金融机构多管齐下筑个人信息“防护墙”
伴随着金融科技的高速发展,个人金融信息保护问题愈发突出。当前不少机构正围绕个人信息保护法、数据安全法等进行研究,对现有的系统设置和业务模式进行调整,积极探索新型技术防护手段,保障数据全生命周期安全。
更细更严 分级管理或成趋势
个人金融信息保护一直受到监管层高度关注。人民银行行长易纲近日在2021年香港金融科技周上发表视频演讲时表示,2005年以来人民银行在反洗钱、消费者权益保护和征信等领域陆续出台了个人信息保护相关制度。而从立法层面来看,今年6月和8月,我国分别出台了数据安全法和个人信息保护法,初步建立了个人信息保护的法律制度体系。
11月1日正式实施的《中华人民共和国个人信息保护法》,是我国第一部个人信息保护方面的专门法律。按照个人信息保护法规定,只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
北京金融法院法官丁宇翔表示,金融机构需要探索更为精细或者说更为严格的个人金融信息的分级管理措施。个人信息保护法将个人信息分为敏感个人信息和非敏感个人信息,而金融行业实际上划分的更为精细。“分级管理是一个大的方向,我预期所有的金融机构会在个人金融信息分级管理措施上有更进一步的跟进举措。”丁宇翔说。
技术加持 常态化全周期防护
整体而言,数据安全法、个人信息保护法给金融机构在信息获取和使用、数据处理等方面提出了更高要求,不少机构正在根据新规进行相应调整。
记者从浦发银行了解到,其根据数据安全法、个人信息保护法等法律法规和监管要求,正持续提升数据安全防护能力,着力打造全覆盖体系化网络安全防护体系,持续强化数据安全和客户隐私保护力度,建立全周期多层次数据安全保障体系。
“主要措施包括,一是构建综合安全治理框架,建立常态化安全内控规范机制;二是建立数据安全分类分级标准,采取分级保护;三是实施多层次的纵深防御策略,持续升级网络安全防护体系。”该负责人表示。
值得注意的是,为了做到完全合规,金融机构也需在业务模式和系统上进行调整。
一家股份制银行信用卡中心相关负责人对记者表示,银行信用卡部门因为客户量众多,银行和客户建立业务关系时使用的合同条款多是格式条款。但格式条款在新的个人信息保护法实施后,则遭遇了很大挑战。他说:“因为个人信息保护法要求敏感个人信息的对外提供和使用需要取得客户的单独授权和同意,不允许通过格式条款‘一揽子’提供。另外,个人信息保护法要求客户在同意提供个人信息之后,还享有撤回的权利。以上这些要求都需要我们对现有的系统设置和业务模式进行调整。”
新闻推荐
2022年《经济蓝皮书》发布会指出,当前,部分房地产企业债务问题较为突出,正处在应对和化解之中。需要引起重视的是近期房...