構建數據風險管理體系,保護數據主體權益
當前,數字經濟正在迅速崛起,數據在我國經濟社會發展中具有重要戰略意義,成為可市場化配置的關鍵生產要素。2021年9月以來,《數據安全法》與《個人信息保護法》(以下簡稱兩法)相繼實施,成為保障數字經濟健康發展的壓艙石,這也標志著我國在數據領域頂層制度以及網絡空間治理體系上的不斷完善。中國光大銀行主動融入數字經濟生態,積極推動數字化轉型中科技新治理體系建設,以保護數據主體權益為核心目標創新構建數據風險管理體系,探索兩法在商業銀行內部的落地實施的可行路徑。
商業銀行落實兩法面臨巨大挑戰
2020年以來,光大銀行一直密切關注兩法發布實施的進程,深入研究了國家網信辦、人民銀行、銀保監會等監管機構出臺的一系列監管規定與執法動作,明確了數據安全與個人信息保護(以下簡稱數據安全)是我行數字化運營及數據資產價值釋放過程中的安全合規底座與風險防線。
金融行業是產生和積累數據量最大、數據類型最豐富的行業之一,數據信息一旦泄露或濫用,不僅會給客戶造成直接經濟損失,也會給金融業的聲譽帶來負面影響,銀行業在數據安全管理和數據保護方面面臨諸多新的挑戰。
1.數據安全是銀行科技治理體系的底線要求
兩法發布實施后,數據安全的內涵和外延大大拓展,從科技系統、應用技術、運行保障及應急等傳統信息安全下技術層面,擴展到貫穿客戶權益保障、業務及應急管理、產品與渠道管理、風險管控等銀行全方位業務流程中,數據保護能力也將是未來銀行參與數據要素市場的基礎與準入條件,銀行將數據治理上升至公司治理層面是必然選擇。
2.重塑銀行業務流程,變革銀行產品與服務設計模式
個人信息保護影響評估(PIA)是針對個人信息處理過程檢驗其合法合規程度,判斷其對個人信息主體合法權益造成損害的各種風險,以及評估用于保護個人信息主體的各項措施有效性的過程,是《個人信息保護法》的核心要求。對于銀行而言,事前開展PIA就需要在業務流程設計和開發過程中有意識加入隱私保護設計,某一個產品與服務如果評估不通過,就會重新進行隱私設計或被取消。這就意味著,新增的產品與服務設計時要同步進行隱私設計,存量的產品與服務要進行全面評估并整改,銀行業務流程將進一步重塑。
3.數據共享與跨境、自動化決策、外部生態化等諸多領域的合規風險更高
在數據共享與跨境方面,由于與傳統生產要素相比,數據具有非實體性、無消耗性、零成本復制性等特點,數據一旦共享,數據控制權就一并轉移,其他數據處理者的數據泄露、濫用風險難以防范。大規模數據出境還極有可能對國家主權造成損害。對于銀行而言,數據共享、數據跨境場景多,數據接收方風險的管控難度與成本巨大。
在自動化決策合規方面,銀行數字化轉型過程中廣泛存在通過人工智能驅動場景運營情況,《個人信息保護法》針對此類情況不僅有專門規定,還新增了“商業營銷”作為自動化決策的具體場景,對此提出了更明確的個人選擇權與透明度要求。
在生態化建設方面,隨著居民消費行為的線上化發展,大型平臺公司擁有大量生態化場景,銀行與金融科技公司合作開展生態化建設,通過互聯網平臺批量獲客引流,成為重要的獲客渠道,與第三方平臺合作開展的大量生態化建設面臨更高的合規要求。
4.數據安全的強監管和重處罰態勢凸顯
兩法出臺前,監管機構已制定各類行政法規和技術標準,規范銀行對個人信息的使用,并加大違規處罰力度。2021年,人民銀行、銀保監會、外管局全年發布的處罰名單中,數據安全與個人信息保護相關罰單119張,占數據類罰單的11%,罰款金額合計約4654萬元,金融業數據安全“嚴監管、重處罰”態勢已經形成。
以保護數據主體權益為
目標的數據風險管理體系
《個人信息保護法》第55條、第56條規定:處理敏感個人信息(銀行賬戶屬于敏感個人信息);利用個人信息進行自動化決策;委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;向境外提供個人信息;其他對個人權益有重大影響的個人信息處理活動等情形應事先進行信息保護評估。《數據安全法》中也規定:重要數據的處理者應當對其數據處理活動定期開展風險評估。GDPR規定的數據保護影響評估(DPIA)也要求控制者與處理者應評估數據處理過程中固有的風險,并采取措施減輕這些風險。
GDPR與兩法的核心均是要求評估數據處理活動的每一個環節能否保護單個數據主體的合法權益,既有業務開展前的影響評估,也有事后的風險評估,本質上是一種風險管理的形式。銀行落實數據保護體系實質是企業需要額外增加一種以數據為對象,保護數據主體權益為目標的數據風險管理體系,分為兩條主線:
一條主線是業務產品與服務的數據合規管理體系,這個以隱私設計與影響性評估為主,重點保證數據生命周期處理過程是否答合合規與倫理要求,滿足合法、正當、必要及告知原則,并重點關注數據主體的權利響應。例如,客戶要求銀行提供或刪除在我行的所有個人信息,行使查閱權、復制權或刪除權,銀行如何響應?
