金融机构多管齐下,筑起个人信息“防护墙”。
探索更合理的数据使用,维护行业良性生态
随着金融技术的快速发展,个人金融信息的保护问题越来越突出。近日正式实施的《中华人民共和国个人信息保护法》对个人金融信息的保护提出了更高的要求,金融账户等个人信息被列为敏感个人信息。
经济信息报记者近日获悉,目前不少机构正在开展个人信息保护法和数据安全法研究,调整现有系统设置和业务模式,积极探索新的技术保护措施,确保数据全生命周期安全。
精细严格的分级管理或趋势
人工智能、大数据、云计算、分布式会计、电子商务等技术在金融领域的广泛应用,使得金融服务更加普惠、便捷、高效。但与此同时,个人信息的保护尤为重要。“个人金融信息安全和隐私保护领域存在一些顽疾,包括非法收集和使用信息、强制、频繁、过度索取用户权利、信息收集超范围等。”易观国际高级分析师苏表示。
个人金融信息的保护一直受到监管部门的高度关注。中国人民银行行长易纲近日在2021年香港金融科技周的视频演讲中表示,自2005年起,中国人民银行陆续在反洗钱、消费者权益保护、征信等领域推出个人信息保护相关制度。从立法层面看,今年6月和8月,我国分别颁布了《数据安全法》和《个人信息保护法》,初步建立了个人信息保护法律制度。
11月1日正式实施的《中华人民共和国个人信息保护法》,是我国..部关于个人信息保护的专门法律。“虽然《个人信息保护法》没有特别关注个人金融信息,但它包括对包括个人金融信息在内的各类个人信息的审慎保护。”北京金融法院法官丁玉祥说。他特别提到,《个人信息保护法》第二章第二节为“敏感个人信息处理规则”,将生物识别信息归类为敏感个人信息,而金融账户、金融服务在线场景中常用的指纹、人脸识别特征均属于敏感个人信息。
根据《个人信息保护法》,个人信息处理者只有具有特定目的和充分必要性,并采取严格的保护措施,才能处理敏感的个人信息。处理敏感个人信息应获得个人同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
丁玉祥表示,金融机构需要探索对个人金融信息更精细或更严格的分级管理措施。个人信息保护法将个人信息分为敏感个人信息和非敏感个人信息,而金融行业实际上划分得更为精细。他提到,2020年,中国人民银行发布了一个行业标准,即《个人金融信息保护技术规范》,根据敏感度将个人金融信息分为三个等级,金融机构需要针对每个等级实施的保护措施各不相同。
“分级管理是大方向,我期待各金融机构在个人金融信息分级管理方面进一步采取后续措施。”丁玉祥表示,后续,金融机构对不同级别、不同敏感度的个人金融信息也需要遵循不同的处理规则。
技术标准化的全周期保护
总的来说,数据安全法和个人信息保护法对金融机构在信息获取和使用、数据处理等方面提出了更高的要求。记者在采访中了解到,目前不少机构正在根据新规进行相应调整。
平安银行相关负责人表示,今年年初,该行成立了平安银行个人信息保护委员会,成员包括风险、业务、技术、合规、消费者保护、人力资源管理等各个领域的..,统筹管理全行个人信息保护相关工作。同时,本行不断提升技术防护能力,确保数据全生命周期安全。技术防护能力逐步优化,物理安全、网络安全、系统安全、应用安全、数据安全等技术防护措施得到加强。同时,积极探索新的技术保护措施,确保个人信息数据采集、传输、存储、使用、删除、销毁全生命周期的安全。
记者从上海浦东发展银行了解到,根据数据安全法、个人信息保护法等法律法规和监管要求,正在不断提升数据安全防护能力,着力构建全覆盖系统性网络安全防护体系,不断加强数据安全和客户隐私保护,建立全周期多层次数据安全保障体系,从治理、管理、技术三个层面实施数据采集、传输、存储、使用、删除、销毁等全生命周期安全管控,保障数据安全。
“主要措施包括:一是构建全面安全治理框架,建立常态化安全内控标准机制;二是建立数据安全分类分级标准,采用分级保护;三是实施多层次纵深防御战略,不断升级网络安全防护体系。”负责人说。
值得注意的是,为了实现完全合规,金融机构还需要调整业务模式和系统。
某股份制银行信用卡中心相关负责人告诉记者,由于该行信用卡部门客户数量较多,为提高合同签订效率,该行与客户建立业务关系所使用的合同条款大多为格式条款。然而,新的个人信息保护法实施后,格式条款遇到了很大的挑战。“由于《个人信息保护法》要求对外提供和使用敏感个人信息需要获得客户的个人授权和同意,因此不允许通过格式条款“包”的方式提供。此外,《个人信息保护法》要求客户在同意提供个人信息后,有权撤回个人信息。所有这些要求都要求我们调整现有的系统设置和业务模式。”他说。
该负责人还表示,《个人信息保护法》保护的客户享有的权利与银行应承担的义务相对应,这意味着银行必然会投入成本,这可能会对银行的利润产生一定的影响。
有待解决的制度将进一步完善。
但金融机构人士也表示,在实施个人信息保护和数据安全治理的过程中存在一些困难和挑战。
据平安银行相关负责人介绍,由于业务发展或风险管理的需要,银行需要引入外部数据并对外提供数据,银行难以全面掌握外部合作伙伴个人信息保护工作的落实情况,个人客户信息和数据保护难度加大。但外部各方并未完全受到金融行业的监管,难以充分有效地缓解银行与外部各方在客户个人信息方面的合作风险。
上海浦东发展银行相关负责人也表示,推进数据安全治理存在以下难点:一是数据的多样性和复杂性,数据资产难以识别,数据难以分类;二是数据安全相关法律法规有待进一步完善,为数据确认提供依据。
业内人士预计,未来相关法律制度将进一步完善,推动个人金融信息保护更好发展。
苏表示,随着顶层体系的不断完善,金融业的数据治理将进入常态化阶段。个人信息保护法的颁布不仅可以为个人信息保护的顺利开展奠定良好的基础,而且作为信息保护领域的上位法,将推动个人金融信息保护领域其他相关法律法规的颁布。
“未来,我们将进一步完善金融领域个人信息保护法律制度,加强个人信息保护监管。”易纲说。
易纲还表示,个人信息保护的.终目的是促进数据的合理使用。在充分保护个人信息的前提下,探索实现更精准的数据确认、更便捷的数据交易和更合理的数据使用,激发市场主体活力和科技创新能力。
“个人金融信息保护是在合理利用的基础上加强个人金融信息保护。一方面,个人金融信息是个人信息,但另一方面,众多的个人金融信息对国家金融战略的实施和国家金融政策的制定也具有重要价值。因此,在保护个人金融信息的同时,也要注意个人金融信息的合理使用。我们不应该为了保护个人金融信息而放弃个人金融信息的合理使用,必须在两者之间保持平衡。”丁玉祥说。
(——文章来源于新华网,如有侵权请联系宁夏实验室建设的小编删除)