伴随着金融和科技的深度融合,数据要素价值凸显,但个人金融信息过度应用或随意共享等问题,对金融消费者信息安全和个人权益造成威胁和侵害。本文分析了个人金融信息保护的现状和所面临的挑战,提出在个人金融信息保护方面进一步完善治理的建议,为做好金融业数据治理、推动我国金融科技健康可持续发展、促进金融行业数字化转型提供参考。
近年来,人工智能、区块链、大数据等新技术以不可阻挡之势在各行各业广泛应用,金融科技浪潮更是滚滚而来。新技术在提升资金融通效率、降低服务成本、提高用户体验等方面取得显著成效。但同时也应看到,伴随着金融和科技的深度融合,数据要素价值凸显,部分机构或因利益驱动,或因对个人信息保护意识薄弱、或因技防能力欠缺,在创新业态中采集了大量个人金融信息,并进行过度应用或随意共享,对金融消费者信息安全和个人权益造成威胁和侵害。
党中央、国务院高度重视金融风险防控,中国人民银行在加强个人金融信息保护、防范金融风险方面提出明确要求。加强个人金融信息保护已成为构建要素市场化配置体制机制、激活金融业数据要素价值的關键举措和必然要求。本文分析了个人金融信息保护的现状和所面临的挑战,提出在个人金融信息保护方面进一步完善治理的建议,为推动我国金融科技健康可持续发展、促进金融行业数字化转型提供参考。
个人金融信息保护现状
个人金融信息是指金融业机构通过提供金融产品和服务时自行获取或通过其他渠道获取,并进行加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。金融业机构在提供金融服务的同时也掌握了消费者个人金融信息,随着数字化转型升级的发展,个人金融信息安全问题越来越受到国家层面、金融管理部门、从业机构及金融消费者的重视,相关法律法规、标准及技术措施等也逐步制定和推行。
法律法规及部门规章保障个人金融信息主体权益
近年来,国家及监管部门越发重视个人信息保护,初步形成涵盖法律法规、部门规章等多层次的个人金融信息法律规范体系。2021年1月1日实施的《民法典》,确定隐私的定义,明确个人信息的定义及处理个人信息应遵循的原则和条件。中国人民银行于2019年9月6日印发的《金融科技(FinTech)发展规划(2019—2021年)》(银发〔2019〕209号),明确加大金融信息保护力度,提出建立金融信息安全风险防控长效机制、加强金融信息安全防护及强化金融信息保护内部控制管理要求。《网络安全法》《消费者权益保护法》《反洗钱法》等法律法规,及中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)、《关于金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔2012〕80号)、《关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》(银发〔2020〕45号)等政策文件,均对个人金融信息保护提出明确要求。银保监会《银行业金融机构数据治理指引》(银保监发〔2018〕22号),对银行业机构的数据内部控制提出了治理要求,并通过援引国家标准,将个人信息安全相关要求纳入金融业机构合规体系。
此外,聚焦于数据安全和个人信息保护的专门法律《数据安全法》《个人信息保护法》及中国人民银行专项针对个人金融信息保护的《个人金融信息(数据)保护试行办法》,也已呼之欲出,将全面保障个人金融信息主体的合法权益。
国家和行业标准进一步规范个人金融信息保护
2020年3月,国家标准化管理委员会发布《信息安全技术 个人信息安全规范》(GB/T 35273-2020),规定了个人信息处理活动的原则和安全要求,提出了银行账户、鉴别信息、信贷记录、交易和消费记录等为个人敏感信息。2020年2月,中国人民银行印发《个人金融信息保护技术规范》(JR/T 0171-2020),对个人金融信息进行了分类分级,规定了不同类别个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全技术要求和管理要求。近年来,中国人民银行陆续发布的支付标记化、移动金融客户端应用软件安全管理、金融分布式账本技术应用、商业银行应用程序接口等相关金融标准,从金融领域信息系统、技术安全层面进一步对个人金融信息保护提出了具体要求。
