經(jīng)濟(jì)觀察網(wǎng) 胡群/文 11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）正式生效，這意味著我國(guó)對(duì)個(gè)人信息安全的保護(hù)進(jìn)入了新的歷史時(shí)期，我國(guó)公民的個(gè)人信息安全及隱私保護(hù)走上了新臺(tái)階。

數(shù)字化轉(zhuǎn)型大潮下，數(shù)據(jù)正在被金融機(jī)構(gòu)越來越重視。金融AI的每一步，大數(shù)據(jù)紅利在左，數(shù)據(jù)隱私安全在右。虛擬化經(jīng)濟(jì)、數(shù)字化趨勢(shì)帶來的數(shù)據(jù)隱私、數(shù)據(jù)安全問題日益受到業(yè)界的重視。

“《個(gè)人信息保護(hù)法》是一部針對(duì)公民個(gè)人信息的專門法律，與《民法典》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《電子商務(wù)法》、《消費(fèi)者權(quán)益保護(hù)法》等法律共同組成一張公民個(gè)人信息保護(hù)網(wǎng)。而金融數(shù)據(jù)治理成為關(guān)注重點(diǎn)。”中國(guó)銀行法學(xué)研究會(huì)理事肖颯認(rèn)為，商業(yè)銀行業(yè)務(wù)鏈路長(zhǎng)而復(fù)雜，業(yè)務(wù)覆蓋零售、公司、金融市場(chǎng)、風(fēng)險(xiǎn)管理等，沉淀了大量的復(fù)雜數(shù)據(jù)資產(chǎn)，包括個(gè)人信息，因此該法律對(duì)銀行等金融機(jī)構(gòu)提出了更高的要求。

現(xiàn)狀

移動(dòng)互聯(lián)時(shí)代，隨著越來越多的數(shù)據(jù)產(chǎn)生，用戶隱私保護(hù)日益成為市場(chǎng)及監(jiān)管機(jī)構(gòu)關(guān)注的熱點(diǎn)，當(dāng)前，仍有部分?jǐn)?shù)字科技類企業(yè)強(qiáng)制或在用戶不知情時(shí)開放與其提供的服務(wù)毫不相關(guān)的各種手機(jī)權(quán)限。隨著數(shù)據(jù)安全合規(guī)的監(jiān)管日益嚴(yán)格，“知情”、“自愿”、“適度”、“必要”等限制性要素將成為每一家數(shù)字科技公司收集客戶信息的原則。

近年來，個(gè)人數(shù)據(jù)泄露引發(fā)的詐騙事件屢禁不止。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心最新數(shù)據(jù)顯示，截至2021年6月，遭遇個(gè)人信息泄露的網(wǎng)民比例約為22.8%；遭遇網(wǎng)絡(luò)詐騙的網(wǎng)民比例為17.2%；遭遇設(shè)備中病毒或木馬的網(wǎng)民比例為9.4%；遭遇賬號(hào)或密碼被盜的網(wǎng)民比例為8.6%。

疫情發(fā)生以來，金融機(jī)構(gòu)服務(wù)線上化進(jìn)程加速，“非接觸式服務(wù)”的應(yīng)用日益廣泛。在這一過程中，越來越多金融機(jī)構(gòu)在合規(guī)的前提下，借助各種互聯(lián)網(wǎng)平臺(tái)，通過挖掘數(shù)據(jù)價(jià)值提升自身競(jìng)爭(zhēng)力。這也意味著，金融機(jī)構(gòu)要兼顧個(gè)人隱私保護(hù)與經(jīng)濟(jì)發(fā)展需求之間的平衡，在運(yùn)用數(shù)據(jù)為用戶提供產(chǎn)品服務(wù)的同時(shí)，金融機(jī)構(gòu)更要強(qiáng)化個(gè)人敏感信息的保護(hù)，嚴(yán)格控制涉及個(gè)人隱私的個(gè)人信息。

