(hù)是在合理利用的基礎(chǔ)上對個人金融信息保護(hù)的強化。因為個人金融信息一方面是個人的信息，但另一方面眾多的個人金融信息對于國家金融戰(zhàn)略的實施和國家金融政策的制定也具有巨大價值。因此，在保護(hù)個人金融信息的同時，也要兼顧個人金融信息的合理利用，不能為了個人金融信息的保護(hù)，而舍棄個人金融信息的合理利用，這二者之間必須保持平衡。”丁宇翔表示。(記者 汪子旭 張莫)