金融業(yè)數(shù)據(jù)具有三個(gè)較為顯著的特征。一是多方融合。金融產(chǎn)品服務(wù)于國(guó)計(jì)民生、百行千業(yè)，因此金融數(shù)據(jù)與各行各業(yè)的數(shù)據(jù)緊密融合。二是敏感度高。金融數(shù)據(jù)涉及客戶(hù)的敏感個(gè)人信息、商業(yè)秘密甚至國(guó)家機(jī)密，具有高度的敏感性。三是監(jiān)管?chē)?yán)格。金融監(jiān)管歷來(lái)嚴(yán)格，保護(hù)客戶(hù)權(quán)益、防范系統(tǒng)性金融風(fēng)險(xiǎn)是多數(shù)國(guó)家金融監(jiān)管制度的底線(xiàn)。本期內(nèi)容將圍繞以上三個(gè)特征展開(kāi)論述。

數(shù)據(jù)治理視角下的金融數(shù)據(jù)保護(hù)

金融數(shù)據(jù)貫穿業(yè)務(wù)的全流程全環(huán)節(jié)，如何把數(shù)據(jù)管理落到實(shí)處呢？現(xiàn)在的趨勢(shì)是通過(guò)從上到下、從前端到后端、從前臺(tái)中臺(tái)到后臺(tái)的聯(lián)動(dòng)，實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)金融業(yè)務(wù)全環(huán)節(jié)，落實(shí)管理機(jī)制。數(shù)據(jù)保護(hù)在目前的環(huán)境下較為復(fù)雜，僅靠合規(guī)部門(mén)、信息安全部門(mén)、業(yè)務(wù)部門(mén)很難達(dá)到很好的效果，所以《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》從治理架構(gòu)、數(shù)據(jù)管理、質(zhì)量控制、價(jià)值實(shí)現(xiàn)和監(jiān)督管理等方面都提出了管理要求。

在日常的工作中，企業(yè)可以從以下方面入手做好數(shù)據(jù)保護(hù)。第一，要有戰(zhàn)略意識(shí)，要結(jié)合金融機(jī)構(gòu)的資金、技術(shù)和人員情況、業(yè)務(wù)資源稟賦制定投入設(shè)計(jì)。第二，做好包括合規(guī)機(jī)制、數(shù)據(jù)價(jià)值應(yīng)用等在內(nèi)的組織架構(gòu)，樹(shù)立數(shù)據(jù)保護(hù)中的重點(diǎn)不是“保護(hù)”，而是要實(shí)現(xiàn)企業(yè)發(fā)展和經(jīng)營(yíng)目標(biāo)，為金融行業(yè)、實(shí)體經(jīng)濟(jì)服務(wù)并惠及百姓民生的這一意識(shí)。

另外，金融機(jī)構(gòu)在開(kāi)展數(shù)據(jù)保護(hù)、數(shù)據(jù)治理和業(yè)務(wù)創(chuàng)新的時(shí)候，也會(huì)雇傭外包部門(mén)加強(qiáng)技術(shù)和人員方面的能力，產(chǎn)生內(nèi)外聯(lián)動(dòng)。目前，“open bank”的概念受到熱切關(guān)注，將金融與消費(fèi)場(chǎng)景結(jié)合的場(chǎng)景金融是新興趨勢(shì)。銀行保險(xiǎn)機(jī)構(gòu)也借此機(jī)會(huì)與一些特定的互聯(lián)網(wǎng)平臺(tái)（如出行、消費(fèi)、娛樂(lè)平臺(tái)）開(kāi)展合作，開(kāi)發(fā)新的金融產(chǎn)品，產(chǎn)生大量的數(shù)據(jù)交互。

在此過(guò)程中，部分信息科技外包是常見(jiàn)現(xiàn)象。那么大數(shù)據(jù)交互的信息安全管理責(zé)任應(yīng)當(dāng)如何認(rèn)定呢？銀保監(jiān)會(huì)的《銀行保險(xiǎn)業(yè)信息科技外包風(fēng)險(xiǎn)管理指引》做了明確規(guī)定。主體責(zé)任由金融機(jī)構(gòu)自身承擔(dān)，因此金融機(jī)構(gòu)需要建立完善的管理體系落實(shí)數(shù)據(jù)保護(hù)責(zé)任。在外包機(jī)構(gòu)的管理責(zé)任這一重點(diǎn)問(wèn)題上，應(yīng)當(dāng)堅(jiān)持不將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包的原則。

