2022年11月1日，《中華人民共和國個人信息保護法》（以下簡稱“個保法”）正式實施一周年，金融行業客戶個人信息權益保護進一步加強。在金融領域，2022年1月1日起《征信業務管理辦法》正式實施，今年8月銀保監會下發《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》，對金融機構個人信息權益保護也提出新要求。

一年來，隨著有關部門對金融機構數據安全、個人信息保護、消費者權益保護的監管趨嚴，在合規前提下開展數據治理成為金融機構的必答題。

據多方了解，以銀行保險為主的金融機構正在完善數據治理機制、數據分類分級制度、信息科技外包風險管理、APP個人信息保護、金融消費者權益保護等一系列制度，并展開前沿金融科技應用，但金融行業數據合規落地工作依然道阻且長，行業呼吁個保法的金融業細則出臺。

在金融信息合規逐步緩慢推進的當下，金融機構數據合規現狀如何？以銀行為代表的金融機構在近一年來如何應對個保法落地？金融科技手段為個人金融信息保護提供哪些新解法？

金融數據合規監管趨嚴

金融機構的個人信息合規治理并非一夕之功。在個保法正式落地前，央行就已對個人金融信息制定相關技術規范。

2020年2月，中國人民銀行正式下發《個人金融信息保護技術規范》，對個人信息在金融領域圍繞賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息等方面的擴展與細化。規定個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，以標準化文件規范個人金融信息安全管理，保障個人金融信息主體合法權益。

此后，監管層又相繼出臺《金融數據安全 數據安全分級指南》《金融科技創新安全通用規范》《人工智能算法金融應用評價規范》《金融數據安全 數據生命周期安全規范》，以及在近日出臺《金融領域科技倫理指引》，一系列標準化文件都對金融機構數據安全保護與個人權益保護提出要求。

今年8月，銀保監會印發《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》，要求各銀行保險機構全面摸排本機構自2021年以來與消費者個人信息處理活動相關的經營行為和管理情況，深入查找本機構個人信息保護方面存在的問題，列出問題清單，自查過程中要堅持立查立改。各銀行保險機構應于9月20日前完成自查整改工作，并書面報告屬地銀保監局。

“從監管舉措及機構實踐來看，以商業銀行為典型，個人金融信息保護和金融消費者保護工作很早就已開展，個保法存在大量合規要求，對從業機構的業務流程、內控治理、外部響應等多方面提出了多且嚴的要求。”金誠同達律師事務所高級合伙人彭凱律師表示，金融業的數據安全與個人信息保護，以《數據安全法》《個人信息保護法》為分水嶺，逐步從既往的“消保”“系統安全”等標簽中分離，演化為“金融數據安全”和“個人金融信息保護”兩大板塊并自成體系。

在嚴監管下，今年1月伊始，東亞銀行就因違反信用信息采集、提供、查詢及相關管理規定被罰1674萬元。

事實上，僅從今年上半年金融機構收到的罰單來看，與信息處理、個人信息保護相關的罰金總額就已超過2021年全年。

結合企業預警通數據不完全統計，2022年上半年，銀行、保險、信托、汽車金融、第三方支付等機構收到相關罰單66張，處罰金額合計6409.34萬元。而年初統計的2021年全年相關罰單罰款金額合計約4654萬元。

具體來說，在信息安全保護方面，金融機構出現的違規行為包括違反信用信息采集、提供、查詢及相關管理規定，信息科技風險管理不到位；在個人信息權益保護方面，包括對提供個人不良信息未事先告知信息主體本人、未建立以分級授權為核心的消費者金融信息使用管理制度，未明示收集、使用消費者金融信息的目的、方式和范圍。

數據合規難言“已有大成”，呼吁行業細則出臺

“金融行業數據合規落地工作在緩慢而堅實地推進，目前來看難言‘已有大成’，但機構的合規投入與監管政策都在持續加碼。”彭凱表示。

目前以銀行保險業為主的金融機構，為進一步達到個保法要求，在數據合規方面的探索包括：金融類APP數據合規、數據分類分級制度、數據合規制度建設、開展個人信息保護影響評估、人臉識別合規、金融消費者信息安全教育等。

