金融机构多管齐下筑个人信息“防护墙”

伴随着金融科技的高速发展,个人金融信息保护问题愈发突出。日前正式实施的《中华人民共和国个人信息保护法》,对个人金融信息保护提出了更高要求,金融账户等个人信息更是被归入敏感个人信息当中。

《经济参考报》记者日前采访获悉,当前不少机构正围绕个人信息保护法、数据安全法等进行研究,对现有的系统设置和业务模式进行调整,积极探索新型技术防护手段,保障数据全生命周期安全。

更细更严 分级管理或成趋势

人工智能、大数据、云计算、分布式记账以及电子商务等技术广泛应用于金融领域,促使金融服务变得更普惠、便捷和高效。但与此同时,个人信息保护问题也显得尤为重要。“个人金融信息安全、隐私保护领域存在一些顽疾,包括违规收集与使用信息,强制、频繁、过度索取用户权限,超范围收集信息等。”易观高级分析师苏筱芮表示。

个人金融信息保护一直受到监管层高度关注。人民银行行长易纲近日在2021年香港金融科技周上发表视频演讲时表示,2005年以来人民银行在反洗钱、消费者权益保护和征信等领域陆续出台了个人信息保护相关制度。而从立法层面来看,今年6月和8月,我国分别出台了数据安全法和个人信息保护法,初步建立了个人信息保护的法律制度体系。

11月1日正式实施的《中华人民共和国个人信息保护法》,是我国第一部个人信息保护方面的专门法律。“虽然个人信息保护法并没有专门关注个人金融信息,但包括了对个人金融信息在内的各类个人信息的周密保护。”北京金融法院法官丁宇翔表示。他特别提及,个人信息保护法第二章第二节为“敏感个人信息的处理规则”,将生物识别信息归入敏感个人信息中,而金融账户以及金融服务线上场景中常用的指纹、面部识别特征等都属于敏感个人信息。

按照个人信息保护法规定,只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

丁宇翔表示,金融机构需要探索更为精细或者说更为严格的个人金融信息的分级管理措施。个人信息保护法将个人信息分为敏感个人信息和非敏感个人信息,而金融行业实际上划分的更为精细。他提及,2020年,中国人民银行出台过一个行业标准,即个人金融信息保护技术规范,这个标准将个人金融信息按照敏感程度分为三个等级,针对每个等级,金融机构需要实施的保护举措是不一样的。

“分级管理是一个大的方向,我预期所有的金融机构会在个人金融信息分级管理措施上有更进一步的跟进举措。”丁宇翔说,后续,金融机构也需要针对不同等级不同敏感程度的个人金融信息,遵循不同的处理规则。

技术加持 常态化全周期防护

整体而言,数据安全法、个人信息保护法给金融机构在信息获取和使用、数据处理等方面提出了更高要求。记者在采访中了解到,当前,不少机构正在根据新规进行相应调整。

平安银行相关负责人表示,今年伊始,该行成立了平安银行个人信息保护委员会,委员会包含了风险、业务、科技、合规、消保、人力资源管理等各领域专家,统筹管理全行个人信息保护相关工作。同时,该行不断提升技术防护能力,保障数据全生命周期安全。技术防护能力逐步优化,强化物理安全、网络安全、系统安全、应用安全、数据安全技术防护措施的同时,也在积极探索新型技术防护手段,确保个人信息数据收集、传输、存储、使用、删除及销毁的全生命周期安全。

记者从浦发银行了解到,其根据数据安全法、个人信息保护法等法律法规和监管要求,正持续提升数据安全防护能力,着力打造全覆盖体系化网络安全防护体系,持续强化数据安全和客户隐私保护力度,建立全周期多层次数据安全保障体系,从治理、管理、技术三个层面,实施数据采集、传输、存储、使用、删除销毁等全生命周期安全控制,防护数据安全。

“主要措施包括,一是构建综合安全治理框架,建立常态化安全内控规范机制;二是建立数据安全分类分级标准,采取分级保护;三是实施多层次的纵深防御策略,持续升级网络安全防护体系。”该负责人表示。

值得注意的是,为了做到完全合规,金融机构也需在业务模式和系统上进行调整。

一家股份制银行信用卡中心相关负责人对记者表示,银行信用卡部门因为客户量众多,为了提高合约签订的效率,银行和客户建立业务关系时使用的合同条款多是格式条款。但格式条款在新的个人信息保护法实施后,则遭遇了很大挑战。“因为个人信息保护法要求敏感个人信息的对外提供和使用需要取得客户的单独授权和同意,不允许通过格式条款‘一揽子’提供。另外,个人信息保护法要求客户在同意提供个人信息之后,还享有撤回的权利。以上这些要求都需要我们对现有的系统设置和业务模式进行调整。”他说。

该负责人也表示,个人信息保护法所保护的客户享有的权利对应的则是银行应该承担的义务,这意味着银行不可避免要进行成本上的投入,这或对银行的利润等产生一定影响。

难题待破 制度将进一步完善

不过,金融机构人士也表示,在落实个人信息保护和数据安全治理的过程中,存在一些难点和挑战。

平安银行相关负责人表示,银行因业务发展或风险管理需要,存在外部数据引入及向外部提供数据的需求,该行难以完全掌握外部合作方的个人信息保护工作落实情况,提升了在个人客户信息数据保护的工作难度。而外部方并非完全受到金融行业监管约束,这使得在客户个人信息方面,银行与外部方合作的风险难以完全有效缓释。

浦发银行相关负责人也表示,在推进数据安全治理过程中有如下难点:一是数据的多样化、复杂性给识别数据资产以及数据分级分类带来一定难度;二是数据安全的相关法律法规有待进一步完善,为数据确权提供依据。

业内人士预期,未来相关法律制度将进一步完善,以促进个人金融信息保护工作的更好开展。

苏筱芮表示,伴随着顶层制度的不断完善,金融业的数据治理工作将迈入常态化阶段。个人信息保护法的出台不仅能够为个人信息保护工作的顺利开展奠定优良根基,且作为信息保护领域的上位法,后续亦将助推其他个人金融信息保护领域相关的法规条例加速出台。

“未来,我们会进一步完善金融领域个人信息保护的法律制度,并加大对个人信息保护的监管力度。”易纲说。

易纲还表示,个人信息保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下,探索实现更加精确的数据确权,更加便捷的数据交易,更合理的数据使用,激发市场主体活力和科技创新能力。

“个人金融信息保护是在合理利用的基础上对个人金融信息保护的强化。因为个人金融信息一方面是个人的信息,但另一方面众多的个人金融信息对于国家金融战略的实施和国家金融政策的制定也具有巨大价值。因此,在保护个人金融信息的同时,也要兼顾个人金融信息的合理利用,不能为了个人金融信息的保护,而舍弃个人金融信息的合理利用,这二者之间必须保持平衡。”丁宇翔表示。(记者 汪子旭 张莫)