经济观察网 胡群/文 11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式生效,这意味着我国对个人信息安全的保护进入了新的历史时期,我国公民的个人信息安全及隐私保护走上了新台阶。
数字化转型大潮下,数据正在被金融机构越来越重视。金融AI的每一步,大数据红利在左,数据隐私安全在右。虚拟化经济、数字化趋势带来的数据隐私、数据安全问题日益受到业界的重视。
“《个人信息保护法》是一部针对公民个人信息的专门法律,与《民法典》、《网络安全法》、《数据安全法》、《电子商务法》、《消费者权益保护法》等法律共同组成一张公民个人信息保护网。而金融数据治理成为关注重点。”中国银行法学研究会理事肖飒认为,商业银行业务链路长而复杂,业务覆盖零售、公司、金融市场、风险管理等,沉淀了大量的复杂数据资产,包括个人信息,因此该法律对银行等金融机构提出了更高的要求。
现状
移动互联时代,随着越来越多的数据产生,用户隐私保护日益成为市场及监管机构关注的热点,当前,仍有部分数字科技类企业强制或在用户不知情时开放与其提供的服务毫不相关的各种手机权限。随着数据安全合规的监管日益严格,“知情”、“自愿”、“适度”、“必要”等限制性要素将成为每一家数字科技公司收集客户信息的原则。
近年来,个人数据泄露引发的诈骗事件屡禁不止。中国互联网络信息中心最新数据显示,截至2021年6月,遭遇个人信息泄露的网民比例约为22.8%;遭遇网络诈骗的网民比例为17.2%;遭遇设备中病毒或木马的网民比例为9.4%;遭遇账号或密码被盗的网民比例为8.6%。
疫情发生以来,金融机构服务线上化进程加速,“非接触式服务”的应用日益广泛。在这一过程中,越来越多金融机构在合规的前提下,借助各种互联网平台,通过挖掘数据价值提升自身竞争力。这也意味着,金融机构要兼顾个人隐私保护与经济发展需求之间的平衡,在运用数据为用户提供产品服务的同时,金融机构更要强化个人敏感信息的保护,严格控制涉及个人隐私的个人信息。
“为了获得平台公司的金融服务,中国的消费者往往需要向其提供个人信息。大型平台公司存在过度收集、甚至滥用消费者信息的情况,不利于消费者信息安全和隐私保护。”10月7日,中国人民银行行长易纲在在国际清算银行(BIS)监管大型科技公司国际会议上称,自2016年起,中国陆续出台了《网络安全法》《数据安全法》和《个人信息保护法》,着手治理信息收集和“霸王条款”,督促金融机构严格按照合法、正当、最小必要原则收集、使用和保管用户信息,充分保障个人隐私和消费者知情权、同意权、异议权、投诉权等合法权益。人民银行刚刚发布了《征信业务管理办法》,在征信领域规范了个人信息保护及信息主体各项合法权益。下一步,人民银行将在确保个人隐私和数据安全的前提下,探索实现更精准的数据确权,更便捷的数据交易,更合理的数据使用,继续激发市场主体活力和科技创新能力。
挑战
“《个人信息保护法》的落地实施,使金融机构对个人信息保护从一般监管要求上升到强制性法律要求,势必将引起金融行业高度重视,促进金融机构进一步强化个人信息保护力度,提升信息安全、数据安全 充分保障个人信息主体的各种权利,以满足合规要求。另外,个人信息保护法确定了个人信息处理的明示同意规则,以及个人信息跨境传输规则等,对集团型或多级法人的金融机构,在对个人信息的跨法人和跨境处理时,需要特别注意防范合规风险。”索信达数据治理专家魏强称,对于金融机构而言,落实立法规范,应严格遵循个人信息保护法和行业标准要求,建立个人信息保护的制度体系,明确工作职责,规范工作流程,完善IT系统,设计并实施覆盖个人信息全生命周期的安全保护策略。
金融行业对个人信息保护一直较为重视,监管也十分严格,相关保护措施走在前列。人民银行在2020年2月就发布了金融行业标准《个人金融信息保护技术规范》(JRT0171-2020),规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,为金融机构建设个人金融信息保护架构提供了体系化与专业化的参考标准。
普华永道的报告显示,《个人信息保护法》对金融机构,尤其是涉及零售业务的金融机构将带来重大的影响,其确立了个人信息保护原则,核心规则是以“告知-同意”作为个人信息处理知情权和决定权的重要手段。金融机构掌握着大量的个人信息以及敏感个人信息,这些信息往往由不同部门处理并可能散落在不同的系统中,甚至很多数据由外包商进行处理。
