從IT時代到DT時代,網(wǎng)絡(luò)已深入到社會經(jīng)濟生活的方方面面,在為人們帶來便捷的同時也帶來了日益嚴重的個人信息泄漏問題。目前,保障個人信息安全早已成為各金融機構(gòu)安全保障義務(wù)的核心內(nèi)容。在大數(shù)據(jù)潮流的沖擊下,傳統(tǒng)的制度管理保障已經(jīng)不能滿足金融機構(gòu)對個人信息保護的需求,用戶的個人信息隱私保護面臨嚴重挑戰(zhàn)。2020年10月21日,備受矚目的《中華人民共和國個人信息保護法(草案)》(以下簡稱“《草案》”)經(jīng)人大常委會審議,在中國人大網(wǎng)上公布向全社會征求意見。該草案的出臺代表著我國個人信息立法進程翻開了新篇章,然而就在草案發(fā)布的同一天,多家銀行接到了“侵害消費者個人信息”的罰單。
-----
人民銀行在依法做出行政處罰的同時,約談相關(guān)金融機構(gòu),責(zé)令其立即整改。相關(guān)金融機構(gòu)高度重視檢查中發(fā)現(xiàn)的問題,并聚焦具體問題進行整改,進一步規(guī)范個人信息管理機制,并對有關(guān)責(zé)任人員進行了嚴肅問責(zé)。
該案件中涉及的銀行均付出了慘痛的經(jīng)濟代價,這對金融機構(gòu)的警醒是沉重的:近幾年雖然各金融機構(gòu)在信息化建設(shè)和管理水平方面都有長足的提升,但依然不能杜絕個人金融信息泄露事件的發(fā)生,而每一起事件中不單只是消費者個人信息安全受到侵害,對金融機構(gòu)形象所產(chǎn)生的的不良影響同樣十分嚴重。
因此,對個人金融信息安全的防護需要更多支撐,此次《草案》出臺就為保護個人金融信息提供了法律保障,并提出了更高的要求。
《草案》規(guī)定了信息處理七大基本原則
此次發(fā)布的《草案》規(guī)定了個人信息處理的七大基本原則,分別是合法性原則(第五條)、目的明確原則(第六條)、最小必要原則(第六條)、公開透明原則(第七條)、準確性原則(第八條)、可問責(zé)性原則(第九條)、數(shù)據(jù)安全原則(第九條)。這七大原則與既往的相關(guān)法律法規(guī)一脈相承,又有新的突破。
《草案》明確了個人信息處理者的多項義務(wù)
此次發(fā)布《草案》第五章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)。要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應(yīng)的安全技術(shù)措施(第五十條);
并指定負責(zé)人對其個人信息處理活動進行監(jiān)督(第五十一條);
定期對其個人信息活動進行合規(guī)審計(第五十三條);
對處理敏感個人信息、向境外提供個人信息等高風(fēng)險處理活動,事前進行風(fēng)險評估(第五十四條);
履行個人信息泄露通知和補救義務(wù)等(第五十五條)。
《草案》對個人敏感信息的處理提出高要求
此次發(fā)布《草案》將個人敏感信息的處理規(guī)則單獨成節(jié)(第二章,第二節(jié)),著重描述體現(xiàn)了對個人信息保護的“風(fēng)險路徑”考量。即在規(guī)制個人信息處理行為時區(qū)分主次、抓大放小,企業(yè)也應(yīng)據(jù)此合理分配合規(guī)資源。個人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個人信息。
“告知-同意”義務(wù)方面,需額外向個人告知處理敏感個人信息的必要性以及對個人的影響,并取得個人的單獨同意或依法取得書面同意。
敏感個人信息的范圍在草案中只有概括定義及非窮盡列舉。實踐中,可以參考《個人信息安全規(guī)范》對個人敏感信息的舉例,其對草案中的個人生物特征、醫(yī)療健康、金融賬戶類目均具備參考價值。
值得關(guān)注的是,種族、民族、宗教信仰均作為敏感個人信息被寫入草案,充分體現(xiàn)了我國法律的進步性和對多元文化的尊重。
-----
明朝萬達數(shù)據(jù)安全管理專家通過對《草案》的深度解讀,理解到本《草案》對個人信息的數(shù)據(jù)安全要求、技術(shù)措施應(yīng)用和事后審計問責(zé)等提出了更為具體的要求,憑借多年的行業(yè)經(jīng)驗,為金融機構(gòu)今后個人信息保護工作提出如下建議:
以集中管控大數(shù)據(jù)系統(tǒng)進行信息采集、分析、控制、展示進行態(tài)勢感知,結(jié)合終端DLP、郵件DLP和網(wǎng)絡(luò)DLP數(shù)據(jù),通過數(shù)據(jù)構(gòu)建三位一體多方面的安全防護機制,為上層決策與執(zhí)行提供技術(shù)支持,提升理解分析、響應(yīng)處理的能力。
最終實現(xiàn):
·實時動態(tài)掌握整個業(yè)務(wù)運行情況
·全網(wǎng)感知整個系統(tǒng)運行環(huán)境
·全面掌握系統(tǒng)的安全狀態(tài)
·建立整體安全風(fēng)險防御能力
-----
個人信息安全保護任重而道遠,明朝萬達愿攜手金融行業(yè)所有從業(yè)者,共同為個人信息安全建設(shè)盡一份力。
作為中國新一代信息安全技術(shù)企業(yè),明朝萬達專注數(shù)據(jù)安全、公共安全、云安全、大數(shù)據(jù)安全等服務(wù),客戶覆蓋金融、政府、公安、電信運營商等諸多領(lǐng)域,其中在金融領(lǐng)域數(shù)據(jù)安全的市場占有率超80%。公司始終以守護用戶數(shù)據(jù)價值為己任,致力于讓安全真正服務(wù)于業(yè)務(wù)發(fā)展。在堅持科技創(chuàng)新的同時,注重技術(shù)與業(yè)務(wù)的深度融合,為客戶提供量身定制的數(shù)據(jù)安全解決方案。
