随着信息技术在社会各个领域的普及应用,个人信息采集的广度和深度不断拓展,个人信息运用趋于电子化、规模化和产业化,信息流动更是突破地域和行业限制。与此同时,受利益驱使,不法分子通过泄露、冒用、倒卖等手段利用个人的金融信息进行非法牟利,对个人金融信息侵害的非法行为甚至已经演化为产业链模式,不但侵害客户的合法权益,扰乱市场经济秩序,严重危害社会经济正常发展。本文对个人金融信息保护重要意义进行了阐述,全面分析个人金融信息保护工作面临的困难和挑战,并对加强个人金融信息保护提出建议。

个人金融信息保护的必要性

1.加强个人金融信息保护是维护国家金融安全的必然要求。金融是现代经济的核心,金融安全是国家安全的重要组成部分。互联网经济的迅猛发展,在极大便利社会民生的同时,也催生了大量个人信息泄露事件,致使垃圾信息、骚扰电话、精准诈骗时有发生,由此带来的侵权违法活动呈多发态势。个人金融信息泄露,不仅对人民群众财产安全和金融行业资金及声誉造成威胁,也严重侵扰了公民的日常生活,甚至危及社会的长治久安。因此,要从源头上推进金融安全综合治理必须加强个人金融信息保护。

2.加强个人金融信息保护是保障金融消费者合法权益的重要体现。随着社会进步和经济发展,个人金融信息除了具有人格权属性外,也渐渐体现出财产权属性。保护个人金融信息安全是衡量金融业消费者权益保护水平的重要标尺,是金融业担负的一项重要社会职责,也是依法维护金融消费者权益的重要举措。《网络安全法》《个人信息保护法》《征信业管理条例》等一系列法律法规和规章制度的出台,标志着我国个人金融信息保护立法驶入了快车道。

3.加强个人金融信息保护是促进数字经济创新发展的现实需要。金融信息应用是现代金融发展的基础,电子技术是现代金融运行的主要手段。在此背景下,金融企业掌握信息资源的数量以及对信息资源的利用水平,直接关系到自身的行业地位、盈利水平、贡献程度和未来发展。因此,只有加强个人金融信息保护,才能增强客户信心、维护企业良好声誉,保持市场竞争力,才能为企业持续创新发展奠定坚实基础。

4.加强个人金融信息保护是防范网络诈骗的重要手段。网络诈骗案件一般不受时间空间的限制,具有高技术和强隐蔽性,很难发现案件线索和证据,当前主要是以预防为主。因此,加强个人金融信息保护工作,已成为防范和打击金融诈骗案件的重要关口,金融机构有责任和义务采取有效措施加强个人金融信息保护,防止信息泄露。

个人金融信息保护工作面临的困难

1.法规制度仍有短板。个人信息已成为公民人格权的重要组成部分,对个人权利保护是法律体系核心内容之一。多年来,我国从民事、行政、刑事等各个层面不断完善个人信息保护相关法律法规,2021年8月通过的《个人信息保护法》更是构建了个人信息保护完整框架,为金融机构加强个人金融信息保护、防范打击非法侵害个人金融信息提供了法律基础。但现行的个人金融信息保护法律制度还存在诸多不足,主要表现在可操作性差、分散于不同的制度要求中、对信息主体的权利保护不够充分。

2.行业监管力度亟待加强。近年来,央行等金融监管部门陆续下发了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《个人金融信息保护技术规范》《个人存款账户实名制管理规定》《个人信用信息基础数据库管理暂行办法》等多份加强个人金融信息保护的通知和规范,但仍有一些金融机构在执行过程存在措施不到位的情况,主要表现在保护领域不全和重管理轻保护两个方面。

3.金融机构对个人金融信息管理较薄弱。一是组织机构不健全,缺少管理部门,金融机构一般由多个部门行使个人金融信息保护的权力。未设置专职个人信息保护岗位,导致个人信息保护工作经常陷于无人问津或“打乒乓球”的尴尬境地;二是未建立完整的个人信息使用全过程管理机制,导致难以准确监测和查询个人信息使用的全过程;三是缺乏对外包厂商和人员的管控机制,不能很好的将个人信息保护职责划分清楚并纳入厂商准入标准以及项目合同中,对外包厂商及工作人员进行有效约束。

近年来,金融机构不断通过创新产品、优化服务、探索新型合作等措施,加快信息化进程,推进智能化银行建设。然而个人金融信息保护的理念传导、措施落实还不够到位,个人信息保护缺乏应有的统一管理,信息数据面临外部黑客攻击和病毒感染等诸多风险。