尤为重要的是,《个人信息保护法》规定,违反本法情节严重的,对企业可以处以高达五千 万元或者上一年度营业额百分之五的罚款,并可以责令停业整顿、吊销相关业务许可或者吊销营业执照等。对违法相关责任人则包括罚款、禁入、乃至刑事处罚。
肖飒认为,在我国公民的数据权得到进一步保障的同时,银行等金融机构将面临更加严格和全面的监管。从长远来看,《个人信息保护法》不仅保障了公民的隐私权、人格权等一系列宪法权利,也能有效防止数据资源被不法分子利用给个人和社会造成损害。这是我国在信息化时代的重大战略布局,银行等征信机构只有明确法律红线,在规范之内开展业务才是顺应时代所需,顺应人民所求的正确行为。
“商业银行基于数字技术的引入,采集和存储数据的能力都在急速扩张,沉淀了大量原始数据资源,实现了业务数据化。”10月29日,浦发银行联合IBM、中国信息通信研究院发布《商业银行数据资产管理体系建设实践报告》显示,数据资产的多少、采集能力的强弱,对业务支撑、管理决策的程度将直接影响商业银行经营与创新服务能力。
“数据安全必须依靠可靠、完整的安全体系与安全技术来实现。”索信达数据管理领域专家韦海晗表示,法律、法规及监管制度的日益严格,以及企业自身发展的内在需求,都在促使银行业将数据安全视为重中之重。
在银行机构构建数据安全体系的具体实践中,韦海晗提出了一些建议和看法:一是数据安全管理的工作是贯穿于整个数据管理体系之中的,关系到整个数据管理体系的搭建。从整个数据管理角度看,数据安全管理工作包括数据安全管理标准、数据安全事故处理、数据安全分级、数据安全审计。数据安全分级是数据安全管理体系构建的重点核心,数据分类又是数据安全分级的基础和依据。在系统技术支撑上,可以将数据安全分级管理体系嵌入到类似元数据平台、数据资产管理平台上去做。
在韦海晗看来,银行机构可设立从决策到业务到技术的体系化的数据安全管理组织,建立从制定计划、评估安全、执行解决方案、到总结经验的数据安全管理流程。在数据安全管理系统层面需贯穿数据管理部门、业务部门和技术部门,数据安全管理系统包括数据安全管理分析、数据安全分级管理、系统安全分级管理和系统管理;数据安全监控系统建设同样重要,数据安全监控系统目的在于:遵守监管对金融数据的保护要求,建立常态化数据安全审计工作的有效工具和机制,数据库及应用系统多样,实现集中统一的监控管理与报警,实时监测内部用户访问敏感数据,及时发现数据泄露事件,防范数据库后台授权用户操作风险,向管理层提供准确的数据库风险状况报表等。
当前,新型金融业态不断涌现,金融服务线上场景与日俱增。新型金融机构在构建网络银行、手机App、第三方支付平台等金融服务平台时,应肩负起时代的责任,确保个人金融信息安全。
马上消费金融采取多项措施确保个人信息在收集、存储、传输、使用、删除及销毁全生命周期的合规与安全。公司建立数据管理相关制度办法,在数据密级定义、分级、对应保护措施、数据全生命周期保护策略进行了明确的规定。
具体来说,马上消费金融通过技术与管理相结合的方式,严控个人数据全生命周期安全,包括合法合规依法开展个人数据采集;层层设控,安全开展数据加工和使用;自研加密系统,数据存储实现透明加解密;应用加密技术,保障数据传输安全;制度先行,数据销毁实现流程化管理;边界防御转向全面防御,打造马上数据防泄密体系;引入人工智能技术,助力数据安全审计。
“比如,公司对敏感字段进行不可逆加密,然后仅提供加密后密文数据;在传输中使用通道加密、数据内容加密技术;并通过网络访问控制、身份认证等策略确保数据传递过程中的安全。”马上消费金融相关负责人称。
当前,学术界和企业界已在在大数据、人工智能和密码学等领域,探索安全多方计算、隐私计算、联邦学习、可信执行环境等多个方向,研究如何在保证数据安全的前提下打破数据孤岛,实现数据可用。
“隐私计算的作用在于隐私保护基础上实现数据价值最大化。”建信金科创新实验室总经理王雪表示,通过多方数据融合分析,最大程度挖掘数据价值,在满足监管要求的前提下,实现数据互联互通,通过新的业务模式扩展外部数据连接,解决数据供给侧和需求侧匹配的问题。目前这一应用早在2019年初已在建信金科及建行业务中开始实践。