银行如何做好个人金融信息保护

2021-09-16 12:05马龙周起文欧欢峰马龙
清华金融评论 2021年2期
关键词:金融信息数据保护个人信息

马龙 周起文 欧欢峰 马龙

未来,个人金融信息数据保护必将成为金融科技行稳致远的核心要素之一。随着银行数字化转型的持续纵深推进,银行在个人金融信息保护方面面临的形势将日趋严峻,挑战将日益增大。银行需要综合运用多种手段,以更加切实有效的方式强化个人金融信息保护,破解数据要素运用中的业务痛点和技术难点。

数字化发展,既是构筑国家竞争新优势的战略选择,也是满足人民日益增长美好生活需要的重要途径。依托云计算、大数据、人工智能、区块链等技术的不断迭代与演进,数字化发展又促成了金融和科技的完善结合,金融科技不仅改变了金融服务方式和效率,也改变了金融服务内容和质量,甚至改变了金融服务的性质和本质。金融科技的本源是工具,但金融科技与人性结合,便有了善恶,所以,如何划定金融科技的边界,规范金融机构和科技公司的行为,让金融科技增进而不是破坏人们的美好生活?在数字化发展中加强个人金融信息保护的问题,值得深入研究。

个人金融信息保护问题越来越得到重视

在个人信息保护方面,我国在逐步建立和完善相关法律法规,既有国家层面的统一推进,也有各主管部门的并行推进;监管趋向严格,执法惩处力度加大,对行业自律的要求逐步提高;个人用户的信息保护意识越来越高;个人信息保护向数据治理转变,涉及的领域愈加多元和深入。

个人金融信息的界定

根据中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》,个人金融信息是指:“银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;在与个人建立业务关系过程中获取、保存的其他个人信息。”

我国近年出台了一系列法律法规和监管要求

从2012年全国人大在法律层面明确个人信息定义,到2020年《个人信息保护法(草案)》(简称“个保法草案”)公开征求意见,我国个人信息保护立法经历了从无到有、从分散立法到统一立法的过程,大致可以分为立法起步、深化和统一三个阶段。

立法起步阶段(2012年至2017年)

此阶段标志是2012年全国人大常委会通过《关于加强网络信息保护的决定》,在法律层面首次确认了对个人信息进行保护的要求;2013年,工业和信息化部出台《电信和互联网用户个人信息保护管理规定》。但此阶段个人信息保护法律法规尚处于起步阶段,不够清晰,各类规定比较零散,有的还在说教层面,执法威慑相对还不够强。

此阶段,个人金融信息保护以监管部门通知为主。如,中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》(2011年)、《关于金融机构进一步做好客户个人金融信息保护工作的通知》(2012年),以及《征信业管理条例》(2013年)和《中国人民银行金融消费者权益保护实施办法》(2016年)等规定中也涉及信息保护内容。

立法深化阶段(2017年至2020年)

此阶段标志是2017年国家颁布《网络安全法》和最高法出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对网络信息管理全面规范,并且通过司法解释明确了个人信息保护的刑法量刑标准。此外,国家的执法力度越来越大。2019年针对爬虫行为开展了集中整治,多家大数据公司因数据违规被查。但此阶段国家尚未出台个人信息保护专门法,法律法规相对分散,系统性不足。

此阶段,个人金融信息保护纳入数据管理框架,监管部门也出台了个人金融信息保护规范。如银保监会发布《银行业金融机构数据治理指引》(2018年),将国家标准《信息安全技术 个人信息安全规范》纳入银行业金融机构的合规标准体系;中国人民银行发布《个人金融信息保护技术规范》(2020年),明确了金融行业的信息保护技术标准。

统一立法阶段(2020年起)

2020年10月,全国人大就个保法草案向社会公开征求意见,标志着我国个人信息保护进入了统一立法、专门立法阶段。同期,新版国家标准《信息安全技术 个人信息安全规范》正式实施。同时,在2020年底,中央政治局会议着重强调了反垄断的问题,金融监管部门也提出要关注新的大而不能倒问题,还强调数据确权是数据市场化配置及报酬定价中的基础性问题。

