大數據背景下的商業銀行個人信息保護

在大數據時代對信息安全尤其是對個人信息保護的關注越來越高。商業銀行須從制度機制建設、系統控制、技術迭代、數據管理、人員培訓教育等多個方面持續提升個人信息數據的全生命周期管理水平。本文同時建議監管部門加快出臺統一明確的個人信息保護法規，加大監督檢查力度，營造良好的市場秩序。

個人信息保護對商業銀行的重要性

近年來商業銀行在數字化轉型過程中，充分運用內外部大數據和金融科技手段創新業務模式、提升服務水平，特別在零售金融板塊廣泛使用個人信息數據發展線上業務。實際中，盡管商業銀行屬于數據治理較為規范和嚴格的行業，通過銀行渠道泄露個人信息的情況也較少，但由于銀行數據本身的金融屬性、涉眾普遍性和廣泛滲透性，個人信息保護的重要性更加凸顯，對此須高度重視。

銀行掌握的個人隱私數據涉及面廣、社會影響大

商業銀行擁有的個人信息數據覆蓋人群廣泛，一旦泄露將對社會產生重大影響。當今社會每一個人幾乎都是商業銀行的客戶。央行公布的《2019年支付體系運行總體情況》顯示，截至2019年底，我國開立銀行賬戶113.52億戶，其中個人銀行賬戶112.84億戶，全國人均擁有銀行賬戶數達8.09戶。每家商業銀行都擁有大量個人客戶，掌握身份、賬戶信息等個人隱私數據，且數據均為集中存儲，一旦泄露將可能批量泄露，不但給相關個人帶來嚴重不利影響，還可能引發連帶社會負面效應。

銀行個人信息與客戶資金安全和信用狀況緊密相關

銀行個人客戶信息數據不但包括身份證、住址、手機號等基礎信息，還包括賬號、額度、余額等靜態資產數據，同時還有大量的資金流水、支付結算等動態交易數據，具有較強的金融屬性，涉及客戶資金和財產安全，一旦泄露將對客戶利益造成較大威脅，也歷來是不法分子竊取的重點。因此，保護好商業銀行的個人信息數據，對于確保銀行客戶的資金財產安全極為重要。

互聯網時代負面信息傳播迅速 個人信息安全問題極易放大銀行的聲譽風險

商業銀行的聲譽是其發揮信用中介職能的隱形背書，因客戶信息不安全導致的聲譽風險將對銀行產生不可挽回的損失。互聯網時代，數據泄露事件傳播迅速，聲譽風險可能導致客戶對自身資金安全和銀行管理能力產生質疑，嚴重時可能導致存款減少、業務縮減、利潤下滑、投資者失去信心等一系列“滾雪球”效應。銀行作為對聲譽風險高度敏感的機構，嚴重負面輿情甚至可能對銀行造成較大流動性沖擊和系統性風險。

個人信息保護是銀行挖掘數據價值的先決條件

數字化轉型已成為商業銀行發展的必由之路。數據成為一種重要的生產要素，數據安全和個人信息保護是合法、合規、有效、深入開展大數據應用的基礎。在實際業務活動中，商業銀行需要整合各金融機構、企業、政府所掌握的個人信息，進行傳輸、共享、加工，形成數據資產。此時，個人信息數據既作為個人隱私受到法律保護，又作為生產要素具備一定的公共屬性。因此，銀行在應用數據前，必須先明確個人信息數據的權屬和使用邊界，做好數據安全防護工作，否則可能導致整個數據整合、加工、使用鏈條的運行中斷，從根本上影響數據價值的挖掘使用。

個人數據安全是金融消費者保護的重要組成部分

個人信息保護是金融消費者保護的重要內容。僅憑市場機制無法從根本上解決金融消費者保護問題，必須由政府提供監管保護。各國監管部門都成立了專門機構，制定政策、實施約束，維護金融消費者權益。我國監管機構持續推進金融消費者保護工作，2020年央行發布《中國人民銀行金融消費者權益保護實施辦法》和《個人金融信息保護技術規范》，對消費者權益和個人信息保護進一步提出明確要求和具體標準。商業銀行需要嚴格按照監管要求和指引，持續規范、加強個人信息保護工作，全力保障金融消費者的權益。

