銀行如何做好個人金融信息保護

馬龍 周起文 歐歡峰 馬龍

未來，個人金融信息數據保護必將成為金融科技行穩致遠的核心要素之一。隨著銀行數字化轉型的持續縱深推進，銀行在個人金融信息保護方面面臨的形勢將日趨嚴峻，挑戰將日益增大。銀行需要綜合運用多種手段，以更加切實有效的方式強化個人金融信息保護，破解數據要素運用中的業務痛點和技術難點。

數字化發展，既是構筑國家競爭新優勢的戰略選擇，也是滿足人民日益增長美好生活需要的重要途徑。依托云計算、大數據、人工智能、區塊鏈等技術的不斷迭代與演進，數字化發展又促成了金融和科技的完善結合，金融科技不僅改變了金融服務方式和效率，也改變了金融服務內容和質量，甚至改變了金融服務的性質和本質。金融科技的本源是工具，但金融科技與人性結合，便有了善惡，所以，如何劃定金融科技的邊界，規范金融機構和科技公司的行為，讓金融科技增進而不是破壞人們的美好生活？在數字化發展中加強個人金融信息保護的問題，值得深入研究。

個人金融信息保護問題越來越得到重視

在個人信息保護方面，我國在逐步建立和完善相關法律法規，既有國家層面的統一推進，也有各主管部門的并行推進;監管趨向嚴格，執法懲處力度加大，對行業自律的要求逐步提高;個人用戶的信息保護意識越來越高;個人信息保護向數據治理轉變，涉及的領域愈加多元和深入。

個人金融信息的界定

根據中國人民銀行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》，個人金融信息是指：“銀行業金融機構在開展業務時，或通過接入中國人民銀行征信系統、支付系統以及其他系統獲取、加工和保存的以下個人信息：個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業、聯系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;個人財產信息，包括個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金繳存金額等;個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶余額、賬戶交易情況等;個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經濟活動中形成的，能夠反映其信用狀況的其他信息;個人金融交易信息，包括銀行業金融機構在支付結算、理財、保險箱等中間業務過程中獲取、保存、留存的個人信息和客戶在通過銀行業金融機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發生業務關系時產生的個人信息等;衍生信息，包括個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息;在與個人建立業務關系過程中獲取、保存的其他個人信息。”

我國近年出臺了一系列法律法規和監管要求

從2012年全國人大在法律層面明確個人信息定義，到2020年《個人信息保護法（草案）》（簡稱“個保法草案”）公開征求意見，我國個人信息保護立法經歷了從無到有、從分散立法到統一立法的過程，大致可以分為立法起步、深化和統一三個階段。

立法起步階段（2012年至2017年）

此階段標志是2012年全國人大常委會通過《關于加強網絡信息保護的決定》，在法律層面首次確認了對個人信息進行保護的要求;2013年，工業和信息化部出臺《電信和互聯網用戶個人信息保護管理規定》。但此階段個人信息保護法律法規尚處于起步階段，不夠清晰，各類規定比較零散，有的還在說教層面，執法威懾相對還不夠強。

此階段，個人金融信息保護以監管部門通知為主。如，中國人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》（2011年）、《關于金融機構進一步做好客戶個人金融信息保護工作的通知》（2012年），以及《征信業管理條例》（2013年）和《中國人民銀行金融消費者權益保護實施辦法》（2016年）等規定中也涉及信息保護內容。

立法深化階段（2017年至2020年）

此階段標志是2017年國家頒布《網絡安全法》和最高法出臺《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對網絡信息管理全面規范，并且通過司法解釋明確了個人信息保護的刑法量刑標準。此外，國家的執法力度越來越大。2019年針對爬蟲行為開展了集中整治，多家大數據公司因數據違規被查。但此階段國家尚未出臺個人信息保護專門法，法律法規相對分散，系統性不足。

此階段，個人金融信息保護納入數據管理框架，監管部門也出臺了個人金融信息保護規范。如銀保監會發布《銀行業金融機構數據治理指引》（2018年），將國家標準《信息安全技術 個人信息安全規范》納入銀行業金融機構的合規標準體系;中國人民銀行發布《個人金融信息保護技術規范》（2020年），明確了金融行業的信息保護技術標準。

