天天要聞

銀行信息數據安全“雷區”:過度收集客戶信息

本報記者 楊井鑫 北京報道

隨着銀行業數字化的不斷演進,新技術、新業態不斷涌現,金融領域面臨的數據安全風險形勢嚴峻複雜,給銀行金融機構信息數據安全管理帶來了新的挑戰。

2024年12月27日,國家金融監督管理總局正式對外發布了《銀行保險機構數據安全管理辦法》(以下簡稱“《辦法》”),要求銀行金融機構採取有效的管理和技術措施加強數據安全保護,確保客戶信息和金融交易數據的安全。同時,監管部門還將以機構自查和監管部門現場檢查相結合的方式對銀行保險機構的信息數據安全啓動專項治理。

據《中國經營報》記者瞭解,“個人信息保護”是金融消費者權益保護的一項重要內容,強化金融機構信息數據安全管理對監管而言迫在眉睫。此前多家銀行金融機構因數據安全管理問題被罰,問題聚焦在信息收集和信息管理兩個方面。其中,信息數據管理能夠通過制度建設、內控機制等方式解決,而過度收集客戶信息卻成爲了銀行金融機構很難邁過的一道坎。

信息數據“雷區”

“監管每年都會對金融機構的信息數據安全進行抽查。”一家股份制銀行風控部門相關負責人說道,由於客戶信息安全邊界的問題,銀行在對接客戶過程中很容易被認定過度收集信息。“這是一個普遍存在的現象。”

此次《辦法》中也明確要求,銀行保險機構處理個人信息應按照“明確告知、授權同意”的原則實施,並限於實現金融業務處理目的的最小範圍,不得過度收集個人信息。

上述股份制銀行風控部門相關負責人表示,銀行客戶的姓名、指紋、臉部圖像屬於辦理業務的基本信息,而年齡、學歷、地理位置等信息可能就不屬於處理業務目的的範圍了。

“在信息化時代,銀行風控作爲業務的重要一環涉及到很多大模型,以此來對客戶進行精準畫像。所謂客戶畫像,即通過客戶的已知信息對業務風險進行判斷。這也就是說,客戶能夠提供的信息越多,客戶畫像也就越精準。”上述股份制銀行風控部門相關負責人說,“以客戶學歷爲例,客戶學歷是否會影響到辦理業務呢?表面上,客戶學歷與業務無關,但是底層邏輯上卻又存在一定關係。銀行通過大數據可以瞭解到,學歷越高的客戶在風險承受能力上越強。同樣,客戶的年齡、地域和財產都是授信的影響因素。銀行風控大模型在客戶畫像上需要更多信息數據,而信息數據安全保護又需要最大程度的限制範圍,這就會產生矛盾。”

該股份制銀行風控部門相關負責人表示:“目前銀行內部在完善機制防止過度收集客戶信息,解決問題的方式就是做減法。監管應該給銀行一些數據分類的目錄。”

此次《辦法》中提到,國家金融監督管理總局按照國家數據分類分級要求,制定銀行業保險業重要數據目錄,提出核心數據目錄建議,監督指導銀行保險機構開展數據分類分級管理和數據保護。銀行保險機構應當按要求向國家金融監督管理總局或者其派出機構報送重要數據目錄。重要數據目錄發生重大變化應當及時報備更新後的數據目錄。

機構接連被罰

記者注意到,《辦法》相比此前規定更加細化,並落實了權責分明。新規要求銀行保險機構制定數據分類分級保護制度,建立數據目錄和分類分級規範,動態管理和維護數據目錄,並採取差異化的安全保護措施。

《辦法》中明確表示,在數據分類方面,銀行保險機構對機構業務及經營管理過程中獲取、產生的數據進行分類管理,具體類型包括客戶數據、業務數據、經營管理數據、系統運行和安全管理數據等。在數據分級方面,銀行保險機構應根據數據的重要性和敏感程度,將數據分爲核心數據、重要數據、一般數據,其中一般數據細分爲敏感數據和其他一般數據;當數據的業務屬性、重要程度和可能造成的危害程度發生變化,導致安全級別不再適用的,及時進行動態調整。

同時,由於數據加工、數據轉移、數據跨境等場景的增多,保障數據安全面臨新的要求。《辦法》提出,銀行保險機構應當建立銀行母行、保險集團或者母公司與其子行、子公司數據安全隔離的“防火牆”,並對共享數據採取有效保護措施。銀行保險機構應當構建覆蓋數據全生命週期和應用場景的安全保護機制,開展數據安全風險評估、監測與處置,保障數據開發利用活動安全穩健開展。

另外,《辦法》還對不同場景的數據安全作了具體規定。比如,銀行保險機構應當將數據委託處理納入信息科技外包管理範圍,在實施過程中不得將信息科技管理責任、數據安全主體責任外包;銀行保險機構與第三方機構進行數據共同處理時,應當以合同協議方式明確雙方在數據處理過程中的數據安全責任和義務等等。

記者瞭解到,僅2024年一年來,多家銀行因收集客戶信息問題“吃罰單”或被點名整改。

2024年12月24日,江蘇省通信管理局發佈了《2024年第5批關於侵害用戶權益行爲的APP通報》,其中涉及江陰農商銀行、崑山農商銀行、蘇州農商銀行、江蘇長江商業銀行、無錫農商銀行五家銀行,而侵權行爲包括了“違規收集個人信息;超範圍收集個人信息;App強制、頻繁、過度索取權限”等。

2024年9月25日,國家計算機病毒應急處理中心通報13款違規移動應用。其中包含甘肅農信App,涉及到“隱私政策難以訪問、未聲明App運營者的基本情況、未聲明隱私政策時效”“處理敏感個人信息未取得個人的單獨同意”等問題。

2024年7月10日,內蒙古通信管理局發佈關於App侵害用戶權益問題的通報。其中,包含4家村鎮銀行App,4款App均涉及“違規收集個人信息”“超範圍收集個人信息”等問題。

2024年4月7日,人民銀行四川省分行對自貢農商銀行、達州銀行、成都雙流誠民村鎮銀行等5家銀行開出罰單。其中4家銀行違反信用信息採集、提供、查詢及相關管理規定。

2024年3月13日,人民銀行吉林省分行發佈的行政處罰信息顯示,吉林農安農商銀行因“違反信用信息採集、提供、查詢及相關管理規定”等7項違法行爲被罰400多萬元。

國家金融監督管理總局有關負責人介紹,《辦法》主要特點包括落實數據安全責任制、明確數據安全歸口管理部門、將數據安全風險納入全面風險管理體系、強化數據安全評估、建立數據安全保護基線等。相關舉措的目的就是通過採取有效的管理和技術措施加強數據安全保護,確保客戶信息和金融交易數據的安全。

(編輯:朱紫雲 審覈:何莎莎 校對:顏京寧)

相關資訊

DMCA | PRIVACY | s@bg3.co