“為了獲得平臺(tái)公司的金融服務(wù)，中國(guó)的消費(fèi)者往往需要向其提供個(gè)人信息。大型平臺(tái)公司存在過度收集、甚至濫用消費(fèi)者信息的情況，不利于消費(fèi)者信息安全和隱私保護(hù)。”10月7日，中國(guó)人民銀行行長(zhǎng)易綱在在國(guó)際清算銀行（BIS）監(jiān)管大型科技公司國(guó)際會(huì)議上稱，自2016年起，中國(guó)陸續(xù)出臺(tái)了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，著手治理信息收集和“霸王條款”，督促金融機(jī)構(gòu)嚴(yán)格按照合法、正當(dāng)、最小必要原則收集、使用和保管用戶信息，充分保障個(gè)人隱私和消費(fèi)者知情權(quán)、同意權(quán)、異議權(quán)、投訴權(quán)等合法權(quán)益。人民銀行剛剛發(fā)布了《征信業(yè)務(wù)管理辦法》，在征信領(lǐng)域規(guī)范了個(gè)人信息保護(hù)及信息主體各項(xiàng)合法權(quán)益。下一步，人民銀行將在確保個(gè)人隱私和數(shù)據(jù)安全的前提下，探索實(shí)現(xiàn)更精準(zhǔn)的數(shù)據(jù)確權(quán)，更便捷的數(shù)據(jù)交易，更合理的數(shù)據(jù)使用，繼續(xù)激發(fā)市場(chǎng)主體活力和科技創(chuàng)新能力。

挑戰(zhàn)

“《個(gè)人信息保護(hù)法》的落地實(shí)施，使金融機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)從一般監(jiān)管要求上升到強(qiáng)制性法律要求，勢(shì)必將引起金融行業(yè)高度重視，促進(jìn)金融機(jī)構(gòu)進(jìn)一步強(qiáng)化個(gè)人信息保護(hù)力度，提升信息安全、數(shù)據(jù)安全 充分保障個(gè)人信息主體的各種權(quán)利，以滿足合規(guī)要求。另外，個(gè)人信息保護(hù)法確定了個(gè)人信息處理的明示同意規(guī)則，以及個(gè)人信息跨境傳輸規(guī)則等，對(duì)集團(tuán)型或多級(jí)法人的金融機(jī)構(gòu)，在對(duì)個(gè)人信息的跨法人和跨境處理時(shí)，需要特別注意防范合規(guī)風(fēng)險(xiǎn)。”索信達(dá)數(shù)據(jù)治理專家魏強(qiáng)稱，對(duì)于金融機(jī)構(gòu)而言，落實(shí)立法規(guī)范，應(yīng)嚴(yán)格遵循個(gè)人信息保護(hù)法和行業(yè)標(biāo)準(zhǔn)要求，建立個(gè)人信息保護(hù)的制度體系，明確工作職責(zé)，規(guī)范工作流程，完善IT系統(tǒng)，設(shè)計(jì)并實(shí)施覆蓋個(gè)人信息全生命周期的安全保護(hù)策略。

金融行業(yè)對(duì)個(gè)人信息保護(hù)一直較為重視，監(jiān)管也十分嚴(yán)格，相關(guān)保護(hù)措施走在前列。人民銀行在2020年2月就發(fā)布了金融行業(yè)標(biāo)準(zhǔn)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JRT0171-2020），規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求，從安全技術(shù)和安全管理兩個(gè)方面，為金融機(jī)構(gòu)建設(shè)個(gè)人金融信息保護(hù)架構(gòu)提供了體系化與專業(yè)化的參考標(biāo)準(zhǔn)。

普華永道的報(bào)告顯示，《個(gè)人信息保護(hù)法》對(duì)金融機(jī)構(gòu)，尤其是涉及零售業(yè)務(wù)的金融機(jī)構(gòu)將帶來重大的影響，其確立了個(gè)人信息保護(hù)原則，核心規(guī)則是以“告知-同意”作為個(gè)人信息處理知情權(quán)和決定權(quán)的重要手段。金融機(jī)構(gòu)掌握著大量的個(gè)人信息以及敏感個(gè)人信息，這些信息往往由不同部門處理并可能散落在不同的系統(tǒng)中，甚至很多數(shù)據(jù)由外包商進(jìn)行處理。

尤為重要的是，《個(gè)人信息保護(hù)法》規(guī)定，違反本法情節(jié)嚴(yán)重的，對(duì)企業(yè)可以處以高達(dá)五千 萬元或者上一年度營(yíng)業(yè)額百分之五的罰款，并可以責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照等。對(duì)違法相關(guān)責(zé)任人則包括罰款、禁入、乃至刑事處罰。

