本刊记者 康超
2020年即将离去,一年来,面对新冠肺炎疫情,我国政府、社会组织及个人积极采取各种措施做好防护工作且成效显著。同样,今年以来,针对个人信息保护,社会各方采取新举措,力谋个人信息保护工作的长治久安,《个人金融信息保护技术规范》《中华人民共和国民法典》(以下简称《民法典》)《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》等一系列新的法律和规范相继出台,使得个人信息保护网越织越密,个人信息保护工作开启了新篇章。金融管理部门和金融机构积极构建和完善个人信息保护体系,在制度建设和技术应用等方面不断探索信息保护新模式,力求保障数据安全和用户权益。
个人信息保护迎来新标准、新法规
从IT时代到DT时代,金融业积极拥抱数字化,不断提升数据服务业务的能力。然而,数据运用引发的个人信息安全风险也逐渐暴露。传统的制度模式已不能满足个人金融信息保护的需求,急需出台新标准、新规范、新制度。
2020年2月13日,人民银行发布了新的金融行业标准——《个人金融信息保护技术规范》。该标准从安全技术和安全管理方面,对个人金融信息在生命周期各环节的信息保护提出了安全防护要求,从技术标准角度进一步支撑和完善了我国在个人金融信息保护问题上的监管框架。
2020年5月28日,十三届全国人大三次会议表决通过了《民法典》,自2021年1月1日起施行。《民法典》发布后,个人信息保护的顶层立法设计基本完成。在《民法典》人格权编第六章“隐私权和个人信息保护”中,不仅对于隐私、个人信息以及个人信息的处理等基本概念作出了清晰的界定,同时也明确了禁止实施的侵害隐私权的行为类型,处理个人信息应遵循的原则与合法性要件、个人信息的合理使用,并对隐私权和个人信息保护的关系问题作出了规定。
2020年7月3日,《中华人民共和国数据安全法(草案)》在中国人大网公布并公开征求意见。这是我国进入大数据时代后,对数据安全问题的一次积极的立法回应,该法在数据安全领域具有基础性法律地位,将与《中华人民共和国网络安全法》等相关法律共同构建起我国的数据监管与保障法律体系。
2020年9月18日,人民银行发布了《中国人民银行金融消费者权益保护实施办法》,在银行、支付机构金融消费者权益保护顶层设计、全流程管控、信息披露和金融营销宣传等方面进行规范,并从消费者金融信息安全权角度进一步强化了信息知情权和信息自主选择权,进一步规范了银行、支付机构提供金融产品和服务的行为,切实保护金融消费者合法权益。
2020年10月21日,《个人信息保护法(草案)》出台并向全社会征求意见。在保护个人信息的基础上合法利用个人信息,在合法利用个人信息的过程中持续保护个人信息,是该草案的主旨。作为首部专门规定个人信息保护的法律,《个人信息保护法(草案)》在正式出台后,将成为个人信息保护领域的“基本法”。
新法规、新标准的诞生标志着我国个人信息保护工作进入新的阶段,同时也对金融机构提出了更高的合规要求。伴随着顶层制度的不断完善,金融业的数据治理工作将迈入常态化阶段,依法依规保障个人信息安全是现阶段金融机构面临的迫切而又现实的问题。
个人金融信息保护工作取得新成效
在互联、开放、共享的数字化时代,如何构建和完善个人信息保护体系,加强个人金融信息安全合规应用,并充分发挥金融数据要素价值是摆在金融管理部门和从业机构面前的一项重要课题。目前,个人信息安全保护已成为金融行业信息安全工作的核心内容,金融管理部门和各家金融机构面对风险挑战,从制度建设和业务实践等方面持续发力,在个人金融信息保护工作中取得了新的成效。
2020年,金融管理部门通过监督管理、投诉处理、风险排查、专项治理、宣传教育等多种方式,不断加大个人金融信息保护工作力度,督促从业机构履行客户个人金融信息保护义务,切实保障金融消费者信息安全权。《商业银行应用程序接口安全管理规范》《网上银行系统信息安全通用规范》等多项具有针对性的监管要求密集发布。2020年4月,人民银行启动针对移动金融客户端应用软件、应用程序编程接口、信息系统等重要领域的金融科技应用风险专项摸排工作,并将个人金融信息保护作为摸排重点之一,同时,通过行业通报、监管评级挂钩、行政处罚等各类措施的综合运用,不断提升个人金融信息保护工作针对性和监管有效性。