此阶段,个人金融信息保护进展体现在监管部门正在基于国家个人信息保护立法,制定相关的行业法规。如,2020年12月,中国人民银行和银保监分别表示正在研究制定《个人金融信息保护暂行办法》和《金融数据安全保护条例》。

在个人信息保护方面的监管执法惩处力度越来越大

2019年,我国针对爬虫行为(网络留痕信息自动采集技术)开展了集中整治。多家大数据公司因数据违规被查,部分中小银行暂停第三方合作。而多家公司被查的重要原因是违规使用数据爬虫,并服务于高利贷、暴力催收等行为。从执法情况来看,这次查处已不限于与互联网金融相关的数据风控公司,而是全面打击数据产业链上下游的违法违规行为,督促业界进一步认识到合规的重要性。

2020年中央着重强调反垄斷的问题。金融监管部门也提出要关注新的大而不能倒问题,还强调数据确权是数据市场化配置及报酬定价中的基础性问题,大型科技公司实际上拥有数据的控制权,需要尽快明确各方数据权益,依法保护各交易主体利益。总之,这些动向反映出国家进一步加强个人信息数据保护力度,对与个人信息保护密切相关的大数据公司和平台公司的监管,不仅限于爬虫问题、数据收集等方面,而是深入到金融业务场景,开始强调数据权益归属问题。

银行一直注重个人金融信息保护

在数字化转型发展中,银行个人金融信息保护既属于管理范畴,也属于技术范畴,保护体系有三个共性特征:一是在组织机制上,强化全行统筹管控,建立了多位一体、职责明确的保护机制;二是在防护策略上,聚焦客户隐私维护,坚持个人金融信息收集和使用的“合法、正当、透明、必要”原则;三是在金融科技上,注重技术防控,打造全领域、纵深化的防控体系,从网络通信、系统应用、数据分析挖掘等各层面均有防控措施。

主要的管理举措包括:一是协同的管控架构。银行的保护组织架构由业务、科技、内控和风险等部门组成,通过跨条线、跨部门协作,形成多位一体、职责明确的个人金融管理信息保护组织架构。二是完善的制度规范。全面遵循法律法规和监管要求,顶层设计整体策略,细化个人金融信息分级分类标准,并从业务和科技层面出台了具体的工作办法,明确职责分工和管理要求,并在系统建设和业务运营过程中内化固化各项保护各项要求。三是主动的发展模式。随着新技术、新业务、新场景的不断涌现,个人金融信息保护逐渐由“以系统为中心”向“以数据为中心”转变,各大行积极应变,保护策略与时俱进,保护举措主动调整。四是最小的使用范式。厘清业务发展与个人金融信息保护关系,建立清晰明确的调用系统权限对应关系,确保收集的个人信息和使用的系统权限最小必要。五是持续的员工教育。为确保人这一信息安全最关键因素,避免因员工的“不知”“无畏”引发泄露事件,通过手册编制、案例教学、在线培员工训等方式,持续组织开展安全意识培训,并将安全教育纳入强制学习计划,强化合规意识。六是透明的告知体系。主动向客户明示采集与使用个人数据的目的、方式、范围和规则,同时全面细化隐私政策,确保无免除自身责任、加重客户责任、排除客户主要权利的条款,保障个人客户知情权。设计灵活的授权及撤销机制,确保不存在强制捆绑授权行为,保障客户持续拥有自主选择权。

