严监管敲响警钟 个人金融信息该怎么保护

“张先生您好，有个新楼盘要不要看一下？”

“贷款近期有需要吗？”

“我们新出了一款保险产品十分适合您……”

北京市民张某最近正因频频收到此类推销电话而烦恼。

“或许是因为去年买房时泄露了太多个人信息。”张某告诉《金融时报》记者说，他至今也无法辨别，问题是出在了哪个环节。

相信张某的经历并不是个例，诸如此类花样百出的骚扰式推销早已为大众所诟病。而再细思一番，真实的姓名、真实的电话，甚至近期的身体状况、资金需求，都被电话那头了如指掌，这种“信息裸奔”的现实，更加令人不寒而栗。

频繁的信息泄露事件已使个人信息保护问题备受关注。2020年， 随着《中华人民共和国民法典》的正式颁布，相关顶层立法工作正加快推进。与此同时，监管部门持续提升个人金融信息保护规范层级，相关处罚力度明显加大。

种种信号表明，个人金融信息保护正被提升到前所未有的高度。2021年，对于金融从业机构而言，如何加强个人金融信息安全合规应用，并充分发挥金融数据要素价值，是摆在眼前的一项重要课题。

罕有的千万元级别罚单问责

2020年以来，有部分金融机构因金融消费者权益保护意识不足等问题相继受到监管处罚。特别是在去年10月，央行开出了千万元级罚单，处罚对象涉及三家国有大行的6家分支机构，罚金超过4000万元，所涉内容均为“侵犯金融消费者金融信息安全”。

其中一例为去年10月21日，人行吉林市中心支行公布的行政处罚信息：某国有大行吉林市江北支行因侵害消费者个人信息依法得到保护的权利，以及因违反反洗钱管理规定，泄露客户信息两项违规行为，被处以1223万元巨额罚款。同时，按照机构和相关责任人“双罚”原则，该支行时任行长被罚1.75万元，负有责任员工被罚3万元。

这种千万元级大额罚单的重罚力度较为罕见。业内专家对此分析认为，对侵犯个人信息的违规行为处以较重的行政处罚已是世界性趋势。

“近期公布的《个人信息保护法（草案）》规定，对侵犯个人信息的，可处五千万元以下或者上一年度营业额百分之五以下罚款。加重行政处罚，可以起到震慑作用，有利于个人信息保护。” 中央财经大学数字经济与法治研究中心执行主任刘权表示。

事实上，从2020年监管态势来看，涉“侵害消费者金融信息安全”的总体处罚力度明显加大。据北京金融科技产业联盟、移动支付网及北京市京师(深圳)律师事务所联合发布的《中国个人金融信息保护执法白皮书（2020）》不完全统计，截至2020年10月25日，中国人民银行总行及各地分支行在2020年开出的行政处罚罚单里，涉及未经审批查询个人金融信息、未按规定保存客户身份资料和交易记录等“个人金融信息”的有181张，罚款金额合计超过1.8亿元。

值得关注的是，在受处罚的频次和金额上，银行仍居高位。据统计，银行涉“个人金融信息”的处罚超过155次，金额超过1.5亿元。被处罚的银行广泛涉及国有大型银行、股份制银行以及城商行、村镇银行、信用社等。

“可以说，银行在个人金融信息相关问题上违规存在普遍性。作为主要的金融机构组织形式，银行数量众多，且能提供全面的金融服务，受众群体广泛，出现这样的结果并不令人意外。”北京市京师（深圳）律师事务所联合创始人、法律研究院院长王岩飞认为。

记者采访了解到，内控问题仍是导致侵害个人信息违规行为屡屡发生的一个重要因素。中国银行法学研究会理事肖飒认为，当前金融机构保护用户个人信息意识薄弱，现有经营模式中金融机构对用户个人信息重视程度不足，在一定程度上是社会责任意识未完全普及导致的，也存在金融机构过于逐利的因素。

