商業銀行個人金融信息保護機制的思考和建議
當前,網絡安全形勢日益復雜,網絡攻擊事件頻發,個人隱私泄露問題成為重災區。《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中明確提出:“加強涉及國家利益、商業秘密、個人隱私的數據保護,加快推進數據安全、個人信息保護等領域基礎性立法,強化數據資源全生命周期安全保護”;《民法典》第1035條規定“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理”。隨著《網絡安全法》《數據安全法》《個人信息保護法》《個人金融信息保護技術規范》和《金融數據安全數據生命周期安全規范》等一系列數據安全法律法規和標準規范的發布,數據安全和隱私保護的頂層監管框架日趨完善,個人信息保護成為商業銀行數字化轉型中合規監管的重中之重。本文聚焦個人金融信息保護,探討商業銀行如何建立個人金融信息保護機制和治理體系,打牢數據安全合規管理的基本功,培育數字化時代的核心競爭力。
構建個人金融信息保護制度
《個人信息保護法》規定個人信息處理者應當遵循合法、正當、必要和誠信的四大項基本原則,不得以誤導、欺詐、脅迫等方式處理個人信息,要具有明確性、合理性的目的,要對個人權益產生的影響最小,要遵循公開透明、完整性、準確性和安全保障等原則。這些原則是商業銀行開展業務服務和產品創新時必須要嚴格遵照的紅線標準,為此一方面商業銀行應依據其經營活動涉及的個人金融信息數據屬性,構建完善的信息安全和個人金融信息保護制度體系,有效的配套制度體系是商業銀行各項經營工作有序高效開展的基礎,也是做好個人金融信息安全的基本保障;另一方面則是針對數據處理環節的重點階段和服務模式創新中的典型場景等開展深入排查,主動識別信息保護薄弱環節,確保遵循制度要求。
一是以網絡安全及個人信息保護等法律為根,以監管部門對保護個人金融信息的相關規定為干,以國家標準為枝葉,圍繞個人金融信息全生命周期建立系統的風險防范機制和內控合規制度。商業銀行應建立至少涵蓋個人金融信息保護基本制度、個人金融信息分級管理制度、個人金融信息授權管理制度、個人金融信息保護內控制度、個人金融信息保護監督管理辦法、個人金融信息保護應急處置辦法、個人金融信息保護工作考核評價等相關制度,并配套完善多維度內控合規監督機制和評價體系,以確保銀行對個人金融信息保護有標準、有依據、有參考、有規范。
二是重點關注個人金融信息在商業銀行內部流轉和使用的合規性和安全性。個人金融信息在相關環節中被泄露、篡改、濫用的風險,以及因此給商業銀行帶來的合規風險也不容忽視。2020年10月1日實施的《個人金融信息保護技術規范》(JR/T 0171—2020)(以下簡稱“《技術規范》”),就個人金融信息全生命周期提出安全技術和安全管理方面的要求,《技術規范》圍繞個人金融信息安全對金融業機構與第三方機構的合作方式劃出了紅線,特別是“不應委托或授權無金融業相關資質的機構收集C3、C2類別信息;”“C3類別信息以及C2類別信息中的用戶鑒別輔助信息不應共享、轉讓;”“C3以及C2類別信息中的用戶鑒別輔助信息,不應委托給第三方機構進行處理;”“外包服務機構與外部合作機構原則上不應留存C2、C3類別信息;不應將存儲個人金融信息的數據庫交由外部合作機構運維”,以上規范對商業銀行在集團內部以及與第三方機構的合作中做好個人金融信息數據安全保護具有重要的指導意義。
三是強化創新型業務場景涉及個人信息的收集與使用的規范性。為治理APP違規收集、濫用個人信息的現象,APP收集使用個人信息進入了監管深水區,商業銀行需要對其開發運營平臺所收集使用的個人信息進行梳理,重視以App為代表的互聯網應用產品的信息保護客戶體驗,嚴格落實用戶的告知與同意義務,應依據《隱私政策》《個人信息保護法(草案)》等制度要求,結合APP等產品上線的流程,建立對相關產品信息收集、使用、存儲、對外提供、刪除等全周期的制度體系和監督檢查機制,將監督檢查植入到產品的立項評審、方案設計和測試環節。