另一條主線基于各類環境的數據生命周期安全管理體系,重點是對生產、開發測試、辦公環境下用戶使用不同類型、不同敏感程度數據的行為進行監測審計,并持續發現、預警甚至阻斷異常訪問行為。同時,借助各種安全技術工具,例如數據脫敏、安全沙箱等,有效防范各類人員操作引發的數據泄露與濫用風險。
傳統的網絡、應用系統、業務連續性等物理風險客觀上也可能會造成數據主體權益的損害,但這種損害往往是群體性的,GDPR與兩法強調的數據處理者要考慮個體數據權益的影響有所區分,不納入數據保護管理的范疇。
光大銀行數據安全工作落地實踐
光大銀行在上述分析研究與工作思路的指導下,以個人信息保護為核心開展數據安全工作,全面落實兩法在管理、技術層面的機制與要求并推動實施。具體如下。
1.搭建數據安全管理制度體系框架
我行搭建了以《數據政策》為指導綱領,政策、管理辦法、實施細則與技術規范三層的制度框架體系。截至目前,《數據安全管理辦法》及相關辦法細則,《個人信息保護實施細則》《個人信息保護技術規范》于2021年發布。《數據共享安全管理法》《個人信息保護應急預案》《辦公環境數據安全實施細則》等均在制定中。
2.應用開發流程中實施個人信息影響評估(PIA)
我行創新建立了PIA評估機制與300+評估要點庫,其中,處理個人信息的最小必要原則是評估要點中最核心的內容。PIA機制于2022年1月實現了EAPS線上化流程,在零售、數金條線40+系統中推廣。對手機銀行、陽光惠生活、云繳費等7個APP進行專項評估,并逐步覆蓋存量重點應用與系統。
3.數據共享安全管理從一事一議轉向常態化
數據共享、跨境場景呈快速增長趨勢,但由于第三方類型多樣、場景復雜,多按需以一事一議的方式開展。同時,對4家外部數據服務商進行了專項評估與整改,與集團簽訂《集團數據共享治理框架協議》,與盧森堡分行簽訂《數據處理者協議》等。目前,已對數據共享類型、方式、準入資質、協議等梳理,基本形成數據共享安全影響評估機制進行試點與推廣。
4.加速推進創新技術研究與工具開發進程
2021年8月,我行率先上線業內首家基于多方安全計算技術的數據共享融合基礎設施平臺,探索個人信息跨企業間安全共享的可行路徑。2022年重點建設數據安全分級、數據安全監測審計、辦公環境數據安全防護系統等技術工具,為有效防范因內部人員違規而導致的數據泄露與濫用風險,以及數據安全管理常態化運營提供重要的技術支撐。
結束語
隨著金融科技的不斷創新,數據作為生產要素正在深刻地改變著人與人之間、人與之間的關系,數據處理倫理問題不斷產生,將嚴重影響數字經濟的健康發展。對于銀行來說,數據安全不僅僅是一個新的數據風險管理體系與嚴守的合規底線,更是數據要素交易市場的準入資質與企業需要秉承的價值觀。
2022年,光大銀行將以強烈的責任感和使命感,積極探索、勇于嘗試,摸索出一條符合我行實際的數據風險管理體系建設道路,培養全員數據安全合規意識與“數據向善”的價值觀,為我行的數字化轉型之路保駕護航。