目前金融機(jī)構(gòu)或者大型企業(yè)集團(tuán)會(huì)要求其供應(yīng)商購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)，對(duì)沖信息科技方面的責(zé)任。此類(lèi)保險(xiǎn)不僅在歐洲、美國(guó)發(fā)展得較成熟，覆蓋范圍較廣，而且也在中國(guó)大陸的網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)中起步很快，起到了對(duì)信息科技風(fēng)險(xiǎn)的有效對(duì)沖作用。

銀行保險(xiǎn)業(yè)金融消費(fèi)者個(gè)人信息權(quán)益保護(hù)

銀行保險(xiǎn)業(yè)對(duì)于金融消費(fèi)者的個(gè)人信息保護(hù)具有“強(qiáng)監(jiān)管”的特點(diǎn)。在《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》出臺(tái)之前，關(guān)于金融機(jī)構(gòu)的個(gè)人的信息保護(hù)已有了一定的管理機(jī)制。相關(guān)監(jiān)管要求包括：

《保險(xiǎn)法》

保險(xiǎn)代理人、保險(xiǎn)經(jīng)紀(jì)人及其從業(yè)人員在辦理保險(xiǎn)業(yè)務(wù)活動(dòng)中不得：泄露在業(yè)務(wù)活動(dòng)中知悉的保險(xiǎn)人、投保人、被保險(xiǎn)人的商業(yè)秘密。

國(guó)務(wù)院辦公廳《關(guān)于加強(qiáng)金融消費(fèi)者權(quán)益保護(hù)工作的指導(dǎo)意見(jiàn)》

保障金融消費(fèi)者信息安全權(quán)。金融機(jī)構(gòu)應(yīng)當(dāng)采取有效措施加強(qiáng)對(duì)第三方合作機(jī)構(gòu)的管理，明確雙方權(quán)利義務(wù)關(guān)系，嚴(yán)格防控金融消費(fèi)者信息泄露風(fēng)險(xiǎn)，保障金融消費(fèi)者信息安全。

《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法2020[5]》

消費(fèi)者金融信息保護(hù)：消費(fèi)者金融信息，是指銀行、支付機(jī)構(gòu)通過(guò)開(kāi)展業(yè)務(wù)或者其他合法渠道處理的消費(fèi)者信息，包括個(gè)人身份信息、財(cái)產(chǎn)信息、賬戶(hù)信息、信用信息、金融交易信息及其他與特定消費(fèi)者購(gòu)買(mǎi)、使用金融產(chǎn)品或者服務(wù)相關(guān)的信息。

《關(guān)于規(guī)范互聯(lián)網(wǎng)保險(xiǎn)銷(xiāo)售行為可回溯管理的通知》

保險(xiǎn)機(jī)構(gòu)開(kāi)展互聯(lián)網(wǎng)保險(xiǎn)銷(xiāo)售行為可回溯時(shí)，收集、使用消費(fèi)者信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得收集與其銷(xiāo)售產(chǎn)品無(wú)關(guān)的消費(fèi)者信息。

《互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)監(jiān)管辦法》

自營(yíng)網(wǎng)絡(luò)平臺(tái)顯著位置，列明針對(duì)消費(fèi)者個(gè)人信息、投保交易信息和交易安全的保障措施。

保險(xiǎn)機(jī)構(gòu)應(yīng)承擔(dān)客戶(hù)信息的主體責(zé)任。

未經(jīng)同意授權(quán)，不得將客戶(hù)信息用于所提供保險(xiǎn)服務(wù)之外的用途。

2022年5月19日，銀保監(jiān)會(huì)出臺(tái)了《銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法（征求意見(jiàn)稿）》，專(zhuān)門(mén)對(duì)銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者的金融信息安全進(jìn)行保護(hù)。該辦法把銀保監(jiān)會(huì)管轄范圍內(nèi)的所有金融機(jī)構(gòu)都囊括進(jìn)來(lái)，除了銀行支付機(jī)構(gòu)之外，保險(xiǎn)、征信、消金、信托等都被納入到了管理體系之中：