具体的技术举措包括:一是全生命周期纵深防护。建立覆盖个人金融信息采集、加工、传输、存储、使用、销毁等全生命周期、动态灵活的安全技术保障体系,通过在网络、系统、终端、应用等不同层面,分别部署异构网络安全防御系统和工具,并集中纳入统一管控,防止金融信息等核心数据资产被窃取,持续完善数据防泄露体系建设,实现了重要文档加密、邮件过滤、终端防护等多层次、立体化的访问控制和数据保护。二是便捷实际的可控运用。面向主要的使用主题和使用部门,依托桌面云、本地虚拟化等技术,为数据应用提供在线安全访问、安全传输、访问控制、数据防泄露、安全清理销毁等“一站式”功能,构建安全、便捷和封闭的数据使用环境。三是外部数据的严密防护。在与政府机关、行政事业单位及各类商业机构合作中,依法合规获取的个人金融信息,均按照集中管理、最小授权原则进行管控。数据通过企业级外部数据接入平台一点接入,由统一的数据应用平台进行集中加工、存储、管理和复用,确保安全可控。四是常态监控的预防防护。加强数据使用行为监控审计,运用安全态势感知、大数据分析技术,主动发现和追溯数据泄露,及时采取有效控制措施;运用技术、管理、教育综合手段,防控内部违规查询、打印等使用个人金融信息的行为;持续开展数据安全评估,做好各项预防工作。五是与时俱进的创新防护。顺应后疫情时代金融全面线上化趋势,深入分析客户行为和风险偏好,借助大数据、机器学习、生物识别、自然语言处理等新技术,对线上线下高風险交易进行实时监控与处置,覆盖交易事前、事中、事后全流程。

此外,银行近年来一直持续在海外布局,因此高度注重全球个人金融信息数据保护。在全面梳理境外机构所在国家和地区的数据安全和个人信息保护监管法规的基础上,形成全球监管合规库,制定了适合各境外机构的数据安全和个人金融信息保护基线。同时,针对部分国家数据本地化、个人信息加密存储等法律要求,因地制宜、因行施策,通过加密回传加密集中处理或本地部署海外专用核心系统等多种方式,有效遵循了各国的监管要求。

银行个人金融信息数据保护面临的挑战

随着数字化转型步伐的持续加快,个人金融信息在不同系统、产品、业务环节中快速流转,个人金融信息保护管理需要由静态安全为主向数据全生命周期管控动态拓展。未来随着银行数字化转型的持续纵深推进,数据要素的价值创造作用将更加凸显,个人金融信息保护面临的风险与挑战也将史无前例。

金融加速线上化 带来泄露新风险

随着银行业的全面数字化,特别是后疫情时代,“零接触”的全面线上金融成为各大行标配,数据泄露的风险敞口也在激增。同时,相比传统封闭式架构,基于移动互联网的线上金融势必采取开放式架构,而开放式架构的不足客观存在,更易成为攻击目标。技术促进业务创新的同时,也须直面新技术的两面性,例如云平台数据汇集使单体风险演化为系统风险,大数据时代的个人隐私数据易被滥用等需要重点关注。另外,银行致力于发展场景金融,银行场景与外部场景环环相扣,其中的个人金融信息数据保护成为发展的防线,也是底线。此外,近年来金融机构容易成为主要攻击目标,攻击者从炫耀技术到诈骗勒索目的不一,攻击防范的复杂严峻可见一斑。

运营加速互联网化 带来集中新挑战

进入数字化时代之后,银行的竞争力在于能够充分发挥数据要素的效用,依托人工智能等技术了解客户、触达客户并获客活客。依托数据要素经营的未来银行,必须合规合法整合多方、海量、高维、异构的数据,并采用数字化的运营模式,才能及时了解经营管理状态,降低经济环境不确定性带来的风险,降低市场与周期波动带来的风险,降低客户需求变化带来的风险。数字化运营的内生需要必须加大数据的集中程度,同时也将带来更大的泄露风险。当前很多银行都在全力推进数据中台、数据湖建设,但是传统的授权模式、多头的流出途径、复杂的交换渠道也是需要配套做彻底的改变,需要技术、思维与管理齐头并进,才能化解与之相伴相生的个人金融信息数据集中泄露风险。

监管加速完善趋严 提出防护新要求。

从2018年欧盟《通用数据保护条款》(General Data Protection Regulation,简称GDPR),到我国已将《个人信息保护法》《数据安全法》等纳入全国人大立法议程,同时《个人信息安全规范》国家标准和《个人金融信息保护技术规范》金融行业标准相继出台,全球个人金融信息安全保护司法与监管持续完善,并不断趋严。根据新的司法与监管要求,数据权益代表了数据的权利和利益,贯穿在数据流转的整个生命周期,同时数据生产者跟数据消费者之间的合作关系由过往很多时候默认的买卖关系转变为租赁关系,这就意味着,即使数据被授权使用,数据所有者依然既是拥有者也是生产者,从来没有放弃对自己数据的权利。在数据已成为银行重要生产要素,并成为智能化发展基石的情况下,这些改变势必对个人金融信息数据保护提出新的要求。