統一立法階段（2020年起）

2020年10月，全國人大就個保法草案向社會公開征求意見，標志著我國個人信息保護進入了統一立法、專門立法階段。同期，新版國家標準《信息安全技術 個人信息安全規范》正式實施。同時，在2020年底，中央政治局會議著重強調了反壟斷的問題，金融監管部門也提出要關注新的大而不能倒問題，還強調數據確權是數據市場化配置及報酬定價中的基礎性問題。

此階段，個人金融信息保護進展體現在監管部門正在基于國家個人信息保護立法，制定相關的行業法規。如，2020年12月，中國人民銀行和銀保監分別表示正在研究制定《個人金融信息保護暫行辦法》和《金融數據安全保護條例》。

在個人信息保護方面的監管執法懲處力度越來越大

2019年，我國針對爬蟲行為（網絡留痕信息自動采集技術）開展了集中整治。多家大數據公司因數據違規被查，部分中小銀行暫停第三方合作。而多家公司被查的重要原因是違規使用數據爬蟲，并服務于高利貸、暴力催收等行為。從執法情況來看，這次查處已不限于與互聯網金融相關的數據風控公司，而是全面打擊數據產業鏈上下游的違法違規行為，督促業界進一步認識到合規的重要性。

2020年中央著重強調反壟斷的問題。金融監管部門也提出要關注新的大而不能倒問題，還強調數據確權是數據市場化配置及報酬定價中的基礎性問題，大型科技公司實際上擁有數據的控制權，需要盡快明確各方數據權益，依法保護各交易主體利益。總之，這些動向反映出國家進一步加強個人信息數據保護力度，對與個人信息保護密切相關的大數據公司和平臺公司的監管，不僅限于爬蟲問題、數據收集等方面，而是深入到金融業務場景，開始強調數據權益歸屬問題。

銀行一直注重個人金融信息保護

在數字化轉型發展中，銀行個人金融信息保護既屬于管理范疇，也屬于技術范疇，保護體系有三個共性特征：一是在組織機制上，強化全行統籌管控，建立了多位一體、職責明確的保護機制;二是在防護策略上，聚焦客戶隱私維護，堅持個人金融信息收集和使用的“合法、正當、透明、必要”原則;三是在金融科技上，注重技術防控，打造全領域、縱深化的防控體系，從網絡通信、系統應用、數據分析挖掘等各層面均有防控措施。

主要的管理舉措包括：一是協同的管控架構。銀行的保護組織架構由業務、科技、內控和風險等部門組成，通過跨條線、跨部門協作，形成多位一體、職責明確的個人金融管理信息保護組織架構。二是完善的制度規范。全面遵循法律法規和監管要求，頂層設計整體策略，細化個人金融信息分級分類標準，并從業務和科技層面出臺了具體的工作辦法，明確職責分工和管理要求，并在系統建設和業務運營過程中內化固化各項保護各項要求。三是主動的發展模式。隨著新技術、新業務、新場景的不斷涌現，個人金融信息保護逐漸由“以系統為中心”向“以數據為中心”轉變，各大行積極應變，保護策略與時俱進，保護舉措主動調整。四是最小的使用范式。厘清業務發展與個人金融信息保護關系，建立清晰明確的調用系統權限對應關系，確保收集的個人信息和使用的系統權限最小必要。五是持續的員工教育。為確保人這一信息安全最關鍵因素，避免因員工的“不知”“無畏”引發泄露事件，通過手冊編制、案例教學、在線培員工訓等方式，持續組織開展安全意識培訓，并將安全教育納入強制學習計劃，強化合規意識。六是透明的告知體系。主動向客戶明示采集與使用個人數據的目的、方式、范圍和規則，同時全面細化隱私政策，確保無免除自身責任、加重客戶責任、排除客戶主要權利的條款，保障個人客戶知情權。設計靈活的授權及撤銷機制，確保不存在強制捆綁授權行為，保障客戶持續擁有自主選擇權。

