网络安全动态 ·

李东荣:数字化时代个人金融信息保护的思考

当前,全球正迎来一场更大范围、更深层次的科技革命和产业变革,数字化浪潮正深刻改变着包括金融业在内的经济社会各领域,数据作为新生产要素和基础性战略资源的重要地位日益突显。如何建立完善更加符合数字化时代要求的个人金融信息保护体系,并在更高水平实现信息安全和合理应用之间的适度平衡,已成为摆在我国金融管理部门、行业协会、从业机构和广大金融消费者等面前的一项重要课题。

李东荣:数字化时代个人金融信息保护的思考 网络安全动态 第1张

中国互联网金融协会会长  李东荣

建设个人金融信息保护体系的必要性和紧迫性

个人金融信息一般指个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是从业机构在提供金融产品和服务的过程中积累的重要基础数据。加强个人金融信息保护既是落实人民至上理念、保护金融消费者合法权益的应有之义,也是促进个人金融信息安全合规应用、发挥金融数据要素价值的必要之举。在互联、开放、共享的数字化时代,建设个人金融信息保护体系的必要性和紧迫性更为突出。

首先,这是金融业贯彻以人民为中心的发展思想的关键举措。金融业是跟老百姓钱袋子打交道的特殊行业。个人金融信息与个人财产状况、信用水平等高度相关,涉及金融消费者的个人隐私。移动网络的发展和数字技术的应用,在提升金融服务覆盖面和便利性的同时,也增加了个人金融信息泄露和不当使用的风险。近年来,金融领域个人信息非法收集、滥用、泄露等现象时有发生,引起了广泛的社会关注,给金融行业声誉和消费者信任带来极大冲击。建设个人金融信息保护体系,有助于落实个人金融信息全流程安全防护要求,使金融消费者合法权益免遭各种不当行为的侵害,从而提升金融消费者的安全感和满意度。

其次,这是金融业落实国家网络和数据安全制度的迫切需要。随着网络强国和数字中国战略的推进,我国网络普及率已提升至64.5%,网民规模超过9亿,网络和数据安全相关法律制度加速出台。其中,《网络安全法》对网络运营者收集和使用个人信息的基本原则、负面清单、管理要求等进行了明确规定。《民法典》对隐私和个人信息进行了基本界定,并对隐私权和个人信息保护提出了原则性要求。此外,《数据安全法(草案)》已进入征求社会公众意见环节,《个人信息保护法》已列入2020年全国人大常委会立法规划。上述法律规范为加快建设个人金融信息保护体系提供了坚实的制度条件,也提出了更高要求。

最后,这是金融业推进数字化转型与高质量发展的必然要求。当前,经济数字化转型已是大势所趋。数据显示,2019年我国数字经济增加值规模达到35.8万亿元,占GDP比重达36.2%。金融业正加速迈入一个与数字经济相对应的数字化新时代,日益呈现出“无科技不金融、数据驱动金融”的特征。在依法合规并做好信息安全保护的前提下,充分发挥个人金融信息类型多、应用领域广、集聚增值效应强等优势,将其分级分类运用于营销获客、信用评估、风险管理等核心业务环节,有助于充分释放技术红利和数据红利,推进金融业数字化转型和高质量发展。

我国个人金融信息保护现状与面临的挑战

近年来,随着数字技术与经济金融活动的加速融合,我国金融管理部门、行业协会以及广大从业机构在个人金融信息保护的制度建设和业务实践方面做了大量工作,取得了阶段性成效,总体呈现出以下几个方面的特点。

1.法律规范不断完善。目前,我国已初步形成涵盖法律、行政法规、部门规章、规范性文件等在内的多层次和广覆盖的个人金融信息法律规范体系。《民法典》《网络安全法》《消费者权益保护法》等法律明确了个人信息保护基本原则和相关权利义务。《商业银行法》《证券法》《保险法》《反洗钱法》等金融法律确立了专门领域个人金融信息保护的基本原则。《个人存款账户实名制规定》《储蓄管理条例》《征信业管理条例》等行政法规对账户管理、征信服务等领域个人金融信息保护提出了规范性要求。《个人信用信息基础数据库管理暂行办法》《中国人民银行金融消费者权益保护实施办法》等部门规章以及《关于银行业金融机构做好个人金融信息保护工作的通知》等规范性文件,从个人金融信息类别范围、工作原则、业务规则等方面,对从业机构开展个人金融信息保护工作提出了细化具体的要求。此外,《个人金融信息(数据)保护试行办法》作为专门针对个人金融信息保护的部门规章,已列入人民银行2020年规章制定工作计划。

2.技术标准配套实施。2017年12月,国家标准化管理委员会发布国家标准《信息安全技术个人信息安全规范》,规定了开展个人信息处理活动应遵循的原则和安全要求,并将银行账户、财产信息、征信信息等个人金融信息列为个人敏感信息,提出了明示同意、信息加密等要求。2020年2月,人民银行发布金融标准《个人金融信息保护技术规范》。该标准从安全技术和安全管理的角度,规定了个人金融信息在生命周期各环节的安全防护要求。此外,在近年来陆续发布的云计算技术金融应用、声纹识别安全应用、移动金融客户端应用软件、网上银行系统信息安全、金融分布式账本技术、商业银行应用程序接口等领域相关金融标准中均对个人金融信息保护和安全管理提出了明确要求。这些技术标准在信息系统和技术安全层面有效促进了个人金融信息保护有关法律制度的落地实施。