个人金融信息保护值得关注几个问题

个人金融信息的数据权益归属问题

个人金融信息具有一定的特殊性。个人金融信息既是个人信息,又涉及公共利益。金融数据合规比一般的个人信息保护更为复杂。例如,《信息安全技术 个人信息安全规范》规定,个人信息控制者目的达成后,应及时根据约定删除个人信息。但根据金融监管法律要求,客户身份资料在业务关系结束后、客户交易信息在交易结束后,均要按要求保存一定期限。

从纵向的数据生成角度,个人金融信息的数据权益应归属涉及信息的个人还是采集信息的机构?个人与金融机构的数据权益是否需要划分,如何划分?个人在金融机构的数据可以分为两部分:一部分是个人直接授权的数据,即个人在业务过程中直接授权并提供给金融机构的数据,另一部分是派生的数据,即在处理业务的过程中衍生出来的数据。对于直接授权的数据和派生的数据,是都归属于个人,还是仅有一部分归属于个人?如果仅有一部分归属于个人,如何划定个人与金融机构的权益归属边界?这些问题与数据处理的合规要求直接相关。

从横向的参与主体角度,对于金融机构特别是银行来说,需要关注各参与主体之间的数据权益归属关系。在实践中,我国对这些主体之间数据权益归属的规范尚不够清晰。一是银行内部各部门之间的关系。一个部门的数据,其他部门是否可以直接共享,如何共享?二是集团内部不同法人主体之间的关系。例如,集团内部的商业银行、消费金融公司、保险公司等机构之间,如何合规共享数据,如何合规开展营销引流、风险管理等业务合作?三是集团与外部合作机构的关系。银行与互联网公司等各类外部机构在合作中,有时会涉及相互进行营销引流、风险管理等业务需要,此时会涉及个人信息的跨机构流转。如何合规开展数据共享和流转?四是银行与政府部门及其办事机构之间的关系。如国家部委、地方政府、政府部门下属的事业单位等。银行与这些机构之间如何合规地共享数据?当前我国的法律法规在这些领域还不够细致和清晰。

采用第三方数据的安全性问题

金融机构的数据或直接收集或由第三方提供。因第三方数据接入的风险点更加复杂,所以,运用第三方接入数据存在几个风险点。

未经授权进行收集或爬取。通过公开网站收集的个人信息,若非个人信息主体自行向社会公众公开或者公共机构主动明示公开,则仍须获得个人信息主体的授权。非法收集个人信息,可能遭到被收集机构基于平台安全的正当理由所阻止。同时,未经第三方平台授权,通过破解技术爬取用户数据的活动,可能构成窃取或以其他非法方式获取个人信息的违法行为。

不正当竞爭及其他风险。未经授权直接爬取第三方数据的行为,爬虫可能构成妨碍、破坏正常运营等违法行为,属于不正当竞争情形。此外,还可能构成“危害计算机信息系统安全的其他行为”,由此面临行政监管处罚。在较严重的情况下,可构成“非法获取计算机信息系统数据罪”或“破坏计算机信息系统罪”,带来刑事风险。

模糊措辞,概括性授权。采集协议文本使用“等个人信息”表述违反了“透明度”的要求。实践中,此类描述往往有超出使用目的范围、开展过度收集活动的嫌疑,极有可能违反最小必要原则。

数据融合后超出范围使用。数据融合处理和使用不是无限制的,应当遵循“合法性、正当性、必要性”原则,即要有合法性和正当性基础(用户授权同意等)。对自身爬取数据、从第三方获得的爬取数据以及自身数据进行融合处理和使用时,也须采取个人信息安全保护措施,不得超出用户授权范围进行使用。

数据提供方将具有授权瑕疵的数据整合后提供给下游数据使用方。情节严重到一定程度,很可能构成侵犯公民个人信息罪。具有授权瑕疵的数据收集或爬取行为可能构成“窃取或者以其他方法非法获取公民个人信息”。数据提供行为可能构成“向他人出售或者提供公民个人信息”。

