完善數據治理體系為金融科技良性可持續發展奠定基礎

伴隨著金融和科技的深度融合，數據要素價值凸顯，但個人金融信息過度應用或隨意共享等問題，對金融消費者信息安全和個人權益造成威脅和侵害。本文分析了個人金融信息保護的現狀和所面臨的挑戰，提出在個人金融信息保護方面進一步完善治理的建議，為做好金融業數據治理、推動我國金融科技健康可持續發展、促進金融行業數字化轉型提供參考。

近年來，人工智能、區塊鏈、大數據等新技術以不可阻擋之勢在各行各業廣泛應用，金融科技浪潮更是滾滾而來。新技術在提升資金融通效率、降低服務成本、提高用戶體驗等方面取得顯著成效。但同時也應看到，伴隨著金融和科技的深度融合，數據要素價值凸顯，部分機構或因利益驅動，或因對個人信息保護意識薄弱、或因技防能力欠缺，在創新業態中采集了大量個人金融信息，并進行過度應用或隨意共享，對金融消費者信息安全和個人權益造成威脅和侵害。

黨中央、國務院高度重視金融風險防控，中國人民銀行在加強個人金融信息保護、防范金融風險方面提出明確要求。加強個人金融信息保護已成為構建要素市場化配置體制機制、激活金融業數據要素價值的關鍵舉措和必然要求。本文分析了個人金融信息保護的現狀和所面臨的挑戰，提出在個人金融信息保護方面進一步完善治理的建議，為推動我國金融科技健康可持續發展、促進金融行業數字化轉型提供參考。

個人金融信息保護現狀

個人金融信息是指金融業機構通過提供金融產品和服務時自行獲取或通過其他渠道獲取，并進行加工和保存的個人信息，包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。金融業機構在提供金融服務的同時也掌握了消費者個人金融信息，隨著數字化轉型升級的發展，個人金融信息安全問題越來越受到國家層面、金融管理部門、從業機構及金融消費者的重視，相關法律法規、標準及技術措施等也逐步制定和推行。

法律法規及部門規章保障個人金融信息主體權益

近年來，國家及監管部門越發重視個人信息保護，初步形成涵蓋法律法規、部門規章等多層次的個人金融信息法律規范體系。2021年1月1日實施的《民法典》，確定隱私的定義，明確個人信息的定義及處理個人信息應遵循的原則和條件。中國人民銀行于2019年9月6日印發的《金融科技（FinTech）發展規劃（2019—2021年）》（銀發〔2019〕209號），明確加大金融信息保護力度，提出建立金融信息安全風險防控長效機制、加強金融信息安全防護及強化金融信息保護內部控制管理要求。《網絡安全法》《消費者權益保護法》《反洗錢法》等法律法規，及中國人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》（銀發〔2011〕17號）、《關于金融機構進一步做好客戶個人金融信息保護工作的通知》（銀發〔2012〕80號）、《關于發布金融行業標準做好個人金融信息保護技術管理工作的通知》（銀發〔2020〕45號）等政策文件，均對個人金融信息保護提出明確要求。銀保監會《銀行業金融機構數據治理指引》（銀保監發〔2018〕22號），對銀行業機構的數據內部控制提出了治理要求，并通過援引國家標準，將個人信息安全相關要求納入金融業機構合規體系。

此外，聚焦于數據安全和個人信息保護的專門法律《數據安全法》《個人信息保護法》及中國人民銀行專項針對個人金融信息保護的《個人金融信息（數據）保護試行辦法》，也已呼之欲出，將全面保障個人金融信息主體的合法權益。

國家和行業標準進一步規范個人金融信息保護

2020年3月，國家標準化管理委員會發布《信息安全技術 個人信息安全規范》（GB/T 35273-2020），規定了個人信息處理活動的原則和安全要求，提出了銀行賬戶、鑒別信息、信貸記錄、交易和消費記錄等為個人敏感信息。2020年2月，中國人民銀行印發《個人金融信息保護技術規范》（JR/T 0171-2020），對個人金融信息進行了分類分級，規定了不同類別個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全技術要求和管理要求。近年來，中國人民銀行陸續發布的支付標記化、移動金融客戶端應用軟件安全管理、金融分布式賬本技術應用、商業銀行應用程序接口等相關金融標準，從金融領域信息系統、技術安全層面進一步對個人金融信息保護提出了具體要求。