“金融机构本身内控也还存在一些漏洞，未能建立有效的内部保障用户信息机制，对于用户信息的收集、使用、管理尚不完善。”肖飒强调。

“最根本的问题在于如何督促相关人员执行到位。”一家银行内部人士透露，尽管出台了相关的政策、规章制度，但部分银行仍存在基层机构和工作人员保护客户隐私意识淡薄、内部管理制度与流程存在漏洞等问题，进而在一定范围内出现有章不循、违规操作等行为。

数据保护“内外”失衡

针对个人信息保护方面暴露出的问题，银行业已高度重视。《金融时报》记者了解到，多家银行正从管理理念、制度规范、技术应用等方面入手，不断探索个人金融信息保护的新举措。

2020年，工行通过研究发现业界主流开源微服务框架中的高危漏洞，并第一时间有效控制了本行相关系统风险，此项成果得到中国信息安全测评中心正式认可并首次获得国家信息安全漏洞库证书，为维护国家信息安全作出了贡献。

中行持续完善数据防泄漏体系建设，实现了重要文档加密、邮件过滤、终端防护等多层次、立体化的访问控制和数据保护。同时，部署数据安全交付平台，确保科技部门向业务部门交付的金融数据不落地、不分流。此外还建立了统一的业务数据脱敏机制，保障测试数据和大数据平台的安全使用。

为防控内部违规查询、打印等使用个人金融信息的行为，建行建立了“员工信息系统使用行为监测平台”和“行为模型库”，通过一体化监测，可及时发现违规行为。

“事实上，银行内部对个人信息的保管制度已经较为完善，特别是大型银行在内控上十分重视保密工作，对于客户资料只能在内部传递，不允许外传。”一家大型银行内部人士透露。

不过，业内人士也普遍认为，目前各行的内控机制更多侧重于信息保管方面，而一个更重要的问题在于，在个人信息数据的获取与使用方面，目前仍缺失完善的制度体系。

专家分析认为，在大数据时代，个人信息获取更加容易，数据安全不仅面临数据窃取、篡改与伪造等传统威胁，同时也存在日益增多的数据滥用、个人信息与隐私泄露等新问题。

与此同时，从金融消费者角度来说，随着公众对信息保护意识的不断增强，个人对隐私问题越来越敏感，用户并非“愿意用隐私交换便捷性”，以便利之名获取用户隐私并不能被用户所接受。随着个人维权意识的不断增强，金融机构在数据安全和个人信息保护方面将面临更大的挑战。

严监管将成常态

2020年以来，有关个人信息安全方面的法规密集发布已释放了明确信号：数据规范、信息安全治理将成为未来阶段内金融业监管的重点工作之一。

2020年5月，《中华人民共和国民法典》正式颁布，隐私权和个人信息保护被提升到了前所未有的高度。此后，作为中国第一部法典化的个人信息保护法，个人信息保护法（草案）（以下简称《草案》）于2020年10月21日公布并向全社会征求意见。作为首部专门规定个人信息保护的法律，《草案》将成为个人信息保护领域的“基本法”。

“《草案》对金融机构在个人金融信息保护上提出了更高的要求。其通过个人信息的处理原则、处理义务、敏感信息的处理规则和相关处罚标准等规定，为保护个人金融信息提供了法律保障。”肖飒表示。

在保护个人信息的基础上合法利用个人信息，在合法利用个人信息的过程中持续保护个人信息，是《草案》的主旨。尤为值得关注的是，《草案》对事后审计问责等提出了更为具体的要求，包括对违法处理个人信息的相关处罚标准。

《草案》中明确，违法处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

“这些规定是给个人信息处理者履行义务进行了明确规范，避免个人信息的保护责任落为空谈。总体来看，对金融机构而言约束更加严苛，金融机构在个人信息保护方面正面临严监管。”肖飒认为。

的确，监管部门正在持续提升对消费者金融信息保护的规范层级。人民银行多次明确表示，坚持对侵害消费者金融信息安全行为“零容忍”，对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。2020年，《个人金融信息（数据）保护试行办法》《中国人民银行金融消费者权益保护实施办法》已列入人民银行规章制定工作计划。其中《中国人民银行金融消费者权益保护实施办法》于2020年9月18日发布，自11月1日起施行。

