中国银行个人金融信息保护实践

当前，数据资源逐渐成为金融企业的核心资产，客户信息和金融服务记录蕴藏着巨大的商业价值，使得个人信息保护和金融数据安全面临更大挑战，规范使用客户信息、确保数据安全已成为金融机构面临的重要使命。数据的价值和严峻的安全形势促使各国政府持续加大数据安全保护力度，欧盟GDPR、美国GLBA法案、我国《网络安全法》《民法典》等法律法规都对数据安全和个人信息保护提出了强制要求。近期，全国人大公布的《数据安全法（草案）》进一步明确了组织和个人的数据安全保护义务，以及落实数据安全保护的责任。

中国银行认真落实监管要求，积极借鉴同业经验，持续完善个人金融信息保护体系，在管理理念、制度规范、技术应用等方面努力探索个人金融信息保护新举措。

中国银行信息科技部总经理  孟茜

与时俱进，持续完善个人金融信息保护体系

1.多位一体，强化全行统筹管控。个人金融信息保护工作需要业务部门、科技部门、内控和风险管理部门、审计部门的跨部门跨条线协作。中国银行建立了多位一体、职责明确的个人信息保护工作机制，全面保障个人信息的合规，安全地收集、存储和使用。其中，数字资产管理部牵头集团数据治理工作，负责建立健全数据安全管理机制，确保依法合规采集、应用数据，依法保护客户隐私；个人数字金融部、消费者权益保护办公室等机构负责组织落实个人客户信息保护方面各项工作，建立个人客户信息分级授权管理及追溯机制，受理客户投诉和跟踪处理等；信息科技部门与各部门分工协作，根据监管要求和业务需求，落实相关系统建设和个人金融信息保护的技术实现等。内控和风险管理部、审计部也在各自职责范围内开展个人金融信息保护相关工作。

2.积极应变，主动调整防护策略。随着新技术、新业务、新场景的不断涌现，个人金融信息在不同系统、产品、业务环节中快速流转，数据安全和个人金融信息保护管理策略逐渐由“以系统为中心”向“以数据为中心”转变，管理要求由静态安全为主向数据全生命周期管控动态拓展，逐步形成了以传统信息安全保护体系为基础，以最小授权、分级保护、数据脱敏、可审计、可追溯为管理原则，以数据全生命周期安全管理为目标并持续完善的数据安全和个人金融信息保护管理体系。

3.完善制度，严守监管合规底线。为落实《个人信息安全规范》（GB/T 35273-2020）、《个人金融信息保护技术规范》（JR/T 0171-2020）、《APP违法违规收集使用个人信息行为认定方法》（国信办秘字﹝2019﹞191号印发）等要求，中国银行制定了《客户信息保护管理政策》《个人客户信息保护管理办法》《信息系统个人金融信息保护管理办法》等全行性制度，细化个人金融信息分级分类标准，明确职责分工和管理要求，并将个人金融信息保护各项要求在系统建设和业务运营过程中内化、固化。

精准发力，积极践行个人金融信息保护新举措

1.强化技防，保障数据全生命周期安全。一是建设全领域、纵深化的网络安全防御体系保护核心数据资产安全。通过在网络、系统、终端、应用等不同层面分别部署异构网络安全防御系统和工具，并集中纳入SIEM平台统一进行管控，防止金融信息等核心数据资产被非法窃取。二是持续完善数据防泄漏体系建设，实现了重要文档加密、邮件过滤、终端防护等多层次、立体化的访问控制和数据保护。三是部署数据安全交付平台，确保科技部门向业务部门交付的金融数据不落地、不分流。四是建立统一的业务数据脱敏机制，保障测试数据和大数据平台的安全使用。

2.深耕细作，强化客户隐私保护。在强化金融数据全生命周期安全管理的基础上，中国银行坚持个人金融信息收集和使用的合法、正当、透明、必要原则，有针对性地采取了一系列举措，切实尊重和保障客户隐私权利。一是厘清业务功能与个人金融信息、所调用系统权限的对应关系，确保收集的个人信息和使用的系统权限最小必要。二是向客户明示采集与使用个人金融信息的目的、方式、范围和规则，同时全面细化隐私政策，确保无免除自身责任、加重客户责任、排除客户主要权利的条款，保障个人客户知情权。三是设计灵活的授权及撤销机制，确保不存在强制捆绑授权行为，保障客户持续拥有自主选择权。四是严密防范第三方SDK窃取客户隐私，根据央行《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》要求，对标《移动金融客户端应用软件安全管理规范》《网上银行系统安全通用规范》，强化第三方合作时的安全、合规管控，持续对第三方SDK开展安全技术检测，建立一票否决和黑名单机制，对非授权采集客户信息的行为零容忍。

3.筑牢基线，确保外部机构数据合作安全合规。中国银行将数据安全与合规作为与外部机构业务合作的重要前提。通过《中国银行业务外部数据应用管理办法》规范外部客户信息采集、应用和删除销毁配套管理流程，确保外部数据合规采集和使用。在与政府机关、行政事业单位及各类商业机构合作中依法合规获取的个人金融信息，均按照集中管理、最小授权原则进行管控。数据通过“外部数据接入平台”一点接入，由“大数据应用平台”集中加工、存储、管理和复用，确保数据采集和流转过程安全可控。

4.创新驱动，保障新业态下个人金融信息安全。中国银行借助大数据、机器学习、生物识别、自然语言处理等新技术，深入分析客户行为和风险偏好，打造“网御”智能化的实时反欺诈平台，覆盖金融交易事前、事中、事后全流程，对线上线下高风险交易进行实时监控与处置，有效防御与客户信息泄露相关的各类欺诈交易。

5.全面对标，组织开展数据安全评估。中国银行依据国家与金融行业有关制度规范与技术标准，聘请外部专业机构开展数据安全评估工作。以“存、贷、汇”等传统业务为起点，以电商、教育、养老等业务场景为样本，以典型业务系统为对象，针对重点领域——个人金融信息保护，从制度建设、信息和合规采集、存储、使用，客户投诉受理等方面进行深入测试和对标，进一步推动了个人金融信息保护制度的落地和完善。

6.因行施策，严格落实海外监管政策。面对各国差异化的监管要求，中国银行全面梳理境外机构所在国家和地区的数据安全和个人信息保护监管法规，形成信息科技全球监管合规库。同时按照“就高不就低”的原则，制定适合各境外机构的数据安全和个人金融信息保护基线，并在日常工作中贯彻落实。针对部分国家数据本地化、个人信息加密存储等法律要求，因地制宜、因行施策，通过加密回传加密集中处理或本地部署海外专用核心系统等方式，有效遵循了各国的监管要求。

未雨绸缪，积极应对新挑战

近年来，数据安全和个人信息保护相关法律法规不断完善，《数据安全法》正在向社会公开征求意见，《个人信息保护法》也已列入全国人大常委会立法规划。同时，人们对于隐私权的主张不断增强，维权意识持续提升，对数据安全和个人金融信息保护的要求也将不断提高。中国银行将跟进行业发展实践，持续完善数据安全运营体系，以个人金融信息等重要数据资产为核心，重点加强防护，更好地保障个人信息主体权利。

在数字化时代，数据在商业银行经营管理中发挥着越来越重要的作用，深入挖掘、有效利用各类数据资产将成为商业银行提升自身竞争力的重要手段。数据安全和个人金融信息保护也将成为一项长期的系统工程。中国银行将坚持科技赋能、创新驱动，以合规为底线，持续完善数据安全保护机制，丰富技术防护手段，探索信息保护新模式，不断提升全行数据资产安全和个人金融信息保护水平。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。