新技術發展應用不斷提升個人金融信息保護能力

個人金融信息安全風險通常被認為是信息化、網絡化、數字化時代產生的，是科技創新挑戰了傳統模式的結果，同時，保護個人金融信息安全也仍然需要依靠科技手段。個人金融信息通過受理終端、客戶端軟件進入后臺信息系統，在相關技術標準指引下，金融業機構從信息全生命周期入手，采用信息加密保護、運行環境檢測、系統雙向認證等技術手段，強化終端、軟件及后臺系統的安全管理，防范被非法入侵和信息泄露的風險。尤其是近年支付標記化、去標識化、匿名化、安全加密等技術在金融業務廣泛應用，從源頭上對用戶銀行卡卡號、支付賬號、卡片驗證碼等信息進行脫敏或加密處理，有效防范了信息泄露的風險，切實提升了信息在收集、傳輸、使用等各環節的安全保障能力。

個人金融信息保護面臨的挑戰

雖然我國法律法規、標準規范、技術應用在個人金融信息保護方面初步形成體系，取得一定效果，但在法規精準聚焦、監管機構聯動協同、技術措施全面防范、機構和個人意識等方面的不足，使得個人金融信息有效保護仍然面臨挑戰，具體分析如下：

新業態下信息保護難度加大

一是隨著金融與信息科技的深度融合，個人金融信息在金融產業鏈中的應用場景及行業間共享范圍不斷延伸，信息保護相關法律法規建設滯后于業務形態快速發展。二是當前個人金融信息各監管部門的職責分工有待進一步明確，監管統籌、工作聯動、協同機制等有待加強。三是近年來數據黑色產業猖獗，通過“拖庫”等非法手段獲得個人銀行開戶、手機注冊等信息，在“暗網”等渠道進行非法交易，大量的個人金融信息遭到泄露，且追查不法分子難度較大。四是有些規模較大企業，借助電商、社交媒體、游戲等領域，匯聚了大量的用戶群體，通過霸王條款，過度收集用戶信息，形成數據寡頭。一旦數據發生集中泄露，便可能利用大數據分析技術預測經濟形勢和居民消費行為，從而對國家經濟安全、信息安全帶來威脅。

技術防護措施仍然存在短板

線上金融業務不斷發展的今天，愈來愈多個人金融數據暴露在互聯網上，在數據搜集、傳輸等過程中，技術安全措施只要在某一環節上存在缺陷，就可能造成數據泄露。以網絡安全措施為例，常見的網絡安全技術措施在應對以破壞為目的攻擊時，通常能發揮較明顯的作用，但當受到以竊取數據為目的攻擊時，其防御性可能會明顯降低，尤其是當攻擊者利用網絡安全漏洞從內部網絡攻擊時，安全措施更是難以應對。網絡安全技術措施的短板成為造成消費者數據泄露和資金損失的重要原因之一。例如2018年，不法分子利用某機構的網絡安全漏洞，入侵其安全防范薄弱的信息系統，并植入惡意腳本竊取了上萬名消費者個人金融信息。另外，在生物特征采集和使用、數據集中存儲、密碼信息保護等方面所采取的技術保護措施，也存在被非法利用的可能，全面做好技術防護措施，補齊應用短板，對保障個人金融信息安全尤為重要。

機構內部數據治理有待加強

近年來，部分金融業機構內控管理機制不健全、信息系統建設不完善，個人信息保護職能不清晰、信息審計和專項檢查不到位、信息使用和訪問不規范、發生信息泄露事件后處理無制度可循等問題，使得惡意盜取用戶信息，違規向第三方平臺泄露個人金融信息的情況頻出，甚至存在內部職工在金錢利益的驅使下，利用職務之便，從系統導出客戶個人金融信息違規出售的情況，嚴重違背了個人金融信息保護規定，侵害了消費者的信息安全權。2020年11月，北京金融科技產業聯盟與相關機構共同發布的《中國個人金融信息保護執法白皮書（2020）》，分析了近年來有關個人信息保護的各類行政、民事、刑事案例情況。據不完全統計，截至2020年10月25日，中國人民銀行總行及各地分支行開出的罰單中，涉及“個人金融信息”的超過180張，處罰對象包括銀行、證券、支付機構等，處罰的行為主要包括未經審批查詢個人金融信息、未按規定保存客戶身份資料和交易記錄、侵害消費者個人信息依法得到保護的權利等。

個人信息防護意識有待提升

部分金融消費者對保護個人金融信息意識淡薄，在智能移動終端上隨意下載App，使用各種需要提供超出服務范圍的個人信息才能開展的應用，更有甚者為了“薅商家羊毛”不惜無條件出讓個人金融信息。另外，很多金融消費者在多家銀行或支付賬戶上使用相同或過于簡單的密碼，在輸入密碼時忽略身邊環境安全等不良習慣，造成信息被泄露、盜取，從而發生資金損失的案例屢見不鮮。移動互聯網環境下，應提升金融消費者主動防護個人信息安全的意識，并加強防護措施的教育，才能更加有效防范信息泄露的風險。

