GDPR项下个人数据保护和数据安全合规风险管理研究

作者

中国工商银行(欧洲)有限公司巴黎分行

总经理 金宁

副总经理 张文剑

科技部 孟庆龙

基于目前网络与数据安全的严峻形势，以及工商银行关于加强全集团网络与数据安全风险统筹管理、各机构网络与数据安全治理的相关要求，中国工商银行(欧洲)有限公司(以下简称“工银欧洲”)巴黎分行在总行数据管理部、工银欧洲总部的指导下,对总行要求与欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)相关要求进行全面梳理，并对个人数据保护日常管理、过程资产及留痕记录保存等相关工作内容进行整理，提出一套完整的满足GDPR要求的方法论。同时，工银欧洲巴黎分行加强个人数据保护系统建设，将所有个人数据保护工作纳入系统化、规范化、智能化管理体系，以确保分行数据安全以及各项业务合法、可持续发展。

本文结合工银欧洲巴黎分行个人数据保护和数据安全合规风险管理实践，对GDPR项下个人数据保护和数据安全合规风险管理工作进行研究和探索，旨在通过加强个人数据保护系统建设，有效防控数据安全风险，助力银行数字化转型发展。

一、欧洲个人数据保护相关法案要求下银行业面临的挑战

1981年，欧共体成员国签订《关于自动化处理的个人信息保护公约》，第一次尝试在欧洲层面建立统一的个人信息保护法律制度；1995年，欧盟正式颁布《关于个人信息处理保护及个人信息自由传输的指令》，目标是推动个人信息受到保护的基本权利在各成员国得到贯彻落实，保障各项信息在成员国间依法自由传输。

自2009年开始，欧盟启动个人数据保护框架的改革工作，目的在于强化数据主体权利的保护，并统一欧盟各成员国的数据保护立法。2012年1月，欧盟委员会正式发布GDPR草案；2016年4月，欧盟理事会和欧盟议会表决通过了GDPR，并在同年5月4日正式在欧盟官方公报发布。自2018年5月25日起，GDPR直接适用于欧盟全体成员国，以“一个大陆、一部法律”在欧盟28个成员国内部建立起统一的个人信息保护和流动规则。由于其具有域外使用效力，GDPR被称为“史上最严格的数据保护法”。

数据控制者或处理者如违反GDPR规定，将会受到监管部门的严厉处罚，按照GDPR第83条规定，罚款最高额可达2000万欧元或集团全球营业额的4%，取二者中较高的金额。因此，银行必须加强个人数据保护全流程管理，对数据进行规范化、智能化、数字化管理，这既是银行数据安全管理的需要，也是监管机构对于数据安全合规的要求。

二、欧盟各成员国GDPR监管机构处罚案例分析

自GDPR正式施行以来，多数欧盟成员国监管机构收到的投诉和发起的调查数量大幅增加，具体可分为基础投诉案件、基于数据泄露报告的案件及其他类型案件。监管机构根据GDPR第83条规定进行处款。工银欧洲巴黎分行收集了欧盟各成员国监管处罚案例，分析了从2018年至2023年8月的2024个处罚案例。

在欧盟各成员国中，法国罚款金额最大，为1000万欧元，占全部欧盟罚款总数的48%；其次是西班牙，罚款总额约为670万欧元，占全部欧盟罚款总数的30%；罚款金额居于第三位的是奥地利，为400万欧元，占全部欧盟罚款总数的6%(如图1所示)。

图1 欧盟各成员国罚款金额及占比情况

(数据来源：enforcementtracker.com)

从违反GDPR相关条款看，处罚依据最多的是第5条违反数据保护原则(合法性、公正性、透明性、目的限制、数据最小化、存储限制、准确性、完整性、问责制)，第6条违反数据处理活动合法性原则(合法地收集、使用数据)，第32条违反数据处理安全性原则(数据加密、应急灾备办法及相关演练等)，处罚依据居于前三位的GDPR条款见表1。在2024个案例中，涉及银行业的处罚共73次，最少罚款1500欧元(由于未配合GDPR检查的警告性质处罚)，最多罚款600万欧元(数据处理没有足够法律依据)。

表1 处罚依据居于前三位的GDPR条款

从处罚类别来看，主要包括以下7个方面：未能提供组织或技术方法保证数据安全、不符合数据处理原则、没有充分的数据处理法律依据、未充分满足数据主体要求、未满足信息处理强制要求、没有充分执行数据违反通知义务、未充分满足数据保护官参与要求等(如图2所示)。

图2 处罚类别

(数据来源：enforcementtracker.com)

三、工银欧洲巴黎分行个人数据保护和数据安全合规风险管理实践

工银欧洲巴黎分行基于目前业务情况、欧盟及法国本地监管规定，通过监管制度学习、处罚案例分析、本地同业交流等多种方式对个人数据保护与数据安全合规风险管理进行了探索，制定了包含管理目标、管理重点、管理路径、审计监督等内容的一整套可实施的实践方法论，实现了基于法律驱动、合规驱动和科技驱动，以及跨部门联合合作的GDPR管理方案的落地。

