導(dǎo)讀:在促進個人金融信息使用的同時防止濫用,在強化保護策略和舉措的同時避免過度保護,在數(shù)據(jù)應(yīng)用與個人隱私之間找到平衡點
作者|金磐石「中國建設(shè)銀行(601939,股吧)首席信息官」
文章|《中國金融》2021年第20期
銀行作為科技驅(qū)動型和數(shù)據(jù)密集型行業(yè),日常經(jīng)營中集聚了大量個人信息,在數(shù)字技術(shù)推動和后疫情時代“零接觸”背景下,更多金融服務(wù)通過在線方式實現(xiàn),客戶資產(chǎn)及信息數(shù)字化特征更趨明顯,如何保護個人信息安全、實現(xiàn)信息安全與數(shù)據(jù)價值兼得是銀行的必答題。《個人信息保護法》將于2021年11月1日正式施行,該法將個人信息受保護提升至“國家尊重和保障人權(quán)”的高度,細(xì)化了保護原則,確立了管理主線,提出了風(fēng)險防線,劃定了合法合規(guī)紅線和底線。這對銀行推進金融數(shù)據(jù)治理、落實個人信息保護提出了更高的要求,營造個人信息“取之有據(jù)、用之有道、護之有術(shù)”的良性數(shù)據(jù)生態(tài)至關(guān)重要。
銀行個人信息保護和數(shù)據(jù)治理面臨的挑戰(zhàn)
隨著個人信息保護“國家層面推動、行業(yè)層面細(xì)化、企業(yè)自身踐行”三位一體模式的確立,當(dāng)好個人金融信息的“數(shù)據(jù)管家和守門人”是銀行的必修課,尤其是規(guī)模居前的大型銀行機構(gòu),在管理模式、數(shù)據(jù)治理和技術(shù)控制等方面面臨諸多挑戰(zhàn)。
一是在管理模式上面臨管控落地的挑戰(zhàn)。首先,需解決管什么的問題。必須合理界定個人金融數(shù)據(jù)的內(nèi)涵和外延,既不能無限擴大,也不能簡單地局限于賬務(wù)性信息;既需要法理的闡述,也需要企業(yè)經(jīng)營實踐的探索。比如,匿名化處理后的個人信息是否屬于銀行自有商業(yè)信息,這個問題就值得探討。其次,要解決管理權(quán)來源的問題,也就是如何取得個人金融信息的使用權(quán)及后續(xù)管理權(quán)。這既不能采用霸王條款強行索要客戶信息,也不能利用艱澀難懂的條文去套取客戶授權(quán)。尤其是在當(dāng)前數(shù)字經(jīng)濟浪潮下,新金融活水深度融入人民群眾日常生活的方方面面,如何在不同業(yè)務(wù)場景下有效落實“告知—同意”規(guī)則且保障用戶體驗,這些都頗具挑戰(zhàn)。最后,要解決誰來管的問題。銀行獲取個人金融信息后,如何界定內(nèi)部各類機構(gòu)對這些信息的管控職責(zé)、如何有效識別和評估各種信息處理活動對個人權(quán)益的影響也至關(guān)重要。
二是在數(shù)據(jù)治理上面臨數(shù)據(jù)規(guī)范缺失的問題。個人金融信息管理路徑很長,涉及采集、存儲、處理、分析、使用、銷毀全生命周期各個階段。規(guī)范每個階段的操作標(biāo)準(zhǔn)是落實個人信息保護的基礎(chǔ),而這方面業(yè)界除了簡單的目標(biāo)和原則外,尚缺乏可參照執(zhí)行的標(biāo)準(zhǔn)規(guī)范,需要企業(yè)根據(jù)經(jīng)營性質(zhì)及自身運作流程完成的具體工作很多,也很艱巨。比如,每項業(yè)務(wù)采集哪些個人信息、對個人信息如何分類分級,明確相應(yīng)等級的存儲、傳輸、使用、加工處理規(guī)范以及信息銷毀處理方法等,都需要認(rèn)真研究探索。
三是在技術(shù)控制上面臨傳統(tǒng)方法適用性不足的問題。傳統(tǒng)的防病毒、防火墻、入侵檢測“三板斧”對于開放共享環(huán)境下的個人信息保護是遠(yuǎn)遠(yuǎn)不夠的,單純的防堵是低效甚至是無效的,對業(yè)務(wù)的發(fā)展往往不是保護而是阻礙。原因很簡單,如果一項服務(wù)或產(chǎn)品只講安全不顧應(yīng)用,體驗不好,客戶就會“敬而遠(yuǎn)之”。如何利用新技術(shù)手段在不降低客戶體驗和保障數(shù)據(jù)安全的情況下更好地實現(xiàn)數(shù)據(jù)融合使用,還有許多功課要做。
