央行发文,金融行业个人信息安全保护要求再度升级!

2020-05-15 16:32

近日,中国人民银行办公厅发布了《关于开展金融科技应用风险专项摸排工作的通知》(银办发〔2020〕45号)(以下简称“45号文”),要求各地人民银行分支机构及相关监管机构启动金融科技风险专项摸排工作,摸排内容主要有个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理等5个方面的风险情况。

1589534988512546.jpg

 45号文解读】

1.     此次摸排工作的目的是什么?

一方面对前期各金融机构在金融科技应用方面所做的风险合规工作进行阶段性验收;另一方面也是为后续的金融科技监管方向提供实际的数据支撑。

2.     此次摸排工作具体时间安排?

此次摸排工作将持续5个月,分为三个阶段:

l  2020年5-7月:人民银行组织相关金融机构进行自评

l  2020年8-9月:人民银行分支机构采用非现场手段进行核实;中国支付清算协会、中国互联网金融协会配合核实工作

l  2020年10月:人民银行分支机构进行总结分析报送总行

3.     此次摸排工作的主要范围有哪些?

包括:移动金融客户端应用软件、应用程序编程接口、信息系统等,涉及人工智能、大数据、区块链、物联网等新技术金融应用风险。

4.     此次摸排工作包含哪些内容?

主要内容包括:个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理等5个方面风险情况,覆盖40个摸排项,共123个摸排要点。

5.     此次摸排工作参与的角色有哪些?

包括:相关金融机构、人民银行分支机构,中国支付清算协会、中国互联网金融协会。

6.     此次摸排工作是依据了哪些法令法规?

主要依据:《中华人民共和国网络安全法》、《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》、《移动金融客户端应用软件安全管理规范》、《金融科技(FinTech)发展规划(2019-2021年)》等相关法律制度及标准规范。

7.     此次摸排工作能为金融机构带来什么警示?

可以帮助金融机构全面摸排内部金融科技应用风险状况,进行查漏补缺,从而提升整体安全合规水平。

 

【个人金融信息安全警钟长鸣】

在大数据时代,数据安全往往与企业的存亡休戚相关。在金融行业领域,数据是金融机构最具有战略性的、最为核心的资产。个人金融信息的安全不仅关系到机构自身的金融风险和品牌,还关系到公共秩序甚至国家利益。

遍观全球金融行业,数据泄露事件屡见不鲜。泄露信息包括用户的详细个人信息、账户信息和交易记录等。

2017年9月,美国三大个人信用评估机构之一的Equifax被爆出遭遇黑客攻击,约有1.42亿美国用户的个人重要信息面临泄露

2018年11月,美国汇丰银行通知客户10月4日至10月14日期间发生了数据泄露,攻击者访问了访问该金融机构的在线账户。约1%的美国客户的姓名、出生日期、电话号码、电子邮箱等信息被泄露

2019年7月,美国第七大银行、世界第五大信用卡签发方的第一资本银行(Capital One)发布公告,称其数据库遭受黑客攻击,约1.06亿银行卡用户及申请人信息泄露。《华尔街日报》表示,此次泄露事件可能给该银行带来1亿至1.5亿美元的损失。

 

【金融行业如何保护个人金融信息】

针对金融机构的数据安全体系建设,保护个人金融信息,可以参考以下几点:

1.     谨慎收集用户的个人信息

在个人信息采集阶段,应该按需收集个人信息,过多的个人信息收集会给金融机构带来合规风险,也会带来防护成本。

2.     通过数据资产梳理,实现数据按需保护

对金融信息系统内的数据资产进行分类分级,梳理出敏感数据内容,敏感数据的位置,以客户数据为中心、以产品数据为导向、以账户核算数据为基础,从不同维度分析数据流量,访问热度,为之后的数据保护做基础。

3.     通过数据加密和脱敏,加强个人信息保护

首先,个人信息的传输和存储,应该进行加密,防止内部人员或外部人员明文窃取;其次,个人信息的使用和交换过程中,数据应该脱敏,使数据在安全合规的前提下流转。

4.     通过数据防泄漏,使数据泄露有源可溯

在终端和网络环境中对敏感数据的存储、操作和流动进行监控、预警和审计;同时,对外发的敏感数据添加水印,使数据的使用有迹可循,出现数据泄露事件可以溯源追责。

5.     加强访问控制,保障数据安全

l  设置访问数据资源的IP地址范围,可以有效防止陌生IP地址发起的非法请求;

l  对数据资源的所有请求,都应该经过身份验证,合法的用户才能请求数据;

l  对用户能够访问的数据内容进行最小权限限制,减少用户越权访问数据的机会;

l  使用三权分立,分别设置审计管理员账号、安全管理员账号和数据库管理员账号,防止权限过于集中而带来的风险。

 

【结束语】

金融行业个人信息的违法违规、行政和刑事执法案件数量在2019年呈爆发式增长。随着数字技术的高度发展,个人金融信息的安全风险越来越高。45号文作为金融行业监管机构的工作通知,将个人金融信息保护作为重点之一,为金融行业的个人信息保护带来积极的影响。

 

【关于闪捷信息】

闪捷信息(Secsmart)是一家专注数据安全的国家级高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,首创“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据防泄露、数据库审计、数据库防火墙、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。