天融信數據安全治理體系助力銀保機構“消保”工作落地
近年來,無論從國家法律還是行業監管角度來看,消費者權益的保護工作一直是金融機構工作的關注重點。近期,為維護公平公正的金融市場環境,切實保護銀行保險業消費者的合法權益,推動行業高質量穩健發展,銀保監會發布了《銀行保險機構消費者權益保護管理辦法(征求意見稿)》(以下簡稱《管理辦法》),并向社會公開征求意見。
本文對《管理辦法》進行了要點提煉與總結,并從《管理辦法》的信息安全關注點切入,結合天融信多年來在金融行業信息安全領域、個人信息保護方面的深厚技術積累和豐富項目經驗,為客戶提供個人信息數據安全治理體系建設的理論支撐與實踐指導。
此次《管理辦法》的發布完善了國家及行業對消費者權益監管及指導的整體框架(見上圖),進一步充實和完善了銀保監會審慎監管與行為監管并重的監管體系,有利于推動各金融機構強化主體責任,切實維護銀行保險業消費者的合法權益。
《管理辦法》要點總結
明確責任與義務
《管理辦法》明確了銀行保險機構需承擔保護消費者合法權益的主體責任,同時也規定了消費者有誠實守信的義務。
確定工作機制及管理要求
《管理辦法》要求銀行保險機構將消費者權益保護納入公司治理、企業文化建設和經營發展戰略,建立健全消費者權益保護審查、消費者適當性管理、個人信息保護、第三方合作機構管理、內部消費者權益保護考核等工作機制,提升消費者權益保護工作水平。
重點強調保護消費者八項基本權利
《管理辦法》從規范產品設計、內容披露、營銷宣傳、銷售行為,禁止誤導銷售、捆綁搭售、不合理收費等方面作出規定,保護消費者知情權、自主選擇權和公平交易權;從保護消費者個人財產安全、規范保險公司核保和理賠活動等方面作出規定,保護消費者財產安全權和依法求償權;從強化消費者教育宣傳、滿足特殊人群服務要求、規范營銷催收行為等方面作出規定,保護消費者受教育權和受尊重權;從收集、使用、傳輸消費者個人信息等方面作出規定,保護消費者信息安全權。
明確監管職責與措施
《管理辦法》明確要求銀保監會及其派出機構應依法履行消費者權益保護監管職責,經營活動中的同類業務、同類主體統一標準、統一裁量,打擊侵害消費者權益亂象和行為,營造公平有序的市場環境。針對銀行保險機構工作中存在的問題,可采取限期整改、下發風險提示函、人員問責、責令暫停業務等監管措施。
《管理辦法》個人信息保護關注點
明確落實消費者信息安全權保護
《管理辦法》中共7條內容涉及消費者信息安全權的保護規范,重點說明了需要消費者經過明示同意、授權同意等的業務場景,強調了需要通過有效技術手段來控制數據的濫用及泄漏,需要對處理個人信息的業務及系統采取有效的監控和干預,并對行業從業人員行為進行管理等相關事宜。《管理辦法》是繼國務院辦公廳發布《關于加強金融消費者權益保護工作的指導意見》后,又一有利于充分落實保護消費者信息安全權的具體要求。
強調消費者個人信息保護責任
《管理辦法》銜接了《個人信息保護法》的相關規定,針對個人信息保護工作提出了明確要求,重點強調銀行保險機構應當建立消費者個人信息保護機制,從管理制度、審批制度、控制措施等方面入手,對消費者個人信息實施全流程分級分類管控,進一步落實銀行保險機構的個人信息保護責任。
天融信數據安全應對思路
天融信在金融行業信息安全和數據保護方面具有豐富的實踐經驗。在《JR/T 0171-2020 個人金融信息保護技術規范》、《JR/T 0197-2020 金融數據安全 數據安全分級指南》、《JR/T 0223-2021 金融數據安全 數據生命周期安全規范》等標準的規范與指導下,天融信憑借在數據安全和個人信息保護方面的技術積累,采用國際先進的數據安全治理理念,針對消費者個人信息保護需求,幫助銀行保險機構完善管理組織架構、規范信息安全制度、做好數據分級分類梳理、明確數據管理操作流程、提供數據安全管控工具,形成涵蓋個人信息保護的數據安全治理體系,進一步落實消費者信息安全保護義務。治理框架如下圖所示:
該框架通過規范管理制度完善組織建設,并從業務和數據識別入手,對金融機構的個人信息保護現狀進行安全風險評估,制定覆蓋數據全生命周期的安全策略,并結合技術工具推動有效落地,最終通過多重治理評估,促進數據安全體系的持續優化與改進。同時,該框架將網絡安全運營理念融入到數據安全治理實踐當中,旨在通過打通數據安全管理內外部組織、流程與工具,為數據安全運營提供理論參考和實踐指導。
天融信數據安全優勢
天融信作為國內網絡安全龍頭企業,在不斷探索中推出了以數據安全治理為基礎、數據安全防護為手段、數據全生命周期管控為核心、數據安全服務為支撐的數據安全防護體系方法論。
豐富的數據安全治理經驗
目前天融信數據安全治理服務已在多個金融行業客戶案例中實施落地,客戶涉及監管機構、銀行、保險等多類單位。
專業的數據安全標準制定者
天融信參與了眾多數據安全國家標準、行業標準的制定,并協助眾多客戶梳理數據安全規范及管理制度,積極落實標準要求。
全面的數據安全產品
天融信具有覆蓋數據全生命周期的數據安全產品,可結合數據安全管理平臺,將數據安全治理理念及數據安全管控策略直接落地。
領先的數據安全人才培訓體系
2019年,經中國信息安全測評中心授權,天融信成為國內獨家注冊數據安全治理專業人員(CISP-DSG)認證資質的運營機構。2022年,在原有CISP-DSG合作的基礎上,推出進階級的注冊信息安全專業人員-數據安全官(CISP-DPO)認證課程體系。
TOPSEC
近年來,隨著國家及行業監管部門對個人信息保護力度的不斷加大,金融機構對健全內部控制機制、完善技術防范措施、強化從業人員安全意識等工作也愈加重視。天融信將積極落實國家及行業監管要求,依托金融行業實踐經驗,深度了解客戶信息安全保護需求,為其提供先進、可行的數據安全治理體系咨詢及方案落地服務,助力金融機構加強個人信息安全保護意識與能力,充分保障金融消費者信息安全。
