趋势1

自查、整改,金融机构自身加大内控管理

针对个人金融信息安全,银行、金融科技公司已加码自查、整改。有业内表示,以前虽然很多银行都有消费者维权管理部门,但是却没有建立信息查询的一整套管理制度。去年9月,央行将《金融消费者权益保护实施办法》上升到部门规章,其中规定“要建立分级授权为核心的消费者金融信息使用管理制度”。

新快报记者了解到,近年来多家银行正从管理制度、组织架构、技术应用等方面入手,不断探索个人金融信息保护内控管理和机制。某律所负责数据合规的律师对新快报记者表示,近一年来银行合作的相关业务都翻了倍。

2020年,工商银行通过研究发现了业界主流开源微服务框架中的高危漏洞,并第一时间有效控制了本行相关系统风险。工商银行广州分行的相关负责人对新快报记者表示,近年来,该行不断加大个人客户信息安全管理力度,开展“遏制侵犯个人信息案件专项行动”,重点关注个人客户信息安全管理机制、信息保护措施、用户操作行为监控等关键领域。“通过加强人员管理,建立用户申请审批机制,以‘知所必需,最小授权’原则合理确定用户类型和相应权限,定期开展个人信息安全培训,提高员工风险意识,避免个人客户信息被违规获取、提供、泄露、出售和被外部不法分子窃取”。

中信银行也表示,已经完善了客户信息安全保护流程制度,明确规定各部门、岗位和人员的客户金融信息管理职责和管理权限。

在组织架构层面,平安银行成立了专门的数据治理工作组,负责全行的数据安全职责落地。建行广州分行也设立了专门的数据使用和管理部门,对信息数据进行严格的统一管理。

为防控内部违规查询、打印等使用个人金融信息的行为,建设银行建立了“员工信息系统使用行为监测平台”和“行为模型库”,通过一体化监测,可及时发现违规行为。

趋势2

立法日趋完善,金融安全仍需要更多社会力量参与

加大对金融机构违规处罚力度的同时,顶层设计也纷纷出台。去年5月《民法典》中第一次引入“个人信息保护”的范畴,搭建起数据安全立法的基本框架。不仅规定了个人享有信息查询权、更正权和删除权,而且规定了个人信息处理要遵循合法、正当、必要的原则,不得过度处理。中国人民大学中国普惠金融研究院研究员顾雷表示,《民法典》为信息处理者信息开发行为提供了法律依据。只要符合法定条件,遵循原则,信息处理者就有权充分利用公民个人信息。

与此同时,2020年7月、10月,《数据安全法(草案)》、《个人信息保护法(草案)》公开征求意见,这也标志着金融数据合规领域的主要法律已经健全完善。《数据安全法(草案)》从国家层面系统的数据安全制度,通过分级保护制度、监测预警制度、应急处置制度等;《个人信息保护法(草案)》不仅明确了个人信息保护的监管部门及分工,而且更为具体的提出了处理个人信息应遵循六个主要原则:方式合法正当、目的明确合理、最小必要、处理公开透明、准确性和安全保护。

目前,《个人信息保护法(草案)》已提请全国人大常委会审议,有望近期出台。据业内透露,“今明两年关于金融信息安全保护制度将逐步落地,央行可能会出台更细致的细则。”

虽然数据立法日趋完善,但数据安全是一项长久的系统工程,需要全社会共同努力。“包括国家立法层面建立信息采集、使用规范,行业监管层面加大对互联网金融、大数据服务机构等新兴产业的引导与监管,机构企业层面建立覆盖个人信息全生命周期的安全防护措施。”工商银行广州分行相关负责人表示。

平安银行的相关负责人也表示,执法部门应加大破坏消费者个人信息安全的违法行为的查处力度,严肃查处、严厉打击社会上关于盗窃、买卖、恶意利用个人信息的违法行为,净化个人信息安全环境。加强社会监督管理,完善消费者个人信息安全相关的举报和投诉渠道。

“消费者个人信息自我保护能力也需要增强,若有不慎发生信息泄露的情况,也要知道如何及时、正确地应对处理,把损失降到最低”,建行广州分行的相关负责人强调。