個人金融信息保護工作建議

在金融業務活動中，出現個人金融信息泄露，不僅侵害金融消費者合法權益、影響金融業機構聲譽和發展，甚至可能危害國家金融安全。當前金融科技浪潮迭起，個人金融信息保護成為保障國家金融安全、實現數據要素倍增作用、達成商業利益和公眾權益共贏的基石，必須打好這個數字底座，才能保障金融科技發展行穩致遠。

構建協同共治格局 完善金融業數據治理體系

黨的十九屆四中、五中全會將“數據”列為生產要素，提出要推動數據資源開發利用，加強個人信息保護。平衡好數據治理和信息保護關系需要金融管理部門與工信、公安等多部門聯合，實現多元協同共治。一是法律法規制定部門應要充分考慮行業發展情況和需要，制定或修正相關配套規章制度，拓寬法律法規適用邊界。二是公安機關與金融管理等部門聯動，嚴厲打擊數據交易黑色產業鏈，處罰、震懾不法分子，營造良好金融數據保護環境。三是針對擁有大量個人金融數據資源的寡頭企業，監管部門應對其業務開展過程中收集、傳輸、存儲、使用個人金融信息的各環節加強監管，防范因信息系統漏洞或人為原因，造成數據大規模泄露，給國家經濟安全帶來威脅。四是充分發揮行業自律組織作用，通過金融科技產業聯盟等建立健全自律檢查制度，組織推動產業機構合理運用新技術促進金融業務創新、提升金融業務精準性和可得性的同時，加強個人金融信息全生命周期保護的自律工作，落實金融業數據治理要求，防范違規濫用數據而擾亂市場秩序，嚴控個人金融信息泄露、隱私侵權等。

發揮金融科技優勢 強化個人金融信息保障措施

數據已成為重要生產要素，嚴格遵循個人金融信息保護相關法律法規和相關技術標準就更為重要，而金融科技手段保護個人隱私與數據安全成為必然之選。一是利用多方安全計算、同態加密等技術結合自然語言處理、機器學習等人工智能技術可以實現關鍵信息脫敏處理、關聯信息分散存儲、數據傳輸端到端加密，確保數據可用不可見，在打破數據孤島發揮數據要素倍增作用的同時，有效防控信息泄露、篡改與濫用。二是運用大數據技術為風險智能防控提供基礎的數據處理支撐，對數據保護、數據接入、數據處理與存儲、變量與模型計算等提出技術和安全要求，防范數據風險。三是應用區塊鏈技術的去中心化、難以篡改等特點，結合共識機制、時間戳、智能合約等手段，追溯修改和使用數據的主體行為，降低個人金融信息數據被破壞和泄露的風險。四是通過應用程序編程接口技術（API）、軟件開發工具包（SDK）等技術，向金融消費者提供個性化、多元化、定制化的金融服務，有效監控和防止數據泄露，保障個人金融信息安全。

加強機構內控管理 落實個人金融信息合規要求

一是明確機構間職責定位，注重監管合作。金融業機構要加強與金融監管部門合作，配合對個人金融信息的監管，合理應用所采集數據，防止利用金融消費者敏感信息獲取不當利益。二是強化機構內部控制管理。金融業機構要建立健全金融信息安全管理制度，開展網絡支付相關業務時，不得委托或授權無支付業務資質的合作機構采集支付敏感信息，要明確相關崗位和人員的管理責任和數據訪問權限，定期開展金融信息安全內部審計與外部安全評估，加強金融信息法規知識培訓教育。三是全流程記錄接觸個人金融信息的過程。采取金融科技手段對個人金融信息的接觸者進行數字化記錄，并對訪問數據、使用數據進行留痕。四是建立內部個人金融信息安全監督機制。定期開展個人金融信息安全審計，及時修復所發現的安全漏洞，存在信息泄露或人員違規行為的，應立即采取有效措施防范風險，涉嫌違法犯罪的應移交公安機關，追究刑事責任。

加強個體宣傳教育 提高個人金融信息防護意識

一方面，建立長效宣傳機制，如通過開展“支付安全”“信息保護”等主題活動，宣傳做好網絡支付賬號、銀行卡卡號、交易密碼、短信驗證碼、身份證號碼等信息保護對資金安全的重要性。另一方面，金融業機構應加大基于大數據的行為分析，對發現的潛在信息安全風險，通過短信、微信、電話等方式精準向金融消費者發布提示信息，及時預警、核實存在的風險，喚醒消費者的個人金融信息防護意識。

（潘潤紅為中國金融電子化公司副總經理、北京金融科技產業聯盟秘書長。本文編輯/秦婷）