具體的技術舉措包括：一是全生命周期縱深防護。建立覆蓋個人金融信息采集、加工、傳輸、存儲、使用、銷毀等全生命周期、動態靈活的安全技術保障體系，通過在網絡、系統、終端、應用等不同層面，分別部署異構網絡安全防御系統和工具，并集中納入統一管控，防止金融信息等核心數據資產被竊取，持續完善數據防泄露體系建設，實現了重要文檔加密、郵件過濾、終端防護等多層次、立體化的訪問控制和數據保護。二是便捷實際的可控運用。面向主要的使用主題和使用部門，依托桌面云、本地虛擬化等技術，為數據應用提供在線安全訪問、安全傳輸、訪問控制、數據防泄露、安全清理銷毀等“一站式”功能，構建安全、便捷和封閉的數據使用環境。三是外部數據的嚴密防護。在與政府機關、行政事業單位及各類商業機構合作中，依法合規獲取的個人金融信息，均按照集中管理、最小授權原則進行管控。數據通過企業級外部數據接入平臺一點接入，由統一的數據應用平臺進行集中加工、存儲、管理和復用，確保安全可控。四是常態監控的預防防護。加強數據使用行為監控審計，運用安全態勢感知、大數據分析技術，主動發現和追溯數據泄露，及時采取有效控制措施;運用技術、管理、教育綜合手段，防控內部違規查詢、打印等使用個人金融信息的行為;持續開展數據安全評估，做好各項預防工作。五是與時俱進的創新防護。順應后疫情時代金融全面線上化趨勢，深入分析客戶行為和風險偏好，借助大數據、機器學習、生物識別、自然語言處理等新技術，對線上線下高風險交易進行實時監控與處置，覆蓋交易事前、事中、事后全流程。

此外，銀行近年來一直持續在海外布局，因此高度注重全球個人金融信息數據保護。在全面梳理境外機構所在國家和地區的數據安全和個人信息保護監管法規的基礎上，形成全球監管合規庫，制定了適合各境外機構的數據安全和個人金融信息保護基線。同時，針對部分國家數據本地化、個人信息加密存儲等法律要求，因地制宜、因行施策，通過加密回傳加密集中處理或本地部署海外專用核心系統等多種方式，有效遵循了各國的監管要求。

銀行個人金融信息數據保護面臨的挑戰

隨著數字化轉型步伐的持續加快，個人金融信息在不同系統、產品、業務環節中快速流轉，個人金融信息保護管理需要由靜態安全為主向數據全生命周期管控動態拓展。未來隨著銀行數字化轉型的持續縱深推進，數據要素的價值創造作用將更加凸顯，個人金融信息保護面臨的風險與挑戰也將史無前例。

金融加速線上化 帶來泄露新風險

隨著銀行業的全面數字化，特別是后疫情時代，“零接觸”的全面線上金融成為各大行標配，數據泄露的風險敞口也在激增。同時，相比傳統封閉式架構，基于移動互聯網的線上金融勢必采取開放式架構，而開放式架構的不足客觀存在，更易成為攻擊目標。技術促進業務創新的同時，也須直面新技術的兩面性，例如云平臺數據匯集使單體風險演化為系統風險，大數據時代的個人隱私數據易被濫用等需要重點關注。另外，銀行致力于發展場景金融，銀行場景與外部場景環環相扣，其中的個人金融信息數據保護成為發展的防線，也是底線。此外，近年來金融機構容易成為主要攻擊目標，攻擊者從炫耀技術到詐騙勒索目的不一，攻擊防范的復雜嚴峻可見一斑。

運營加速互聯網化 帶來集中新挑戰

進入數字化時代之后，銀行的競爭力在于能夠充分發揮數據要素的效用，依托人工智能等技術了解客戶、觸達客戶并獲客活客。依托數據要素經營的未來銀行，必須合規合法整合多方、海量、高維、異構的數據，并采用數字化的運營模式，才能及時了解經營管理狀態，降低經濟環境不確定性帶來的風險，降低市場與周期波動帶來的風險，降低客戶需求變化帶來的風險。數字化運營的內生需要必須加大數據的集中程度，同時也將帶來更大的泄露風險。當前很多銀行都在全力推進數據中臺、數據湖建設，但是傳統的授權模式、多頭的流出途徑、復雜的交換渠道也是需要配套做徹底的改變，需要技術、思維與管理齊頭并進，才能化解與之相伴相生的個人金融信息數據集中泄露風險。