4.技术管控能力手段不足。一是个人金融信息关联系统管理较为分散、技术相对落后。部分金融机构个人金融信息的各类管理系统较为零散,管控技术不足,防控手段单一,给个人金融信息保护带来一定困难。二是部分金融机构对敏感数据的使用及相关操作行为缺少系统、充分、高效的监督与审查,缺少自动化数据脱敏机制,给个人金融信息的安全有效传输使用带来较大风险。三是随着移动通讯技术和互联网应用的快速发展,APP已成为日常生活中不可的组成部分,但部分金融类APP非授权收集信息、超范围收集信息、无隐私协议等现象屡见不鲜,加之非法份子利用病毒、木马和仿冒钓鱼等恶意盗取个人金融信息,故意泄露或非法出售个人信息,使得APP成为名副其实的“重灾区”。

5.消费者自我保护意识淡薄。在金融和科技融合发展的背景下,加强个人金融信息保护、防范信息泄露和权益侵犯迫在眉睫。金融消费者人数众多,年龄结构和知识水平存在很大差异,对于保护个人金融信息的认知程度也不尽相同,对个人金融信息的重要性、金融信息保护相关细节、个人金融信息等合法权益被侵犯后的解决途径等问题普遍缺乏了解,风险防范意识较为薄弱。

加强个人金融信息保护的对策建议

1.健全个人金融信息保护系统化法规框架。相关部门应深入贯彻依法治国方略,以《个人信息保护法》为基础,建立健全系统化的个人金融信息保护法规制度,明确金融机构严格按照法律法规的要求收集、保存、使用、销毁个人金融信息,防止信息泄露和滥用。完善金融业个人金融信息管理机制,加强对于保存、使用个人金融信息的组织进行有效监督,发生信息泄露事件要严肃追究法律责任,同时进一步完善相关赔偿制度。

2.加大个人金融信息保护监管力度。金融监管部门在做好个人金融信息保护顶层设计的同时,也要加大监管力度,监督各项制度要求的顺利实施。一是提升金融标准指导能力,完善个人金融信息保护监管的标准和规则,切实发挥标准的规范指导作用;二是提升金融业数字化监管能力,建立健全风险防控治理体系,强化数据共享趋势下个人金融信息数据治理,促进数据资源有效整合和规范利用;三是推进移动金融APP备案全覆盖,从提升安全防护、加强个人信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律等方面划定红线、加强监管,提升线上金融服务渠道安全应用水平,保障移动金融领域的数据合法合规使用。

3.推进金融机构个人金融信息保护规范管理。金融机构应不断加强个人金融信息保护防御体系建设,规范个人金融信息保护管理。一是规范系统开发流程,将信息安全覆盖系统全生命周期,定期开展渗透测试,提升信息系统防恶意攻击的水平;二是规范个人信息保护风控系统建设,建立覆盖账户安全、网络诈骗、虚假营销、信贷欺诈、非法集资、网络赌博等多种风险模型,通过量化策略实现大批次支付交易日监测功能,在满足消费者对金融服务“线上化、场景化、个性化、体验化”需求的同时,主动实现风险交易止付,为客户安全交易保驾护航;三是加强外包风险管控,从战略、法律、合规等方面进行外包风险识别和控制,规范外包服务内容和责任划分,不断提升自主掌控能力和外包风险管理水平。

4.加强个人金融信息全生命周期技术管控。一是加强信息收集管理。通过建设运行信息采集资产管理系统,内置敏感数据发现规则,实现从大量数据库表中自动发现敏感数据,形成数据资产及敏感信息清单,为银行数据资产与敏感数据管理提供技术支撑;二是加强数据脱敏流通。探索部署双节点数据脱敏设备,形成“A节点数据抽取、脱敏,B节点数据发放”的模式,在符合物理隔离要求前提下解决银行在生产环境网络与测试环境数据流通问题;三是加强金融APP管控。采用高等级API和安全SDK减少代码的攻击面,对APP和服务器进行必要的安全加固,利用加密存储和传输技术保障个人金融信息的安全可靠。

5.增强消费者自我保护意识。涉及个人金融信息的侵权事件和犯罪层出不穷,金融消费者作为信息主体更应从增强自我保护意识做起,在日常生活做好以下几点:一是妥善保管身份证、银行卡、网银介质等,不要随意透露身份证号、银行卡号、账户密码、安全码、短信验证码等信息;二是要正确使用支付工具,谨慎点击或扫描不明链接、二维码等;三是发现个人金融信息被非法收集、传播或使用时,及时向金融管理部门或行政执法部门举报投诉,维护自身合法权益。