2022年11月1日，《中華人民共和國個人信息保護(hù)法》（以下簡稱“個保法”）正式實(shí)施一周年，金融行業(yè)客戶個人信息權(quán)益保護(hù)進(jìn)一步加強(qiáng)。在金融領(lǐng)域，2022年1月1日起《征信業(yè)務(wù)管理辦法》正式實(shí)施，今年8月銀保監(jiān)會下發(fā)《關(guān)于開展銀行保險(xiǎn)機(jī)構(gòu)侵害個人信息權(quán)益亂象專項(xiàng)整治工作的通知》，對金融機(jī)構(gòu)個人信息權(quán)益保護(hù)也提出新要求。

一年來，隨著有關(guān)部門對金融機(jī)構(gòu)數(shù)據(jù)安全、個人信息保護(hù)、消費(fèi)者權(quán)益保護(hù)的監(jiān)管趨嚴(yán)，在合規(guī)前提下開展數(shù)據(jù)治理成為金融機(jī)構(gòu)的必答題。

據(jù)多方了解，以銀行保險(xiǎn)為主的金融機(jī)構(gòu)正在完善數(shù)據(jù)治理機(jī)制、數(shù)據(jù)分類分級制度、信息科技外包風(fēng)險(xiǎn)管理、APP個人信息保護(hù)、金融消費(fèi)者權(quán)益保護(hù)等一系列制度，并展開前沿金融科技應(yīng)用，但金融行業(yè)數(shù)據(jù)合規(guī)落地工作依然道阻且長，行業(yè)呼吁個保法的金融業(yè)細(xì)則出臺。

在金融信息合規(guī)逐步緩慢推進(jìn)的當(dāng)下，金融機(jī)構(gòu)數(shù)據(jù)合規(guī)現(xiàn)狀如何？以銀行為代表的金融機(jī)構(gòu)在近一年來如何應(yīng)對個保法落地？金融科技手段為個人金融信息保護(hù)提供哪些新解法？

金融數(shù)據(jù)合規(guī)監(jiān)管趨嚴(yán)

金融機(jī)構(gòu)的個人信息合規(guī)治理并非一夕之功。在個保法正式落地前，央行就已對個人金融信息制定相關(guān)技術(shù)規(guī)范。

2020年2月，中國人民銀行正式下發(fā)《個人金融信息保護(hù)技術(shù)規(guī)范》，對個人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息、金融交易信息、個人身份信息、財(cái)產(chǎn)信息、借貸信息等方面的擴(kuò)展與細(xì)化。規(guī)定個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求，以標(biāo)準(zhǔn)化文件規(guī)范個人金融信息安全管理，保障個人金融信息主體合法權(quán)益。

此后，監(jiān)管層又相繼出臺《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》《金融科技創(chuàng)新安全通用規(guī)范》《人工智能算法金融應(yīng)用評價(jià)規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》，以及在近日出臺《金融領(lǐng)域科技倫理指引》，一系列標(biāo)準(zhǔn)化文件都對金融機(jī)構(gòu)數(shù)據(jù)安全保護(hù)與個人權(quán)益保護(hù)提出要求。

今年8月，銀保監(jiān)會印發(fā)《關(guān)于開展銀行保險(xiǎn)機(jī)構(gòu)侵害個人信息權(quán)益亂象專項(xiàng)整治工作的通知》，要求各銀行保險(xiǎn)機(jī)構(gòu)全面摸排本機(jī)構(gòu)自2021年以來與消費(fèi)者個人信息處理活動相關(guān)的經(jīng)營行為和管理情況，深入查找本機(jī)構(gòu)個人信息保護(hù)方面存在的問題，列出問題清單，自查過程中要堅(jiān)持立查立改。各銀行保險(xiǎn)機(jī)構(gòu)應(yīng)于9月20日前完成自查整改工作，并書面報(bào)告屬地銀保監(jiān)局。

“從監(jiān)管舉措及機(jī)構(gòu)實(shí)踐來看，以商業(yè)銀行為典型，個人金融信息保護(hù)和金融消費(fèi)者保護(hù)工作很早就已開展，個保法存在大量合規(guī)要求，對從業(yè)機(jī)構(gòu)的業(yè)務(wù)流程、內(nèi)控治理、外部響應(yīng)等多方面提出了多且嚴(yán)的要求。”金誠同達(dá)律師事務(wù)所高級合伙人彭凱律師表示，金融業(yè)的數(shù)據(jù)安全與個人信息保護(hù)，以《數(shù)據(jù)安全法》《個人信息保護(hù)法》為分水嶺，逐步從既往的“消保”“系統(tǒng)安全”等標(biāo)簽中分離，演化為“金融數(shù)據(jù)安全”和“個人金融信息保護(hù)”兩大板塊并自成體系。