形成個人金融信息保護組織架構
《個人信息保護法》既規定了個人信息處理者應該遵守的信息“處理”規則,還規定了信息“管理”義務,為確保其各部門正確履行相關的權利和義務,商業銀行需要建立個人金融信息保護組織和崗位,推動對應管理制度的制定和落地,定期開展安全教育和培訓,制定和實施相關應急預案,同時推動建立技術規范和相關技術平臺,準確、專業、敏捷地識別和保護個人金融信息。
一是形成有力的管理架構。為了確保個人金融信息保護內控合規制度被貫徹實施,商業銀行需要建立個人金融信息保護歸口部門。《個人信息安全規范》(GB/T 35273-2020)(以下簡稱《安全規范》)第十一條對于個人信息控制者的責任部門與人員做出了具體要求:一是應明確領導責任,提高個人金融信息安全保護意識和力度;二是應根據實際情況設立個人信息保護專門部門或專職負責人,作為個人金融信息保護工作開展的歸口,負責統籌實施、督促跟蹤相關工作;第三,應為個人信息保護負責人和個人信息保護工作機構提供必要的資源,保障其獨立履行職責。
二是加強對信息敏感程度的識別。由于信息敏感程度、流轉周期、使用途徑的多樣性,信息保護具有復雜性、關聯性、全局性的特點。《技術規范》中明確說明,一方面,個人金融信息主體因業務需要(如貸款)主動提供的有關家庭成員信息(如身份證號碼、手機號碼、財產信息等),應依據C3、C2、C1敏感程度類別進行分類,并實施針對性的保護措施;另一方面,兩種或兩種以上的低敏感程度類別信息經過組合、關聯和分析后可能產生高敏感程度的信息,同一信息在不同的服務場景中可能處于不同的類別,應依據服務場景以及該信息在其中的作用對信息的類別進行識別;同時,在信息流轉的不同周期,也會對應不同的規范標準。因此對信息敏感程度的識別,是個人金融信息保護體系架構中最為關鍵的一點,而信息敏感程度的判定不僅需要結合具體的業務場景,也需要對法律法規及技術措施甚至相關立法動態有準確的理解,因此,商業銀行必要時應設立專人專崗負責具體業務領域的個人信息保護管理工作。
牢筑個人金融信息保護屏障
《網絡安全法》明確要求企業采取一定的技術與管理措施,確保用戶個人信息與隱私安全,商業銀行應該嚴格按照《網絡安全等級保護基本要求》《個人金融信息保護技術規范》《金融數據安全數據安全分級指南》《金融數據安全數據生命周期安全規范》等規范要求,加強網絡安全、信息安全、隱私保護等技術建設,安全架構規劃管理,切實維護客戶信息安全,履行信息保護義務,并定期對個人金融信息保護的整體實施情況進行檢查。
一是商業銀行應通過技術手段加強數據生命周期管理,圍繞業務服務主線,以數據分級分類為基礎,通過統一的安全技術框架,實施全生命周期的一體化安全保護,應充分關注個人信息何時、以何種方式被收集、處理、使用、存儲以及與第三方共享,滿足客戶隱私保護需要的同時深化數據治理,站在業務全局審視個人信息使用中的合規性,完善個人信息保護機制。
二是商業銀行應加強安全技術架構管理,圍繞自身金融服務與行業監管的特點,審慎地選擇既符合國家及金融行業標準,滿足個人金融信息保護過程中各環節所需,又相對穩定成熟、契合業務發展的安全技術和產品,并持續開展隱私計算、數據分級分類、匿名化等相關新技術的跟蹤、研究和應用。
三是商業銀行應該將個人信息保護技術規范融入項目研發的全生命周期,從立項、開發、測試、生產運營、數據管理等全流程加強保護,并定期進行全面的檢查和評估,及時發現安全風險隱患,不斷提升個人金融信息保護技術能力水平。
數字化時代,商業銀行全面提高個人金融信息保護能力,不僅是在監管機構更有力的監管政策和更嚴格的規范要求下合規運營的必然要求,更是把握數字化戰略新機遇、迎接數字信息安全新挑戰的關鍵,商業銀行應該積極筑牢自身信息安全保護機制,確保數字化金融轉型行穩致遠!