監管加速完善趨嚴 提出防護新要求。

從2018年歐盟《通用數據保護條款》（General Data Protection Regulation，簡稱GDPR），到我國已將《個人信息保護法》《數據安全法》等納入全國人大立法議程，同時《個人信息安全規范》國家標準和《個人金融信息保護技術規范》金融行業標準相繼出臺，全球個人金融信息安全保護司法與監管持續完善，并不斷趨嚴。根據新的司法與監管要求，數據權益代表了數據的權利和利益，貫穿在數據流轉的整個生命周期，同時數據生產者跟數據消費者之間的合作關系由過往很多時候默認的買賣關系轉變為租賃關系，這就意味著，即使數據被授權使用，數據所有者依然既是擁有者也是生產者，從來沒有放棄對自己數據的權利。在數據已成為銀行重要生產要素，并成為智能化發展基石的情況下，這些改變勢必對個人金融信息數據保護提出新的要求。

個人金融信息保護值得關注幾個問題

個人金融信息的數據權益歸屬問題

個人金融信息具有一定的特殊性。個人金融信息既是個人信息，又涉及公共利益。金融數據合規比一般的個人信息保護更為復雜。例如，《信息安全技術 個人信息安全規范》規定，個人信息控制者目的達成后，應及時根據約定刪除個人信息。但根據金融監管法律要求，客戶身份資料在業務關系結束后、客戶交易信息在交易結束后，均要按要求保存一定期限。

從縱向的數據生成角度，個人金融信息的數據權益應歸屬涉及信息的個人還是采集信息的機構？個人與金融機構的數據權益是否需要劃分，如何劃分？個人在金融機構的數據可以分為兩部分：一部分是個人直接授權的數據，即個人在業務過程中直接授權并提供給金融機構的數據，另一部分是派生的數據，即在處理業務的過程中衍生出來的數據。對于直接授權的數據和派生的數據，是都歸屬于個人，還是僅有一部分歸屬于個人？如果僅有一部分歸屬于個人，如何劃定個人與金融機構的權益歸屬邊界？這些問題與數據處理的合規要求直接相關。

從橫向的參與主體角度，對于金融機構特別是銀行來說，需要關注各參與主體之間的數據權益歸屬關系。在實踐中，我國對這些主體之間數據權益歸屬的規范尚不夠清晰。一是銀行內部各部門之間的關系。一個部門的數據，其他部門是否可以直接共享，如何共享？二是集團內部不同法人主體之間的關系。例如，集團內部的商業銀行、消費金融公司、保險公司等機構之間，如何合規共享數據，如何合規開展營銷引流、風險管理等業務合作？三是集團與外部合作機構的關系。銀行與互聯網公司等各類外部機構在合作中，有時會涉及相互進行營銷引流、風險管理等業務需要，此時會涉及個人信息的跨機構流轉。如何合規開展數據共享和流轉？四是銀行與政府部門及其辦事機構之間的關系。如國家部委、地方政府、政府部門下屬的事業單位等。銀行與這些機構之間如何合規地共享數據？當前我國的法律法規在這些領域還不夠細致和清晰。

采用第三方數據的安全性問題

金融機構的數據或直接收集或由第三方提供。因第三方數據接入的風險點更加復雜，所以，運用第三方接入數據存在幾個風險點。

未經授權進行收集或爬取。通過公開網站收集的個人信息，若非個人信息主體自行向社會公眾公開或者公共機構主動明示公開，則仍須獲得個人信息主體的授權。非法收集個人信息，可能遭到被收集機構基于平臺安全的正當理由所阻止。同時，未經第三方平臺授權，通過破解技術爬取用戶數據的活動，可能構成竊取或以其他非法方式獲取個人信息的違法行為。

不正當競爭及其他風險。未經授權直接爬取第三方數據的行為，爬蟲可能構成妨礙、破壞正常運營等違法行為，屬于不正當競爭情形。此外，還可能構成“危害計算機信息系統安全的其他行為”，由此面臨行政監管處罰。在較嚴重的情況下，可構成“非法獲取計算機信息系統數據罪”或“破壞計算機信息系統罪”，帶來刑事風險。

模糊措辭，概括性授權。采集協議文本使用“等個人信息”表述違反了“透明度”的要求。實踐中，此類描述往往有超出使用目的范圍、開展過度收集活動的嫌疑，極有可能違反最小必要原則。

數據融合后超出范圍使用。數據融合處理和使用不是無限制的，應當遵循“合法性、正當性、必要性”原則，即要有合法性和正當性基礎（用戶授權同意等）。對自身爬取數據、從第三方獲得的爬取數據以及自身數據進行融合處理和使用時，也須采取個人信息安全保護措施，不得超出用戶授權范圍進行使用。