新技术发展应用不断提升个人金融信息保护能力
个人金融信息安全风险通常被认为是信息化、网络化、数字化时代产生的,是科技创新挑战了传统模式的结果,同时,保护个人金融信息安全也仍然需要依靠科技手段。个人金融信息通过受理终端、客户端软件进入后台信息系统,在相关技术标准指引下,金融业机构从信息全生命周期入手,采用信息加密保护、运行环境检测、系统双向认证等技术手段,强化终端、软件及后台系统的安全管理,防范被非法入侵和信息泄露的风险。尤其是近年支付标记化、去标识化、匿名化、安全加密等技术在金融业务广泛应用,从源头上对用户银行卡卡号、支付账号、卡片验证码等信息进行脱敏或加密处理,有效防范了信息泄露的风险,切实提升了信息在收集、传输、使用等各环节的安全保障能力。
个人金融信息保护面临的挑战
虽然我国法律法规、标准规范、技术应用在个人金融信息保护方面初步形成体系,取得一定效果,但在法规精准聚焦、监管机构联动协同、技术措施全面防范、机构和个人意识等方面的不足,使得个人金融信息有效保护仍然面临挑战,具体分析如下:
新业态下信息保护难度加大
一是随着金融与信息科技的深度融合,个人金融信息在金融产业链中的应用场景及行业间共享范围不断延伸,信息保护相关法律法规建设滞后于业务形态快速发展。二是当前个人金融信息各监管部门的职责分工有待进一步明确,监管统筹、工作联动、协同机制等有待加强。三是近年来数据黑色产业猖獗,通过“拖库”等非法手段获得个人银行开户、手机注册等信息,在“暗网”等渠道进行非法交易,大量的个人金融信息遭到泄露,且追查不法分子难度较大。四是有些规模较大企业,借助电商、社交媒体、游戏等领域,汇聚了大量的用户群体,通过霸王条款,过度收集用户信息,形成数据寡头。一旦数据发生集中泄露,便可能利用大数据分析技术预测经济形势和居民消费行为,从而对国家经济安全、信息安全带来威胁。
技术防护措施仍然存在短板
线上金融业务不断发展的今天,愈来愈多个人金融数据暴露在互联网上,在数据搜集、传输等过程中,技术安全措施只要在某一环节上存在缺陷,就可能造成数据泄露。以网络安全措施为例,常见的网络安全技术措施在应对以破坏为目的攻击时,通常能发挥较明显的作用,但当受到以窃取数据为目的攻击时,其防御性可能会明显降低,尤其是当攻击者利用网络安全漏洞从内部网络攻击时,安全措施更是难以应对。网络安全技术措施的短板成为造成消费者数据泄露和资金损失的重要原因之一。例如2018年,不法分子利用某机构的网络安全漏洞,入侵其安全防范薄弱的信息系统,并植入恶意脚本窃取了上万名消费者个人金融信息。另外,在生物特征采集和使用、数据集中存储、密码信息保护等方面所采取的技术保护措施,也存在被非法利用的可能,全面做好技术防护措施,补齐应用短板,对保障个人金融信息安全尤为重要。
机构内部数据治理有待加强
近年来,部分金融业机构内控管理机制不健全、信息系统建设不完善,个人信息保护职能不清晰、信息审计和专项检查不到位、信息使用和访问不规范、发生信息泄露事件后处理无制度可循等问题,使得恶意盗取用户信息,违规向第三方平台泄露个人金融信息的情况频出,甚至存在内部职工在金钱利益的驱使下,利用职务之便,从系统导出客户个人金融信息违规出售的情况,严重违背了个人金融信息保护规定,侵害了消费者的信息安全权。2020年11月,北京金融科技产业联盟与相关机构共同发布的《中国个人金融信息保护执法白皮书(2020)》,分析了近年来有关个人信息保护的各类行政、民事、刑事案例情况。据不完全统计,截至2020年10月25日,中国人民银行总行及各地分支行开出的罚单中,涉及“个人金融信息”的超过180张,处罚对象包括银行、证券、支付机构等,处罚的行为主要包括未经审批查询个人金融信息、未按规定保存客户身份资料和交易记录、侵害消费者个人信息依法得到保护的权利等。
个人信息防护意识有待提升
部分金融消费者对保护个人金融信息意识淡薄,在智能移动终端上随意下载App,使用各种需要提供超出服务范围的个人信息才能开展的应用,更有甚者为了“薅商家羊毛”不惜无条件出让个人金融信息。另外,很多金融消费者在多家银行或支付账户上使用相同或过于简单的密码,在输入密码时忽略身边环境安全等不良习惯,造成信息被泄露、盗取,从而发生资金损失的案例屡见不鲜。移动互联网环境下,应提升金融消费者主动防护个人信息安全的意识,并加强防护措施的教育,才能更加有效防范信息泄露的风险。
