數(shù)字化時代個人金融信息保護(hù)的思考

1、其次，這是金融業(yè)落實國家網(wǎng)絡(luò)和數(shù)據(jù)安全制度的迫切需要。隨著網(wǎng)絡(luò)強國和數(shù) 字中國戰(zhàn)略的推進(jìn)，我國網(wǎng)絡(luò)普及率已提升至64.5% ,網(wǎng)民規(guī)模超過9億，網(wǎng)絡(luò)和數(shù) 據(jù)安全相關(guān)法律制度加速出臺。其中，網(wǎng)絡(luò)安全法對網(wǎng)絡(luò)運營者收集和使用個人 信息的基本原則、負(fù)面清單、管理要求等進(jìn)行了明確規(guī)定。醫(yī)法典對隱私和個人 信息進(jìn)行了基本界定，并對隱私權(quán)和個人信息保護(hù)提出了原則性要求。此外，數(shù)據(jù) 安全法（草案）已進(jìn)入征求社會公眾意見環(huán)節(jié)，個人信息保護(hù)法已列入2020年 全國人大常委會立法規(guī)劃。上述法律規(guī)范為加快建設(shè)個人金融信息保護(hù)體系提供了堅實 的制度條件，也提出了更高要求。最后，這是金融業(yè)推進(jìn)數(shù)字化轉(zhuǎn)型與高質(zhì)量發(fā)展的必

2、然要求。當(dāng)前，經(jīng)濟數(shù)字化 轉(zhuǎn)型已是大勢所趨。數(shù)據(jù)顯示，2019年我國數(shù)字經(jīng)濟增加值規(guī)模達(dá)到35.8萬億元， 占GDP比重達(dá)36.2%。金融業(yè)正加速邁入一個與數(shù)字經(jīng)濟相對應(yīng)的數(shù)字化新時代， 日益呈現(xiàn)出無科技不金融、數(shù)據(jù)驅(qū)動金融”的特征。在依法合規(guī)并做好信息安全保護(hù) 的前提下，充分發(fā)揮個人金融信息類型多、應(yīng)用領(lǐng)域廣、集聚增值效應(yīng)強等優(yōu)勢，將 其分級分類運用于營銷獲客、信用評估、風(fēng)險管理等核心業(yè)務(wù)環(huán)節(jié)，有助于充分釋放 技術(shù)紅利和數(shù)據(jù)紅利，推進(jìn)金融業(yè)數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展。我國個人金融信息保護(hù)現(xiàn)狀與面臨的挑戰(zhàn)近年來，隨看數(shù)字技術(shù)與經(jīng)濟金融活動的加速融合，我國金融管理部門、行業(yè)協(xié) 會以及廣大從業(yè)機構(gòu)在個

3、人金融信息保護(hù)的制度建設(shè)和業(yè)務(wù)實踐方面做了大量工作， 取得了階段性成效，總體呈現(xiàn)出以下幾個方面的特點。.法律規(guī)范不斷完善。目前，我國已初步形成涵蓋法律、行政法規(guī)、部門規(guī)章、 規(guī)范性文件等在內(nèi)的多層次和廣覆蓋的個人金融信息法律規(guī)范體系。民法典網(wǎng) 絡(luò)安全法消費者權(quán)益保護(hù)法等法律明確了個人信息保護(hù)基本原則和相關(guān)權(quán)利義 務(wù)。商業(yè)銀行法證券法保險法反洗錢法等金融法律確立了專門領(lǐng)域個 人金融信息保護(hù)的基本原則。個人存款賬戶實名制規(guī)定儲蓄管理條例征信業(yè) 管理條例等行政法規(guī)對賬戶管理、征信服務(wù)等領(lǐng)域個人金融信息保護(hù)提出了規(guī)范性要 求。個人信用信息要出數(shù)據(jù)庫管理暫行辦法中國人忌艮行金融消費者權(quán)益保護(hù)實 施辦法等

4、部門規(guī)章以及關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護(hù)工作的通知等 規(guī)范性文件，從個人金融信息類別范圍、工作原則、業(yè)務(wù)規(guī)則等方面，對從業(yè)機構(gòu)開展 個人金融信息保護(hù)工作提出了細(xì)化具體的要求。此外,個人金融信息（數(shù)據(jù)）彳呆護(hù)試 行辦法作為專門針對個人金融信息保護(hù)的部門規(guī)章,已列入人民銀行2020年規(guī)章制 定工作計劃。.技術(shù)標(biāo)準(zhǔn)配套實施。2017年12月，國家標(biāo)準(zhǔn)化管理委員會發(fā)布國家標(biāo)準(zhǔn)信 息安全技術(shù)個人信息安全規(guī)范，規(guī)定了開展個人信息處理活動應(yīng)遵循的原則和安全 要求，并將銀行賬戶、財產(chǎn)信息、征信信息等個人金融信息列為個人敏感信息，提出 了明示同意、信息加密等要求。2020年2月，人民銀行發(fā)布金融標(biāo)準(zhǔn)個

