伴隨著(zhù)金融科技的高速發(fā)展，個(gè)人金融信息保護問(wèn)題愈發(fā)突出。日前正式實(shí)施的《中華人民共和國個(gè)人信息保護法》，對個(gè)人金融信息保護提出了更高要求，金融賬戶(hù)等個(gè)人信息更是被歸入敏感個(gè)人信息當中。

　　《經(jīng)濟參考報》記者日前采訪(fǎng)獲悉，當前不少機構正圍繞個(gè)人信息保護法、數據安全法等進(jìn)行研究，對現有的系統設置和業(yè)務(wù)模式進(jìn)行調整，積極探索新型技術(shù)防護手段，保障數據全生命周期安全。

　　更細更嚴　分級管理或成趨勢

　　人工智能、大數據、云計算、分布式記賬以及電子商務(wù)等技術(shù)廣泛應用于金融領(lǐng)域，促使金融服務(wù)變得更普惠、便捷和高效。但與此同時(shí)，個(gè)人信息保護問(wèn)題也顯得尤為重要?！皞€(gè)人金融信息安全、隱私保護領(lǐng)域存在一些頑疾，包括違規收集與使用信息，強制、頻繁、過(guò)度索取用戶(hù)權限，超范圍收集信息等?！币子^(guān)高級分析師蘇筱芮表示。

　　個(gè)人金融信息保護一直受到監管層高度關(guān)注。人民銀行行長(cháng)易綱近日在2021年香港金融科技周上發(fā)表視頻演講時(shí)表示，2005年以來(lái)人民銀行在反洗錢(qián)、消費者權益保護和征信等領(lǐng)域陸續出臺了個(gè)人信息保護相關(guān)制度。而從立法層面來(lái)看，今年6月和8月，我國分別出臺了數據安全法和個(gè)人信息保護法，初步建立了個(gè)人信息保護的法律制度體系。

　　11月1日正式實(shí)施的《中華人民共和國個(gè)人信息保護法》，是我國第一部個(gè)人信息保護方面的專(zhuān)門(mén)法律?！半m然個(gè)人信息保護法并沒(méi)有專(zhuān)門(mén)關(guān)注個(gè)人金融信息，但包括了對個(gè)人金融信息在內的各類(lèi)個(gè)人信息的周密保護?！北本┙鹑诜ㄔ悍ü俣∮钕璞硎?。他特別提及，個(gè)人信息保護法第二章第二節為“敏感個(gè)人信息的處理規則”，將生物識別信息歸入敏感個(gè)人信息中，而金融賬戶(hù)以及金融服務(wù)線(xiàn)上場(chǎng)景中常用的指紋、面部識別特征等都屬于敏感個(gè)人信息。

　　按照個(gè)人信息保護法規定，只有在具有特定目的和充分必要性，并采取嚴格保護措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息；處理敏感個(gè)人信息應當取得個(gè)人的單獨同意；法律、行政法規規定處理敏感個(gè)人信息應當取得書(shū)面同意的，從其規定。

　　丁宇翔表示，金融機構需要探索更為精細或者說(shuō)更為嚴格的個(gè)人金融信息的分級管理措施。個(gè)人信息保護法將個(gè)人信息分為敏感個(gè)人信息和非敏感個(gè)人信息，而金融行業(yè)實(shí)際上劃分的更為精細。他提及，2020年，中國人民銀行出臺過(guò)一個(gè)行業(yè)標準，即個(gè)人金融信息保護技術(shù)規范，這個(gè)標準將個(gè)人金融信息按照敏感程度分為三個(gè)等級，針對每個(gè)等級，金融機構需要實(shí)施的保護舉措是不一樣的。

　　“分級管理是一個(gè)大的方向，我預期所有的金融機構會(huì )在個(gè)人金融信息分級管理措施上有更進(jìn)一步的跟進(jìn)舉措?！倍∮钕枵f(shuō)，后續，金融機構也需要針對不同等級不同敏感程度的個(gè)人金融信息，遵循不同的處理規則。

　　技術(shù)加持　常態(tài)化全周期防護

　　整體而言，數據安全法、個(gè)人信息保護法給金融機構在信息獲取和使用、數據處理等方面提出了更高要求。記者在采訪(fǎng)中了解到，當前，不少機構正在根據新規進(jìn)行相應調整。

　　平安銀行相關(guān)負責人表示，今年伊始，該行成立了平安銀行個(gè)人信息保護委員會(huì )，委員會(huì )包含了風(fēng)險、業(yè)務(wù)、科技、合規、消保、人力資源管理等各領(lǐng)域專(zhuān)家，統籌管理全行個(gè)人信息保護相關(guān)工作。同時(shí)，該行不斷提升技術(shù)防護能力，保障數據全生命周期安全。技術(shù)防護能力逐步優(yōu)化，強化物理安全、網(wǎng)絡(luò )安全、系統安全、應用安全、數據安全技術(shù)防護措施的同時(shí)，也在積極探索新型技術(shù)防護手段，確保個(gè)人信息數據收集、傳輸、存儲、使用、刪除及銷(xiāo)毀的全生命周期安全。

