随着银行业数字化的不断演进,新技术、新业态不断涌现,金融领域面临的 数据安全 风险形势严峻复杂,给银行金融机构信息 数据安全 管理造成了新的挑战。
2024年12月27日,国家金融监督管理总局正式对外发布了《银行保险机构 数据安全 管理办法》(以下简称“《办法》”),要求银行金融机构采取有效的管理和技术措施加强 数据安全 保护,确保客户信息和金融交易数据的安全。同时,监管职能部门还将以机构自查和监管职能部门现场检查相结合的形式对银行保险机构的信息 数据安全 启动专项治理。
据《中国经营报》记者了解,“个人信息保护”是金融消费者权益保护的一项重要内容,强化金融机构信息 数据安全 管理对监管而言迫在眉睫。此前多家银行金融机构因 数据安全 管理问题被罚,问题聚焦在信息收集和信息管理两个方面。其中,信息数据管理能够通过制度建设、内控机制等方式解决,而过度收集客户信息却成了银行金融机构很难迈过的一道坎。
信息数据“雷区”
“监管每年都会对金融机构的信息 数据安全 进行抽查。”一家股份制银行风控部门相关责任人说道,由于客户信息安全界限的问题,银行在对接客户进程中很轻易被认定过度收集信息。“这是一个普遍存在的现象。”
此次《办法》中也明确要求,银行保险机构处理个人信息应根据“明确告知、授权同意”的准则实施,并限于实现金融业务处理目的的最小范围,不得过度收集个人信息。
上述股份制银行风控部门相关责任人表示,银行客户的姓名、指纹、脸部图像属于办理业务的基本信息,而年龄、学历、地理位置等信息可能就不属于处理业务目的的范畴了。
“在信息化时代,银行风控作为业务的重要一环涉及到很多大模型,以此来对客户进行精准画像。所谓客户画像,即通过客户的已知信息对业务风险进行判断。这说白了,客户能够提供的信息越多,客户画像也就越精准。”上述股份制银行风控部门相关责任人说,“以客户学历为例,客户学历是否会影响到办理业务呢?表面上,客户学历与业务无关,可是底层逻辑上却又存在一定关系。银行通过 大数据 可以了解到,学历越高的顾客在风险承受能力上越强。同样,客户的年纪、地域和财产都是授信的影响因素。银行风控大模型在客户画像上需要更多信息数据,而信息 数据安全 保护又需要最大水平的制约范围,这就会发生矛盾。”
该股份制银行风控部门相关责任人表示:“目前银行内部在完善机制防止过度收集客户信息,处理问题的形式就是做减法。监管应该给银行一些数据分类的目录。”
此次《办法》中提到,国家金融监督管理总局根据国家数据分类分级要求,制定银行业保险业重要数据目录,提出核心数据目录建议,监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机构应当按要求向国家金融监督管理总局或其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。
机构接连被罚
记者了解到,《办法》相比此前规定更加细化,并落实了权责分明。新规要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取不同化的安全保证措施。
《办法》中明确表示,在数据分类方面,银行保险机构对机构业务及经营管理进程中获取、引发的数据进行分类管理,具体类型包含客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。在数据分级方面,银行保险机构应根据数据的重要性和敏感水平,将数据分为核心数据、重要数据、一般数据,其中一般数据细分为敏感数据和其它一般数据;当数据的业务属性、重要水平和可能造成的危害水平发生变化,造成安全级别不再适用的,及时进行动态调整。
同时,由于数据加工、数据转移、数据跨境等场景的增多,保障 数据安全 面临新的要求。《办法》提出,银行保险机构应当建立银行母行、保险集团或母公司与其子行、子公司 数据安全 隔离的“防火墙”,并对共享数据采取有效保障措施。银行保险机构应当构建覆盖数据全生命周期和应用场景的安全保护机制,开展 数据安全 风险评估、监测与处置,保障数据开发利用活动安全稳健开展。
另外,《办法》还对不同场景的 数据安全 作了具体规定。好比,银行保险机构应当将数据委托处理并入信息科技外包管理范围,在实施进程中不得将信息科技管理责任、 数据安全 主体责任外包;银行保险机构与第叁方机构进行数据共同处理时,应当以合同协议方式明确双方在数据处理进程中的 数据安全 责任和义务...。
记者了解到,仅2024年一年来,多家银行因收集客户信息问题“吃罚单”或被点名整改。
2024年12月24日, 江苏省 通信管理局发布了《2024年第5批关于侵害用户权益行为的APP通报》,其中涉及江阴农商银行、昆山农商银行、苏州农商银行、江苏长江商业银行、无锡农商银行五家银行,而侵权行为包含了“违规收集个人信息;超范围收集个人信息;App强制、频繁、过度索取权限”等。
2024年9月25日,国家计算机病毒应急处理中心通报13款违规移动应用。其中包含甘肃农信App,涉及到“隐私政策难以访问、未声明App运营者的基本情况、未声明隐私政策时效”“处理敏感个人信息未取得个人的单独同意”等诸多问题。
2024年7月10日,内蒙古通信管理局发布关于App侵害用户权益问题的通报。其中,包含4家村镇银行App,4款App均涉及“违规收集个人信息”“超范围收集个人信息”等诸多问题。
2024年4月7日,人民银行 四川省 分行对自贡农商银行、达州银行、成都双流诚民村镇银行等5家银行开出罚单。其中4家银行违反信用信息收集、提供、查询及相关管理规定。
2024年3月13日,人民银行 吉林省 分行发布的行政处理信息显示,吉林农安农商银行因“违反信用信息收集、提供、查询及相关管理规定”等7项犯法行为被罚400多万元。
国家金融监督管理总局有关责任人介绍,《办法》主要特点包含落实 数据安全 责任制、明确 数据安全 归口管理部门、将 数据安全 风险并入全面风险管理体系、强化 数据安全 评估、建立 数据安全 保护基线等。相关举措的目的就是通过采取有效的管理和技术措施加强 数据安全 保护,确保客户信息和金融交易数据的安全。