《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)“個(gè)人信息保護(hù)法”)是一部針對(duì)公民個(gè)人信息保護(hù)的專(zhuān)門(mén)法律,與《民法典》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《電子商務(wù)法》、《消費(fèi)者權(quán)益保護(hù)法》等法律共同組成一張公民個(gè)人信息保護(hù)網(wǎng)。
《個(gè)人信息保護(hù)法》的正式施行,標(biāo)志著違規(guī)采集個(gè)人信息的行為將受到嚴(yán)格監(jiān)管,而金融行業(yè)更是監(jiān)管的重中之重。金融機(jī)構(gòu)在個(gè)人金融信息保護(hù)方面應(yīng)采取哪些措施?《個(gè)人信息保護(hù)法》規(guī)定的“告知-同意”對(duì)金融行業(yè)的影響又有哪些?金融機(jī)構(gòu)應(yīng)如何開(kāi)展《個(gè)人信息保護(hù)法》實(shí)施后的合規(guī)審計(jì)工作?本文將從金融行業(yè)面臨的挑戰(zhàn)、《個(gè)人信息保護(hù)法》重點(diǎn)內(nèi)容和金融機(jī)構(gòu)應(yīng)對(duì)機(jī)制三個(gè)方面進(jìn)行解讀。
01
金融行業(yè)面臨的挑戰(zhàn)
《個(gè)人信息保護(hù)法》的施行,明確了金融數(shù)字化發(fā)展應(yīng)當(dāng)遵循的基本準(zhǔn)則和行為規(guī)范。個(gè)人金融信息是金融機(jī)構(gòu)日常業(yè)務(wù)工作中積累的一項(xiàng)重要基礎(chǔ)數(shù)據(jù),也是金融機(jī)構(gòu)客戶(hù)個(gè)人隱私的重要內(nèi)容。個(gè)人金融信息在金融業(yè)務(wù)的收集、傳輸、存儲(chǔ)、使用、刪除和銷(xiāo)毀的數(shù)據(jù)生命周期過(guò)程中面臨著諸多挑戰(zhàn),個(gè)人敏感數(shù)據(jù)泄露事件時(shí)有發(fā)生,保護(hù)個(gè)人敏感數(shù)據(jù)是《個(gè)人信息保護(hù)法》重點(diǎn)保護(hù)的領(lǐng)域之一。
《個(gè)人信息保護(hù)法》的貫徹落實(shí)在金融行業(yè)主要面臨以下挑戰(zhàn):
1)個(gè)人信息收集時(shí)明確同意要求
個(gè)人信息保護(hù)法中規(guī)定個(gè)人信息處理者在處理敏感個(gè)人信息等五種情形時(shí),應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。“單獨(dú)同意”并不是單純的同意,而是一種更高標(biāo)準(zhǔn)的“同意”,必須是個(gè)人在充分知情的情況下作出的行為,并且要賦予個(gè)人撤回同意的權(quán)利。單獨(dú)同意的標(biāo)準(zhǔn)目前還未明確規(guī)定,金融機(jī)構(gòu)應(yīng)該如何做才能滿(mǎn)足“單獨(dú)同意”的要求呢?在實(shí)踐中原有的通過(guò)隱私政策概括性地履行告知義務(wù),并要求用戶(hù)點(diǎn)擊同意進(jìn)行一攬子授權(quán),是無(wú)法保障用戶(hù)的知情權(quán)和決定權(quán)的,這點(diǎn)對(duì)于金融機(jī)構(gòu)而言無(wú)疑是一個(gè)新的挑戰(zhàn)。
2)自動(dòng)化決策使用保障透明規(guī)則
利用大數(shù)據(jù)分析消費(fèi)者的個(gè)人特征用于商業(yè)營(yíng)銷(xiāo),選擇性提供產(chǎn)品或服務(wù)已成為當(dāng)前商業(yè)活動(dòng)的普遍現(xiàn)象,生活中自動(dòng)化決策的應(yīng)用范圍已非常廣泛,營(yíng)銷(xiāo)平臺(tái)、各類(lèi)APP等均使用自動(dòng)化決策引擎提供精準(zhǔn)推銷(xiāo)。但隨之出現(xiàn)的是“大數(shù)據(jù)殺熟”等事件,因此個(gè)人信息保護(hù)法中明確規(guī)定利用個(gè)人信息進(jìn)行自動(dòng)化決策引導(dǎo)要保證決策的透明度,不得“差別待遇”。那么如何制定出保證決策透明度的規(guī)則,以及如何能做到“說(shuō)明清楚”,已成為金融機(jī)構(gòu)面臨的又一挑戰(zhàn)。
3)個(gè)人金融信息管理規(guī)范性增強(qiáng)