5、人金融信 息保護(hù)技術(shù)規(guī)范。該標(biāo)準(zhǔn)從安全技術(shù)和安全管理的角度，規(guī)定了個人金融信息在生 命周期各環(huán)節(jié)的安全防護(hù)要求。此外，在近年來陸續(xù)發(fā)布的云計算技術(shù)金融應(yīng)用、聲 紋識別安全應(yīng)用、移動金融客戶端應(yīng)用軟件、網(wǎng)上銀行系統(tǒng)信息安全、金融分布式賬 本技術(shù)、商業(yè)銀行應(yīng)用程序接口等領(lǐng)域相關(guān)金融標(biāo)準(zhǔn)中均對個人金融信息保護(hù)和安全 管理提出了明確要求。這些技術(shù)標(biāo)準(zhǔn)在信息系統(tǒng)和技術(shù)安全層面有效促進(jìn)了個人金融 信息保護(hù)有關(guān)法律制度的落地實施。.行政監(jiān)管持續(xù)發(fā)力。近年來，金融管理部門通過監(jiān)督管理、投訴處理、風(fēng)險排 查、專項治理、宣傳教育等多種方式，不斷加強個人金融信息保護(hù)工作力度，督促從 業(yè)機構(gòu)履行客戶個人金融信息保護(hù)義

6、務(wù)，切實保障金融消費者信息安全權(quán)。比如，銀 保監(jiān)會持續(xù)深化銀行業(yè)保險業(yè)市場亂象整治工作，對有關(guān)從業(yè)機構(gòu)未采取有效措施保 護(hù)客戶信息安全、違規(guī)泄露和濫用客戶信息等行為予以嚴(yán)厲整治。2020年4月，人 民銀行啟動針對移動金融客戶端應(yīng)用軟件、應(yīng)用程序編程接口、信息系統(tǒng)等重要領(lǐng)域 的金融科技應(yīng)用風(fēng)險專項摸排工作，并將個人金融信息保護(hù)作為摸排重點之一。此外， 金融管理部門在監(jiān)管執(zhí)法過程中，注重綜合運用約談高管、限期整改、行業(yè)通報、監(jiān) 管評級掛鉤、行政處罰等各類措施，不斷提升個人金融信息保護(hù)工作針對性和監(jiān)管有 效性。.行業(yè)實踐扎實推進(jìn)。從業(yè)機構(gòu)在金融管理部門的指導(dǎo)和各金融行業(yè)協(xié)會的組織 下，認(rèn)真貫徹落實有

7、關(guān)法律規(guī)范、監(jiān)管要求和標(biāo)準(zhǔn)規(guī)則，注重將個人金融信息保護(hù)納 入金融消費者權(quán)益保護(hù)、數(shù)據(jù)治理、網(wǎng)絡(luò)信息安全等工作規(guī)劃，明確個人金融信息保 護(hù)牽頭部門和管理機制，建立健全個人金融信息保護(hù)相關(guān)內(nèi)控制度，開展個人金融信 息保護(hù)員工教育培訓(xùn)，加強金融消費者信息安全和金融知識普及教育，規(guī)范第三方合 作機構(gòu)和外包服務(wù)機構(gòu)管理，明確外包合作各方的個人金融信息保護(hù)職責(zé)和保密義務(wù)。.多重挑戰(zhàn)仍待破解。盡管取得了一定進(jìn)展，我們還應(yīng)清醒地看到，數(shù)字化時代 個人金融信息保護(hù)在立法、監(jiān)管、自律等方面依然有一些新老問題相互交織、亟待破 解。一是個人金融信息保護(hù)專門制度尚未出臺，現(xiàn)有規(guī)定以原則性、框架性規(guī)定居多， 且零散分布在

8、不同效力層級的法律規(guī)范中，制度銜接和統(tǒng)合存在不足。二是金融管理 部門在個人金融信息監(jiān)管執(zhí)法方面的職責(zé)分工有待進(jìn)一步明確，監(jiān)管統(tǒng)籌、信息共享和工作聯(lián)動機制需要加 強，與行業(yè)協(xié)會有機協(xié)調(diào)配合的治理機制尚未成熟。三是部分從業(yè)機構(gòu)在個人金融信 息保護(hù)方面的主體責(zé)任意識有待加強，在內(nèi)部控制、數(shù)據(jù)治理、消費者保護(hù)和教育等 方面仍需進(jìn)一步補短板、強弱項、堵漏洞。四是一些金融消費者個人信息保護(hù)意識和 風(fēng)險識別能力依然薄弱，在數(shù)字金融產(chǎn)品、信息安全防護(hù)、投訴維權(quán)等方面的知識和技 能存在欠缺。政策建議數(shù)字化時代下建設(shè)個人金融信息保護(hù)體系是一項長期復(fù)雜的系統(tǒng)工程，需要包括 政府、市場、社會多方協(xié)同，科學(xué)施策，久久為