　　記者從浦發(fā)銀行了解到，其根據數據安全法、個(gè)人信息保護法等法律法規和監管要求，正持續提升數據安全防護能力，著(zhù)力打造全覆蓋體系化網(wǎng)絡(luò )安全防護體系，持續強化數據安全和客戶(hù)隱私保護力度，建立全周期多層次數據安全保障體系，從治理、管理、技術(shù)三個(gè)層面，實(shí)施數據采集、傳輸、存儲、使用、刪除銷(xiāo)毀等全生命周期安全控制，防護數據安全。

　　“主要措施包括，一是構建綜合安全治理框架，建立常態(tài)化安全內控規范機制；二是建立數據安全分類(lèi)分級標準，采取分級保護；三是實(shí)施多層次的縱深防御策略，持續升級網(wǎng)絡(luò )安全防護體系?！痹撠撠熑吮硎?。

　　值得注意的是，為了做到完全合規，金融機構也需在業(yè)務(wù)模式和系統上進(jìn)行調整。

　　一家股份制銀行信用卡中心相關(guān)負責人對記者表示，銀行信用卡部門(mén)因為客戶(hù)量眾多，為了提高合約簽訂的效率，銀行和客戶(hù)建立業(yè)務(wù)關(guān)系時(shí)使用的合同條款多是格式條款。但格式條款在新的個(gè)人信息保護法實(shí)施后，則遭遇了很大挑戰?！耙驗閭€(gè)人信息保護法要求敏感個(gè)人信息的對外提供和使用需要取得客戶(hù)的單獨授權和同意，不允許通過(guò)格式條款‘一攬子’提供。另外，個(gè)人信息保護法要求客戶(hù)在同意提供個(gè)人信息之后，還享有撤回的權利。以上這些要求都需要我們對現有的系統設置和業(yè)務(wù)模式進(jìn)行調整?！彼f(shuō)。

　　該負責人也表示，個(gè)人信息保護法所保護的客戶(hù)享有的權利對應的則是銀行應該承擔的義務(wù)，這意味著(zhù)銀行不可避免要進(jìn)行成本上的投入，這或對銀行的利潤等產(chǎn)生一定影響。

　　難題待破　制度將進(jìn)一步完善

　　不過(guò)，金融機構人士也表示，在落實(shí)個(gè)人信息保護和數據安全治理的過(guò)程中，存在一些難點(diǎn)和挑戰。

　　平安銀行相關(guān)負責人表示，銀行因業(yè)務(wù)發(fā)展或風(fēng)險管理需要，存在外部數據引入及向外部提供數據的需求，該行難以完全掌握外部合作方的個(gè)人信息保護工作落實(shí)情況，提升了在個(gè)人客戶(hù)信息數據保護的工作難度。而外部方并非完全受到金融行業(yè)監管約束，這使得在客戶(hù)個(gè)人信息方面，銀行與外部方合作的風(fēng)險難以完全有效緩釋。

　　浦發(fā)銀行相關(guān)負責人也表示，在推進(jìn)數據安全治理過(guò)程中有如下難點(diǎn)：一是數據的多樣化、復雜性給識別數據資產(chǎn)以及數據分級分類(lèi)帶來(lái)一定難度；二是數據安全的相關(guān)法律法規有待進(jìn)一步完善，為數據確權提供依據。

　　業(yè)內人士預期，未來(lái)相關(guān)法律制度將進(jìn)一步完善，以促進(jìn)個(gè)人金融信息保護工作的更好開(kāi)展。

　　蘇筱芮表示，伴隨著(zhù)頂層制度的不斷完善，金融業(yè)的數據治理工作將邁入常態(tài)化階段。個(gè)人信息保護法的出臺不僅能夠為個(gè)人信息保護工作的順利開(kāi)展奠定優(yōu)良根基，且作為信息保護領(lǐng)域的上位法，后續亦將助推其他個(gè)人金融信息保護領(lǐng)域相關(guān)的法規條例加速出臺。

　　“未來(lái)，我們會(huì )進(jìn)一步完善金融領(lǐng)域個(gè)人信息保護的法律制度，并加大對個(gè)人信息保護的監管力度?！币拙V說(shuō)。

　　易綱還表示，個(gè)人信息保護的最終目的是促進(jìn)數據的合理使用。要在充分保護個(gè)人信息的前提下，探索實(shí)現更加精確的數據確權，更加便捷的數據交易，更合理的數據使用，激發(fā)市場(chǎng)主體活力和科技創(chuàng )新能力。

　　“個(gè)人金融信息保護是在合理利用的基礎上對個(gè)人金融信息保護的強化。因為個(gè)人金融信息一方面是個(gè)人的信息，但另一方面眾多的個(gè)人金融信息對于國家金融戰略的實(shí)施和國家金融政策的制定也具有巨大價(jià)值。因此，在保護個(gè)人金融信息的同時(shí)，也要兼顧個(gè)人金融信息的合理利用，不能為了個(gè)人金融信息的保護，而舍棄個(gè)人金融信息的合理利用，這二者之間必須保持平衡?！倍∮钕璞硎?。

?