商業銀行個人信息保護面臨的風險挑戰

極少數從業人員存在道德風險 利用客戶個人信息不當獲利給銀行帶來較大損失

近年來，由于個別從業人員道德風險問題和對個人行為的管理控制系統不完備，國內銀行業曾出現過從業人員為獲取經濟利益而倒賣客戶個人信息的案件。雖然通過銀行渠道泄露個人信息的情況較少，涉案金額不大，但影響惡劣。如某商業銀行從業人員通過銀行內部查詢系統，獲取大量客戶在該行的開戶資料、手機號、銀行卡余額等信息，多次倒賣獲利。又如某商業銀行信貸中心員工，以每條30元的價格為小貸公司業務經理違規查詢客戶的人行征信報告。

操作風險管理不到位易造成個人客戶信息泄露

從實際情況看，絕大多數銀行員工并不愿造成客戶信息泄露，一旦發生泄露事件，員工將面臨罰款、解聘、禁業，甚至承擔嚴厲的刑事責任，泄露客戶信息成本與其收入不成比例。因此實際中往往是因為員工操作不規范、操作不慎和執行漏洞造成客戶信息泄露。部分銀行員工信息保護意識薄弱，不清楚信息泄露危害性。如某銀行員工缺乏客戶信息保護意識，未嚴格落實銀行制度流程要求，未經客戶同意向客戶所在單位提供個人銀行賬戶交易明細，給銀行造成重大輿情事件與巨大的聲譽損失。

系統防護存在漏洞會對個人數據安全造成危害

銀行系統防護不利主要涉及系統防護措施和防護技術兩個方面。系統防護措施不完善主要表現為系統防護級別不到位、系統防護制度未有效落實、系統漏洞未及時識別與修復等。系統防護技術缺陷主要表現為防護技術更新換代不及時、未有效阻止黑客的入侵和攻擊、未及時切斷網絡病毒的傳播和感染等。傳統業務場景中數據相對靜止，數據安全防護主要圍繞物理載體或特定業務邏輯的邊界進行開展，而現在線上新興業務中數據使用場景更為復雜，涉及數據多向流動，傳統防護手段已難以滿足細顆粒度管理要求。

外部數據引入存在安全問題 導致銀行作為使用者承擔數據安全責任

一方面，一些引入的外部數據存在數據來源不合法、不合規的問題。有些數據平臺通過數據壟斷、數據綁架等方式濫用數據，包括無授權使用數據、不遵守“最小必要”原則過度索取授權、過度營銷等問題，均會給銀行使用外部數據造成重大合規隱患。另一方面，部分外部數據平臺在數據獲取、存儲、傳輸中也可能存在個人信息泄露問題。部分外部數據平臺管理不規范，信息已經泄露或被黑產集團竊取，銀行端若接入此類數據，容易被黑產集團借此進行攻擊或欺詐，造成客戶和銀行雙方面的利益損失。

開放銀行發展趨勢給數據安全和個人信息保護帶來更大挑戰

一是從數據使用場景和人員看，開放銀行體系下數據暴露面大幅擴張。開放銀行數據使用場景擴大至跨機構、跨行業甚至跨境等復雜的信息交互場景，數據使用人員涉及行內員工、外包人員、合作機構等。任一場景端、使用方若存在安全薄弱環節，都將給個人數據造成威脅。二是從數據技術看，開放共享過程對數據溯源、數據脫敏的技術要求更高。部分數據會脫離銀行的控制，需要通過成熟的數據追蹤溯源技術跟蹤數據的最終去向和使用情況，防止數據處于失控狀態。數據脫敏技術不成熟、脫敏程度不足的情況下共享和交換數據，將導致數據泄露風險。三是從系統建設看，銀行系統防護能力面臨新的課題。銀行原有的安全防護邊界和手段難以滿足開放銀行全場景全鏈條的網絡安全需求。如果服務接口有設計缺陷，或權限設置不當，都可能導致整個系統數據泄露，甚至遭受網絡惡意攻擊，造成重大的數據泄露事件。

