打開手機,掃一掃二維碼 即可通過手機訪問網站
打開微信,掃一掃二維碼訂閱我們的微信公衆號
銀行個人信息保護合規體系構建要點分析的上篇,筆者主要闡述了銀行從內部制度建設出發,應當制定齊備的合規文本與建立完整授權體系。但因銀行所掌握的個人金融信息蘊含巨大的商業價值,所以經常會面臨數據泄露的風險以及與其他機構合作進行數據共享的情形。在這兩類情形中,依法保護客戶的個人信息安全、合規使用客戶的個人信息是極爲重要的。筆者將在下文詳細介紹如何應對數據泄露以及防範數據共享風險並對監管機構在監督檢查過程中重點關注的敏感個人信息、責任人制等幾個方面予以闡述,以期幫助銀行更好的進行客戶個人信息保護,並將銀行的合規風險降到最低。
銀行作爲“強合規”的代表,走在數據合規的第一線,但因用戶的個人金融信息蘊含巨大的商業價值,一些商業機構或個人受自身利益驅使,會採取種種手段獲取他人的金融信息,並催生了大量的數據灰色產業鏈。金融行業敏感信息泄露常見手段有黑客攻擊、內部管理不善、內部人員作案等。銀行一旦發生數據泄露事件,則將面臨十分嚴厲的處罰結果。爲應對數據泄露風險,銀行可從以下兩個方面着手進行建立防護機制。
第一,強化技術防護。建立全領域、縱深化的網絡安全防禦體系保護核心數據資產安全,通過在網絡、系統、終端、應用等不同層面分別部署異構網絡安全防禦系統和工具,並集中納入SIEM平臺進行統一管控,防止金融信息等核心數據被非法竊取;持續完善數據泄露體系建設,通過重要文檔加密、郵件過濾、終端保護等手段進行多層次、立體化的訪問控制和數據保護;部署數據安全交付平臺,確保科技部門向業務部門交付的金融數據不落地,不分流;建立統一的業務數據脫敏機制,保障測試數據和大數據平臺的安全使用。
第二,規範人員管理。銀行應對員工進行規範化管理,如對入職員工進行必要的背景調查,與個人金融信息處理職責相關的員工簽訂保密協議、員工離職後應立即收回訪問權限,並再次明確告知有關信息保密的義務;落實以分級授權爲核心的客戶金融信息使用管理制度,嚴格控制員工的信息接觸權限,規定無關人員不得以營銷爲目的,查詢和複製客戶個人金融信息,並嚴格規範接觸客戶信息的崗位範圍和查詢權限;對員工開展定期的“爲客戶保密”專項培訓,提高從業人員金融信息保護意識和能力。
客戶個人信息的開發和共享,有利於降低市場交易成本和提升交易效率。但值得注意的是,一定要充分保障客戶的知情權和決定權,在“共享客戶信息”時,應當確保依法合規、風險可控並經客戶書面授權或同意,防止客戶信息被不當使用。
在歐洲的全能銀行制度下,一個法人主體可以從事不同種類的金融業務,個人信息可以在法人內部無障礙流動,被運用於不同的金融業務。但在我國分業經營情況下,銀行收集的個人信息,要想被同一個集團內部的保險公司、證券公司運用,則需要經個人授權同意。
我國銀行收集的信息在由集團或關聯公司使用時應當注意滿足以下要求:(1)在首次收集個人信息時,銀行應當根據公開、透明原則,履行數據共享的告知、說明、披露義務。在網站首頁或APP顯著位置向用戶清晰、明瞭地告知其數據可能與金融控股公司及其子公司共享,包括共享的範圍、目的和保存期限等,;(2)個人信息僅限被用於爲各方持有的“金融許可證”所載明的經營範圍之內的目的,因業務需要確需超範圍使用的,應再次徵得個人金融信息主體明示同意;(3)要注意個人信息處理者內部在共享和轉讓過程中的具體技術要求,例如開展個人金融信息安全影響評估,並依據評估結果採取有效措施保護個人金融信息主體權益;應開展個人金融信息接收方信息安全保障能力評估,並與其簽署數據保護責任承諾;部署信息防泄露監控工具,監控及報告個人金融信息的違規外發行爲。
隨着銀行網上應用功能的日益豐富,軟件開發工具包(SDK)越來越多地集成到了銀行網絡金融應用中。《銀行第三方軟件開發工具包(SDK)安全接入指南》第5條中明確SDK按照集成、工作方式可分爲無交互類SDK(SDK完全嵌入到宿主應用中)、推送類SDK(SDK由嵌入到宿主應用部分和第三方服務端部分組成)和交互服務類SDK(SDK由嵌入到宿主應用部分和後臺服務器部分組成),對於不同類型的SDK,銀行應當採取差異化的安全規定。
無交互類SDK均由銀行進行個人信息的收集、處理等行爲,而對於推送類SDK和交互服務類SDK,會產生由第三方SDK進行個人信息收集、存儲、使用等情形,會存在個人信息泄露或被違法使用的風險。故銀行在選擇選擇SDK服務前,應調查第三方能力、信用,在確保金融信息安全前提下,和第三方簽訂保密協議,或是在服務協議中約定保密條款,設置信息共享“隔離帶”。對於由第三方SDK爲用戶提供的服務,並且應當向客戶明確標識由第三方提供並詳細披露第三方公司名稱、服務範圍、個人信息處理目的等情況,保證出現問題後,能夠及時追究第三方責任。