數據提供方將具有授權瑕疵的數據整合后提供給下游數據使用方。情節嚴重到一定程度，很可能構成侵犯公民個人信息罪。具有授權瑕疵的數據收集或爬取行為可能構成“竊取或者以其他方法非法獲取公民個人信息”。數據提供行為可能構成“向他人出售或者提供公民個人信息”。

下游數據使用方使用數據提供方非法收集或爬取的數據。若不對上游數據提供方的數據來源合法性、數據收集授權范圍進行審查和確認，在購買和使用其非法數據后，情節嚴重時很可能構成侵犯公民個人信息罪。

我國個保法草案的適用主體為境內自然人。個保法草案雖然擴大了域外適用范圍，但對范圍的規定相對模糊和保守。個保法草案的保護主體側重于個人。我國已處在數字經濟跨越式發展階段，對數據安全、個人信息安全問題更加重視。

我國個保法草案與歐盟GDPR的差異及其對銀行的影響

歐盟GDPR將全球個人數據信息的保護和監管提升至更高層級。該條例不僅適用于設立于歐盟境內的主體，在許多情況下還可適用于非設立于、運營于歐盟境內的數據控制者和數據處理者。GDPR強調的監管要求體現出個人信息保護和數據合規的趨勢。一是隱私治理。組織在特定情況下應設立數據保護官（Data Protection Officer，簡稱DPO）。組織需建立數據保護政策、隱私設計原則。二是數據保護。禁止數據跨境傳輸（除非采取適當措施）。對高風險的場景開展數據保護影響評估。三是告知同意。必須獲取數據主體的明確同意，且同意清晰可辨。組織須要保留數據處理記錄。四是客戶權利響應。組織應及時響應客戶的權利請求。數據主體擁有知情權、訪問權、更正權等多項權利。五是事件響應。必須在72小時內匯報數據泄露事件。

我國個保法草案借鑒了歐盟GDPR等國際經驗，同時也堅持從國情出發，在多方面與GDPR存在明顯差異，且對銀行可能會造成影響。

第一，合法性事由的部分條款規定范圍相對更窄，部分兜底性條款則偏寬泛。

對于合法性事由，個保法草案的部分規定范圍相對更窄。例如，歐盟GDPR的合法性事由中有以下情形：“對于保護數據主體或另一個自然人的核心利益所必要的”，“為了公共利益或基于官方權威而履行某項任務而進行的”。我國個保法草案則規定，“為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”，“為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息”。

對于兜底性條款，個保法草案的規定則相對偏寬泛。例如，GDPR規定的情形為“處理對于控制者或第三方所追求的正當利益是必要的”，并有更細致的指導。個保法草案的兜底性條款為“法律、行政法規規定的其他情形”，并未明確指出其標準，規定偏寬泛，未明確體現正當利益事由。

第二，對罰款金額和執行標準的規定不夠清晰。

歐盟GDPR規定的最高罰款為2000萬歐元或上一年全球營業額的4%，兩者取較高者，還規定了處罰的考量因素。歐盟也會通過指南文件等方式進行更細致的指導。《個人信息保護法（草案）》規定罰款為5000萬元以下或上一年度營業額5%以下，但未明確是否為全球營業額，也未詳細指導處罰中的具體考量因素。

第三，敏感個人信息處理的合規義務較重。

歐盟GDPR對特殊類型個人數據，實行原則性禁止加例外情形。對于同意的原則和方式，未進行特別規定。而我國個保法草案規定，個人信息處理者可處理敏感個人信息的情形為具有特定的目的和充分的必要性。同時，應取得個人單獨同意，還應告知必要性、告知對個人的影響。在需要取得個人單獨同意這一點上，個保法草案在合規方面對個人信息處理者的要求較高，企業的合規成本高。

第四，對成本承擔的規定不夠清晰。

歐盟GDPR規定，控制者應對個人數據提供副本，若任何數據主體要求提供額外副本，控制者可以收取合理費用。我國個保法草案未明確成本的承擔問題，僅規定“個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供” 。

第五，在自動化決策方面的合規要求較高。

根據歐盟GDPR規定，個人有權拒絕自動化決策。但也提供了豁免情況，例如出于履行合同的必要、經過數據主體的明示同意、法律已授權并且采取了適當的措施。GDPR對個人信息處理者在加強透明度方面的規定也更清晰。

