個人金融信息保護面臨的困難與對策研究
隨著信息技術在社會各個領域的普及應用,個人信息采集的廣度和深度不斷拓展,個人信息運用趨于電子化、規模化和產業化,信息流動更是突破地域和行業限制。與此同時,受利益驅使,不法分子通過泄露、冒用、倒賣等手段利用個人的金融信息進行非法牟利,對個人金融信息侵害的非法行為甚至已經演化為產業鏈模式,不但侵害客戶的合法權益,擾亂市場經濟秩序,嚴重危害社會經濟正常發展。本文對個人金融信息保護重要意義進行了闡述,全面分析個人金融信息保護工作面臨的困難和挑戰,并對加強個人金融信息保護提出建議。
個人金融信息保護的必要性
1.加強個人金融信息保護是維護國家金融安全的必然要求。金融是現代經濟的核心,金融安全是國家安全的重要組成部分。互聯網經濟的迅猛發展,在極大便利社會民生的同時,也催生了大量個人信息泄露事件,致使垃圾信息、騷擾電話、精準詐騙時有發生,由此帶來的侵權違法活動呈多發態勢。個人金融信息泄露,不僅對人民群眾財產安全和金融行業資金及聲譽造成威脅,也嚴重侵擾了公民的日常生活,甚至危及社會的長治久安。因此,要從源頭上推進金融安全綜合治理必須加強個人金融信息保護。
2.加強個人金融信息保護是保障金融消費者合法權益的重要體現。隨著社會進步和經濟發展,個人金融信息除了具有人格權屬性外,也漸漸體現出財產權屬性。保護個人金融信息安全是衡量金融業消費者權益保護水平的重要標尺,是金融業擔負的一項重要社會職責,也是依法維護金融消費者權益的重要舉措。《網絡安全法》《個人信息保護法》《征信業管理條例》等一系列法律法規和規章制度的出臺,標志著我國個人金融信息保護立法駛入了快車道。
3.加強個人金融信息保護是促進數字經濟創新發展的現實需要。金融信息應用是現代金融發展的基礎,電子技術是現代金融運行的主要手段。在此背景下,金融企業掌握信息資源的數量以及對信息資源的利用水平,直接關系到自身的行業地位、盈利水平、貢獻程度和未來發展。因此,只有加強個人金融信息保護,才能增強客戶信心、維護企業良好聲譽,保持市場競爭力,才能為企業持續創新發展奠定堅實基礎。
4.加強個人金融信息保護是防范網絡詐騙的重要手段。網絡詐騙案件一般不受時間空間的限制,具有高技術和強隱蔽性,很難發現案件線索和證據,當前主要是以預防為主。因此,加強個人金融信息保護工作,已成為防范和打擊金融詐騙案件的重要關口,金融機構有責任和義務采取有效措施加強個人金融信息保護,防止信息泄露。
個人金融信息保護工作面臨的困難
1.法規制度仍有短板。個人信息已成為公民人格權的重要組成部分,對個人權利保護是法律體系核心內容之一。多年來,我國從民事、行政、刑事等各個層面不斷完善個人信息保護相關法律法規,2021年8月通過的《個人信息保護法》更是構建了個人信息保護完整框架,為金融機構加強個人金融信息保護、防范打擊非法侵害個人金融信息提供了法律基礎。但現行的個人金融信息保護法律制度還存在諸多不足,主要表現在可操作性差、分散于不同的制度要求中、對信息主體的權利保護不夠充分。
2.行業監管力度亟待加強。近年來,央行等金融監管部門陸續下發了《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》《個人金融信息保護技術規范》《個人存款賬戶實名制管理規定》《個人信用信息基礎數據庫管理暫行辦法》等多份加強個人金融信息保護的通知和規范,但仍有一些金融機構在執行過程存在措施不到位的情況,主要表現在保護領域不全和重管理輕保護兩個方面。
3.金融機構對個人金融信息管理較薄弱。一是組織機構不健全,缺少管理部門,金融機構一般由多個部門行使個人金融信息保護的權力。未設置專職個人信息保護崗位,導致個人信息保護工作經常陷于無人問津或“打乒乓球”的尷尬境地;二是未建立完整的個人信息使用全過程管理機制,導致難以準確監測和查詢個人信息使用的全過程;三是缺乏對外包廠商和人員的管控機制,不能很好的將個人信息保護職責劃分清楚并納入廠商準入標準以及項目合同中,對外包廠商及工作人員進行有效約束。
近年來,金融機構不斷通過創新產品、優化服務、探索新型合作等措施,加快信息化進程,推進智能化銀行建設。然而個人金融信息保護的理念傳導、措施落實還不夠到位,個人信息保護缺乏應有的統一管理,信息數據面臨外部黑客攻擊和病毒感染等諸多風險。