商業銀行的個人信息保護工作措施建議

加強對從業人員的管理監督、檢查問責和教育

一是建立明確的獎懲機制，嚴格落實個人信息保護責任，將制度執行情況納入員工考核。提高違規成本和懲處力度，強化員工對個人信息泄露引發法律后果的認知，讓從業人員不愿做、不敢做。二是加強檢查監督力度。定期開展員工個人信息保護工作的檢查，包括員工數據權限檢查、系統操作日志遍歷檢查、員工異常行為排查等。三是對從業人員加強個人信息保護的教育和文化宣導工作。持續開展培訓宣傳和案件警示教育，將信息保護具體要求融入業務、技術操作規范和流程中，并定期進行培訓及考試。

建立個人信息保護的制度標準與約束機制

一是建立覆蓋業務、科技、風險條線多位一體的信息保護組織架構，明確數據歸屬、數據管理、數據應用等各部門職責，強化統籌管控個人信息保護工作。二是制定個人信息數據全生命周期安全管理要求，覆蓋信息的收集、傳輸、存儲、使用及銷毀，形成數據安全管理的制度規范體系。三是制定數據分級分類標準，對不同管理級別的數據采取不同安全防護措施，平衡數據安全保障的全面性和重要性。四是制訂個人信息保護應急預案，一旦發生個人信息遺失、損毀、泄露或者篡改等情況，及時采取補救措施。

強化數據信息防護的系統剛性控制與技術升級

一是實施系統剛性控制。強化對各級數據權限和個人信息保護機制的內部控制和系統剛性約束，落實制度規范要求。二是完善信息系統安全建設。在數據加密、內部系統監控、網絡安全防控等環節加強管控，強化系統對黑客入侵、木馬病毒、技術漏洞等監測和識別能力，有效防御外部攻擊和內部泄密。三是加強技術更新迭代。充分利用多方安全計算、可信區塊鏈、標記化等新技術，確保數據可用不可見、可用可計量，做到最小夠用、專事專用。

建立覆蓋外部數據引入使用全流程的安全防護措施

一是嚴格合作方準入篩選。商業銀行應根據合作方的企業基本情況、行業排名、風控能力、與其他銀行合作情況、相關業務經驗和歷史表現等，制定合作方的白名單或準入標準。尤其應重點關注合作方數據使用權的合法合規性，優先選擇能通過自身生態體系形成數據的合作方，堅決杜絕通過爬蟲獲取數據的合作方。二是在外部數據引入前，對數據進行合法合規性評估。商業銀行應對外部數據的來源途徑、合法合規性、數據接口安全性進行評估，對于可能造成違規使用的數據一概拒絕引入。三是在數據引入后，對數據使用情況進行評估。商業銀行應對外部數據在行內的使用現狀、合作方系統安全性進行持續評估，一旦發現存在數據安全隱患問題，則應立刻進行整改，必要時暫停或終止相關外部數據的引入和使用。

全面系統加固開放銀行的數據安全防護

一是嚴格執行對場景合作方的身份校驗，通過訪問權限控制、簽名認證、跨域校驗等多重手段對合作方身份進行校驗，盡可能避免系統接口安全漏洞和被盜用的風險。二是進行個人信息訪問的必要授權和加密處理，審慎控制第三方對業務、用戶數據的訪問權限，并通過網絡傳輸鏈路加密、報文加密加簽等多種方式，保障數據傳輸的安全性、隱私性和不可篡改性。三是強化網絡邊界防護。在應用程序接口（Application Programming Interface，簡稱API）服務層和業務層之間部署防火墻和入侵防御設備，實時監測、分析異常流量，智能感知風險態勢，自動阻斷非法訪問或快速攔截外部攻擊。

對于監管部門加強個人信息保護的建議

近年來客戶和投資者的維權意識增強，也存在個別客戶借助個人信息泄露問題進行輿論炒作，惡意要挾銀行獲取不當利益的情況，銀行在個人信息保護工作中面臨很多困難和壓力。因此，監管部門對個人信息保護制定明確的判斷標準和處罰規則十分重要。否則將造成使用談判式的方法解決個人信息保護問題，成本巨大而實際效果欠佳。標準越明確，規則越清晰，越有利于保護消費者權益，也有利于銀行維護自身權益。

