金融機構多管齊下筑個人信息“防護墻”

　　探索更合理數據使用 維護行業良性生態

　　伴隨(sui)著金融科技的高速發展，個(ge)(ge)人金融信(xin)息保(bao)護(hu)問題愈發突出。日(ri)前正(zheng)式實施的《中(zhong)華人民共和國(guo)個(ge)(ge)人信(xin)息保(bao)護(hu)法》，對(dui)個(ge)(ge)人金融信(xin)息保(bao)護(hu)提(ti)出了更(geng)高要求，金融賬戶等個(ge)(ge)人信(xin)息更(geng)是被(bei)歸入敏感個(ge)(ge)人信(xin)息當中(zhong)。

　　《經濟參(can)考(kao)報》記(ji)者(zhe)日前采(cai)訪獲悉，當前不(bu)少機構正圍(wei)繞個人信息保(bao)護法(fa)、數(shu)據安全(quan)(quan)法(fa)等進(jin)行研究，對(dui)現有的系統(tong)設置和(he)業務(wu)模式進(jin)行調整，積極探索新型技術防(fang)護手段，保(bao)障數(shu)據全(quan)(quan)生(sheng)命周期安全(quan)(quan)。

　　更細更嚴 分級管理或成趨勢

　　人工智能(neng)、大(da)數(shu)據、云計算、分布式(shi)記賬以及電子(zi)商(shang)務(wu)等技術廣泛應用(yong)于金(jin)融(rong)領域(yu)，促使金(jin)融(rong)服務(wu)變(bian)得(de)更普惠、便捷和高效。但與此同時，個(ge)人信息(xi)保(bao)護問題(ti)也(ye)顯得(de)尤為重要(yao)。“個(ge)人金(jin)融(rong)信息(xi)安全、隱私(si)保(bao)護領域(yu)存在一(yi)些頑疾，包括違規(gui)收集與使用(yong)信息(xi)，強制、頻繁、過度(du)索取用(yong)戶權限，超(chao)范圍收集信息(xi)等。”易觀高級(ji)分析師(shi)蘇筱芮表示(shi)。

　　個人(ren)金(jin)融信(xin)息(xi)保(bao)(bao)護(hu)一直受(shou)到監管層高度關注。人(ren)民銀(yin)行(xing)(xing)行(xing)(xing)長易綱近(jin)日在2021年香港金(jin)融科技(ji)周上發表視(shi)頻演(yan)講時(shi)表示，2005年以來人(ren)民銀(yin)行(xing)(xing)在反洗錢、消費者權益保(bao)(bao)護(hu)和(he)征信(xin)等領(ling)域陸(lu)續出臺(tai)了(le)個人(ren)信(xin)息(xi)保(bao)(bao)護(hu)相關制度。而從立法(fa)層面來看，今年6月(yue)和(he)8月(yue)，我國(guo)分別出臺(tai)了(le)數據安全法(fa)和(he)個人(ren)信(xin)息(xi)保(bao)(bao)護(hu)法(fa)，初(chu)步建立了(le)個人(ren)信(xin)息(xi)保(bao)(bao)護(hu)的法(fa)律制度體系(xi)。

　　11月(yue)1日正式(shi)實(shi)施(shi)的(de)(de)《中華人(ren)(ren)(ren)民共(gong)和國(guo)個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)保護(hu)法(fa)(fa)》，是我國(guo)第一部個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)保護(hu)方面(mian)的(de)(de)專門法(fa)(fa)律。“雖(sui)然個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)保護(hu)法(fa)(fa)并沒有專門關(guan)注個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)金(jin)(jin)融(rong)信(xin)(xin)息(xi)，但包括了對個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)金(jin)(jin)融(rong)信(xin)(xin)息(xi)在內的(de)(de)各類個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)的(de)(de)周密保護(hu)。”北京(jing)金(jin)(jin)融(rong)法(fa)(fa)院法(fa)(fa)官(guan)丁宇(yu)翔表示。他特(te)(te)別提(ti)及(ji)，個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)保護(hu)法(fa)(fa)第二章第二節為“敏(min)感個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)的(de)(de)處理(li)規則”，將生物識別信(xin)(xin)息(xi)歸入敏(min)感個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)中，而(er)金(jin)(jin)融(rong)賬戶(hu)以及(ji)金(jin)(jin)融(rong)服務(wu)線上場景中常用的(de)(de)指紋、面(mian)部識別特(te)(te)征等(deng)都(dou)屬于敏(min)感個(ge)(ge)(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)。