4.技術管控能力手段不足。一是個人金融信息關聯系統管理較為分散、技術相對落后。部分金融機構個人金融信息的各類管理系統較為零散,管控技術不足,防控手段單一,給個人金融信息保護帶來一定困難。二是部分金融機構對敏感數據的使用及相關操作行為缺少系統、充分、高效的監督與審查,缺少自動化數據脫敏機制,給個人金融信息的安全有效傳輸使用帶來較大風險。三是隨著移動通訊技術和互聯網應用的快速發展,APP已成為日常生活中不可的組成部分,但部分金融類APP非授權收集信息、超范圍收集信息、無隱私協議等現象屢見不鮮,加之非法份子利用病毒、木馬和仿冒釣魚等惡意盜取個人金融信息,故意泄露或非法出售個人信息,使得APP成為名副其實的“重災區”。
5.消費者自我保護意識淡薄。在金融和科技融合發展的背景下,加強個人金融信息保護、防范信息泄露和權益侵犯迫在眉睫。金融消費者人數眾多,年齡結構和知識水平存在很大差異,對于保護個人金融信息的認知程度也不盡相同,對個人金融信息的重要性、金融信息保護相關細節、個人金融信息等合法權益被侵犯后的解決途徑等問題普遍缺乏了解,風險防范意識較為薄弱。
加強個人金融信息保護的對策建議
1.健全個人金融信息保護系統化法規框架。相關部門應深入貫徹依法治國方略,以《個人信息保護法》為基礎,建立健全系統化的個人金融信息保護法規制度,明確金融機構嚴格按照法律法規的要求收集、保存、使用、銷毀個人金融信息,防止信息泄露和濫用。完善金融業個人金融信息管理機制,加強對于保存、使用個人金融信息的組織進行有效監督,發生信息泄露事件要嚴肅追究法律責任,同時進一步完善相關賠償制度。
2.加大個人金融信息保護監管力度。金融監管部門在做好個人金融信息保護頂層設計的同時,也要加大監管力度,監督各項制度要求的順利實施。一是提升金融標準指導能力,完善個人金融信息保護監管的標準和規則,切實發揮標準的規范指導作用;二是提升金融業數字化監管能力,建立健全風險防控治理體系,強化數據共享趨勢下個人金融信息數據治理,促進數據資源有效整合和規范利用;三是推進移動金融APP備案全覆蓋,從提升安全防護、加強個人信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律等方面劃定紅線、加強監管,提升線上金融服務渠道安全應用水平,保障移動金融領域的數據合法合規使用。
3.推進金融機構個人金融信息保護規范管理。金融機構應不斷加強個人金融信息保護防御體系建設,規范個人金融信息保護管理。一是規范系統開發流程,將信息安全覆蓋系統全生命周期,定期開展滲透測試,提升信息系統防惡意攻擊的水平;二是規范個人信息保護風控系統建設,建立覆蓋賬戶安全、網絡詐騙、虛假營銷、信貸欺詐、非法集資、網絡賭博等多種風險模型,通過量化策略實現大批次支付交易日監測功能,在滿足消費者對金融服務“線上化、場景化、個性化、體驗化”需求的同時,主動實現風險交易止付,為客戶安全交易保駕護航;三是加強外包風險管控,從戰略、法律、合規等方面進行外包風險識別和控制,規范外包服務內容和責任劃分,不斷提升自主掌控能力和外包風險管理水平。
4.加強個人金融信息全生命周期技術管控。一是加強信息收集管理。通過建設運行信息采集資產管理系統,內置敏感數據發現規則,實現從大量數據庫表中自動發現敏感數據,形成數據資產及敏感信息清單,為銀行數據資產與敏感數據管理提供技術支撐;二是加強數據脫敏流通。探索部署雙節點數據脫敏設備,形成“A節點數據抽取、脫敏,B節點數據發放”的模式,在符合物理隔離要求前提下解決銀行在生產環境網絡與測試環境數據流通問題;三是加強金融APP管控。采用高等級API和安全SDK減少代碼的攻擊面,對APP和服務器進行必要的安全加固,利用加密存儲和傳輸技術保障個人金融信息的安全可靠。
5.增強消費者自我保護意識。涉及個人金融信息的侵權事件和犯罪層出不窮,金融消費者作為信息主體更應從增強自我保護意識做起,在日常生活做好以下幾點:一是妥善保管身份證、銀行卡、網銀介質等,不要隨意透露身份證號、銀行卡號、賬戶密碼、安全碼、短信驗證碼等信息;二是要正確使用支付工具,謹慎點擊或掃描不明鏈接、二維碼等;三是發現個人金融信息被非法收集、傳播或使用時,及時向金融管理部門或行政執法部門舉報投訴,維護自身合法權益。