下游数据使用方使用数据提供方非法收集或爬取的数据。若不对上游数据提供方的数据来源合法性、数据收集授权范围进行审查和确认,在购买和使用其非法数据后,情节严重时很可能构成侵犯公民个人信息罪。

我国个保法草案的适用主体为境内自然人。个保法草案虽然扩大了域外适用范围,但对范围的规定相对模糊和保守。个保法草案的保护主体侧重于个人。我国已处在数字经济跨越式发展阶段,对数据安全、个人信息安全问题更加重视。

我国个保法草案与欧盟GDPR的差异及其对银行的影响

欧盟GDPR将全球个人数据信息的保护和监管提升至更高层级。该条例不仅适用于设立于欧盟境内的主体,在许多情况下还可适用于非设立于、运营于欧盟境内的数据控制者和数据处理者。GDPR强调的监管要求体现出个人信息保护和数据合规的趋势。一是隐私治理。组织在特定情况下应设立数据保护官(Data Protection Officer,简称DPO)。组织需建立数据保护政策、隐私设计原则。二是数据保护。禁止数据跨境传输(除非采取适当措施)。对高风险的场景开展数据保护影响评估。三是告知同意。必须获取数据主体的明确同意,且同意清晰可辨。组织须要保留数据处理记录。四是客户权利响应。组织应及时响应客户的权利请求。数据主体拥有知情权、访问权、更正权等多项权利。五是事件响应。必须在72小时内汇报数据泄露事件。

我国个保法草案借鉴了欧盟GDPR等国际经验,同时也坚持从国情出发,在多方面与GDPR存在明显差异,且对银行可能会造成影响。

第一,合法性事由的部分条款规定范围相对更窄,部分兜底性条款则偏宽泛。

对于合法性事由,个保法草案的部分规定范围相对更窄。例如,欧盟GDPR的合法性事由中有以下情形:“对于保护数据主体或另一个自然人的核心利益所必要的”,“为了公共利益或基于官方权威而履行某项任务而进行的”。我国个保法草案则规定,“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”,“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”。

对于兜底性条款,个保法草案的规定则相对偏宽泛。例如,GDPR规定的情形为“处理对于控制者或第三方所追求的正当利益是必要的”,并有更细致的指导。个保法草案的兜底性条款为“法律、行政法规规定的其他情形”,并未明确指出其标准,规定偏宽泛,未明确体现正当利益事由。

第二,对罚款金额和执行标准的规定不够清晰。

欧盟GDPR规定的最高罚款为2000万欧元或上一年全球营业额的4%,两者取较高者,还规定了处罚的考量因素。欧盟也会通过指南文件等方式进行更细致的指导。《个人信息保护法(草案)》规定罚款为5000万元以下或上一年度营业额5%以下,但未明确是否为全球营业额,也未详细指导处罚中的具体考量因素。

第三,敏感个人信息处理的合规义务较重。

欧盟GDPR对特殊类型个人数据,实行原则性禁止加例外情形。对于同意的原则和方式,未进行特别规定。而我国个保法草案规定,个人信息处理者可处理敏感个人信息的情形为具有特定的目的和充分的必要性。同时,应取得个人单独同意,还应告知必要性、告知对个人的影响。在需要取得个人单独同意这一点上,个保法草案在合规方面对个人信息处理者的要求较高,企业的合规成本高。

第四,对成本承担的规定不够清晰。

欧盟GDPR规定,控制者应对个人数据提供副本,若任何数据主体要求提供额外副本,控制者可以收取合理费用。我国个保法草案未明确成本的承担问题,仅规定“个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供” 。

第五,在自动化决策方面的合规要求较高。

根据欧盟GDPR规定,个人有权拒绝自动化决策。但也提供了豁免情况,例如出于履行合同的必要、经过数据主体的明示同意、法律已授权并且采取了适当的措施。GDPR对个人信息处理者在加强透明度方面的规定也更清晰。

