金融机构多管齐下筑个人信息“防护墙”

金融机构多管齐下筑个人信息“防护墙”字体：小中大分享到：金融机构多管齐下筑个人信息“防护墙”2021-11-26 08:04:25来源：经济参考报

金融机构多管齐下构筑个人信息“防护墙”。

探索更合理的数据使用，维护行业良性生态

随着金融科技的快速发展，个人金融信息的保护问题越来越突出。近日正式实施的《中华人民共和国个人信息保护法》对个人金融信息的保护提出了更高的要求，金融账户等个人信息被列为敏感个人信息。

《经济参考报》记者近日获悉，目前多家机构正在进行个人信息保护法和数据安全法的研究，调整现有系统设置和业务模式，积极探索新的技术保护措施，确保数据全生命周期的安全。

精细而严格的分级管理或趋势

人工智能、大数据、云计算、分布式会计和电子商务等技术在金融领域的广泛应用，使金融服务更加普惠、便捷、高效。但同时，个人信息的保护也显得尤为重要。“个人金融信息安全和隐私保护领域存在一些顽固的问题，包括非法收集和使用信息，强制、频繁和过度请求用户权限，以及超范围收集信息。”易观国际高级分析师苏表示。

个人金融信息的保护一直受到监管机构的高度关注。中国人民银行行长易纲近日在2021年香港金融科技周视频演讲中表示，自2005年以来，中国人民银行在反洗钱、消费者权益保护、征信等领域陆续推出个人信息保护相关制度。从立法层面看，今年6月和8月，我国分别颁布了《数据安全法》和《个人信息保护法》，初步建立了个人信息保护的法律体系。

11月1日正式实施的《中华人民共和国个人信息保护法》，是我国第一部个人信息保护的专门法律。“个人信息保护法虽然没有特别关注个人财务信息，但是包含了对包括个人财务信息在内的各类个人信息的谨慎保护。”北京金融法院法官丁玉祥说。他特别提到，《个人信息保护法》第二章第二节是“个人敏感信息处理规则”，将生物特征信息归入个人敏感信息，而金融账户、金融服务在线场景中常用的指纹、面部识别特征都属于个人敏感信息。

根据《个人信息保护法》，个人信息处理者只有在具有特定目的和充分必要性，并采取严格保护措施的情况下，才能处理敏感的个人信息。处理敏感个人信息应获得个人同意；法律、行政法规规定处理个人敏感信息应当取得书面同意的，从其规定。

丁雨翔表示，金融机构需要探索更加细化或者更加严格的个人金融信息分级管理措施。《个人信息保护法》将个人信息分为敏感个人信息和非敏感个人信息，而金融行业其实划分得更细。他提到，2020年，中国人民银行发布了一个行业标准，即《个人金融信息保护技术规范》，将个人金融信息按照敏感程度分为三个等级，金融机构对每个等级需要实施的保护措施是不同的。

“分级管理是大方向，期待各金融机构在个人金融信息分级管理方面采取进一步的后续措施。”丁玉祥表示，后续，对于不同级别、不同敏感程度的个人金融信息，金融机构也需要遵循不同的处理规则。

技术标准化的全周期保护

总体来看，数据安全法和个人信息保护法对金融机构在信息获取和使用、数据处理等方面提出了更高的要求。记者在采访中了解到，目前，不少机构都在根据新规进行相应的调整。

平安银行相关负责人表示，今年年初，该行成立了平安银行个人信息保护委员会，成员包括风险、业务、技术、合规、消费者权益保护、人力资源管理等多个领域的专家，统筹管理全行个人信息保护相关工作。同时，本行不断提升技术保护能力，确保数据全生命周期的安全。技术防护能力逐步优化，物理安全、网络安全、系统安全、应用安全、数据安全等技术防护措施得到加强。同时积极探索新的技术保护措施，确保个人信息数据采集、传输、存储、使用、删除和销毁全生命周期的安全。

记者从浦发银行获悉，根据《数据安全法》、《个人信息保护法》等法律法规和监管要求，该行正在不断提升数据安全保护能力，着力构建全覆盖的系统化网络安全防护体系，不断强化数据安全和客户隐私保护，建立全周期多层次数据安全保障体系，从治理、管理和技术三个层面实施数据采集、传输、存储、使用、删除、销毁等全生命周期安全控制，保障数据安全。

“主要措施包括:一是构建全面的安全治理框架，建立常态化的安全内控标准机制；二是建立数据安全分类分级标准，采取分级保护；三是实施多层次纵深防御战略，不断升级网络安全防护体系。”该负责人表示。

值得注意的是，为了实现完全合规，金融机构还需要调整其业务模式和系统。

某股份制银行信用卡中心相关负责人告诉记者，由于该行信用卡部门的客户数量较多，为了提高合同签订效率，银行与客户建立业务关系所使用的合同条款多为格式条款。然而，新的个人信息保护法实施后，格式条款遇到了很大的挑战。“由于《个人信息保护法》要求对外提供和使用敏感个人信息需要取得客户的个人授权和同意，因此不允许通过格式条款‘打包’的方式提供。此外，《个人信息保护法》要求客户在同意提供个人信息后，有权撤回其个人信息。所有这些要求都要求我们调整现有的系统设置和商业模式。”他说。

该负责人还表示，个人信息保护法保护的客户享有的权利与银行应承担的义务相对应，这意味着银行必然会投入成本，可能会对银行的利润产生一定的影响。

待解决的系统将进一步完善。

不过，金融机构人士也表示，在实施个人信息保护和数据安全治理的过程中，存在一些困难和挑战。

平安银行相关负责人表示，由于业务发展或风险管理的需要，该行需要引入外部数据并对外提供数据，因此该行难以全面掌握外部合作伙伴个人信息保护工作的执行情况，加大了保护个人客户信息和数据的难度。然而，外部各方并不完全受金融业监管，这使得银行与外部各方在客户个人信息方面的合作风险难以得到充分有效的缓释。

浦发银行相关负责人也表示，推进数据安全治理存在以下难点:一是数据的多样性和复杂性，导致数据资产识别和数据分类困难；二是数据安全相关法律法规有待进一步完善，为数据确认提供依据。

业内人士预计，未来相关法律制度将进一步完善，促进个人金融信息保护更好发展。

苏表示，随着顶层制度的不断完善，金融行业的数据治理将进入常态化阶段。《个人信息保护法》的出台，不仅可以为个人信息保护的顺利开展奠定良好的基础，而且作为信息保护领域的上位法，将推动个人金融信息保护领域其他相关法律法规的出台。

“未来，我们将进一步完善金融领域个人信息保护法律制度，加强个人信息保护监管。”易纲说。

易纲还表示，个人信息保护的最终目的是促进数据的合理使用。在充分保护个人信息的前提下，探索实现数据确认更加准确、数据交易更加便捷、数据使用更加合理，激发市场主体活力和科技创新能力。

“个人金融信息保护是在合理利用的基础上加强对个人金融信息的保护。一方面，个人金融信息是个人信息，但另一方面，众多的个人金融信息对国家金融战略的实施和国家金融政策的制定也具有重要价值。因此，在保护个人金融信息的同时，也要注意个人金融信息的合理使用。我们不应该为了个人财务信息的保护而放弃对个人财务信息的合理使用，必须在两者之间保持平衡。”丁雨翔说。(记者王梓旭、张默)

【纠错】