受邀人民银行直播丨闪捷信息为您解锁个人金融信息保护攻略
9月28日,为响应《中国人民银行办公厅关于在2021年全国“质量月”期间开展“金融标准 为民利企”主题活动的通知》,中国人民银行南京分行、无锡市中心支行,江阴农商行,无锡农商行在线发起“金融标准网络直播访谈”活动,闪捷信息作为金融科技行业数据安全合规发展的重要推动者,受邀参与直播,进行了《个人金融信息保护》主题分享,以专业角度解读金融科技标准,筑个人金融信息保护防线。下面,就让我们一起回顾一下吧。
随着《数据安全法》的实施和《个人信息保护法》的颁布,数据安全的国家战略地位进一步提升,金融数据与财富息息相关,其中蕴藏着重要的个人敏感信息,关乎百姓切身利益,与此同时,大数据、AI、云计算等高新技术在金融领域的应用日益普及和深入,金融数据海量增长,我们参与到金融科技的机会越来越多,日常支付、银行转账、基金交易、股票期货交易等场景,都涉及到个人金融信息,保护金融领域的个人信息迫在眉睫,如何在满足金融业务基本需求的基础上,保障个人金融信息安全,已成为当前亟待解决的问题。
金融法规政策标准解读
《个人信息保护法》第28条将金融机构所掌握的客户个人信息归类为敏感个人信息,敏感个人信息直接关系着人格尊严和人身、财产安全,对此类个人信息的处理极易产生重大安全风险。
(1)个人金融信息
个人金融信息是金融机构日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。具体包括账户信息(账号、账户余额、账户交易情况)、鉴别信息(用于验证个人身份、具有访问和使用权限的信息)、金融交易信息(业务过程中获取、保存、留存的个人信息)、个人身份信息(姓名、身份证号码、联系方式等)、财产信息(个人收入情况、拥有房产状况、公积金缴存金额)、借贷信息(授信、信用卡和贷款的发放及还款、担保情况)、其他信息。
(2)个人金融信息分类
按照《个人金融信息保护技术规范》,个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
C3属于高敏感的用户鉴别信息,一旦遭到未经授权的查看或变更,会对个人金融信息主体的信息安全与财产安全造成严重危害;
C2属于中敏感的可识别信息主体身份与金融状况的个人金融信息;
C1属于低敏感的金融机构内部的信息资产,主要指供机构内部使用的个人金融信息。
(3)个人金融信息分级
按照《金融数据安全 数据安全分级指南》,根据金融数据安全遭受破坏后的影响对象和影响程度,通过数据资产梳理、数据安全定级准备、级别判定、级别审核、级别批准,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。
5级数据是指一旦遭到破坏,将会严重影响到国家安全、公众权益的重要数据,主要用于金融交易过程中的关键业务使用,数据的保护按照国家及行业主管部门的有关要求执行。
4级数据是指一旦遭到破坏,将会严重影响到个人隐私、公众和企业合法权益的数据,但不影响国家安全,对数据采取安全防护措施应优先考虑安全需求。
3级数据是指一旦遭到破坏,对公众权益、个人隐私造成中等影响的数据。
2级数据是指一旦遭到破坏,对个人隐私造成中等或者轻微影响的数据,通常为内部管理且不宜广泛公开的数据,对数据采取安全防护措施应优先考虑业务需求。
1级数据一般可以被公开或可被公众获知、使用,遭到破坏后,可能对企业合法权益造成一定影响,原则上无保密性要求。
值得注意的是,个人金融信息C3类别属于4级数据,C2类别属于3级数据,C1类别属于2级数据。
(4)个人金融信息技术防护
《金融数据安全 数据生命周期安全规范》对不同安全级别的数据在采集、传输、存储、使用、删除、销毁等生命周期各个环节提出安全防护要求。
<1>数据采集
指金融业机构在提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金融信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。
数据采集过程存在数据泄露、数据源伪造、特权账户滥用、数据篡改等安全风险,采集阶段要明确数据源、数据采集范围,并事前开展数据安全影响评估,保证数据采集的合规合法性。
<2>数据传输