　　按(an)照個人(ren)(ren)(ren)(ren)信(xin)(xin)息保護法(fa)規(gui)(gui)定，只(zhi)有在(zai)具有特定目的(de)和充分必要性，并采(cai)取嚴(yan)格保護措施(shi)的(de)情形下(xia)，個人(ren)(ren)(ren)(ren)信(xin)(xin)息處(chu)(chu)理者方可處(chu)(chu)理敏(min)感個人(ren)(ren)(ren)(ren)信(xin)(xin)息；處(chu)(chu)理敏(min)感個人(ren)(ren)(ren)(ren)信(xin)(xin)息應(ying)當取得(de)個人(ren)(ren)(ren)(ren)的(de)單(dan)獨同意；法(fa)律(lv)、行政法(fa)規(gui)(gui)規(gui)(gui)定處(chu)(chu)理敏(min)感個人(ren)(ren)(ren)(ren)信(xin)(xin)息應(ying)當取得(de)書面同意的(de)，從其規(gui)(gui)定。

　　丁宇翔表示，金(jin)融(rong)機(ji)構(gou)(gou)需(xu)要(yao)探索更為(wei)(wei)精細或者說更為(wei)(wei)嚴格(ge)的(de)個(ge)(ge)人(ren)(ren)金(jin)融(rong)信息的(de)分級(ji)管理(li)措(cuo)施(shi)。個(ge)(ge)人(ren)(ren)信息保護(hu)法將個(ge)(ge)人(ren)(ren)信息分為(wei)(wei)敏(min)感(gan)個(ge)(ge)人(ren)(ren)信息和非敏(min)感(gan)個(ge)(ge)人(ren)(ren)信息，而金(jin)融(rong)行(xing)業實際上劃分的(de)更為(wei)(wei)精細。他提及，2020年，中國人(ren)(ren)民銀行(xing)出(chu)臺過一個(ge)(ge)行(xing)業標準，即(ji)個(ge)(ge)人(ren)(ren)金(jin)融(rong)信息保護(hu)技術(shu)規范，這個(ge)(ge)標準將個(ge)(ge)人(ren)(ren)金(jin)融(rong)信息按照(zhao)敏(min)感(gan)程(cheng)度分為(wei)(wei)三個(ge)(ge)等級(ji)，針(zhen)對每個(ge)(ge)等級(ji)，金(jin)融(rong)機(ji)構(gou)(gou)需(xu)要(yao)實施(shi)的(de)保護(hu)舉措(cuo)是(shi)不一樣的(de)。

　　“分級管理(li)是一個(ge)大(da)的(de)方向，我預(yu)期所有的(de)金融機構(gou)會(hui)在個(ge)人金融信(xin)息分級管理(li)措(cuo)施(shi)上有更進(jin)一步的(de)跟(gen)進(jin)舉措(cuo)。”丁宇(yu)翔說，后續，金融機構(gou)也需要針(zhen)對不(bu)(bu)同等(deng)級不(bu)(bu)同敏感程度的(de)個(ge)人金融信(xin)息，遵循不(bu)(bu)同的(de)處(chu)理(li)規(gui)則。

　　技術加持 常態化全周期防護

　　整體而言(yan)，數(shu)據(ju)安全法、個(ge)人(ren)信息保護法給(gei)金融(rong)機(ji)構在(zai)信息獲取和使用、數(shu)據(ju)處理等方面提出了更(geng)高(gao)要求。記(ji)者在(zai)采訪中了解到，當前(qian)，不少(shao)機(ji)構正(zheng)在(zai)根(gen)據(ju)新規(gui)進行相應調整。

　　平安(an)(an)銀行(xing)相關負責人(ren)表示，今(jin)年(nian)伊始，該行(xing)成立了平安(an)(an)銀行(xing)個(ge)人(ren)信(xin)(xin)息保(bao)護(hu)委員會(hui)，委員會(hui)包含了風險、業(ye)務、科技、合(he)規(gui)、消保(bao)、人(ren)力資源管(guan)理等各領域專家，統(tong)籌管(guan)理全(quan)(quan)(quan)行(xing)個(ge)人(ren)信(xin)(xin)息保(bao)護(hu)相關工作。同時，該行(xing)不斷提升技術(shu)防(fang)護(hu)能力，保(bao)障數據全(quan)(quan)(quan)生命周期安(an)(an)全(quan)(quan)(quan)。技術(shu)防(fang)護(hu)能力逐步(bu)優(you)化，強化物理安(an)(an)全(quan)(quan)(quan)、網(wang)絡(luo)安(an)(an)全(quan)(quan)(quan)、系(xi)統(tong)安(an)(an)全(quan)(quan)(quan)、應用安(an)(an)全(quan)(quan)(quan)、數據安(an)(an)全(quan)(quan)(quan)技術(shu)防(fang)護(hu)措施(shi)的同時，也在積極探索新型技術(shu)防(fang)護(hu)手(shou)段，確保(bao)個(ge)人(ren)信(xin)(xin)息數據收集(ji)、傳輸、存儲、使用、刪除(chu)及(ji)銷毀的全(quan)(quan)(quan)生命周期安(an)(an)全(quan)(quan)(quan)。

