從IT時代到DT時代,網絡已深入到社會經濟生活的方方面面,在為人們帶來便捷的同時也帶來了日益嚴重的個人信息泄漏問題。目前,保障個人信息安全早已成為各金融機構安全保障義務的核心內容。在大數據潮流的沖擊下,傳統的制度管理保障已經不能滿足金融機構對個人信息保護的需求,用戶的個人信息隱私保護面臨嚴重挑戰。2020年10月21日,備受矚目的《中華人民共和國個人信息保護法(草案)》(以下簡稱“《草案》”)經人大常委會審議,在中國人大網上公布向全社會征求意見。該草案的出臺代表著我國個人信息立法進程翻開了新篇章,然而就在草案發布的同一天,多家銀行接到了“侵害消費者個人信息”的罰單。
-----
人民銀行在依法做出行政處罰的同時,約談相關金融機構,責令其立即整改。相關金融機構高度重視檢查中發現的問題,并聚焦具體問題進行整改,進一步規范個人信息管理機制,并對有關責任人員進行了嚴肅問責。
該案件中涉及的銀行均付出了慘痛的經濟代價,這對金融機構的警醒是沉重的:近幾年雖然各金融機構在信息化建設和管理水平方面都有長足的提升,但依然不能杜絕個人金融信息泄露事件的發生,而每一起事件中不單只是消費者個人信息安全受到侵害,對金融機構形象所產生的的不良影響同樣十分嚴重。
因此,對個人金融信息安全的防護需要更多支撐,此次《草案》出臺就為保護個人金融信息提供了法律保障,并提出了更高的要求。
《草案》規定了信息處理七大基本原則
此次發布的《草案》規定了個人信息處理的七大基本原則,分別是合法性原則(第五條)、目的明確原則(第六條)、最小必要原則(第六條)、公開透明原則(第七條)、準確性原則(第八條)、可問責性原則(第九條)、數據安全原則(第九條)。這七大原則與既往的相關法律法規一脈相承,又有新的突破。
《草案》明確了個人信息處理者的多項義務
此次發布《草案》第五章明確了個人信息處理者的合規管理和保障個人信息安全等義務。要求其按照規定制定內部管理制度和操作規程,采取相應的安全技術措施(第五十條);
并指定負責人對其個人信息處理活動進行監督(第五十一條);
定期對其個人信息活動進行合規審計(第五十三條);
對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估(第五十四條);
履行個人信息泄露通知和補救義務等(第五十五條)。
《草案》對個人敏感信息的處理提出高要求
此次發布《草案》將個人敏感信息的處理規則單獨成節(第二章,第二節),著重描述體現了對個人信息保護的“風險路徑”考量。即在規制個人信息處理行為時區分主次、抓大放小,企業也應據此合理分配合規資源。個人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個人信息。
“告知-同意”義務方面,需額外向個人告知處理敏感個人信息的必要性以及對個人的影響,并取得個人的單獨同意或依法取得書面同意。
敏感個人信息的范圍在草案中只有概括定義及非窮盡列舉。實踐中,可以參考《個人信息安全規范》對個人敏感信息的舉例,其對草案中的個人生物特征、醫療健康、金融賬戶類目均具備參考價值。
值得關注的是,種族、民族、宗教信仰均作為敏感個人信息被寫入草案,充分體現了我國法律的進步性和對多元文化的尊重。
-----
明朝萬達數據安全管理專家通過對《草案》的深度解讀,理解到本《草案》對個人信息的數據安全要求、技術措施應用和事后審計問責等提出了更為具體的要求,憑借多年的行業經驗,為金融機構今后個人信息保護工作提出如下建議:
以集中管控大數據系統進行信息采集、分析、控制、展示進行態勢感知,結合終端DLP、郵件DLP和網絡DLP數據,通過數據構建三位一體多方面的安全防護機制,為上層決策與執行提供技術支持,提升理解分析、響應處理的能力。
最終實現:
·實時動態掌握整個業務運行情況
·全網感知整個系統運行環境
·全面掌握系統的安全狀態
·建立整體安全風險防御能力
-----
個人信息安全保護任重而道遠,明朝萬達愿攜手金融行業所有從業者,共同為個人信息安全建設盡一份力。
作為中國新一代信息安全技術企業,明朝萬達專注數據安全、公共安全、云安全、大數據安全等服務,客戶覆蓋金融、政府、公安、電信運營商等諸多領域,其中在金融領域數據安全的市場占有率超80%。公司始終以守護用戶數據價值為己任,致力于讓安全真正服務于業務發展。在堅持科技創新的同時,注重技術與業務的深度融合,為客戶提供量身定制的數據安全解決方案。