我国个保法草案规定,个人若认为个人信息处理者的自动化决策对其权益造成重大影响,则有权要求予以说明,且个人有权拒绝仅通过自动化决策做出决定。个保法草案还规定,“通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项”。这些要求对个人信息处理者是比较高的,且容易与其他法律产生冲突。如,贷款自动审批类的自动化决策结论如为拒绝客户申请,符合《商业银行法》规定;但客户如依据个保法草案主张拒绝银行的审批结论,此种情况该如何处理,也需要加以考虑和明确。此外,个保法草案要求,在自动化决策中“应当保证决策的透明度和处理结果的公平合理”,但对透明度和公平合理的具体标准规定不够细致,不便于个人信息处理者实际执行。

关于数据跨境的合规要求可能会有较大影响

欧盟GDPR在数据跨境方面,规定了特别告知同意、数据保护标准条款、履行合同必要等多种方式。我国个保法草案则提出了数据跨境的前提条件是要告知个人且取得单独同意。个保法草案还对本地化存储的情形做出了规定。这些规定对跨境经营者会有一定的影响。

总之,从我国个保法草案与GDPR的差异来看,一方面,有些规定对个人信息处理者的合规义务要求较高;另一方面,有些规定不够清晰,执行标准不明确。后续如果完全按此立法实施,可能对国内市场主体履行个人信息处理者的权利义务有一定影响,对银行做好个人信息保护与数字经济创新发展的平衡有一定影响。

进一步强化个人金融信息数据保护的建议

完善保护机制 强化合法合规

在数字化时代银行要将数据安全保障特别是个人金融信息保护定位为一项长期性、系统性工程,需要持续完善信息保护机制,构建适应新金融、新技术、新业态的个人金融信息保护体系。同时平衡好创新与管控之间的关系,在平衡中进一步发挥好数据要素的价值创造作用。

银行应积极参与数据保护立法,推动立法与务实相结合。银行承担支持实体经济重任,更需要主動与立法机构和监管部门积极沟通,结合支持实体经济的具体数据应用场景,推动在法律文本、司法解释、监管法规制度等个人信息保护法律体系中,通过列举式细化“哪些可行,哪些不行”,明确合理合法应用个人金融信息的方式和方法,以及对应的具体处罚标准,尽可能缩小法律中宽泛和模糊的中间地带,减少因法律体系不够明晰带来的不必要的成本和损耗。需要重点关注的是:一是关注数据确权,平衡数据所有人的权利与数据支撑自身发展的作用,既要保护数据所有人对数据拥有的固有权利,确保自身合法、合规并合理处理与使用。二是关注数据估值,注重划分数据资源固有的商业价值与数据挖掘应用产生的商业价值,形成合理的数据使用价格机制,充分公平地发挥数据价值。三是关注数据跨境,持续跟踪并明确个人数据的归属权和司法管辖权,最大限度维护数据所有人的基本权益。四是关注社会公平。中小企业是创新的主力军,在竞争中处于相对弱势。在立法过程中应充分倾听业界声音,制造宽松适度的竞争环境,鼓励中小企业依法依规参与个人金融数据相关行业。

银行要密切关注数据保护执法的效果。银行深刻认知金融消费者并非“愿意用隐私交换便捷性”,客户信息保护和权益保护也是竞争力。一是关注法律执行,个人信息保护不应追求立法上的求新、求全,追求从重处罚,应更多考虑企业在执行相关法律和法规的过程中的实际情况,让违法的企业得到惩处的同时,也让真正守法的企业看到收益。避免让企业为了遵守繁琐的法律法规撰写冗长的授权协议,或者让部分企业因为守法成本过高而放弃业务创新;二是关注事件处置,建立清晰的数据侵权事件处理流程和善后机制,若发生侵权事件,除了承担起应当的司法责任,也要有内部问责机制,举一反三避免重犯。