1.管理目标

工银欧洲巴黎分行针对GDPR中的合法性、数据主体权利和数据安全三大支柱性要求，通过以问责制和风险为本的方法，构建了与GDPR规定相匹配的管理体系，以保证严格遵守GDPR各项合规要求。

2.管理重点

针对相关监管制度中的合法性、公正性、透明性，以及目的限制、数据最小化、准确性、存储限制、完整性、机密性、问责制七大原则要求，工银欧洲巴黎分行制定了如下八项重点工作内容，以落实相关监管要求。

(1)整体管理架构的建立

一是依据经典的三道防线模型建立数据保护架构，即IT部门负责实施行内系统、网络等安全控制，建立第一道防线；风险管理部门负责科技风险、客户风险、数据安全风险等风险管理政策的第二道防线；内审部门负责对整体网络风险治理、质量提升提供独立鉴证和建议，建立第三道防线。

二是成立数据保护委员会，定期对涉及的个人数据进行数据安全评估审议，通过定期会议讨论，对新增、修改的个人数据处理活动进行评审，对涉及的数据清理活动进行确认。

(2)业务隐私设计

工银欧洲巴黎分行根据监管要求及行内规范，明确隐私设计是数据保护的核心原则，任何新的业务活动都基于此原则开展。工银欧洲巴黎分行通过处理活动记录的方式，对活动涉及的个人数据、获取数据的合法依据、敏感字段及相关风险等进行完整记录，并在业务发生变化时及时对相关记录进行更新，在保证满足监管问责制(Accountability)要求的同时，及时、全面地掌握各项个人数据处理活动情况。

(3)透明性工作

GDPR规定数据控制者或处理者在向数据主体进行数据收集前，需以清晰、易于理解的方式告知包括数据收集性质、种类、目的、期限等在内的一系列信息，并取得数据主体的同意。因此，工银欧洲巴黎分行透明性方面的工作主要体现为数据保护相关制度政策的及时更新，且做到对员工和客户透明。

工银欧洲巴黎分行在对个人数据使用和处理环节进行核查时，重点比照GDPR要求，对所涉及的相关风险进行判断：一是比较数据使用和处理的目的、范围、主体等内容，相对于数据初始收集时是否发生变化；二是判断银行所进行的数据处理与数据收集的目的是否具有一定的相关性、数据处理是否在数据收集后的一定时间内发生，以及数据收集是否为实现收集目的所必要；三是注意核查银行是否已经建立特定的机制，或为数据主体提供特定的途径，以确保数据主体在特定情形下可以限制数据控制者对自身数据进行处理的权利；四是核查银行是否已经建立特定的机制，或为数据主体提供特定的途径，以确保数据主体在特定情形下有权反对针对其进行的特定的数据处理活动，包括以直接营销为目的的数据处理、数据画像等。

(4)数据存储期和数据安全

GDPR规定数据主体应在达到数据收集、处理的规定目的后及时进行数据清理，并确保数据存储期间的数据安全。因此，工银欧洲巴黎分行根据每项数据活动的实际业务意义进行分析，结合本地反洗钱要求、税法规定等相关法律规定，设置每项数据活动涉及的数据存储期限，并严格按照设定的期限定期进行数据清理。

在数据安全方面，工银欧洲巴黎分行从行内数据应急恢复、同城应急演练、应用系统应急演练、日常办公环境检查等多角度多方位进行数据安全管理，确保数据的完整性、保密性、可用性等各方面均符合监管要求，从而保障银行网络和数据安全。

(5)第三方数据处理

GDPR规定数据控制者在选择第三方数据处理机构时，应选用具有充分信誉保证的、采取合适技术与组织措施的、处理方式符合GDPR要求并且能够保障数据主体权利的机构。工银欧洲巴黎分行对涉及第三方机构的个人数据处理活动潜在风险进行分析，对集团内部第三方机构(如数据中心)和集团外部外包商处理的活动分别采取不同措施。针对集团内部第三方机构，工银欧洲巴黎分行与其签订服务水平协议(Service Level Agreement，SLA)，并通过定期提供报告的方式确保其数据处理满足要求;针对集团外部外包商提供的服务，则通过签订额外的保障条款、审计业务连续性报告等内容的方式确保数据安全。

(6)数据主体权利

GDPR规定了数据主体拥有被告知权、访问权、修改权、删除权、限制处理权、数据移植权、反对权和禁止自动处理等8项权利，数据控制者必须提供简便易操作的方式满足数据主体提出的相关权限要求。为此，工银欧洲巴黎分行制定了相关的配套制度和流程，为数据主体行使其权利提供保障。

(7)个人数据泄露处理

GDPR规定了数据控制者在发生数据泄露时的相应义务：数据控制者应在知晓数据泄露事件后72小时内向监管机构报告，未能在72小时内进行报告的，应当对延迟理由加以说明；若数据的泄露可能给自然人的权利与自由带来高风险，数据控制者应当及时将泄露情况告知数据主体；数据控制者应当完整记录数据泄露的情况，包括泄露事件的原因、受影响的数据主体、事件影响和后果、补救措施等。工银欧洲巴黎分行根据监管要求建立了数据泄露处理机制，构建了向本地监管机构、数据主体告知的流程，确保将数据泄露事件对个人数据安全的影响最小化。