　　記者(zhe)從浦發(fa)銀行了解到，其(qi)根(gen)據(ju)數據(ju)安(an)(an)全(quan)(quan)(quan)法、個人(ren)信息保(bao)護(hu)(hu)法等法律法規(gui)和監管要(yao)求，正持續提升(sheng)數據(ju)安(an)(an)全(quan)(quan)(quan)防(fang)護(hu)(hu)能(neng)力，著力打造(zao)全(quan)(quan)(quan)覆蓋(gai)體(ti)系化網絡安(an)(an)全(quan)(quan)(quan)防(fang)護(hu)(hu)體(ti)系，持續強化數據(ju)安(an)(an)全(quan)(quan)(quan)和客戶隱(yin)私保(bao)護(hu)(hu)力度，建立全(quan)(quan)(quan)周(zhou)期多層次數據(ju)安(an)(an)全(quan)(quan)(quan)保(bao)障體(ti)系，從治理、管理、技術三(san)個層面(mian)，實施數據(ju)采集、傳輸(shu)、存儲、使用、刪除(chu)銷毀等全(quan)(quan)(quan)生命周(zhou)期安(an)(an)全(quan)(quan)(quan)控制，防(fang)護(hu)(hu)數據(ju)安(an)(an)全(quan)(quan)(quan)。

　　“主要措施(shi)包括(kuo)，一是構建(jian)綜合安(an)全治理框架，建(jian)立常態(tai)化(hua)安(an)全內控規(gui)范(fan)機制(zhi)；二是建(jian)立數(shu)據安(an)全分類分級標(biao)準，采(cai)取分級保護；三是實施(shi)多層次的(de)縱(zong)深防御策(ce)略，持續升(sheng)級網(wang)絡安(an)全防護體系。”該負(fu)責人表示。

　　值得(de)注意的是，為了(le)做到完全(quan)合規，金(jin)融機構也需在業務(wu)模式(shi)和系統(tong)上進行調整。

　　一家股份制銀(yin)行(xing)(xing)信(xin)用卡中心(xin)相(xiang)關負責人(ren)對(dui)記者表示(shi)，銀(yin)行(xing)(xing)信(xin)用卡部(bu)門因為(wei)客戶量眾多(duo)，為(wei)了(le)提高合約(yue)簽訂的(de)效率(lv)，銀(yin)行(xing)(xing)和(he)客戶建立業務關系(xi)時使用的(de)合同(tong)條款多(duo)是格(ge)式(shi)條款。但格(ge)式(shi)條款在(zai)新的(de)個人(ren)信(xin)息(xi)保(bao)護法(fa)實施后(hou)，則遭遇(yu)了(le)很大(da)挑戰。“因為(wei)個人(ren)信(xin)息(xi)保(bao)護法(fa)要求(qiu)(qiu)敏感個人(ren)信(xin)息(xi)的(de)對(dui)外提供(gong)和(he)使用需要取(qu)得客戶的(de)單獨授(shou)權和(he)同(tong)意，不(bu)允許通過格(ge)式(shi)條款‘一攬子’提供(gong)。另外，個人(ren)信(xin)息(xi)保(bao)護法(fa)要求(qiu)(qiu)客戶在(zai)同(tong)意提供(gong)個人(ren)信(xin)息(xi)之后(hou)，還享有撤回的(de)權利。以(yi)上這些要求(qiu)(qiu)都需要我(wo)們(men)對(dui)現有的(de)系(xi)統(tong)設置(zhi)和(he)業務模式(shi)進行(xing)(xing)調(diao)整。”他說。

　　該負責人也表示(shi)，個人信(xin)息保(bao)護(hu)法所保(bao)護(hu)的(de)客戶享有的(de)權利(li)(li)對(dui)應(ying)的(de)則是銀行應(ying)該承(cheng)擔的(de)義(yi)務，這(zhe)意(yi)味(wei)著銀行不(bu)可避免要進行成本上(shang)的(de)投入，這(zhe)或(huo)對(dui)銀行的(de)利(li)(li)潤等產生一定影響。