9、功。具體來說，建議著力做好以下幾 個方面的基礎(chǔ)性工作。一是強化法律規(guī)范。立足中國現(xiàn)實國情和經(jīng)濟金融數(shù)字化轉(zhuǎn)型實際，科學(xué)借鑒歐 盟、美國、英國、日本等國家和地區(qū)立法經(jīng)驗，合理吸收目的限定、最小必要、隱私 安全、權(quán)益保護(hù)等國際共識原則，探索實現(xiàn)信息可攜帶權(quán)等具有數(shù)字化時代特征的新 型權(quán)利形式的可行路徑，適時出臺個人信息保護(hù)法個人金融信息（數(shù)據(jù)）保護(hù) 試行辦法及相關(guān)配套標(biāo)準(zhǔn)規(guī)則，進(jìn)一步健全符合中國國情、具有中國特色、接軌國 際規(guī)則的個人金融信息法律規(guī)范體系，統(tǒng)籌實現(xiàn)信息安全與合理應(yīng)用之間的更好平衡。二是嚴(yán)格行政監(jiān)管。進(jìn)一步加強個人金融信息保護(hù)領(lǐng)域的統(tǒng)籌監(jiān)管，持續(xù)完善各 部門職責(zé)分工、信息共享、工作聯(lián)

10、動等機制，以保護(hù)金融消費者合法權(quán)益和督促從業(yè) 機構(gòu)履行主體責(zé)任為切入點，以個人金融信息采集和處理機構(gòu)為主要對象，探索運用 人工智能、大數(shù)據(jù)、區(qū)塊鏈等監(jiān)管科技手段，持續(xù)深入開展個人金融信息保護(hù)有關(guān)監(jiān) 管執(zhí)法和檢查評估工作，以“零容忍”態(tài)度依法加大對個人金融信息相關(guān)違法違規(guī)行為的 懲處力度。三是推進(jìn)行業(yè)自律。發(fā)揮行業(yè)協(xié)會貼近市場和會員組織優(yōu)勢，深入研究行業(yè)在統(tǒng) 籌個人金融信息保護(hù)和合理應(yīng)用方面所面臨的共性問題,搭建從業(yè)機構(gòu)信息共享和國 際交流平臺，通過信息基礎(chǔ)設(shè)施、統(tǒng)計監(jiān)測、標(biāo)準(zhǔn)規(guī)則、教育培訓(xùn)等行業(yè)自律管理手 段，督促和引導(dǎo)從業(yè)機構(gòu)落實個人金融信息保護(hù)有關(guān)法律規(guī)范和監(jiān)管自律要求，完善 個人金融信息

11、保護(hù)有關(guān)舉報受理和線索移交機制，對行政監(jiān)管形成有益補充和有力支 撐。四是加強機構(gòu)自治。從業(yè)機構(gòu)應(yīng)牢固樹立以客戶為中心、負(fù)責(zé)任創(chuàng)新的正確理念, 切實落實個人金融信息收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安 全防護(hù)要求，加強內(nèi)控制度和數(shù)據(jù)治理體系建設(shè)，明確各部門、崗位和人員在個人金 融信息保護(hù)方面的責(zé)任權(quán)限，完善內(nèi)部監(jiān)督和責(zé)任追究機制。此外，從業(yè)機構(gòu)還應(yīng)在 依法合規(guī)前提下探索應(yīng)用數(shù)據(jù)脫敏、多方安全計算、聯(lián)邦學(xué)習(xí)、差分隱私、同態(tài)加密等 隱私保護(hù)和數(shù)據(jù)融合技術(shù)，加強個人金融信息保護(hù)技術(shù)支撐，促進(jìn)信息合理開發(fā)利用。五是加強公眾參與。加強違法違規(guī)行為舉報獎勵、舉報人保護(hù)等機制建設(shè)，充分 調(diào)動社會公眾參與個人金融信息安全治理的積極性。通過司法解程等方式，明確網(wǎng)絡(luò) 環(huán)境下個人金融信息侵權(quán)形式，豐富和暢通個人金融信息保護(hù)的救濟渠道。廣泛運用 線上線下宣傳教育渠道，針對性開展個人金融信息保護(hù)教育，定期發(fā)布個人金融信息保 護(hù)風(fēng)險提示和典型案例，提高公眾對個人金融信息保護(hù)的意識和能力。為者常成，行者常至。中國互聯(lián)網(wǎng)金融協(xié)會作為國家金融行業(yè)自律組