格式條款上，使用格式條款取得個(gè)人信息授權(quán)的，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在格式條款中明確收集、使用和對(duì)外提供的范圍和具體情形，并在協(xié)議的醒目位置提示與消費(fèi)者存在重大利害關(guān)系的內(nèi)容。

外部合作上，一方面銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在消費(fèi)者授權(quán)同意的基礎(chǔ)上與合作方處理消費(fèi)者信息，與合作機(jī)構(gòu)的協(xié)議中應(yīng)約定數(shù)據(jù)保護(hù)責(zé)任、保密義務(wù)、監(jiān)督、處罰、合同終止和突發(fā)情況下的應(yīng)急處置條款。另一方面，合作過(guò)程中，應(yīng)通過(guò)加密傳輸線(xiàn)路、安全隔離、數(shù)據(jù)加密、權(quán)限管控、監(jiān)測(cè)報(bào)警等方式，嚴(yán)格控制合作方行為與權(quán)限，開(kāi)展數(shù)據(jù)分析等方面的合作，使用脫敏后的數(shù)據(jù)，從而防范數(shù)據(jù)濫用或泄露風(fēng)險(xiǎn)。

同時(shí)，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)督促和規(guī)范與其合作的互聯(lián)網(wǎng)平臺(tái)企業(yè)有效保護(hù)消費(fèi)者個(gè)人信息，未經(jīng)消費(fèi)者授權(quán)同意，不得在不同平臺(tái)間傳遞消費(fèi)者個(gè)人信息，不得利用痕跡數(shù)據(jù)對(duì)消費(fèi)者開(kāi)展未經(jīng)授權(quán)的營(yíng)銷(xiāo)活動(dòng)。

另外，在技術(shù)和設(shè)備的投入方面，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)注意兩個(gè)問(wèn)題。一是加強(qiáng)系統(tǒng)控制，處理和使用個(gè)人信息的業(yè)務(wù)或信息系統(tǒng)，應(yīng)遵循權(quán)責(zé)對(duì)應(yīng)、最小必要原則設(shè)置訪問(wèn)、操作權(quán)限，落實(shí)授權(quán)審批流程，實(shí)現(xiàn)異常操作行為的有效監(jiān)控和干預(yù)。二是注重行為管理，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)加強(qiáng)從業(yè)人員行為管理，禁止違規(guī)查詢(xún)、復(fù)制、下載、儲(chǔ)存消費(fèi)者個(gè)人信息，不得超出自身職責(zé)和權(quán)限非法處理和使用。

實(shí)操中可以采取以下技術(shù)方案保護(hù)銀行保險(xiǎn)業(yè)金融消費(fèi)者的個(gè)人信息權(quán)益。

首先，可以采用“數(shù)據(jù)超市”這一輕量級(jí)數(shù)據(jù)API管理方案，針對(duì)內(nèi)部、外部數(shù)據(jù)API進(jìn)行一站式管理。對(duì)數(shù)據(jù)進(jìn)行交互管理時(shí)（如通過(guò)API和合作伙伴進(jìn)行數(shù)據(jù)交互，或內(nèi)部不同部門(mén)、系統(tǒng)之間進(jìn)行數(shù)據(jù)交互時(shí)），怎樣做流量控制、安全控制，怎樣在運(yùn)營(yíng)分析模塊嚴(yán)格詳細(xì)地監(jiān)測(cè)調(diào)用明細(xì)，出現(xiàn)異常時(shí)如何警告對(duì)接等，都可以由其統(tǒng)管。包括數(shù)據(jù)安全分級(jí)分類(lèi)、脫敏、審級(jí)留痕、加密、數(shù)據(jù)出庫(kù)入庫(kù)等在內(nèi)的程序，則可以由自動(dòng)加密去實(shí)現(xiàn)，并且在過(guò)程中保障業(yè)務(wù)合規(guī)，防止錯(cuò)漏。

