近日,人民銀行河南省分行發(fā)布的行政處罰信息顯示,浦發(fā)銀行鄭州分行因存在5項違法行為,被警告,并被罰款90.8萬元。5項違法行為分別為:
1、未按規(guī)定履行客戶身份識別義務(wù);
2、與身份不明的客戶進行交易;
3、違反人民幣流通管理規(guī)定;
4、違反征信安全管理規(guī)定;
5、違反金融產(chǎn)品和服務(wù)信息披露管理規(guī)定。
其中又涉及到了征信管理的數(shù)據(jù)合規(guī)問題。據(jù)有關(guān)統(tǒng)計,僅去年一年內(nèi),人民銀行及銀保監(jiān)會向銀行、保險公司、證券公司、資產(chǎn)管理公司、期貨公司、信托公司、金融租賃公司等各類金融機構(gòu)共開出數(shù)據(jù)相關(guān)的罰單1227張,處罰金額為10.07億元,涉及達573家機構(gòu),由此可見,金融行業(yè)相當(dāng)一部分機構(gòu)的數(shù)據(jù)安全防護和數(shù)據(jù)合規(guī)建設(shè)還遠遠“未達標(biāo)”。
Part.1
金融領(lǐng)域數(shù)據(jù)合規(guī)的主要問題
>> 個人信息的保護問題
截至目前,銀行、保險機構(gòu)等金融機構(gòu)遭受數(shù)據(jù)合規(guī)相關(guān)的行政處罰最常見原因還是在于違規(guī)收集、處理個人信息。比如在《人身保險產(chǎn)品信息披露管理辦法》第二十三、二十四條就規(guī)定,保險公司應(yīng)當(dāng)加強數(shù)據(jù)和信息的安全管理,建立客戶信息保護機制,不得違規(guī)收集、使用、加工、泄露客戶信息。因此,金融機構(gòu)在開展金融業(yè)務(wù)時,如何合規(guī)收集與處理客戶的個人信息是其目前需要解決的首要問題。
>> 與第三方合作過程中的數(shù)據(jù)合規(guī)風(fēng)險管控問題
與第三方合作過程中的數(shù)據(jù)合規(guī)風(fēng)險管控亦是金融領(lǐng)域的重點問題。2022年,銀保監(jiān)會發(fā)布了一系列規(guī)章及規(guī)范性文件,強調(diào)金融機構(gòu)應(yīng)當(dāng)加強對合作機構(gòu)的準(zhǔn)入條件和合規(guī)風(fēng)險進行管控。而金融機構(gòu)與第三方開展合作的頻次較高,進行數(shù)據(jù)交互的場景較多,加強對第三方的數(shù)據(jù)合規(guī)風(fēng)險管控,是實現(xiàn)金融數(shù)據(jù)安全的重要環(huán)節(jié)。
>> 內(nèi)部數(shù)據(jù)合規(guī)制度的建立問題
2022年,銀保監(jiān)會在其發(fā)布的一系列規(guī)章規(guī)范性文件中強調(diào)建立客戶信息保護機制,完善信息安全管理體系,落實保密管理責(zé)任。數(shù)據(jù)合規(guī)并非一時、偶發(fā)的問題,其需要有相應(yīng)的內(nèi)部制度和常規(guī)化操作流程作為依托,因此,對于金融行業(yè)而言,建立內(nèi)部的數(shù)據(jù)合規(guī)制度顯得尤為重要。
Part.2
金融領(lǐng)域完善數(shù)據(jù)合規(guī)的提升路徑
>>> 加強個人信息保護
1. 在個人信息處理活動中嚴格遵循《個人信息保護法》的合法、正當(dāng)、必要和誠信原則,不得超范圍收集客戶個人信息,不得違法收集客戶個人信息;
2. 除法律法規(guī)另有規(guī)定外,在處理個人信息時,應(yīng)當(dāng)向個人信息主體履行告知義務(wù)并獲取其同意,涉及敏感個人信息的,應(yīng)當(dāng)獲取其單獨同意;