建設(shè)銀行金融數(shù)據(jù)治理策略
2020年以來,建設(shè)銀行按照“建生態(tài)、搭場景、擴用戶”的數(shù)字化經(jīng)營理念,全面開啟數(shù)字化經(jīng)營探索,打造大中臺體系。針對個人用戶,圍繞生活繳費、商戶消費、社區(qū)居家等多種個人生活場景,建立數(shù)據(jù)洞察和客戶畫像,實現(xiàn)數(shù)字化連接、產(chǎn)品綜合交付、服務(wù)多渠道觸達(dá)。
在數(shù)字化經(jīng)營過程中,建設(shè)銀行對個人信息采取了“定責(zé)明確角色,建制度、定流程、強技術(shù)實現(xiàn)體系化保護,培養(yǎng)企業(yè)文化固化數(shù)據(jù)治理成效”的總體策略。通過定責(zé),明確各部門、各級機構(gòu)在個人信息處理中承擔(dān)的角色和職責(zé);通過建制度,明確個人信息保護的原則及目標(biāo);通過定流程,將信息保護任務(wù)融入日常工作;通過強技術(shù),提升信息保護預(yù)警、監(jiān)測甄別及處置的專業(yè)化能力和效率,降低操作難度;通過企業(yè)文化建設(shè),培養(yǎng)員工對個人信息保護的意識,將個人信息保護要求逐漸轉(zhuǎn)換為員工的規(guī)范習(xí)慣,進而讓企業(yè)形成可持續(xù)的個人信息保護機制。
建設(shè)銀行數(shù)據(jù)治理實踐
始于組織,在全面融合中持續(xù)肩負(fù)多元化的角色職責(zé)。對照法律規(guī)定,銀行同時具有“個人信息處理者、關(guān)鍵信息基礎(chǔ)設(shè)施運營者、達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”等多項身份,在國家數(shù)據(jù)安全、行業(yè)數(shù)據(jù)安全和個人數(shù)據(jù)安全等多個層面均承擔(dān)關(guān)鍵作用。建設(shè)銀行準(zhǔn)確理解自身多元化角色,并轉(zhuǎn)化為全新的組織管理模式。一是統(tǒng)一認(rèn)知,明確身份角色。建設(shè)銀行結(jié)合相關(guān)法律法規(guī)的出臺和執(zhí)行情況,持續(xù)跟蹤和解析每一種個人信息保護角色對應(yīng)的部門歸屬和職責(zé)分工,細(xì)化和落實對應(yīng)的責(zé)任義務(wù)。二是協(xié)同治理,形成管理合力。建設(shè)銀行統(tǒng)籌業(yè)務(wù)部門、數(shù)據(jù)部門、技術(shù)部門、風(fēng)險合規(guī)部門、審計部門等共同開展全行客戶信息保護工作,逐步理清工作模式,強化業(yè)務(wù)、數(shù)據(jù)、技術(shù)融合,形成個人客戶信息保護合力。三是統(tǒng)籌管理,整合個人信息保護需求。明確全行客戶信息保護工作依據(jù)和工作目標(biāo),以個人信息保護需求及相關(guān)系統(tǒng)開發(fā)為統(tǒng)籌切入點,初步制定全行個人客戶信息保護工作方案,涵蓋全渠道信息處理客戶授權(quán)、客戶信息保護提醒、客戶信息異常查詢監(jiān)測等業(yè)務(wù)需求。
穩(wěn)于制度,在體系設(shè)計中不斷完善有針對性的制度規(guī)范。建設(shè)銀行在推進數(shù)據(jù)安全和個人信息保護的過程中始終堅持制度先行,視個人信息保護為金融治理的重要組成部分。一是將個人信息保護相關(guān)法律法規(guī)要求融入現(xiàn)有的管理體系,納入公司治理、IT管理、數(shù)據(jù)治理、消費者保護等工作規(guī)劃。二是建立數(shù)據(jù)安全管理制度體系,涵蓋數(shù)據(jù)需求管理、內(nèi)外部數(shù)據(jù)采集、安全分級、信息安全保護策略、數(shù)據(jù)使用、數(shù)據(jù)共享等各方面。三是加強專項管控,業(yè)務(wù)部門及風(fēng)險內(nèi)控部門針對個人客戶信息保護、用戶敏感信息保護、員工行為管理、用戶數(shù)據(jù)分析等領(lǐng)域制定嚴(yán)格規(guī)范,明確了個人信息保護的理念原則、類別范圍和工作要求。