我國個保法草案規定，個人若認為個人信息處理者的自動化決策對其權益造成重大影響，則有權要求予以說明，且個人有權拒絕僅通過自動化決策做出決定。個保法草案還規定，“通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對其個人特征的選項”。這些要求對個人信息處理者是比較高的，且容易與其他法律產生沖突。如，貸款自動審批類的自動化決策結論如為拒絕客戶申請，符合《商業銀行法》規定;但客戶如依據個保法草案主張拒絕銀行的審批結論，此種情況該如何處理，也需要加以考慮和明確。此外，個保法草案要求，在自動化決策中“應當保證決策的透明度和處理結果的公平合理”，但對透明度和公平合理的具體標準規定不夠細致，不便于個人信息處理者實際執行。

關于數據跨境的合規要求可能會有較大影響

歐盟GDPR在數據跨境方面，規定了特別告知同意、數據保護標準條款、履行合同必要等多種方式。我國個保法草案則提出了數據跨境的前提條件是要告知個人且取得單獨同意。個保法草案還對本地化存儲的情形做出了規定。這些規定對跨境經營者會有一定的影響。

總之，從我國個保法草案與GDPR的差異來看，一方面，有些規定對個人信息處理者的合規義務要求較高;另一方面，有些規定不夠清晰，執行標準不明確。后續如果完全按此立法實施，可能對國內市場主體履行個人信息處理者的權利義務有一定影響，對銀行做好個人信息保護與數字經濟創新發展的平衡有一定影響。

進一步強化個人金融信息數據保護的建議

完善保護機制 強化合法合規

在數字化時代銀行要將數據安全保障特別是個人金融信息保護定位為一項長期性、系統性工程，需要持續完善信息保護機制，構建適應新金融、新技術、新業態的個人金融信息保護體系。同時平衡好創新與管控之間的關系，在平衡中進一步發揮好數據要素的價值創造作用。

銀行應積極參與數據保護立法，推動立法與務實相結合。銀行承擔支持實體經濟重任，更需要主動與立法機構和監管部門積極溝通，結合支持實體經濟的具體數據應用場景，推動在法律文本、司法解釋、監管法規制度等個人信息保護法律體系中，通過列舉式細化“哪些可行，哪些不行”，明確合理合法應用個人金融信息的方式和方法，以及對應的具體處罰標準，盡可能縮小法律中寬泛和模糊的中間地帶，減少因法律體系不夠明晰帶來的不必要的成本和損耗。需要重點關注的是：一是關注數據確權，平衡數據所有人的權利與數據支撐自身發展的作用，既要保護數據所有人對數據擁有的固有權利，確保自身合法、合規并合理處理與使用。二是關注數據估值，注重劃分數據資源固有的商業價值與數據挖掘應用產生的商業價值，形成合理的數據使用價格機制，充分公平地發揮數據價值。三是關注數據跨境，持續跟蹤并明確個人數據的歸屬權和司法管轄權，最大限度維護數據所有人的基本權益。四是關注社會公平。中小企業是創新的主力軍，在競爭中處于相對弱勢。在立法過程中應充分傾聽業界聲音，制造寬松適度的競爭環境，鼓勵中小企業依法依規參與個人金融數據相關行業。

銀行要密切關注數據保護執法的效果。銀行深刻認知金融消費者并非“愿意用隱私交換便捷性”，客戶信息保護和權益保護也是競爭力。一是關注法律執行，個人信息保護不應追求立法上的求新、求全，追求從重處罰，應更多考慮企業在執行相關法律和法規的過程中的實際情況，讓違法的企業得到懲處的同時，也讓真正守法的企業看到收益。避免讓企業為了遵守繁瑣的法律法規撰寫冗長的授權協議，或者讓部分企業因為守法成本過高而放棄業務創新;二是關注事件處置，建立清晰的數據侵權事件處理流程和善后機制，若發生侵權事件，除了承擔起應當的司法責任，也要有內部問責機制，舉一反三避免重犯。