3. 采取數(shù)據(jù)加密、數(shù)據(jù)備份等相應(yīng)的技術(shù)措施,保障內(nèi)部個人信息的存儲安全,防止其泄露或遭受非法入侵。
>>> 完善第三方的數(shù)據(jù)合規(guī)風(fēng)險管控
1. 嚴格控制第三方合作方的準(zhǔn)入,在引進第三方合作方之前,應(yīng)當(dāng)明確第三方合作方的準(zhǔn)入標(biāo)準(zhǔn),對備選合作方的經(jīng)營資質(zhì)、數(shù)據(jù)合規(guī)風(fēng)險以及數(shù)據(jù)安全能力等進行綜合評估;
2. 在合作協(xié)議中應(yīng)當(dāng)清楚載明相關(guān)的數(shù)據(jù)安全要求,包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險管理要求,服務(wù)質(zhì)量考核評價,安全保密等內(nèi)容;
3. 對服務(wù)過程進行持續(xù)監(jiān)控,制定和落實網(wǎng)絡(luò)和信息安全管理措施,盡可能降低服務(wù)過程中的網(wǎng)絡(luò)和信息安全風(fēng)險。
>>> 建立健全內(nèi)部數(shù)據(jù)安全管理制度
1. 建立全流程的數(shù)據(jù)安全保護制度,覆蓋數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除整個生命周期;
2. 建立數(shù)據(jù)分類分級制度,根據(jù)數(shù)據(jù)的內(nèi)容以及重要敏感程度將數(shù)據(jù)進行分類分級,并針對不同類別、不同級別的密級數(shù)據(jù)制定不同訪問權(quán)限管理制度;
3. 建立數(shù)據(jù)安全事件應(yīng)急處理機制,并定期進行事故處置演練和開展員工數(shù)據(jù)安全意識培訓(xùn)。
敏捷科技之前通過數(shù)據(jù)安全衛(wèi)士DG為山東省國企、省平臺的建設(shè)運營單位——山東省征信有限公司構(gòu)建了數(shù)據(jù)全生命周安全防護體系。通過數(shù)據(jù)加密、外發(fā)管控、授權(quán)訪問和水印溯源等技術(shù)手段,保障山東征信的個人信息數(shù)據(jù)在內(nèi)部存儲、對外交互、事后追溯等階段都處在加密狀態(tài),并由后臺進行統(tǒng)一監(jiān)管,增強了數(shù)據(jù)泄露防護能力和數(shù)據(jù)管理能力,完善了山東征信在個人信息保護、第三方合作和安全管理制度等層面的數(shù)據(jù)合規(guī)建設(shè)。
數(shù)據(jù)安全是發(fā)展數(shù)字經(jīng)濟的重要前提和保障。而數(shù)據(jù)合規(guī)是實現(xiàn)數(shù)據(jù)安全的必由之路。金融數(shù)據(jù)安全關(guān)乎國計民生,在數(shù)字經(jīng)濟的背景下,金融機構(gòu)對其數(shù)據(jù)進行合規(guī)勢在必行。同時,金融數(shù)據(jù)復(fù)雜多樣,金融機構(gòu)千差萬別,金融數(shù)據(jù)合規(guī)工作還需咨詢專業(yè)機構(gòu),找到符合自身業(yè)務(wù)及產(chǎn)品特點的解決方案,方能行之有效。
★ 為助力更多企業(yè)建設(shè)合法合規(guī)、統(tǒng)一高效的數(shù)據(jù)安全防護體系,敏捷科技現(xiàn)開展數(shù)據(jù)安全與數(shù)據(jù)管理系列“公益培訓(xùn)”,請有意向的相關(guān)單位及企業(yè)掃描下方敏捷小助手二維碼與我們聯(lián)系獲取更多活動細節(jié)~