伴隨著金融科技的應(yīng)用,數(shù)據(jù)已成為驅(qū)動(dòng)金融行業(yè)創(chuàng)新發(fā)展的重要生產(chǎn)元素。個(gè)人金融信息是個(gè)人信息在金融領(lǐng)域圍繞賬戶(hù)信息、金融交易信息等方面的擴(kuò)展與細(xì)化。2020年中國(guó)人民銀行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》明確了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷(xiāo)毀等生命周期各環(huán)節(jié)的安全防護(hù)要求,我國(guó)的個(gè)人信息保護(hù)法在懲罰力度上比歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)更為嚴(yán)格。因此,金融行業(yè)需盡快梳理出各系統(tǒng)、各業(yè)務(wù)中對(duì)于個(gè)人金融信息是如何存儲(chǔ)和使用的。然而金融機(jī)構(gòu)多種的系統(tǒng)、紛雜的業(yè)務(wù)和不同人員權(quán)限的梳理工作對(duì)于任何一個(gè)金融機(jī)構(gòu)來(lái)說(shuō),都是一個(gè)巨大的挑戰(zhàn)。
02
《個(gè)人信息保護(hù)法》的重點(diǎn)要求
針對(duì)金融行業(yè)面臨的挑戰(zhàn)及關(guān)注點(diǎn),以下分別從總體框架、適用范圍、個(gè)人信息保護(hù)法的核心要點(diǎn)、強(qiáng)化個(gè)人自主權(quán)的單獨(dú)同意等方面對(duì)個(gè)人信息保護(hù)法的重點(diǎn)內(nèi)容進(jìn)行分析與解讀。
1)總體框架
主要內(nèi)容
2)適用范圍
從個(gè)人信息保護(hù)法的適用范圍來(lái)說(shuō),采用的是屬地原則為主,屬人原則為輔的方式,即明確了在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng),適用個(gè)人信息保護(hù)法。同時(shí)規(guī)定,在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng),如果符合以下三種情形之一的,也應(yīng)適用個(gè)人信息保護(hù)法:(1)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;(2)分析、評(píng)估境內(nèi)自然人的行為;(3)法律、行政法規(guī)規(guī)定的其他情形。
3)個(gè)人信息保護(hù)法的核心要點(diǎn)
個(gè)人信息保護(hù)法在一般規(guī)定中明確了處理個(gè)人信息的基本條件。除部分規(guī)定情形外,個(gè)人信息保護(hù)法在第二章明確規(guī)定了“取得個(gè)人同意”是個(gè)人信息處理者處理個(gè)人信息的基本條件。個(gè)人信息保護(hù)法充分參考和借鑒了有關(guān)國(guó)際組織、國(guó)家和地區(qū)的做法,確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則。相比于《網(wǎng)絡(luò)安全法》,個(gè)人信息保護(hù)法對(duì)于告知義務(wù)規(guī)定得更為詳細(xì)、明確。個(gè)人信息保護(hù)法中明確了六大場(chǎng)景下的個(gè)人信息處理規(guī)定,包括:共同處理、委托處理、轉(zhuǎn)移個(gè)人信息、共享個(gè)人信息、自動(dòng)化決策和公共場(chǎng)所采集。對(duì)于金融機(jī)構(gòu)來(lái)說(shuō),應(yīng)重點(diǎn)關(guān)注在不同場(chǎng)景下如何具體落實(shí)“告知-同意”的規(guī)則。
在告知原則方面,應(yīng)該做到顯著,便于發(fā)現(xiàn)和閱讀,告知用語(yǔ)應(yīng)通俗易懂、清晰準(zhǔn)確,還應(yīng)當(dāng)根據(jù)情景優(yōu)化告知的展現(xiàn)形式;當(dāng)處理個(gè)人信息的目的、處理方式和種類(lèi)發(fā)生變化時(shí)需突出顯示并重新取得個(gè)人同意;而且針對(duì)特殊群體,還應(yīng)提供除文本外的圖片、語(yǔ)音或視頻等適合其理解的方式對(duì)告知內(nèi)容進(jìn)行闡述。