其次，管理從業(yè)人員時(shí)，可以采用全鏈路數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)與分析系統(tǒng)方案（EFM）強(qiáng)化數(shù)據(jù)防控的要求。該方案通過(guò)旁路流量采集解析技術(shù)，為包括應(yīng)用接口在內(nèi)的應(yīng)用協(xié)議和數(shù)據(jù)庫(kù)協(xié)議類(lèi)型的涉敏數(shù)據(jù)識(shí)別、梳理、監(jiān)測(cè)、分析與溯源提供支持，在不影響業(yè)務(wù)系統(tǒng)的情況下，利用一站式數(shù)據(jù)安全運(yùn)營(yíng)方案解決問(wèn)題。

金融數(shù)據(jù)出境合規(guī)

2011年1月，中國(guó)人民銀行出臺(tái)《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》，規(guī)定“在中國(guó)境內(nèi)收集的個(gè)人金融信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息。”這說(shuō)明在《網(wǎng)絡(luò)安全法》出臺(tái)之前，央行就已明確我國(guó)金融數(shù)據(jù)的處理活動(dòng)應(yīng)當(dāng)在境內(nèi)進(jìn)行。

2011年5月，中國(guó)人民銀行上海分行出臺(tái)《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作有關(guān)問(wèn)題的通知》，規(guī)定“為客戶(hù)辦理業(yè)務(wù)所必需，且經(jīng)客戶(hù)書(shū)面授權(quán)或同意，境內(nèi)銀行業(yè)金融機(jī)構(gòu)向境外總行、母行或分行、子行提供境內(nèi)個(gè)人金融信息的，可不認(rèn)為違規(guī)。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)保證其境外總行、母行或分行、子行為所獲得的個(gè)人金融信息保密。”這意味著在“三加一”的管理體系下，可以進(jìn)行部分跨境金融數(shù)據(jù)傳輸活動(dòng)（“三”代表業(yè)務(wù)所必需、書(shū)面同意、境內(nèi)銀行業(yè)金融機(jī)構(gòu)向境外總行等提供境內(nèi)個(gè)人金融信息，“一”代表境內(nèi)金融機(jī)構(gòu)要對(duì)境外數(shù)據(jù)處理行為負(fù)責(zé)）。

2016年12月，《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》規(guī)定“在中國(guó)境內(nèi)收集的個(gè)人金融信息的存儲(chǔ)、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外，金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息。境內(nèi)金融機(jī)構(gòu)為處理跨境業(yè)務(wù)且經(jīng)當(dāng)事人授權(quán)，向境外機(jī)構(gòu)（含總公司、母公司或者分公司、子公司及其他為完成該業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu)）傳輸境內(nèi)收集的相關(guān)個(gè)人金融信息的，應(yīng)當(dāng)符合法律、行政法規(guī)和相關(guān)監(jiān)管部門(mén)的規(guī)定，并通過(guò)簽訂協(xié)議、現(xiàn)場(chǎng)核查等有效措施，要求境外機(jī)構(gòu)為所獲得的個(gè)人金融信息保密。” 但是大家要注意的是 2020年的新一版《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》刪除了數(shù)據(jù)跨境的內(nèi)容。

總之，金融數(shù)據(jù)保護(hù)不能單一行動(dòng)，而要在公司的業(yè)務(wù)戰(zhàn)略目標(biāo)下統(tǒng)籌兼顧。尤其是目前進(jìn)入金融科技的第二個(gè)規(guī)劃時(shí)期，數(shù)據(jù)要素的價(jià)值越發(fā)凸顯，所以金融數(shù)據(jù)保護(hù)也將貫穿金融業(yè)務(wù)的整個(gè)環(huán)節(jié)——橫向上，是貫穿全行業(yè)前中后臺(tái)的各個(gè)部門(mén)；縱向上，是從上到下、從董事會(huì)到管理層、到一線(xiàn)業(yè)務(wù)端的人員。因此，在后續(xù)的工作中，應(yīng)當(dāng)把整體性、系統(tǒng)性思維運(yùn)用到金融數(shù)據(jù)保護(hù)工作中。