3.行政监管持续发力。近年来,金融管理部门通过监督管理、投诉处理、风险排查、专项治理、宣传教育等多种方式,不断加强个人金融信息保护工作力度,督促从业机构履行客户个人金融信息保护义务,切实保障金融消费者信息安全权。比如,银保监会持续深化银行业保险业市场乱象整治工作,对有关从业机构未采取有效措施保护客户信息安全、违规泄露和滥用客户信息等行为予以严厉整治。2020年4月,人民银行启动针对移动金融客户端应用软件、应用程序编程接口、信息系统等重要领域的金融科技应用风险专项摸排工作,并将个人金融信息保护作为摸排重点之一。此外,金融管理部门在监管执法过程中,注重综合运用约谈高管、限期整改、行业通报、监管评级挂钩、行政处罚等各类措施,不断提升个人金融信息保护工作针对性和监管有效性。

4.行业实践扎实推进。从业机构在金融管理部门的指导和各金融行业协会的组织下,认真贯彻落实有关法律规范、监管要求和标准规则,注重将个人金融信息保护纳入金融消费者权益保护、数据治理、网络信息安全等工作规划,明确个人金融信息保护牵头部门和管理机制,建立健全个人金融信息保护相关内控制度,开展个人金融信息保护员工教育培训,加强金融消费者信息安全和金融知识普及教育,规范第三方合作机构和外包服务机构管理,明确外包合作各方的个人金融信息保护职责和保密义务。

5.多重挑战仍待破解。尽管取得了一定进展,我们还应清醒地看到,数字化时代个人金融信息保护在立法、监管、自律等方面依然有一些新老问题相互交织、亟待破解。一是个人金融信息保护专门制度尚未出台,现有规定以原则性、框架性规定居多,且零散分布在不同效力层级的法律规范中,制度衔接和统合存在不足。二是金融管理部门在个人金融信息监管执

法方面的职责分工有待进一步明确,监管统筹、信息共享和工作联动机制需要加强,与行业协会有机协调配合的治理机制尚未成熟。三是部分从业机构在个人金融信息保护方面的主体责任意识有待加强,在内部控制、数据治理、消费者保护和教育等方面仍需进一步补短板、强弱项、堵漏洞。四是一些金融消费者个人信息保护意识和风险识别能力依然薄弱,在数字金融产品、信息安全防护、投诉维权等方面的知识和技能存在欠缺。

政策建议

数字化时代下建设个人金融信息保护体系是一项长期复杂的系统工程,需要包括政府、市场、社会多方协同,科学施策,久久为功。具体来说,建议着力做好以下几个方面的基础性工作。

一是强化法律规范。立足中国现实国情和经济金融数字化转型实际,科学借鉴欧盟、美国、英国、日本等国家和地区立法经验,合理吸收目的限定、最小必要、隐私安全、权益保护等国际共识原则,探索实现信息可携带权等具有数字化时代特征的新型权利形式的可行路径,适时出台《个人信息保护法》《个人金融信息(数据)保护试行办法》及相关配套标准规则,进一步健全符合中国国情、具有中国特色、接轨国际规则的个人金融信息法律规范体系,统筹实现信息安全与合理应用之间的更好平衡。

二是严格行政监管。进一步加强个人金融信息保护领域的统筹监管,持续完善各部门职责分工、信息共享、工作联动等机制,以保护金融消费者合法权益和督促从业机构履行主体责任为切入点,以个人金融信息采集和处理机构为主要对象,探索运用人工智能、大数据、区块链等监管科技手段,持续深入开展个人金融信息保护有关监管执法和检查评估工作,以“零容忍”态度依法加大对个人金融信息相关违法违规行为的惩处力度。

三是推进行业自律。发挥行业协会贴近市场和会员组织优势,深入研究行业在统筹个人金融信息保护和合理应用方面所面临的共性问题,搭建从业机构信息共享和国际交流平台,通过信息基础设施、统计监测、标准规则、教育培训等行业自律管理手段,督促和引导从业机构落实个人金融信息保护有关法律规范和监管自律要求,完善个人金融信息保护有关举报受理和线索移交机制,对行政监管形成有益补充和有力支撑。

四是加强机构自治。从业机构应牢固树立以客户为中心、负责任创新的正确理念,切实落实个人金融信息收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,加强内控制度和数据治理体系建设,明确各部门、岗位和人员在个人金融信息保护方面的责任权限,完善内部监督和责任追究机制。此外,从业机构还应在依法合规前提下探索应用数据脱敏、多方安全计算、联邦学习、差分隐私、同态加密等隐私保护和数据融合技术,加强个人金融信息保护技术支撑,促进信息合理开发利用。

五是加强公众参与。加强违法违规行为举报奖励、举报人保护等机制建设,充分调动社会公众参与个人金融信息安全治理的积极性。通过司法解释等方式,明确网络环境下个人金融信息侵权形式,丰富和畅通个人金融信息保护的救济渠道。广泛运用线上线下宣传教育渠道,针对性开展个人金融信息保护教育,定期发布个人金融信息保护风险提示和典型案例,提高公众对个人金融信息保护的意识和能力。

为者常成,行者常至。中国互联网金融协会作为国家金融行业自律组织,始终注重将个人金融信息保护要求贯彻落实在互联网金融登记披露、统计监测、信息共享、移动金融客户端应用软件备案、金融科技创新监管试点支撑等有关行业自律管理工作的各个环节。下一步,协会愿继续与社会各方一道,在金融管理部门指导下,共同建设一个涵盖法律规范、行政监管、行业自律、机构自治、公众参与且更加具有数字化时代适应性的多层次、综合化个人金融信息保护体系。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论