　　難題待破 制度將進一步完善

　　不過，金融(rong)機構人士也表(biao)示，在落實個人信息保(bao)護和數據安全治理的過程中，存(cun)在一(yi)些難點和挑(tiao)戰。

　　平安銀行(xing)(xing)相關負責(ze)人表(biao)示，銀行(xing)(xing)因業(ye)務(wu)發展(zhan)或風險(xian)管理需要，存在外(wai)(wai)部(bu)數據引入及向外(wai)(wai)部(bu)提(ti)供(gong)數據的(de)(de)需求，該行(xing)(xing)難(nan)以(yi)完(wan)全(quan)掌握外(wai)(wai)部(bu)合作(zuo)方(fang)(fang)的(de)(de)個人信息(xi)(xi)保(bao)護(hu)工作(zuo)落實(shi)情況，提(ti)升了(le)在個人客戶信息(xi)(xi)數據保(bao)護(hu)的(de)(de)工作(zuo)難(nan)度。而(er)外(wai)(wai)部(bu)方(fang)(fang)并(bing)非完(wan)全(quan)受到金(jin)融行(xing)(xing)業(ye)監管約束，這使(shi)得在客戶個人信息(xi)(xi)方(fang)(fang)面(mian)，銀行(xing)(xing)與外(wai)(wai)部(bu)方(fang)(fang)合作(zuo)的(de)(de)風險(xian)難(nan)以(yi)完(wan)全(quan)有效緩(huan)釋(shi)。

　　浦發銀行相關負責人也(ye)表示，在推進數據(ju)(ju)(ju)安全治(zhi)理過程(cheng)中有(you)如下難點：一是數據(ju)(ju)(ju)的(de)(de)多樣化(hua)、復雜性(xing)給(gei)識別數據(ju)(ju)(ju)資產以及(ji)數據(ju)(ju)(ju)分級分類(lei)帶來一定難度；二(er)是數據(ju)(ju)(ju)安全的(de)(de)相關法律(lv)法規有(you)待進一步(bu)完(wan)善(shan)，為數據(ju)(ju)(ju)確權(quan)提供依(yi)據(ju)(ju)(ju)。

　　業(ye)內(nei)人士預期，未來相關法律制度將進一步(bu)完善，以促進個人金融信(xin)息(xi)保護工作的更好開展。

　　蘇(su)筱芮表示，伴隨(sui)著頂層(ceng)制度的(de)不斷完善，金(jin)(jin)融(rong)業的(de)數據治(zhi)理工作將(jiang)邁(mai)入(ru)常態(tai)化階段。個人信(xin)息保(bao)護(hu)(hu)法的(de)出臺(tai)不僅(jin)能(neng)夠為個人信(xin)息保(bao)護(hu)(hu)工作的(de)順(shun)利開展奠定優良根(gen)基，且作為信(xin)息保(bao)護(hu)(hu)領域(yu)的(de)上位法，后續亦將(jiang)助推(tui)其他個人金(jin)(jin)融(rong)信(xin)息保(bao)護(hu)(hu)領域(yu)相關的(de)法規條例(li)加速出臺(tai)。

　　“未(wei)來，我們會進一步(bu)完善金融領域個人信息保(bao)(bao)護(hu)的法律制度(du)，并加大對(dui)個人信息保(bao)(bao)護(hu)的監管(guan)力度(du)。”易綱說。

　　易綱還表(biao)示，個人(ren)(ren)信(xin)息(xi)保護的最終目的是促進數據的合理使用。要在充(chong)分保護個人(ren)(ren)信(xin)息(xi)的前提下，探(tan)索實現更(geng)加精確的數據確權，更(geng)加便(bian)捷的數據交易，更(geng)合理的數據使用，激發市場(chang)主體活力(li)(li)和科技創(chuang)新(xin)能力(li)(li)。

　　“個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)保護是在合理利用(yong)的(de)(de)(de)(de)基礎上對個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)保護的(de)(de)(de)(de)強化。因為個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)一方面是個(ge)人的(de)(de)(de)(de)信(xin)(xin)(xin)息(xi)(xi)，但另一方面眾多的(de)(de)(de)(de)個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)對于國(guo)家(jia)金(jin)(jin)融(rong)戰略(lve)的(de)(de)(de)(de)實施和國(guo)家(jia)金(jin)(jin)融(rong)政策的(de)(de)(de)(de)制定也具有(you)巨大價值。因此，在保護個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)的(de)(de)(de)(de)同時(shi)，也要兼顧個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)的(de)(de)(de)(de)合理利用(yong)，不能為了(le)個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)的(de)(de)(de)(de)保護，而舍棄個(ge)人金(jin)(jin)融(rong)信(xin)(xin)(xin)息(xi)(xi)的(de)(de)(de)(de)合理利用(yong)，這二者(zhe)之間必須保持平衡。”丁宇(yu)翔表示。(記者(zhe) 汪(wang)子旭(xu) 張莫)