在同意原則方面,應(yīng)保證征得授權(quán)同意的授權(quán)范圍與所告知內(nèi)容一致,并且要做到區(qū)分產(chǎn)品及具體服務(wù),采取對(duì)個(gè)人權(quán)益影響最小的方式;要做到主動(dòng)展示授權(quán)同意的選項(xiàng),以促進(jìn)個(gè)人更好地理解并支持其做出選擇,并且在給出不同意時(shí),僅影響當(dāng)前服務(wù)類(lèi)型的正常使用。
4)強(qiáng)化個(gè)人自主權(quán)的單獨(dú)同意
個(gè)人信息保護(hù)法除了明確個(gè)人信息處理的一般規(guī)定外,個(gè)人信息保護(hù)法的第二章和第三章中還對(duì)于敏感個(gè)人信息和一些特殊場(chǎng)景規(guī)定了“單獨(dú)同意”的保護(hù)規(guī)則。總結(jié)起來(lái)共涉及五種情形:
1)向第三方提供個(gè)人信息;
2)公開(kāi)處理個(gè)人信息;
3)在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,用于維護(hù)公共安全之外的其他目的;
4)處理敏感個(gè)人信息;
5)向境外提供個(gè)人信息。
“單獨(dú)同意”強(qiáng)化了個(gè)人的自主權(quán),“單獨(dú)同意”要求個(gè)人信息處理者將需要“單獨(dú)同意”的場(chǎng)景與其他場(chǎng)景區(qū)分開(kāi)來(lái),做到“單獨(dú)場(chǎng)景-單獨(dú)告知-獲取同意”,避免一攬子授權(quán)的方式,以及過(guò)度索權(quán)、隨意收集等違法違規(guī)情形。還需通過(guò)增強(qiáng)告知或即時(shí)提示等方式,單獨(dú)向個(gè)人信息主體告知處理個(gè)人信息的目的、方式和范圍,以及存儲(chǔ)時(shí)間、安全措施等規(guī)則。
對(duì)于金融機(jī)構(gòu)來(lái)說(shuō),在辦理業(yè)務(wù)時(shí)應(yīng)注意在收集個(gè)人身份證號(hào)、手機(jī)號(hào)、人臉識(shí)別信息時(shí)設(shè)置單獨(dú)同意。個(gè)人信息保護(hù)法對(duì)收集敏感個(gè)人信息限定更嚴(yán)、告知事項(xiàng)更多。除一般規(guī)定外,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性及對(duì)個(gè)人權(quán)益的影響。處理不滿(mǎn)十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護(hù)人的同意;應(yīng)當(dāng)制定專(zhuān)門(mén)的個(gè)人信息處理規(guī)則。作為金融機(jī)構(gòu),應(yīng)進(jìn)一步完善業(yè)務(wù)場(chǎng)景的識(shí)別和隱私政策的修訂。
5)自動(dòng)化決策的合法合規(guī)要求
個(gè)人信息保護(hù)法針對(duì)“大數(shù)據(jù)殺熟”進(jìn)行了嚴(yán)格的規(guī)范,個(gè)人信息保護(hù)法第二章中明確規(guī)定:個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明和結(jié)果公平、公正,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。“自動(dòng)化決策”方式已普遍應(yīng)用到金融機(jī)構(gòu)向客戶(hù)推送信息和開(kāi)展?fàn)I銷(xiāo)等場(chǎng)景中,包括人們熟悉的“人工智能”、“客戶(hù)畫(huà)像”等概念。但從個(gè)人信息保護(hù)法合規(guī)的角度分析,金融機(jī)構(gòu)應(yīng)在收集個(gè)人信息時(shí),明確信息是用于大數(shù)據(jù)營(yíng)銷(xiāo)和大數(shù)據(jù)畫(huà)像的用途,在得到“告知-同意”的前提下開(kāi)展信息收集工作。
從合規(guī)角度分析,金融機(jī)構(gòu)還應(yīng)當(dāng)同時(shí)提供客戶(hù)拒絕的方式,讓用戶(hù)可關(guān)閉個(gè)性化推薦選項(xiàng)。同時(shí)使用技術(shù)手段避免信息被過(guò)度收集,防止用戶(hù)數(shù)據(jù)被泄露到其他平臺(tái),避免超出約定范圍的使用。如建設(shè)統(tǒng)一客戶(hù)關(guān)系管理系統(tǒng),統(tǒng)一管理用戶(hù)金融信息,將金融賬戶(hù)、手機(jī)號(hào)、身份證號(hào)等通過(guò)加密方式存儲(chǔ)和使用。下游系統(tǒng)通過(guò)對(duì)接客戶(hù)關(guān)系管理系統(tǒng),識(shí)別用戶(hù)ID等字段后向客戶(hù)推送營(yíng)銷(xiāo)信息,避免下游系統(tǒng)再次抓取和存儲(chǔ)用戶(hù)敏感信息,防止個(gè)人信息泄露。
