天融信数据安全治理体系助力银保机构“消保”工作落地
近年来,无论从国家法律还是行业监管角度来看,消费者权益的保护工作一直是金融机构工作的关注重点。近期,为维护公平公正的金融市场环境,切实保护银行保险业消费者的合法权益,推动行业高质量稳健发展,银保监会发布了《银行保险机构消费者权益保护管理办法(征求意见稿)》(以下简称《管理办法》),并向社会公开征求意见。
本文对《管理办法》进行了要点提炼与总结,并从《管理办法》的信息安全关注点切入,结合天融信多年来在金融行业信息安全领域、个人信息保护方面的深厚技术积累和丰富项目经验,为客户提供个人信息数据安全治理体系建设的理论支撑与实践指导。
此次《管理办法》的发布完善了国家及行业对消费者权益监管及指导的整体框架(见上图),进一步充实和完善了银保监会审慎监管与行为监管并重的监管体系,有利于推动各金融机构强化主体责任,切实维护银行保险业消费者的合法权益。
《管理办法》要点总结
明确责任与义务
《管理办法》明确了银行保险机构需承担保护消费者合法权益的主体责任,同时也规定了消费者有诚实守信的义务。
确定工作机制及管理要求
《管理办法》要求银行保险机构将消费者权益保护纳入公司治理、企业文化建设和经营发展战略,建立健全消费者权益保护审查、消费者适当性管理、个人信息保护、第三方合作机构管理、内部消费者权益保护考核等工作机制,提升消费者权益保护工作水平。
重点强调保护消费者八项基本权利
《管理办法》从规范产品设计、内容披露、营销宣传、销售行为,禁止误导销售、捆绑搭售、不合理收费等方面作出规定,保护消费者知情权、自主选择权和公平交易权;从保护消费者个人财产安全、规范保险公司核保和理赔活动等方面作出规定,保护消费者财产安全权和依法求偿权;从强化消费者教育宣传、满足特殊人群服务要求、规范营销催收行为等方面作出规定,保护消费者受教育权和受尊重权;从收集、使用、传输消费者个人信息等方面作出规定,保护消费者信息安全权。
明确监管职责与措施
《管理办法》明确要求银保监会及其派出机构应依法履行消费者权益保护监管职责,经营活动中的同类业务、同类主体统一标准、统一裁量,打击侵害消费者权益乱象和行为,营造公平有序的市场环境。针对银行保险机构工作中存在的问题,可采取限期整改、下发风险提示函、人员问责、责令暂停业务等监管措施。
《管理办法》个人信息保护关注点
明确落实消费者信息安全权保护
《管理办法》中共7条内容涉及消费者信息安全权的保护规范,重点说明了需要消费者经过明示同意、授权同意等的业务场景,强调了需要通过有效技术手段来控制数据的滥用及泄漏,需要对处理个人信息的业务及系统采取有效的监控和干预,并对行业从业人员行为进行管理等相关事宜。《管理办法》是继国务院办公厅发布《关于加强金融消费者权益保护工作的指导意见》后,又一有利于充分落实保护消费者信息安全权的具体要求。
强调消费者个人信息保护责任
《管理办法》衔接了《个人信息保护法》的相关规定,针对个人信息保护工作提出了明确要求,重点强调银行保险机构应当建立消费者个人信息保护机制,从管理制度、审批制度、控制措施等方面入手,对消费者个人信息实施全流程分级分类管控,进一步落实银行保险机构的个人信息保护责任。
天融信数据安全应对思路
天融信在金融行业信息安全和数据保护方面具有丰富的实践经验。在《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0197-2020 金融数据安全 数据安全分级指南》、《JR/T 0223-2021 金融数据安全 数据生命周期安全规范》等标准的规范与指导下,天融信凭借在数据安全和个人信息保护方面的技术积累,采用国际先进的数据安全治理理念,针对消费者个人信息保护需求,帮助银行保险机构完善管理组织架构、规范信息安全制度、做好数据分级分类梳理、明确数据管理操作流程、提供数据安全管控工具,形成涵盖个人信息保护的数据安全治理体系,进一步落实消费者信息安全保护义务。治理框架如下图所示:
该框架通过规范管理制度完善组织建设,并从业务和数据识别入手,对金融机构的个人信息保护现状进行安全风险评估,制定覆盖数据全生命周期的安全策略,并结合技术工具推动有效落地,最终通过多重治理评估,促进数据安全体系的持续优化与改进。同时,该框架将网络安全运营理念融入到数据安全治理实践当中,旨在通过打通数据安全管理内外部组织、流程与工具,为数据安全运营提供理论参考和实践指导。
天融信数据安全优势
天融信作为国内网络安全龙头企业,在不断探索中推出了以数据安全治理为基础、数据安全防护为手段、数据全生命周期管控为核心、数据安全服务为支撑的数据安全防护体系方法论。
丰富的数据安全治理经验
目前天融信数据安全治理服务已在多个金融行业客户案例中实施落地,客户涉及监管机构、银行、保险等多类单位。
专业的数据安全标准制定者
天融信参与了众多数据安全国家标准、行业标准的制定,并协助众多客户梳理数据安全规范及管理制度,积极落实标准要求。
全面的数据安全产品
天融信具有覆盖数据全生命周期的数据安全产品,可结合数据安全管理平台,将数据安全治理理念及数据安全管控策略直接落地。
领先的数据安全人才培训体系
2019年,经中国信息安全测评中心授权,天融信成为国内独家注册数据安全治理专业人员(CISP-DSG)认证资质的运营机构。2022年,在原有CISP-DSG合作的基础上,推出进阶级的注册信息安全专业人员-数据安全官(CISP-DPO)认证课程体系。
TOPSEC
近年来,随着国家及行业监管部门对个人信息保护力度的不断加大,金融机构对健全内部控制机制、完善技术防范措施、强化从业人员安全意识等工作也愈加重视。天融信将积极落实国家及行业监管要求,依托金融行业实践经验,深度了解客户信息安全保护需求,为其提供先进、可行的数据安全治理体系咨询及方案落地服务,助力金融机构加强个人信息安全保护意识与能力,充分保障金融消费者信息安全。
