近日,山西某銀行因數(shù)據(jù)安全管理較粗放,存在數(shù)據(jù)泄露風險;對網(wǎng)上銀行外包管理不到位導(dǎo)致發(fā)生二級網(wǎng)絡(luò)安全事件,被國家金融監(jiān)督管理總局山西監(jiān)管局處罰款60萬元。
數(shù)據(jù)安全是銀行安全合規(guī)的重點之一,特別是對于內(nèi)部存儲的個人金融信息、征信數(shù)據(jù)等的防泄漏保護。對于金融行業(yè)來說,數(shù)據(jù)對業(yè)務(wù)的開展情況影響深遠,優(yōu)質(zhì)的數(shù)據(jù)內(nèi)容將極大提升金融機構(gòu)的服務(wù)能力。數(shù)據(jù)保護對金融行業(yè)來說也具有較強的特殊性,一方面,金融機構(gòu)基于業(yè)務(wù)需求,需要收集、利用客戶的個人金融信息;另一方面,從金融創(chuàng)新發(fā)展的大局出發(fā),金融機構(gòu)需要把數(shù)據(jù)作為核心資產(chǎn)管好、用好,促進數(shù)據(jù)資產(chǎn)的流動和增值。 Part.1 金融領(lǐng)域數(shù)據(jù)合規(guī)的主要問題 >> 個人信息等數(shù)據(jù)的防泄漏保護問題 截至目前,銀行、保險機構(gòu)等金融機構(gòu)遭受數(shù)據(jù)合規(guī)相關(guān)的行政處罰最常見原因還是在于違規(guī)收集、處理個人信息。比如在《人身保險產(chǎn)品信息披露管理辦法》第二十三、二十四條就規(guī)定,保險公司應(yīng)當加強數(shù)據(jù)和信息的安全管理,建立客戶信息保護機制,不得違規(guī)收集、使用、加工、泄露客戶信息。因此,金融機構(gòu)在開展金融業(yè)務(wù)時,如何合規(guī)收集與處理客戶的個人信息是其目前需要解決的首要問題。 >> 與第三方合作過程中的數(shù)據(jù)管控問題 與第三方合作過程中的數(shù)據(jù)管控亦是金融領(lǐng)域的重點問題。2022年,銀保監(jiān)會發(fā)布了一系列規(guī)章及規(guī)范性文件,強調(diào)金融機構(gòu)應(yīng)當加強對合作機構(gòu)的準入條件和合規(guī)風險進行管控。而金融機構(gòu)與第三方開展合作的頻次較高,進行數(shù)據(jù)交互的場景較多,加強對第三方的數(shù)據(jù)合規(guī)風險管控,是實現(xiàn)金融數(shù)據(jù)安全的重要環(huán)節(jié)。 >> 內(nèi)部數(shù)據(jù)合規(guī)制度的建立問題 銀保監(jiān)會在其發(fā)布的一系列規(guī)章規(guī)范性文件中強調(diào)建立客戶信息保護機制,完善信息安全管理體系,落實保密管理責任。數(shù)據(jù)合規(guī)并非一時、偶發(fā)的問題,其需要有相應(yīng)的內(nèi)部制度和常規(guī)化操作流程作為依托,因此,對于金融行業(yè)而言,建立內(nèi)部的數(shù)據(jù)合規(guī)制度顯得尤為重要。 Part.2 金融領(lǐng)域完善數(shù)據(jù)合規(guī)的提升路徑 >>> 加強個人信息等內(nèi)部數(shù)據(jù)保護 1. 在個人信息處理活動中嚴格遵循《個人信息保護法》的合法、正當、必要和誠信原則,不得超范圍收集客戶個人信息,不得違法收集客戶個人信息; 2. 除法律法規(guī)另有規(guī)定外,在處理個人信息時,應(yīng)當向個人信息主體履行告知義務(wù)并獲取其同意,涉及敏感個人信息的,應(yīng)當獲取其單獨同意; 3. 采取數(shù)據(jù)加密、數(shù)據(jù)備份等相應(yīng)的技術(shù)措施,保障內(nèi)部個人信息的存儲安全,防止其泄露或遭受非法入侵。 >>> 完善第三方的數(shù)據(jù)合規(guī)風險管控 1. 嚴格控制第三方合作方的準入,在引進第三方合作方之前,應(yīng)當明確第三方合作方的準入標準,對備選合作方的經(jīng)營資質(zhì)、數(shù)據(jù)合規(guī)風險以及數(shù)據(jù)安全能力等進行綜合評估; 2. 在合作協(xié)議中應(yīng)當清楚載明相關(guān)的數(shù)據(jù)安全要求,包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風險管理要求,服務(wù)質(zhì)量考核評價,安全保密等內(nèi)容; 3. 對服務(wù)過程進行持續(xù)監(jiān)控,制定和落實網(wǎng)絡(luò)和信息安全管理措施,盡可能降低服務(wù)過程中的網(wǎng)絡(luò)和信息安全風險。 >>> 建立健全內(nèi)部數(shù)據(jù)安全管理制度 1. 建立全流程的數(shù)據(jù)安全保護制度,覆蓋數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除整個生命周期; 2. 建立數(shù)據(jù)分類分級制度,根據(jù)數(shù)據(jù)的內(nèi)容以及重要敏感程度將數(shù)據(jù)進行分類分級,并針對不同類別、不同級別的密級數(shù)據(jù)制定不同訪問權(quán)限管理制度; 3. 建立數(shù)據(jù)安全事件應(yīng)急處理機制,并定期進行事故處置演練和開展員工數(shù)據(jù)安全意識培訓(xùn)。 數(shù)據(jù)安全是銀行經(jīng)營的基石,也是數(shù)字化轉(zhuǎn)型的重要保障。面對復(fù)雜多變的數(shù)據(jù)安全威脅,金融機構(gòu)需要采取更加高效、智能的防護措施。敏捷科技以數(shù)據(jù)加密產(chǎn)品為核心構(gòu)造統(tǒng)一高效、合法合規(guī)的數(shù)據(jù)安全防護與管理體系,為銀行數(shù)據(jù)安全筑起了一道堅實的防線,為銀行合規(guī)經(jīng)營保駕護航。