在嚴(yán)監(jiān)管下，今年1月伊始，東亞銀行就因違反信用信息采集、提供、查詢及相關(guān)管理規(guī)定被罰1674萬元。

事實(shí)上，僅從今年上半年金融機(jī)構(gòu)收到的罰單來看，與信息處理、個人信息保護(hù)相關(guān)的罰金總額就已超過2021年全年。

結(jié)合企業(yè)預(yù)警通數(shù)據(jù)不完全統(tǒng)計(jì)，2022年上半年，銀行、保險(xiǎn)、信托、汽車金融、第三方支付等機(jī)構(gòu)收到相關(guān)罰單66張，處罰金額合計(jì)6409.34萬元。而年初統(tǒng)計(jì)的2021年全年相關(guān)罰單罰款金額合計(jì)約4654萬元。

具體來說，在信息安全保護(hù)方面，金融機(jī)構(gòu)出現(xiàn)的違規(guī)行為包括違反信用信息采集、提供、查詢及相關(guān)管理規(guī)定，信息科技風(fēng)險(xiǎn)管理不到位；在個人信息權(quán)益保護(hù)方面，包括對提供個人不良信息未事先告知信息主體本人、未建立以分級授權(quán)為核心的消費(fèi)者金融信息使用管理制度，未明示收集、使用消費(fèi)者金融信息的目的、方式和范圍。

數(shù)據(jù)合規(guī)難言“已有大成”，呼吁行業(yè)細(xì)則出臺

“金融行業(yè)數(shù)據(jù)合規(guī)落地工作在緩慢而堅(jiān)實(shí)地推進(jìn)，目前來看難言‘已有大成’，但機(jī)構(gòu)的合規(guī)投入與監(jiān)管政策都在持續(xù)加碼。”彭凱表示。

目前以銀行保險(xiǎn)業(yè)為主的金融機(jī)構(gòu)，為進(jìn)一步達(dá)到個保法要求，在數(shù)據(jù)合規(guī)方面的探索包括：金融類APP數(shù)據(jù)合規(guī)、數(shù)據(jù)分類分級制度、數(shù)據(jù)合規(guī)制度建設(shè)、開展個人信息保護(hù)影響評估、人臉識別合規(guī)、金融消費(fèi)者信息安全教育等。

“現(xiàn)在個人信息保護(hù)、數(shù)據(jù)安全合規(guī)是銀行展業(yè)的底線紅線，各家機(jī)構(gòu)都在強(qiáng)化，但涉及面很廣，要全面堵塞漏洞道阻且長。”華東某銀行金融科技部門相關(guān)人士表示，目前銀行的相關(guān)機(jī)制建設(shè)愈加完善，包括成立數(shù)據(jù)治理委員會，制定數(shù)據(jù)分類分級、消費(fèi)者保護(hù)等管理辦法，同時(shí)持續(xù)開展數(shù)據(jù)保護(hù)宣貫教育等。

一位從事金融行業(yè)超過20年的技術(shù)架構(gòu)專家認(rèn)為，金融機(jī)構(gòu)近兩年增加了數(shù)據(jù)隔離措施，例如將退出客戶的信息打標(biāo)，不使其進(jìn)入人工智能訓(xùn)練的數(shù)據(jù)集，完善APP的開發(fā)要求等。“但更細(xì)節(jié)的落實(shí)舉措，還要等待央行的個保法行業(yè)細(xì)則出臺。”

許多業(yè)內(nèi)人士期待針對金融行業(yè)的個人信息保護(hù)規(guī)范出臺。

彭凱介紹，從既往金融行業(yè)信息安全相關(guān)罰單來看，較多地與“金融消費(fèi)者保護(hù)”“外包機(jī)構(gòu)管理”“征信違規(guī)”等問題交織在一起。但從2021年開始發(fā)生了變化，諸如信息收集、信息保護(hù)機(jī)制不健全之類的問題開始出現(xiàn)在處罰案例中，但依據(jù)《數(shù)據(jù)安全法》《個人信息保護(hù)法》（以下簡稱“相關(guān)法律”）進(jìn)行處罰的案例尚未見到，不過這其實(shí)并非金融行業(yè)所特有，全行業(yè)來看，依據(jù)相關(guān)法律進(jìn)行處罰的案例都是極為少見的。

“從立法情況來看，我國并未專門對金融領(lǐng)域的個人信息保護(hù)進(jìn)行立法。雖然《中國人民銀行法》《商業(yè)銀行法》《證券法》《保險(xiǎn)法》等金融領(lǐng)域基本法律法規(guī)都涉及個人金融信息保護(hù)內(nèi)容，但總體上金融業(yè)尚未形成完整統(tǒng)一的個人金融信息保護(hù)規(guī)范，因此針對行業(yè)的個人金融信息相關(guān)活動的監(jiān)管依據(jù)較為薄弱。”馬上消費(fèi)金融研究院相關(guān)人士說道。