新出台的相关规定针对个人金融信息的采集与使用提出了更为严格的约束：金融消费者不同意提供个人金融信息的，银行、支付机构不得因此拒绝提供金融产品或者服务，除非该信息为提供产品与服务之所必需。

专家认为，相较于大多数程序不获取个人信息授权就不允许使用的做法，个人金融信息保护的规定在一定程度上保障了金融机构的普惠责任，给予了金融消费者选择的空间。

“监管部门多措并举加强个人金融信息保护，各种与信息安全、数据安全相关的法规密集发布，是数字时代的必然要求。只有这样，才能在有效保护个人信息的前提下，实现个人信息最大程度地流通利用，促进数字经济发展，最终实现数字强国。”刘权认为。

业内专家普遍认为，相关法律法规的加快完善标志着我国个人信息保护工作进入了新的阶段，这也对金融机构提出了更高的合规要求。伴随着顶层制度的不断完善，金融业的数据治理工作将迈入常态化阶段，依法依规保障个人信息安全是现阶段金融机构面临的迫切而又现实的问题。

数据权属生变倒逼银行改革

从立法趋势来看，数据合规的重要性与必要性日益凸显。业内人士分析认为，随着《草案》等法规的落地，未来对数据权属的明确，或将对整个金融体系的数据中后台建设带来根本性的影响，金融机构的数字化路径可能发生改变。

“根据《草案》，数据生产者跟数据消费者之间的合作关系发生了一个本质性的变化。”微众银行区块链安全科学家严强强调。

据业内专家分析，在立法之前，数据生产者跟数据消费者二者之间更多体现的是买卖关系，数据消费者在获得数据之后，就可以对其进行加工、利用，或者是提供服务，获得完整的收益。

而在新的立法框架中，两者之间已经从买卖关系转变成了租赁关系。

“租赁关系意味着作为数据生产者，从来没有放弃对自己数据的权利，即便在对方的平台上使用了对方的服务，在这部分产生的数据仅仅是以租赁的方式提供给对方。平台或服务方不再拥有数据的所有权，而是需要跟数据生产方协定如何使用数据，包括收益权如何分配。” 严强表示，“目前很多APP都完善了隐私政策，披露并承诺数据的使用方式，这也是数据使用租赁关系的一种体现。”

除了分配的问题之外，最重要的一点是，数据生产方有权干涉或禁止自己数据的使用方式，以控制自身的隐私风险、拒绝不公平的利益分配方式，这对行业而言是一个最大的改变。

专家就此分析认为，未来银行业在外部合作的数据获取和使用方面，或将面临监管层更高的关注。

“如何强化对合作方的管理以及满足外部数据合规性审查等，可能是未来银行需要重点考虑的问题。” 国家金融与发展实验室副主任曾刚认为。

事实上，随着近年来银行在互联网端的业务迅速发展，内部数据已很难完全满足行业展业需求，因此银行业一直在拓展场景、接入外部数据。而在与场景方对接的过程中，如果外部接入的数据提供方无法满足数据安全和保护方面的合规要求，就可能将合规风险传导到银行。

“目前，银行通过自建场景获取的数据还比较少，更多的还是与主流的头部互联网平台进行对接以获取数据。所以，强化合作的外部数据提供方可能是银行下一步要去重点关注的。”曾刚对此建议，银行在选取合作方时，可通过建立白名单等方式严格准入要求，同时在使用数据时也要紧紧围绕监管要求来展业。

相此而言，中小银行未来或面临更大压力。业内人士分析认为，一些中小银行受限于自主研发能力，更加有动力寻求与金融科技企业合作的方式开展一些创新业务，这其中蕴含很多不确定因素和风险。

“相比大型银行来说，中小银行数据治理能力相对较差，在合规使用外部数据方面问题较多，加上在合作关系中不如大型银行有优势，可能存在更多的风险。”曾刚认为。

专家对此建议，未来中小银行还要提高自主意识，在个人信息保护方面加强技术与合规团队的建设，同时也应参考大银行的标准，逐步建立起涉及外部合作准入的要求。