肖颯認(rèn)為，在我國(guó)公民的數(shù)據(jù)權(quán)得到進(jìn)一步保障的同時(shí)，銀行等金融機(jī)構(gòu)將面臨更加嚴(yán)格和全面的監(jiān)管。從長(zhǎng)遠(yuǎn)來看，《個(gè)人信息保護(hù)法》不僅保障了公民的隱私權(quán)、人格權(quán)等一系列憲法權(quán)利，也能有效防止數(shù)據(jù)資源被不法分子利用給個(gè)人和社會(huì)造成損害。這是我國(guó)在信息化時(shí)代的重大戰(zhàn)略布局，銀行等征信機(jī)構(gòu)只有明確法律紅線，在規(guī)范之內(nèi)開展業(yè)務(wù)才是順應(yīng)時(shí)代所需，順應(yīng)人民所求的正確行為。

技術(shù)

“商業(yè)銀行基于數(shù)字技術(shù)的引入，采集和存儲(chǔ)數(shù)據(jù)的能力都在急速擴(kuò)張，沉淀了大量原始數(shù)據(jù)資源，實(shí)現(xiàn)了業(yè)務(wù)數(shù)據(jù)化。”10月29日，浦發(fā)銀行聯(lián)合IBM、中國(guó)信息通信研究院發(fā)布《商業(yè)銀行數(shù)據(jù)資產(chǎn)管理體系建設(shè)實(shí)踐報(bào)告》顯示，數(shù)據(jù)資產(chǎn)的多少、采集能力的強(qiáng)弱，對(duì)業(yè)務(wù)支撐、管理決策的程度將直接影響商業(yè)銀行經(jīng)營(yíng)與創(chuàng)新服務(wù)能力。

“數(shù)據(jù)安全必須依靠可靠、完整的安全體系與安全技術(shù)來實(shí)現(xiàn)。”索信達(dá)數(shù)據(jù)管理領(lǐng)域?qū)＜翼f海晗表示，法律、法規(guī)及監(jiān)管制度的日益嚴(yán)格，以及企業(yè)自身發(fā)展的內(nèi)在需求，都在促使銀行業(yè)將數(shù)據(jù)安全視為重中之重。

在銀行機(jī)構(gòu)構(gòu)建數(shù)據(jù)安全體系的具體實(shí)踐中，韋海晗提出了一些建議和看法：一是數(shù)據(jù)安全管理的工作是貫穿于整個(gè)數(shù)據(jù)管理體系之中的，關(guān)系到整個(gè)數(shù)據(jù)管理體系的搭建。從整個(gè)數(shù)據(jù)管理角度看，數(shù)據(jù)安全管理工作包括數(shù)據(jù)安全管理標(biāo)準(zhǔn)、數(shù)據(jù)安全事故處理、數(shù)據(jù)安全分級(jí)、數(shù)據(jù)安全審計(jì)。數(shù)據(jù)安全分級(jí)是數(shù)據(jù)安全管理體系構(gòu)建的重點(diǎn)核心，數(shù)據(jù)分類又是數(shù)據(jù)安全分級(jí)的基礎(chǔ)和依據(jù)。在系統(tǒng)技術(shù)支撐上，可以將數(shù)據(jù)安全分級(jí)管理體系嵌入到類似元數(shù)據(jù)平臺(tái)、數(shù)據(jù)資產(chǎn)管理平臺(tái)上去做。