提升保護意識 強化多元效用

數字化時代銀行要將個人金融信息保護定位為一項長期性、系統性工程，需要持續完善信息保護機制，構建適應新金融、新技術、新業態的個人金融信息保護體系。首先凸顯協同作用，銀行普遍采用傳統的科層制架構，而個人金融信息保護需要管理部門、業務部門、科技部門、總分行機構的高度協同，須采用柔性敏捷模式持續提升保護協同性;其次強調理性保護，數據要素是大數據時代銀行能夠為客戶提供更好服務與體驗的關鍵，要強化保護策略和舉措的合理性，避免過度保護，在大數據與個人隱私中間找到平衡點，這關乎銀行的數字化轉型發展，也關乎每個消費者的體驗;再次發揮文化力量，銀行內部要建立全方位的數據安全保護文化，切實做到有效識別自身關鍵數字資產要素，制訂適當的保護策略和風險緩釋計劃，將數據保護納入每位員工的工作職責;最后做好消費者保護教育，承擔社會責任，配合政府和社會機構加大對個人金融信息數據安全的教育，推動社會公眾意識到個人金融信息保護是維護公民隱私、維護商業利益、維護國家安全的關鍵所在，每個公民都有義務從自身做起維護包括自身數據在內的數據安全。

探索保護模式 強化技術管控

銀行要積極利用隱私數據識別、數據加密、安全存儲、區塊鏈等技術，構建自主可控、可支撐億量級客戶和高并發交易的數據保護能力，不斷提高金融科技服務的安全性，保障用戶隱私與資金安全，共同搭建健康安全的金融科技生態圈。

持續強化成形的保護方法。銀行要全方位落實央行三年金融科技規劃中對信息數據保護的技術要求，遵循合法、合理原則，選擇符合國家及金融行業標準的安全控件、終端設備、應用程序（App）等產品進行金融信息采集和處理，利用通道加密、雙向認證等技術保障金融信息傳輸的安全性，運用加密存儲、信息摘要等手段保證重要金融信息機密性與完整性，通過身份認證、日志完整性保護等措施確保金融信息使用過程有授權、有記錄，防范金融信息集中泄露風險。

持續探索適應發展的保護模式。銀行要認識到未來的保護不是簡單的筑高墻式的封閉保護，而是在合法合規使用內外部數據的基礎之上，進行的一種開放式的保護，因此要加大技術投入，積極研究運用新興隱私計算模式，基于多方安全計算、隱私保護、區塊鏈等技術，實現數據可用不可見，解決場景金融發展過程中內外數據協同計算中的數據安全和隱私保護問題，助力安全高效地完成聯合風控、聯合營銷、聯合科研等跨機構數據合作任務，驅動業務價值增長;強化戰略科技力量，綜合利用現代新技術，構建自主可控、可支撐億量級客戶和高并發交易的數據保護能力，使自身為國家數據安全貢獻應有的力量。

規范對外合作 強化生態建設

數字化時代銀行需要多方面的信息來了解客戶。因此，銀行與金融科技公司存在廣泛的數據合作。需要對金融科技公司的行為進行有效的規范，在全社會營造個人金融信息保護的良好生態。一是商業銀行應堅持原則。商業銀行在和金融科技公司開展數據合作時，要堅持“辦理相關業務所必需”原則和“最小必要”原則，將個人金融信息的交換和范圍減至最小。二是金融科技公司應嚴守底線。金融科技公司主動規范自身行為，不違規使用數據爬蟲，不將個人金融信息服務于高利貸、暴力催收等行為。三是建議國家有關部門出臺相關實施細則。商業銀行難以辨別金融科技公司的數據來源。建議國家有關部門出臺相應具體的實施規范，明確金融科技公司在數據服務方面的合規資質，共同營造合法合規的金融信息保護的良好生態。

總之，未來，個人金融信息數據保護必將成為金融科技行穩致遠的核心要素之一。銀行需要綜合運用多種等手段，以更加切實有效的方式強化保護，破解數據要素運用中的業務痛點和技術難點，然后更好地拓展場景生態、釋放數據生產力，讓金融科技更加有效地服務實體經濟、服務人民的美好生活。

（汪小亞為清華大學國家金融研究院特邀研究員，馬龍供職于中國銀行總行信息科技部，歐歡峰供職于中國銀行消費金融部，周起文供職于中國銀行總行軟件中心。參與本文研究的還有中國銀行消費金融部的劉旭光、劉楊、林陽，在此致謝。本文觀點與作者所在單位無關。本文編輯/王曄君）