(8)培训

定期对银行的董事、高管、员工和第三方机构开展多元化的GDPR培训，是银行进行有效GDPR合规管理的重要环节，也是监管机构评估银行GDPR合规制度有效性的主要关注点之一。工银欧洲巴黎分行针对不同岗位员工设置了不同类型和层次的培训，并对培训中所涉及的具体情况进行留存。第三方机构的合规意识及能力也可能对银行产生影响，因此，除了注重管理层和员工的培训，工银欧洲巴黎分行还注重对第三方机构的培训。

3.管理路径

工银欧洲巴黎分行个人数据保护通过主动防、全面管、智能控的管理路径，以达到数据合规、可追溯的目的。

(1)主动防

工银欧洲巴黎分行不断提升工作的主动性、前瞻性、预见性，完善风险治理体系，加强风险文化建设，明确风险策略要求，使三道防线各司其职、协力主动防控GDPR合规风险。

一是完善GDPR治理架构。工银欧洲巴黎分行建立健全GDPR数据治理架构，夯实合规治理基础，落实基于风险的管理要求，发挥风险管理委员会、数据治理委员会的作用，在风险管理委员会上增加数据治理议题。同时，成立贯穿各部门、各业务条线的联合小组，制定落实GDPR合规问责制度，确保在发生违规事件后，能够及时采取措施进行补救，并追究违规人员的责任。此外，设置数据保护官，为机构的GDPR合规性保驾护航。

二是加强个人数据保护合规风险管理文化建设。工银欧洲巴黎分行注重强化底线思维，培养员工合规意识，同时，秉持独立制衡、风险承担、风险激励原则，确保各项工作不越红线。

三是明确GDPR合规管理策略。工银欧洲巴黎分行根据实际情况拟定了短期策略和中长期策略，重点防控个人数据违规及泄露风险，主动适应内外部环境变化，强化合规基础管理，贯彻风险管理要求，做到未雨绸缪、见微知著、举一反三。

四是强化政策和流程建设。工银欧洲巴黎分行构建了完善的制度基础，确保数据保护方面的工作有章可循。实施GDPR合规管理，除完善治理架构之外，更为关键的是在具体事项上落实GDPR的具体要求，在内部建立GDPR合规制度，构建具体的行为机制和工作流程。工银欧洲巴黎分行在内部合规制度中明确保障GDPR数据主体各项权利的具体机制，在数据收集、使用、处理、保存和跨境传输的整个数据生命周期保障数据主体的个人数据安全，并在发生个人数据泄露时采取相应的处理机制。

(2)全面管

一是落实GDPR个人数据保护要求需要各部门及各产品线联合行动、全员参与，工银欧洲巴黎分行通过每年至少一次的全员GDPR相关培训，持续提升员工意识；二是充分发挥数据保护官在个人数据保护方面的作用，工银欧洲巴黎分行通过定期沟通、组织培训、模拟检查等多种方式对其工作进行检查；三是以数据处理活动记录为抓手，根据银行自身的业务活动和领域进行梳理和筛查，并对相关数据的收集、使用、处理、保存、清理和跨境传输的状态进行具体分析。

(3)智能控

将个人数据保护日常管理工作系统化、数字化、智能化，有助于银行对风险合规工作的精细化管理，同时也是科技赋能的体现。

4.GDPR合规风险管理的监督

工银欧洲巴黎分行内部审计部门定期对合规制度的执行情况进行监督审计，并将审计结果形成报告。管理层审阅审计报告之后，就审计结果中所涉及的相关问题进行内部通报，要求存在问题的业务部门根据审计报告的建议就相关问题进行整改，同时追究有关人员的相应责任。

5.个人数据保护管理系统建设

工银欧洲巴黎分行将分散化的各项个人数据保护工作进行系统性管理，通过加强科技资源投入，建设个人数据保护管理系统，对包括数据收集、数据控制者的使用、数据的存储、数据的传输、第三方数据处理等在内的数据处理进行全生命周期管理。

个人数据保护管理系统主要功能包括活动记录管理、机构和应用管理、培训管理、数据保护影响分析管理、数据主体申请管理、数据泄露管理、文档管理和用户角色管理等。伴随着欧盟对个人数据保护、数据安全要求的不断提高，工银欧洲巴黎分行将严格落实监管要求，在总行的支持和指导下，不断优化个人数据保护管理系统方案，构建更加完备的配套系统，为分行合法合规运营保驾护航。

数据安全问题一直贯穿于银行经营及数字化转型过程的始终，银行应通过加强对数据的保护以及对数据安全合规风险的系统化、规范化、数字化管理，建立符合自身业务实际情况的数据安全管理制度及流程机制，落实数据安全管理责任；健全数据安全风险监测、数据安全事件应急管理及处置机制，定期开展数据安全应急演练及数据安全风险评估，有效防控数据安全风险，助力数字化转型发展。

本文刊于《中国金融电脑》2024年第9期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。