值得關(guān)注的是，2020年末，時(shí)任央行副行長陳雨露公開透露，國家正在制定個人信息保護(hù)法和數(shù)據(jù)安全法，下一步，中國人民銀行會根據(jù)國家將要頒布的個人信息保護(hù)法、數(shù)據(jù)安全法等新的法律，及時(shí)推出《個人金融信息保護(hù)暫行辦法》。由央行牽頭的該暫行辦法，在2019年曾有過內(nèi)部征求意見稿，但至今尚無更新消息，2022年的央行工作計(jì)劃也刪掉了這一條例。

新興科技能否成為新解法？

對于尚未迎來細(xì)分行業(yè)管理辦法的金融業(yè)而言，數(shù)據(jù)安全領(lǐng)域的新興技術(shù)正在成為市場熱點(diǎn)。

近兩年在數(shù)據(jù)安全保護(hù)應(yīng)用的熱門技術(shù)包括區(qū)塊鏈、DLP（數(shù)據(jù)防泄露）與隱私計(jì)算等。

隱私計(jì)算解決了數(shù)據(jù)“可用不可見”的問題，區(qū)塊鏈與隱私計(jì)算技術(shù)的聯(lián)合應(yīng)用，實(shí)現(xiàn)多方合作的可信網(wǎng)絡(luò)，同時(shí)可以解決中心依賴、單點(diǎn)詐騙的問題，同時(shí)，在個保法“專數(shù)專用”“可算不可識”匿名化的要求下，基于密態(tài)計(jì)算的隱私計(jì)算幫助機(jī)構(gòu)在數(shù)據(jù)合規(guī)的前提下進(jìn)一步挖掘數(shù)據(jù)價(jià)值。

而DLP產(chǎn)品為數(shù)據(jù)生命周期中的數(shù)據(jù)傳輸、數(shù)據(jù)存儲環(huán)節(jié)提供了針對性的防控手段，配合數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)訪問控制等數(shù)據(jù)安全組件、產(chǎn)品，構(gòu)建數(shù)據(jù)安全的技術(shù)底座。

此外，超自動化流程也成為近兩年資本關(guān)注的熱點(diǎn)。在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)分析等流程上，以RPA機(jī)器人代替人工可以在一定程度上杜絕人為操作風(fēng)險(xiǎn)。“過去一些銀行業(yè)務(wù)可能需要人工進(jìn)行審核、復(fù)審，如運(yùn)營管理部通過員工完成轉(zhuǎn)賬流程，需要一系列信息審核，一旦相關(guān)員工出現(xiàn)道德風(fēng)險(xiǎn)，可能會引發(fā)數(shù)字資產(chǎn)或客戶信息泄露。”弘璣解決方案及卓越運(yùn)營總監(jiān)梁一綱主張，RPA機(jī)器人可以在自動化前提下完成跨流程節(jié)點(diǎn)、跨部門的工作流程，從而規(guī)避人工帶來的部分道德風(fēng)險(xiǎn)。

不過人為帶來的風(fēng)險(xiǎn)問題并不能完全依靠技術(shù)解決。

“知易行難，金融機(jī)構(gòu)數(shù)據(jù)安全保護(hù)最大的風(fēng)險(xiǎn)在于人。”前述華東某銀行金融科技部門人士坦言，健全的數(shù)據(jù)治理機(jī)制與新興科技手段可以在一定程度上規(guī)避人為的道德風(fēng)險(xiǎn)，但難以完全“根治”。

以隱私計(jì)算為例，其本身不能解決個人信息保護(hù)中的“告知同意”等問題，只是加強(qiáng)了信息和數(shù)據(jù)互聯(lián)互通的安全性。

某四大行科技部門相關(guān)人士透露，該行隱私計(jì)算技術(shù)的應(yīng)用痛點(diǎn)是機(jī)構(gòu)之間數(shù)據(jù)開放意愿不足，該行實(shí)際應(yīng)用的場景主要是在集團(tuán)內(nèi)部子公司之間。

“長期以來，隱私計(jì)算一攬子解決個人信息保護(hù)合規(guī)問題的認(rèn)知是偏頗的。”彭凱表示，部分金融機(jī)構(gòu)隱私計(jì)算的前沿應(yīng)用仍在央行的監(jiān)管沙盒體系下進(jìn)行。

*來源：21世紀(jì)經(jīng)濟(jì)報(bào)道