个人金融信息保护工作建议
在金融业务活动中,出现个人金融信息泄露,不仅侵害金融消费者合法权益、影响金融业机构声誉和发展,甚至可能危害国家金融安全。当前金融科技浪潮迭起,个人金融信息保护成为保障国家金融安全、实现数据要素倍增作用、达成商业利益和公众权益共赢的基石,必须打好这个数字底座,才能保障金融科技发展行稳致远。
构建协同共治格局 完善金融业数据治理体系
党的十九届四中、五中全会将“数据”列为生产要素,提出要推动数据资源开发利用,加强个人信息保护。平衡好数据治理和信息保护关系需要金融管理部门与工信、公安等多部门联合,实现多元协同共治。一是法律法规制定部门应要充分考虑行业发展情况和需要,制定或修正相关配套规章制度,拓宽法律法规适用边界。二是公安机关与金融管理等部门联动,严厉打击数据交易黑色产业链,处罚、震慑不法分子,营造良好金融数据保护环境。三是针对拥有大量个人金融数据资源的寡头企业,监管部门应对其业务开展过程中收集、传输、存储、使用个人金融信息的各环节加强监管,防范因信息系统漏洞或人为原因,造成数据大规模泄露,给国家经济安全带来威胁。四是充分发挥行业自律组织作用,通过金融科技产业联盟等建立健全自律检查制度,组织推动产业机构合理运用新技术促进金融业务创新、提升金融业务精准性和可得性的同时,加强个人金融信息全生命周期保护的自律工作,落实金融业数据治理要求,防范违规滥用数据而扰乱市场秩序,严控个人金融信息泄露、隐私侵权等。
发挥金融科技优势 强化个人金融信息保障措施
数据已成为重要生产要素,严格遵循个人金融信息保护相关法律法规和相关技术标准就更为重要,而金融科技手段保护个人隐私与数据安全成为必然之选。一是利用多方安全计算、同态加密等技术结合自然语言处理、机器学习等人工智能技术可以实现关键信息脱敏处理、关联信息分散存储、数据传输端到端加密,确保数据可用不可见,在打破数据孤岛发挥数据要素倍增作用的同时,有效防控信息泄露、篡改与滥用。二是运用大数据技术为风险智能防控提供基础的数据处理支撑,对数据保护、数据接入、数据处理与存储、变量与模型计算等提出技术和安全要求,防范数据风险。三是应用区块链技术的去中心化、难以篡改等特点,结合共识机制、时间戳、智能合约等手段,追溯修改和使用数据的主体行为,降低个人金融信息数据被破坏和泄露的风险。四是通过应用程序编程接口技术(API)、软件开发工具包(SDK)等技术,向金融消费者提供个性化、多元化、定制化的金融服务,有效监控和防止数据泄露,保障个人金融信息安全。
加强机构内控管理 落实个人金融信息合规要求
一是明确机构间职责定位,注重监管合作。金融业机构要加强与金融监管部门合作,配合对个人金融信息的监管,合理应用所采集数据,防止利用金融消费者敏感信息获取不当利益。二是强化机构内部控制管理。金融业机构要建立健全金融信息安全管理制度,开展网络支付相关業务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,要明确相关岗位和人员的管理责任和数据访问权限,定期开展金融信息安全内部审计与外部安全评估,加强金融信息法规知识培训教育。三是全流程记录接触个人金融信息的过程。采取金融科技手段对个人金融信息的接触者进行数字化记录,并对访问数据、使用数据进行留痕。四是建立内部个人金融信息安全监督机制。定期开展个人金融信息安全审计,及时修复所发现的安全漏洞,存在信息泄露或人员违规行为的,应立即采取有效措施防范风险,涉嫌违法犯罪的应移交公安机关,追究刑事责任。
加强个体宣传教育 提高个人金融信息防护意识
一方面,建立长效宣传机制,如通过开展“支付安全”“信息保护”等主题活动,宣传做好网络支付账号、银行卡卡号、交易密码、短信验证码、身份证号码等信息保护对资金安全的重要性。另一方面,金融业机构应加大基于大数据的行为分析,对发现的潜在信息安全风险,通过短信、微信、电话等方式精准向金融消费者发布提示信息,及时预警、核实存在的风险,唤醒消费者的个人金融信息防护意识。
(潘润红为中国金融电子化公司副总经理、北京金融科技产业联盟秘书长。本文编辑/秦婷)