2020年,金融机构与时俱进,针对新问题、新情况,不断构建和完善个人金融信息保护体系,在统筹管控、策略调整、制度完善等方面持续发力,积极践行个人信息保护的新举措。
2020年,工商银行持续强化生产运营管理体系,全行信息系统保持安全平稳运行,为广大客户提供了安全稳定的金融服务。通过研究发现业界主流开源微服务框架中的高危漏洞,并第一时间有效控制了本行相关系统风险,此项成果得到中国信息安全测评中心正式认可并首次获得国家信息安全漏洞库证书,为国家信息安全贡献力量。此外,工商银行还完成了信息安全技术网络安全等级保护2.0的定级备案,并持续开展第三方安全评估,聘请外部服务机构对互联网相关系统开展专项检测和安全评估,聘请网络安全等级保护测评机构对信息系统开展网络安全等级保护测评,测评结果均符合标准。
2020年,面对外部攻击窃取线上数据的威胁,建设银行建立了纵深防御的数据安全保障体系,针对行内数据流转,按照云端存储、边界防控的管理思路加强数据安全保障。同时,建设银行运用桌面云、本地虚拟化等技术为数据应用提供在线安全访问、安全传输、访问控制、数据防泄露、安全清理销毁等一站式功能,构建安全、便捷和封闭的数据使用环境。此外,为防控内部违规查询、打印等使用个人金融信息的行为,建设银行还建立了员工信息系统使用行为监测平台和行为模型库,通过一体化监测,及时发现违规行为。
招商银行信用卡专属App“掌上生活”在2019年被通告存在未明示收集用户个人信息的目的方式范围、收集用户敏感信息、收集个人信息频度超出业务功能实际需要等多个问题。为了保证用户的个人隐私信息合法、合理、适度的收集、使用,并在安全、可控的情况下进行传输、存储,招商银行在最新制定的《招商银行App用户隐私政策》中声明,会按照该政策收集、存储、使用及对外共享用户个人信息。通过认真贯彻落实有关法律规范、监管要求和标准规则,各家金融机构将个人金融信息
保护纳入金融消费者权益保护、数据治理、网络信息安全等工作规划,明确个人金融信息保护牵头部门和管理机制,建立健全个人金融信息保护相关内控制度。
个人金融信息保护面临新挑战
在数字化转型过程中,金融服务线上化进程加快,尤其是疫情期间“非接触式服务”的广泛应用,进一步增加了金融数据泄露的风险。同时,技术与业务的融合创新需要不断挖掘数据价值,但大数据的精细化管理仍存在很多难点和痛点,给信息安全工作带来很大风险。数字化经营的内生需求和信息安全压力要求金融机构不断完善满足数据使用和数据保护双需求的个人金融信息保护体系。因此,数字化的加速将给金融机构个人金融信息的全生命周期保护带来新的挑战。
近年来,互联网及金融机构频繁的信息泄露事件使个人信息保护问题备受关注,金融监管部门对个人信息保护合规要求日益趋严。2020年,多家金融机构接到了“侵害消费者个人信息”的罚单,这也说明金融机构个人信息保护工作还存在一些漏洞,急需加强风险防范,构筑信息安全的铜墙铁壁。
此外,消费者对个人信息的保护意识不断增强,对隐私问题越来越敏感,用户并非“愿意用隐私交换便捷性”,以便利之名获取用户隐私并不能被用户所接受。然而,目前大多数网站和App都有隐私政策,用户不同意就无法使用,当用户连选择权都没有时,“自愿”就成为“不得不”。随着人们维权意识的不断增强,金融机构在数据安全和个人信息保护方面将面临更大的挑战。
在数字化时代,数据安全保障和个人金融信息保护将成为一项长期的系统工程,金融机构需要持续完善信息保护机制,丰富技术保护手段,探索信息保护新模式,构建适应新金融、数字化时代的信息保护体系,同时进一步发挥数据要素的价值创造作用,平衡好风控与创新之间的关系。新的一年即将到来,个人信息保护工作将续写新篇章,相信在社会各方的共同努力下,信息安全领域会取得新的成果,为中国经济高质量发展保驾护航。
|