爲激活數據要素潛能、挖掘業務場景,銀行可能會與第三方數據公司收集的個人信息進行匯聚融合,形成更多個人信息標籤,如銀行可能會將自有數據與電商、醫療等其他行業的數據融合,實現聯合建模,構建更加精準的營銷和風控模型。如確需進行數據共享的,銀行應當充分重視信息安全風險,注意滿足以下要求:
第一,遵循“告知-同意”原則。應向個人金融信息主體告知共享、轉讓個人金融信息的目的、數據接收方的名稱、共享內容、使用用途、個人金融信息主體的權利等情況,只有在事先徵得個人金融信息主體明示同意,纔可共享、轉讓。
第二,部分數據限制共享、轉讓。銀行對於傳輸至第三方的信息要按照最小範圍、業務必須開展,嚴格控制超範圍傳輸信息至第三方。對於用戶C3類別信息以及C2類別信息中的用戶鑑別輔助信息不應共享、轉讓。
第三,第三方能力評估。銀行應對第三方進行個人金融信息接收方信息安全保障能力評估,確保其滿足個人信息接收方準入和評價標準。同時,對於從合作方獲取的個人信息應確認其來源合法,防止合作方違規引發銀行業金融機構聲譽危機或法律風險,通過協議明確雙方職責和保密義務及違約責任。
除以上要點之外,銀行還應當對監管機構在監督檢查過程中重點關注的敏感個人信息、責任人制、緊急處理機制、風險評估機制等方面予以高度重視,積極建立或完善相應的合規機制,以期更好的進行用戶個人信息保護,並將銀行的合規風險降到最低。
嚴格落實個人信息分類分級保護制度。銀行業金融機構應根據《個人信息保護法》的規定,結合《個人金融信息保護技術規範》、《金融數據安全 數據安全分級指南》等行業標準,實施個人金融信息分類分級保護措施,提高信息安全水平。特別提醒的是,敏感個人信息的衍生信息依然爲敏感信息,應按照正確的分類分級採取保護措施。
銀行應當建立責任人制度,由個人信息保護負責人對個人信息處理活動以及採取的保護措施等進行監督,並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。應當注意,責任人是指銀行應當設立相應的崗位,而並非具體的人員。設立個人信息保護負責人對企業落地數據合規制度至關重要,個人信息保護負責人既可以幫助企業在日常工作中未雨綢繆又可能在危機事件中力挽狂瀾,提高企業防禦風險的綜合能力。
銀行應當將個人金融信息泄露等相關事件處理納入機構信息安全事件應急處置工作機制,制定專門的流程和預案,定期評估應急處理流程和預案,及時、有效應對個人金融信息安全事件,降低安全事件造成的損失及不利影響。我國《個人信息保護法》第57條規定,在發生或可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即採取補救措施,並通知監管部門。以用戶個人信息泄露爲例,銀行要制定相應的處理機制,第一步是要件減損,針對性的採取措施防止個人信息泄露損失進一步擴大,如因黑客入侵所致,則應當立即修復安全系統,清除病毒、惡意軟件,更改密碼等;第二步是向監管部門彙報並在需要的情況下配合監管部門的調查取證,第三步是採取糾正改正措施,及時對相關漏洞通過流程完善或技術加強等措施進行填補;第四步則是積極承擔相應責任,絕不推諉逃避。
風險評估機制是指若銀行遇到個人金融信息泄露等安全事件,銀行要能夠自身或者委託第三方機構評估再擴大風險。在出現個人金融信息泄露事件,造成一定經濟損失(或社會影響)時,銀行應自身或及時委託外部安全評估機構對本次風險事件進行相關安全評估與檢查,同時制定補救措施、更新應急預案,防止風險的進一步擴散。倘若銀行未事先建立風險評估機制,在出現問題時則難以把控,很容易出現陷入輿論漩渦等情況。如銀行某員工離職時拷貝客戶信息到一家理財公司,並用利用其拷貝的客戶信息進行營銷,被客戶舉報,此時再由銀行行長牽頭組建風險處置小組,對該問題進行處理,尋找解決辦法則是非常被動的。
銀行作爲受到嚴格監管的持牌經營機構,其行業特點造就其具有做好風險管理工作、維護機構良好社會形象的義務,而個人金融信息的保護正是風險管理工作中舉足輕重的一環。銀行應當在思想上高度重視客戶信息保護,加強宣傳教育,將保護個人信息的理念內化於心;同時圍繞本文列舉的要點,通過持續完善內部治理框架和優化技術措施等手段進行個人信息保護合規體系化建設,不斷改進銀行個人信息合規體系,持續提升銀行的個人信息保護水平。
Chrome
Firefox
Safari
IE9及以上