除此之外,為保障自動(dòng)化決策的合規(guī),還應(yīng)制定自動(dòng)化決策的規(guī)則,并定期進(jìn)行修訂,保證決策的透明度,對(duì)依據(jù)自動(dòng)化決策做出的差別待遇進(jìn)行合理化解釋并保存記錄,不得對(duì)交易價(jià)格等實(shí)行不合理的差別待遇,保證公平公正。
6)開(kāi)展合規(guī)審計(jì)和影響評(píng)估策略
個(gè)人信息保護(hù)法在第五章個(gè)人信息處理者的義務(wù)中,明確指出應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì),以及需開(kāi)展個(gè)人信息保護(hù)影響評(píng)估的具體情形和評(píng)估內(nèi)容。
結(jié)合行業(yè)特點(diǎn),金融機(jī)構(gòu)實(shí)施個(gè)人信息保護(hù)審計(jì)可依據(jù)人民銀行《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中有關(guān)個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷(xiāo)毀等生命周期各環(huán)節(jié)的安全要求,從安全技術(shù)和安全管理兩個(gè)維度對(duì)個(gè)人金融信息保護(hù)實(shí)施審計(jì)。
金融機(jī)構(gòu)在開(kāi)展個(gè)人信息影響評(píng)估時(shí),應(yīng)先對(duì)待評(píng)估的業(yè)務(wù)、產(chǎn)品或某項(xiàng)具體合作等進(jìn)?調(diào)研,形成數(shù)據(jù)清單及數(shù)據(jù)映射圖表,并梳理出待評(píng)估的個(gè)?信息處理活動(dòng)。評(píng)估過(guò)程中,一方面,分析個(gè)人信息處理活動(dòng)對(duì)個(gè)?權(quán)益可能造成的影響及其程度;另一方面,分析現(xiàn)有的安全保護(hù)措施是否有效,以及可能會(huì)導(dǎo)致安全事件發(fā)?的可能性程度。綜合兩??結(jié)果,得出個(gè)?信息處理活動(dòng)的風(fēng)險(xiǎn)等級(jí),并提出相應(yīng)的改進(jìn)建議,形成評(píng)估報(bào)告。
7)法律責(zé)任
個(gè)人信息保護(hù)法對(duì)于個(gè)人信息處理者的法律責(zé)任總的來(lái)說(shuō)可總結(jié)為“責(zé)任分類(lèi),從嚴(yán)處罰”。根據(jù)責(zé)任行為違反的法律性質(zhì),分為行政責(zé)任、民事責(zé)任和刑事責(zé)任。
在行政處罰方面,加大了處罰力度,從嚴(yán)處罰。個(gè)人信息保護(hù)法規(guī)定,違法行為情節(jié)嚴(yán)重的,將面臨責(zé)令改正,沒(méi)收違法所得,并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額的百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者營(yíng)業(yè)執(zhí)照。相比較歐盟的通用數(shù)據(jù)保護(hù)條例(GDPR)規(guī)定的營(yíng)業(yè)額的百分之四更加嚴(yán)格。
在民事責(zé)任方面,個(gè)人信息保護(hù)法明確提出,個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的,其應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。說(shuō)明個(gè)人信息保護(hù)法對(duì)于侵害個(gè)人信息權(quán)益的處理活動(dòng),適用過(guò)錯(cuò)推定原則。建議金融企業(yè)在與第三方合作前,開(kāi)展個(gè)人信息合規(guī)審查,并在合作中留存好相應(yīng)的處理記錄以備查。如合作協(xié)議、數(shù)據(jù)處理日志、用戶(hù)授權(quán)文件等。金融企業(yè)應(yīng)該建立個(gè)人信息收集清單、第三方信息共享清單的“雙清單”,實(shí)現(xiàn)服務(wù)能力的“四提升”。