精于流程,在管理實踐中積極探索落地推廣的可行路徑。在設(shè)計個人信息保護的流程機制時,僅僅從個人權(quán)益保護或商業(yè)利益角度出發(fā)都是片面的,過度保護甚至?xí)铚€人信息在金融機構(gòu)內(nèi)和企業(yè)間共享,直接影響數(shù)據(jù)要素流動和價值創(chuàng)造。平衡信息安全與數(shù)據(jù)利用的關(guān)鍵在于厘清流程邊界、明確管理環(huán)節(jié)、形成長效機制。為此,建設(shè)銀行通過多年實踐,探索形成了多維立體的個人信息保護管理機制。一是橫向協(xié)同。在總行層面,構(gòu)建從分類分級、風(fēng)險監(jiān)測、事件管理到檢查考核的多部門協(xié)同管理機制。建立數(shù)據(jù)分類分級管理流程,探索自動化分類打標(biāo)機制,建立數(shù)據(jù)風(fēng)險監(jiān)測預(yù)警體系和信息安全事件響應(yīng)與處置流程,圍繞金融消費者權(quán)益保護建立事前審查、事中管控、事后監(jiān)督管控機制。二是縱向聯(lián)動。在各業(yè)務(wù)條線構(gòu)建交易流程客戶信息保護機制,開展客戶信息安全檢查,確保客戶信息合規(guī)采集,防止客戶信息濫用,促進員工合規(guī)操作。
強于技術(shù),在金融創(chuàng)新中密切緊跟行業(yè)前瞻的安全科技。建設(shè)銀行依托金融科技戰(zhàn)略,強化數(shù)據(jù)安全管理的技術(shù)支撐,構(gòu)建了融預(yù)防、檢測、應(yīng)急為一體的數(shù)據(jù)安全風(fēng)險防控技術(shù)體系。一是建設(shè)客戶隱私授權(quán)管理系統(tǒng)。建設(shè)銀行采用“云端存儲、集中管控”的模式,將數(shù)據(jù)保護在安全可控的生產(chǎn)環(huán)境里,加強用戶終端和網(wǎng)絡(luò)邊界的數(shù)據(jù)泄露防控。同時建立隱私授權(quán)管理系統(tǒng),實現(xiàn)客戶授權(quán)信息、授權(quán)協(xié)議統(tǒng)一管理。二是落地個人客戶信息智能監(jiān)測。建設(shè)銀行通過“龍智盾”實現(xiàn)柜面主要客戶的查詢交易監(jiān)測;運用神經(jīng)網(wǎng)絡(luò)等大數(shù)據(jù)技術(shù)建立柜員行為智能分析模型,識別疑似不合規(guī)操作,減少客戶數(shù)據(jù)泄露。三是通過聯(lián)合建模實現(xiàn)最小化可行數(shù)據(jù)共享和價值轉(zhuǎn)化。在風(fēng)控和反欺詐等方面,建設(shè)銀行分別與政府部門、公共事業(yè)機構(gòu)、電信運營商、頭部電商企業(yè)等可信外部數(shù)據(jù)源開展聯(lián)合建模工作,旨在打破數(shù)據(jù)孤島。
成于文化,在行為規(guī)范中引導(dǎo)培育守正向善的數(shù)據(jù)素養(yǎng)。建設(shè)銀行高度注重數(shù)據(jù)安全的企業(yè)文化建設(shè)和專業(yè)人員安全素養(yǎng)培育,充分發(fā)揮每位員工的主人翁精神以及守正向善的價值觀,在實現(xiàn)金融數(shù)據(jù)價值創(chuàng)造的同時,切實做好個人信息安全工作。一是緊跟法律法規(guī)熱點開展宣傳教育。在總分行層面定期開展數(shù)據(jù)安全和個人信息保護宣傳,通過案例警示、培訓(xùn)等多種形式明確數(shù)據(jù)安全的紅線。二是培養(yǎng)個人信息保護人人有責(zé)的安全文化,提高員工對個人金融信息保護的意識和能力。三是通過引入國內(nèi)外權(quán)威數(shù)據(jù)安全能力水平專業(yè)培訓(xùn)體系和資格認(rèn)證,加強數(shù)據(jù)安全和個人信息保護專業(yè)人才培養(yǎng)。■
(責(zé)任編輯 張林)
本文首發(fā)于微信公眾號:中國金融雜志。文章內(nèi)容屬作者個人觀點,不代表和訊網(wǎng)立場。投資者據(jù)此操作,風(fēng)險請自擔(dān)。