提升保护意识 强化多元效用

数字化时代银行要将个人金融信息保护定位为一项长期性、系统性工程,需要持续完善信息保护机制,构建适应新金融、新技术、新业态的个人金融信息保护体系。首先凸显协同作用,银行普遍采用传统的科层制架构,而个人金融信息保护需要管理部门、业务部门、科技部门、总分行机构的高度协同,须采用柔性敏捷模式持续提升保护协同性;其次强调理性保护,数据要素是大数据时代银行能够为客户提供更好服务与体验的关键,要强化保护策略和举措的合理性,避免过度保护,在大数据与个人隐私中间找到平衡点,这关乎银行的数字化转型发展,也关乎每个消费者的体验;再次发挥文化力量,银行内部要建立全方位的数据安全保护文化,切实做到有效识别自身关键数字资产要素,制订适当的保护策略和风险缓释计划,将数据保护纳入每位员工的工作职责;最后做好消费者保护教育,承担社会责任,配合政府和社会机构加大对个人金融信息数据安全的教育,推动社会公众意识到个人金融信息保护是维护公民隐私、维护商业利益、维护国家安全的关键所在,每个公民都有义务从自身做起维护包括自身数据在内的数据安全。

探索保护模式 强化技术管控

银行要积极利用隐私数据识别、数据加密、安全存储、区块链等技术,构建自主可控、可支撑亿量级客户和高并发交易的数据保护能力,不断提高金融科技服务的安全性,保障用户隐私与资金安全,共同搭建健康安全的金融科技生态圈。

持续强化成形的保护方法。银行要全方位落实央行三年金融科技規划中对信息数据保护的技术要求,遵循合法、合理原则,选择符合国家及金融行业标准的安全控件、终端设备、应用程序(App)等产品进行金融信息采集和处理,利用通道加密、双向认证等技术保障金融信息传输的安全性,运用加密存储、信息摘要等手段保证重要金融信息机密性与完整性,通过身份认证、日志完整性保护等措施确保金融信息使用过程有授权、有记录,防范金融信息集中泄露风险。

持续探索适应发展的保护模式。银行要认识到未来的保护不是简单的筑高墙式的封闭保护,而是在合法合规使用内外部数据的基础之上,进行的一种开放式的保护,因此要加大技术投入,积极研究运用新兴隐私计算模式,基于多方安全计算、隐私保护、区块链等技术,实现数据可用不可见,解决场景金融发展过程中内外数据协同计算中的数据安全和隐私保护问题,助力安全高效地完成联合风控、联合营销、联合科研等跨机构数据合作任务,驱动业务价值增长;强化战略科技力量,综合利用现代新技术,构建自主可控、可支撑亿量级客户和高并发交易的数据保护能力,使自身为国家数据安全贡献应有的力量。

规范对外合作 强化生态建设

数字化时代银行需要多方面的信息来了解客户。因此,银行与金融科技公司存在广泛的数据合作。需要对金融科技公司的行为进行有效的规范,在全社会营造个人金融信息保护的良好生态。一是商业银行应坚持原则。商业银行在和金融科技公司开展数据合作时,要坚持“办理相关业务所必需”原则和“最小必要”原则,将个人金融信息的交换和范围减至最小。二是金融科技公司应严守底线。金融科技公司主动规范自身行为,不违规使用数据爬虫,不将个人金融信息服务于高利贷、暴力催收等行为。三是建议国家有关部门出台相关实施细则。商业银行难以辨别金融科技公司的数据来源。建议国家有关部门出台相应具体的实施规范,明确金融科技公司在数据服务方面的合规资质,共同营造合法合规的金融信息保护的良好生态。

总之,未来,个人金融信息数据保护必将成为金融科技行稳致远的核心要素之一。银行需要综合运用多种等手段,以更加切实有效的方式强化保护,破解数据要素运用中的业务痛点和技术难点,然后更好地拓展场景生态、释放数据生产力,让金融科技更加有效地服务实体经济、服务人民的美好生活。

(汪小亚为清华大学国家金融研究院特邀研究员,马龙供职于中国银行总行信息科技部,欧欢峰供职于中国银行消费金融部,周起文供职于中国银行总行软件中心。参与本文研究的还有中国银行消费金融部的刘旭光、刘杨、林阳,在此致谢。本文观点与作者所在单位无关。本文编辑/王晔君)

猜你喜欢
金融信息数据保护个人信息
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
银行、支付机构不得收集与业务无关的消费者金融信息
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
未成年人能不能上社交网络