在刑事責(zé)任方面,構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。
03
金融行業(yè)的應(yīng)對(duì)建議與機(jī)制
金融行業(yè)在落實(shí)個(gè)人信息保護(hù)法時(shí),應(yīng)結(jié)合金融行業(yè)特點(diǎn)和自身情況,采取有效的機(jī)制和措施落實(shí)相關(guān)要求,并建立持續(xù)的改進(jìn)機(jī)制。
1)加強(qiáng)個(gè)人信息保護(hù)法和個(gè)人金融信息法規(guī)的學(xué)習(xí),全面落實(shí)合規(guī)要求
應(yīng)加強(qiáng)對(duì)個(gè)人信息保護(hù)法和個(gè)人金融信息法規(guī)的學(xué)習(xí),通過(guò)培訓(xùn)進(jìn)一步理解法律的基本原則和個(gè)人金融信息保護(hù)的要點(diǎn),全面落實(shí)合規(guī)要求。同時(shí),進(jìn)一步提升員工個(gè)人金融信息保護(hù)的安全意識(shí),為個(gè)人金融信息保護(hù)打下堅(jiān)實(shí)基礎(chǔ)。
2)制定個(gè)人金融信息保護(hù)組織架構(gòu),落實(shí)個(gè)人金融信息保護(hù)職責(zé)
應(yīng)建立健全個(gè)人金融信息保護(hù)組織架構(gòu),明確金融機(jī)構(gòu)各層級(jí)內(nèi)設(shè)部門(mén)與相關(guān)崗位個(gè)人金融信息保護(hù)職責(zé)與總體要求,明確主要負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任,明確個(gè)人金融信息管理牽頭部門(mén),并提供必要的資源,落實(shí)個(gè)人金融信息保護(hù)職責(zé)。
3)健全個(gè)人金融信息保護(hù)管理制度,夯實(shí)個(gè)人金融信息保護(hù)基礎(chǔ)
應(yīng)根據(jù)個(gè)人信息保護(hù)法要求,結(jié)合金融機(jī)構(gòu)管控現(xiàn)狀,健全個(gè)人金融信息保護(hù)管理制度,夯實(shí)個(gè)人金融信息保護(hù)基礎(chǔ)。通過(guò)制定個(gè)人金融信息保護(hù)管理制度,明確個(gè)人金融信息保護(hù)的崗位設(shè)置與工作職責(zé),制定專(zhuān)門(mén)的個(gè)人金融信息處理規(guī)則。形成“方針策略-辦法規(guī)定-規(guī)程細(xì)則”從上而下結(jié)構(gòu)化的個(gè)人金融信息制度體系管控模式,有效指導(dǎo)和全面落實(shí)個(gè)人金融信息保護(hù)的各項(xiàng)管控要求。
4)實(shí)施個(gè)人金融信息數(shù)據(jù)分類(lèi)分級(jí),落實(shí)差異化安全保護(hù)機(jī)制
《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中的個(gè)人金融信息主要包括:賬戶(hù)信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息等七大類(lèi)。
個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)類(lèi)別,其中C3信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更,會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成嚴(yán)重危害;C2信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更,可能會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定影響;C1信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更,可能會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定影響,金融機(jī)構(gòu)在進(jìn)行個(gè)人金融信息分類(lèi)分級(jí)時(shí),可參考下列框架實(shí)施有效分類(lèi)分級(jí)。
5)個(gè)人金融信息全生命周期保護(hù),筑起全方位安全保護(hù)屏障