加快出臺個人信息保護的統一規定和統一標準

一是建議盡快出臺統一完備的法規制度，明確個人信息保護底線要求。我國尚未出臺適用于所有數據使用機構、適應新興數據應用場景、專門針對個人信息保護的法規制度。目前，《個人信息保護法（草案）》和《個人金融信息（數據）保護試行辦法（初稿）》均在征求意見，但并未正式發布。《個人金融信息保護技術規范》雖已出臺，但僅是推薦性行業標準，并非強制性要求。商業銀行在個人信息保護工作中缺乏有力的制度和規則依據，操作邊界存在模糊地帶。二是按實質重于形式原則全面審慎確定個人信息保護的監管范圍。目前商業銀行數據合作機構中大量為非銀行業甚至非金融機構，部分合作機構存在利用市場優勢過度采集、使用客戶信息數據的問題。建議監管按照功能性監管要求，對各類個人信息數據使用機構，無論是商業銀行還是非銀行機構，均要求適用于與數據使用情況相匹配的監管規定，以確保公平競爭、遏制監管套利。三是明確檢查機制和處罰標準。為確保法律法規的有效落實，提升消費者個人信息保護成效，建議監管部門同步制定針對性的監督檢查機制，明確具體的檢查和處罰標準。

加強對社會公眾事前預防、事后處置的全方位教育

一是建議監管分層推進、有針對性地開展金融教育。在2020年3·15金融消費者權益日活動期間，某省線上調查結果顯示，個人金融信息安全保護知識排名為金融消費者最想了解的金融知識第四位，可見金融消費者尚未獲得足夠的個人信息保護知識。建議監管部門針對不同群體，區分重點、差異化地加強公眾金融信息保護教育。二是根據數字時代對金融信息服務的便利性需求，改進個人信息保護教育的方式和內容。當前公眾金融教育內容普遍以“個人信息一概不提供”為原則，偏向“簡單粗暴”，很大程度上不完全滿足數字時代個人信息使用和保護的實際需求。建議監管研究制定公眾金融教育指引，針對已經廣泛普及的數字金融服務，進行個人信息提供條款和條件的充分解讀，提高公眾對必要的數據采集和個人信息保護的分辨能力。三是提升社會公眾對個人信息泄露的主動預防能力。目前公眾個人信息保護教育往往以犯罪行為鑒別為主，但缺乏對公眾日常消費行為中的個人信息保護意識培養，例如在公共場所填寫個人信息時應注意遮擋，不高聲談論個人隱私信息等。建議監管引導商業銀行在社會公眾教育內容中側重補充日常行為培養，使公眾由僅能被動抵制變為可主動預防。四是提升社會公眾遭遇個人信息侵害事件后的處理能力。建議監管在社會公眾教育中增加發生信息泄露后處理方法的內容，包括固定證據手段、投訴機制、調解機制等，便于公眾及時有效維護自身權益。

提升對銀行信息保護的IT（信息技術）技術指導

一是建議監管發揮個人信息安全技術的引領作用，向商業銀行推介個人信息保護的新技術、解決方案和成果。由于各家商業銀行在新技術上的投入和能力方面有所差別，建議監管將所掌握的研究成果在商業銀行系統建設中進行介紹，促進商業銀行應用新技術。二是建議監管建立商業銀行系統建設的共享機制，促進商業銀行形成個人信息保護聯盟。商業銀行個人信息安全系統建設往往存在共性問題、面臨相同困境。建議監管組織商業銀行對系統建設中出現的共性問題進行研討，促進銀行形成“團結、互助、合作”的工作機制，分享實踐經驗，加強溝通交流。三是建議監管對商業銀行開展網絡攻防演習進行指導，對演習中暴露出的系統問題提出相關建議和專業技術指導。

（張健華為華夏銀行行長。本文編輯/王曄君）