在韋海晗看來，銀行機(jī)構(gòu)可設(shè)立從決策到業(yè)務(wù)到技術(shù)的體系化的數(shù)據(jù)安全管理組織，建立從制定計(jì)劃、評(píng)估安全、執(zhí)行解決方案、到總結(jié)經(jīng)驗(yàn)的數(shù)據(jù)安全管理流程。在數(shù)據(jù)安全管理系統(tǒng)層面需貫穿數(shù)據(jù)管理部門、業(yè)務(wù)部門和技術(shù)部門，數(shù)據(jù)安全管理系統(tǒng)包括數(shù)據(jù)安全管理分析、數(shù)據(jù)安全分級(jí)管理、系統(tǒng)安全分級(jí)管理和系統(tǒng)管理；數(shù)據(jù)安全監(jiān)控系統(tǒng)建設(shè)同樣重要，數(shù)據(jù)安全監(jiān)控系統(tǒng)目的在于：遵守監(jiān)管對(duì)金融數(shù)據(jù)的保護(hù)要求，建立常態(tài)化數(shù)據(jù)安全審計(jì)工作的有效工具和機(jī)制，數(shù)據(jù)庫及應(yīng)用系統(tǒng)多樣，實(shí)現(xiàn)集中統(tǒng)一的監(jiān)控管理與報(bào)警，實(shí)時(shí)監(jiān)測(cè)內(nèi)部用戶訪問敏感數(shù)據(jù)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露事件，防范數(shù)據(jù)庫后臺(tái)授權(quán)用戶操作風(fēng)險(xiǎn)，向管理層提供準(zhǔn)確的數(shù)據(jù)庫風(fēng)險(xiǎn)狀況報(bào)表等。

當(dāng)前，新型金融業(yè)態(tài)不斷涌現(xiàn)，金融服務(wù)線上場(chǎng)景與日俱增。新型金融機(jī)構(gòu)在構(gòu)建網(wǎng)絡(luò)銀行、手機(jī)App、第三方支付平臺(tái)等金融服務(wù)平臺(tái)時(shí)，應(yīng)肩負(fù)起時(shí)代的責(zé)任，確保個(gè)人金融信息安全。

馬上消費(fèi)金融采取多項(xiàng)措施確保個(gè)人信息在收集、存儲(chǔ)、傳輸、使用、刪除及銷毀全生命周期的合規(guī)與安全。公司建立數(shù)據(jù)管理相關(guān)制度辦法，在數(shù)據(jù)密級(jí)定義、分級(jí)、對(duì)應(yīng)保護(hù)措施、數(shù)據(jù)全生命周期保護(hù)策略進(jìn)行了明確的規(guī)定。

具體來說，馬上消費(fèi)金融通過技術(shù)與管理相結(jié)合的方式，嚴(yán)控個(gè)人數(shù)據(jù)全生命周期安全，包括合法合規(guī)依法開展個(gè)人數(shù)據(jù)采集；層層設(shè)控，安全開展數(shù)據(jù)加工和使用；自研加密系統(tǒng)，數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)透明加解密；應(yīng)用加密技術(shù)，保障數(shù)據(jù)傳輸安全；制度先行，數(shù)據(jù)銷毀實(shí)現(xiàn)流程化管理；邊界防御轉(zhuǎn)向全面防御，打造馬上數(shù)據(jù)防泄密體系；引入人工智能技術(shù)，助力數(shù)據(jù)安全審計(jì)。

“比如，公司對(duì)敏感字段進(jìn)行不可逆加密，然后僅提供加密后密文數(shù)據(jù)；在傳輸中使用通道加密、數(shù)據(jù)內(nèi)容加密技術(shù)；并通過網(wǎng)絡(luò)訪問控制、身份認(rèn)證等策略確保數(shù)據(jù)傳遞過程中的安全。”馬上消費(fèi)金融相關(guān)負(fù)責(zé)人稱。

當(dāng)前，學(xué)術(shù)界和企業(yè)界已在在大數(shù)據(jù)、人工智能和密碼學(xué)等領(lǐng)域，探索安全多方計(jì)算、隱私計(jì)算、聯(lián)邦學(xué)習(xí)、可信執(zhí)行環(huán)境等多個(gè)方向，研究如何在保證數(shù)據(jù)安全的前提下打破數(shù)據(jù)孤島，實(shí)現(xiàn)數(shù)據(jù)可用。

“隱私計(jì)算的作用在于隱私保護(hù)基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化。”建信金科創(chuàng)新實(shí)驗(yàn)室總經(jīng)理王雪表示，通過多方數(shù)據(jù)融合分析，最大程度挖掘數(shù)據(jù)價(jià)值，在滿足監(jiān)管要求的前提下，實(shí)現(xiàn)數(shù)據(jù)互聯(lián)互通，通過新的業(yè)務(wù)模式擴(kuò)展外部數(shù)據(jù)連接，解決數(shù)據(jù)供給側(cè)和需求側(cè)匹配的問題。目前這一應(yīng)用早在2019年初已在建信金科及建行業(yè)務(wù)中開始實(shí)踐。