征信机构数据“跑马圈地”行将结束 应如何保护数据安全?
【“弱监管 弱执法”时代将结束】
日前,央行发布《征信业务管理办法(征求意见稿)》,对信用信息和征信业务,信用信息采集、加工等进行了规定,该办法被认为是征信业的重磅规制,也意味着征信行业将告别“弱监管、弱执法”时代。
在信用信息应用日益广泛的同时,部分企业机构打着大数据公司、金融科技公司等旗号在未经授权的情况下过度采集个人信息,并用于非法牟利的现象时有发生,征信边界不清、信息主体权益保护措施不到位等问题不断出现。
《办法》面向开展征信业务的个人和企业、事业单位等组织,明确了信用信息指的是个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息;并围绕信用信息采集、整理、保存、加工、提供和使用等环节,提出了信息采集应遵循“最少、必要”的原则,保证信用信息的安全,防范信用信息泄露和滥用。
【数据安全管控亟待提升】
征信行业也属于金融行业范畴,同时作为数据密集型行业,更需要加强对数据安全和个人敏感信息的保护。
闪捷信息基于多年金融行业数据安全建设实践经验,建议企事业单位:
1.加强员工数据安全保护意识,开展数据安全培训和宣贯。
2.加强敏感数据保护,避免客户征信信息被泄露。
3.加强系统管理员行为权限管控,防止权限滥用,消除因权限过大带来的安全风险。
4. 加强实时监控,安全审计,形成事前预防、事中阻断、事后可追溯。
【解决征信行业数据安全合规困扰】
那么,面对新规,信用机构应该如何加强数据安全保护呢?
闪捷信息针对《征信业务管理办法(征求意见稿)》中关于保证个人信息安全的规定,提出以下解决方案:
第十六条
征信机构采集的个人不良信息的保存期限,自不良行为或事件终止之日起5年。不良信用信息到期的,征信机构应当删除,作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。
闪捷数据脱敏解决方案可以对数据进行去标识化处理,既可以在实时状态下提供指定用户类型对应指定策略的定向动态脱敏,又可以在非实时状态下脱敏离线分发至测试环境,并提供“保真性”“关联性”“可逆性”“可重复性”“时效性”“安全性”六大脱敏特性,支持多种数据库类型,原始数据经过闪捷数据库脱敏系统后再移入非生产数据库保存,整个过程数据保持不落地,规避了数据泄漏风险。
第十八条
征信机构应当采取适当的措施,对信息使用者的身份、业务资质、使用目的等进行必要的审查。征信机构应当对通过网络形式接入征信系统的信息使用者的网络和系统安全、合规性管理措施进行必要的审查,对查询行为进行监测,发现违规行为,及时停止服务。
闪捷数据库防火墙解决方案可以对数据库数据访问行为进行控制,帮助用户发现和过滤数据库中的违规访问和攻击行为,提升整体安全防护能力。实现数据库访问行为控制、高危操作阻断、可疑行为审计,并支持20余种数据库协议,兼容性强,智能基线机制辅助人工策略制定,桥接、代理、路由器等灵活部署,满足各种环境及业务需求。
第三十三条
征信机构应当严格限定查询、获取信用信息的工作人员的权限和范围。征信机构应当建立工作人员查询、获取信用信息的操作记录,明确记载工作人员查询、获取信用信息的时间、方式、内容及用途。
闪捷数据库审计解决方案实现对数据库访问行为的全程监控、高危操作的实时告警和安全事件的审计追溯,可以帮助用户提升数据库运行监控的透明度,降低人工审计成本,真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
关于闪捷信息:
闪捷信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据库审计、数据库防火墙、数据防泄漏、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。