指金融业机构将数据从一个实体发送到另一个实体的过程,数据传输过程存在数据传输中断、篡改、 伪造及窃取等安全风险,传输阶段要确保数据传输网络的安全性、数据的完整性,并选用安全的密码算法。
<3>数据存储
指金融业机构在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程。
数据存储过程,可能存在数据泄露、篡改、丢失、不可用等安全风险。存储阶段要根据不同安全因素,分域分级存储数据,应依据最小够用原则存储数据,并定期开展风险评估,4级以上数据应使用密码算法加密存储。
<4>数据使用
指金融业机构在提供金融产品和服务、开展经营管理等活动中,进行数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享等活动。数据使用不应超出数据采集时所声明的目的和范围。
数据使用过程存在数据非授权访问、窃取、泄露、篡改、损毁等安全风险,使用阶段要根据数据的不同安全级别,制定数据访问控制的安全措施,保障金融数据在被访问过程中的保密性、完整性。
<5>数据删除
指在金融产品和服务所涉及的系统及设备中去除数据,使其保持不可被检索、访问的状态。删除阶段要对不同类型数据设置相应的保存期限,超过国家及行业规定的保存期限的,应采取技术手段,执行删除操作;金融产品和服务停止提供时,应删除或匿名化处理用户的个人金融信息。
<6>数据销毁
指在停止业务服务、数据使用以及存储空间释放再分配等场景下,对数据库、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或者物理销毁的方式确保数据无法复原的过程。销毁阶段要制定销毁操作规程,明确销毁场景、技术措施、销毁过程的安全管理要求。
金融行业个人信息保护合规建设
(1)制度建设
<1>进行数据分级分类,依据分类分级标准落实敏感数据管理
数据分级分类是数据确权和访问控制的基础和依据,根据金融行业标准或者自身金融业务场景、数据价值、数据影响、数据用途、数据来源等确定数据分级分类标准,进而形成专属标签库。另外通过基于AI算法的智能分级分类标签功能与人工辅助相结合方式,高效完成数据治理工作。依照数据标签属性来制定精细的安全策略和数据授权机制,最终确保敏感信息的扩散范围和权限粒度。
<2>数据安全动态风险评估
对金融机构业务系统进行风险评估,通过调研、问卷等方式梳理业务系统风险点。
服务依据:对每一个风险项的评估标明其评估依据或来源,依照国家相关法律法规、行业标准及最佳实践进行评估。
(2)组织保障
金融机构应建立由决策层、管理层、执行层、监督层四级架构建立数据安全组织架构,必须有明确的数据安全管理部门和数据安全管理岗位人员。
决策层:由机构高管构成数据安全管理委员会领导小组。
管理层:由机构科技、业务、法律合规、风险管理等部门主要负责人构成数据安全管理委员会。
执行层:由机构科技、业务、法律合规、风险管理等部门具体数据安全岗位工作人员构成。
监督层:由审计、稽核等部门人员构成。
(3)人员管理
金融机构应识别数据安全关键岗位,对关键岗位人员加强保密、岗位变动、离职管理,加强关键岗位人员技能和意识培训,明确数据安全保护的责任和义务,努力提高员工的信息安全保护技能和素养,明确岗位职责,强化从业人员金融信息安全保护意识,建立关键岗位人员与高安全定级数据间的对应关系,定期分析访问行为,对数据库管理进行职责分离,必要时设立双人双岗。
(4)技术管理
围绕数据安全生命周期建设防护能力,建立涵盖数据采集、数据传输、数据存储、数据共享、数据使用、数据销毁的数据安全保护能力,依据整理数据安全防护策略和数据安全管理制度,通过相应的数据安全工具和技术手段进行数据安全防护落地应用。
如何保护自己的金融信息安全?
《个人信息保护法》赋予了个人对其个人信息的处理享有知情权、决定权,有权拒绝他人对其个人信息的处理的权利,另外还包括查阅权、复制权、可携带权、更正权、删除权、自动化决策相关权利。因此,金融机构不得违法违规收集个人信息;处理金融账户等个人敏感信息,应先征得本人同意;个人有权拒绝金融APP“智能化”信息推送模式;个人有权撤回同意处理个人信息。
金融消费者应该增强数据信息保护意识,重视数据的使用范围,了解前沿动态,运用先进技术和法律手段保护个人信息。