金融機(jī)構(gòu)應(yīng)建立個(gè)人金融信息全生命周期保護(hù)機(jī)制,對(duì)信息的收集、傳輸、存儲(chǔ)、使用、刪除及銷(xiāo)毀等各環(huán)節(jié)實(shí)施全面保護(hù)。制定保護(hù)策略、訪問(wèn)控制等管理措施,部署管理系統(tǒng)、信息加密等技術(shù)措施,結(jié)合管理和技術(shù)要求,筑起全方位的安全保護(hù)屏障。
6)開(kāi)展個(gè)人金融信息保護(hù)審計(jì),持續(xù)完善個(gè)人金融信息保護(hù)體系
金融機(jī)構(gòu)應(yīng)在完善個(gè)人金融信息保護(hù)制度的基礎(chǔ)上,定期開(kāi)展個(gè)人金融信息保護(hù)合規(guī)審計(jì)。審計(jì)內(nèi)容包括但不限于:個(gè)人金融信息的安全策略、訪問(wèn)控制、安全監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估、安全事件處置、安全管理要求、安全技術(shù)要求等方面,金融機(jī)構(gòu)可參照此審計(jì)框架實(shí)施合規(guī)審計(jì)。
04
總結(jié)與展望
在各行各業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期,我國(guó)《個(gè)人信息保護(hù)法》的出臺(tái)是大勢(shì)所趨,結(jié)合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)法律的發(fā)展歷程,可以看出我國(guó)的法律建設(shè)逐步從宏觀布局向微觀實(shí)操邁進(jìn),并且始終強(qiáng)調(diào)“以人為本”的理念,切實(shí)保障個(gè)人信息安全,維護(hù)公民的個(gè)人合法權(quán)益。而且對(duì)個(gè)人信息安全違法者的處罰力度也在不斷增強(qiáng)。因此,金融機(jī)構(gòu)在業(yè)務(wù)運(yùn)營(yíng)和日常管理中要加強(qiáng)數(shù)據(jù)安全合規(guī)建設(shè),注重個(gè)人金融信息收集和處理的記錄存儲(chǔ),以滿(mǎn)足舉證責(zé)任的要求。由于金融機(jī)構(gòu)對(duì)個(gè)人金融信息的搜集、使用和處理是其開(kāi)展業(yè)務(wù)的基礎(chǔ),未來(lái)個(gè)人金融信息保護(hù)機(jī)制與信息系統(tǒng)全生命周期的全面融合將是金融機(jī)構(gòu)重點(diǎn)關(guān)注的方向,為此,金融機(jī)構(gòu)應(yīng)通過(guò)不斷提升個(gè)人金融信息的管理和技術(shù)管控能力,在為客戶(hù)提供“安全、高效、專(zhuān)業(yè)”金融業(yè)務(wù)服務(wù)的同時(shí),更需要為客戶(hù)建立起一道個(gè)人金融信息保護(hù)的“堅(jiān)固城墻”。
作者簡(jiǎn)介:
王志超,谷安天下金融審計(jì)負(fù)責(zé)人,10多年的信息安全、科技風(fēng)險(xiǎn)、科技審計(jì)、業(yè)務(wù)連續(xù)性、科技外包、數(shù)據(jù)治理、金融科技等咨詢(xún)及審計(jì)服務(wù)經(jīng)驗(yàn),獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書(shū),熟悉銀行業(yè)、保險(xiǎn)業(yè)、證券業(yè)、大型央企的科技管理風(fēng)險(xiǎn)與應(yīng)對(duì)措施,對(duì)科技外包、業(yè)務(wù)連續(xù)性、數(shù)據(jù)治理、大數(shù)據(jù)、人工智能、數(shù)字化轉(zhuǎn)型等領(lǐng)域均有著較為深入的研究,多次與銀行共同參與銀保監(jiān)會(huì)組織的信息科技風(fēng)險(xiǎn)管理課題研究,并獲得不錯(cuò)的獎(jiǎng)項(xiàng)。
張堯,谷安天下咨詢(xún)經(jīng)理,長(zhǎng)期從事信息安全咨詢(xún)和信息科技風(fēng)險(xiǎn)審計(jì)等工作,擁有16年以上信息安全咨詢(xún)和信息科技風(fēng)險(xiǎn)審計(jì)經(jīng)驗(yàn),獲得CISA、CDPSE、ITIL、ISO27001、PRINCE2、DevOps等證書(shū),熟悉銀行業(yè)、保險(xiǎn)業(yè)、證券業(yè)、大型央企的科技管理風(fēng)險(xiǎn)與應(yīng)對(duì)措施,對(duì)個(gè)人信息保護(hù)、科技外包、業(yè)務(wù)連續(xù)性、數(shù)據(jù)治理、敏捷開(kāi)發(fā)等領(lǐng)域均有著較為深入的研究。