“現在個人信息保護、數據安全合規是銀行展業的底線紅線，各家機構都在強化，但涉及面很廣，要全面堵塞漏洞道阻且長。”華東某銀行金融科技部門相關人士表示，目前銀行的相關機制建設愈加完善，包括成立數據治理委員會，制定數據分類分級、消費者保護等管理辦法，同時持續開展數據保護宣貫教育等。

一位從事金融行業超過20年的技術架構專家認為，金融機構近兩年增加了數據隔離措施，例如將退出客戶的信息打標，不使其進入人工智能訓練的數據集，完善APP的開發要求等。“但更細節的落實舉措，還要等待央行的個保法行業細則出臺。”

許多業內人士期待針對金融行業的個人信息保護規范出臺。

彭凱介紹，從既往金融行業信息安全相關罰單來看，較多地與“金融消費者保護”“外包機構管理”“征信違規”等問題交織在一起。但從2021年開始發生了變化，諸如信息收集、信息保護機制不健全之類的問題開始出現在處罰案例中，但依據《數據安全法》《個人信息保護法》（以下簡稱“相關法律”）進行處罰的案例尚未見到，不過這其實并非金融行業所特有，全行業來看，依據相關法律進行處罰的案例都是極為少見的。

“從立法情況來看，我國并未專門對金融領域的個人信息保護進行立法。雖然《中國人民銀行法》《商業銀行法》《證券法》《保險法》等金融領域基本法律法規都涉及個人金融信息保護內容，但總體上金融業尚未形成完整統一的個人金融信息保護規范，因此針對行業的個人金融信息相關活動的監管依據較為薄弱。”馬上消費金融研究院相關人士說道。

值得關注的是，2020年末，時任央行副行長陳雨露公開透露，國家正在制定個人信息保護法和數據安全法，下一步，中國人民銀行會根據國家將要頒布的個人信息保護法、數據安全法等新的法律，及時推出《個人金融信息保護暫行辦法》。由央行牽頭的該暫行辦法，在2019年曾有過內部征求意見稿，但至今尚無更新消息，2022年的央行工作計劃也刪掉了這一條例。

新興科技能否成為新解法？

對于尚未迎來細分行業管理辦法的金融業而言，數據安全領域的新興技術正在成為市場熱點。

近兩年在數據安全保護應用的熱門技術包括區塊鏈、DLP（數據防泄露）與隱私計算等。

隱私計算解決了數據“可用不可見”的問題，區塊鏈與隱私計算技術的聯合應用，實現多方合作的可信網絡，同時可以解決中心依賴、單點詐騙的問題，同時，在個保法“專數專用”“可算不可識”匿名化的要求下，基于密態計算的隱私計算幫助機構在數據合規的前提下進一步挖掘數據價值。

而DLP產品為數據生命周期中的數據傳輸、數據存儲環節提供了針對性的防控手段，配合數據脫敏、數據加密、數據訪問控制等數據安全組件、產品，構建數據安全的技術底座。

此外，超自動化流程也成為近兩年資本關注的熱點。在數據采集、數據傳輸、數據分析等流程上，以RPA機器人代替人工可以在一定程度上杜絕人為操作風險。“過去一些銀行業務可能需要人工進行審核、復審，如運營管理部通過員工完成轉賬流程，需要一系列信息審核，一旦相關員工出現道德風險，可能會引發數字資產或客戶信息泄露。”弘璣解決方案及卓越運營總監梁一綱主張，RPA機器人可以在自動化前提下完成跨流程節點、跨部門的工作流程，從而規避人工帶來的部分道德風險。

不過人為帶來的風險問題并不能完全依靠技術解決。

“知易行難，金融機構數據安全保護最大的風險在于人。”前述華東某銀行金融科技部門人士坦言，健全的數據治理機制與新興科技手段可以在一定程度上規避人為的道德風險，但難以完全“根治”。

以隱私計算為例，其本身不能解決個人信息保護中的“告知同意”等問題，只是加強了信息和數據互聯互通的安全性。

某四大行科技部門相關人士透露，該行隱私計算技術的應用痛點是機構之間數據開放意愿不足，該行實際應用的場景主要是在集團內部子公司之間。

“長期以來，隱私計算一攬子解決個人信息保護合規問題的認知是偏頗的。”彭凱表示，部分金融機構隱私計算的前沿應用仍在央行的監管沙盒體系下進行。

*來源：21世紀經濟報道