《中國金融》｜營造個人信息保護良性數(shù)據(jù)生態(tài)

導讀：在促進個人金融信息使用的同時防止濫用，在強化保護策略和舉措的同時避免過度保護，在數(shù)據(jù)應用與個人隱私之間找到平衡點

作者｜金磐石「中國建設銀行(601939,股吧)首席信息官」

文章｜《中國金融》2021年第20期

銀行作為科技驅動型和數(shù)據(jù)密集型行業(yè)，日常經(jīng)營中集聚了大量個人信息，在數(shù)字技術推動和后疫情時代“零接觸”背景下，更多金融服務通過在線方式實現(xiàn)，客戶資產及信息數(shù)字化特征更趨明顯，如何保護個人信息安全、實現(xiàn)信息安全與數(shù)據(jù)價值兼得是銀行的必答題?！秱€人信息保護法》將于2021年11月1日正式施行，該法將個人信息受保護提升至“國家尊重和保障人權”的高度，細化了保護原則，確立了管理主線，提出了風險防線，劃定了合法合規(guī)紅線和底線。這對銀行推進金融數(shù)據(jù)治理、落實個人信息保護提出了更高的要求，營造個人信息“取之有據(jù)、用之有道、護之有術”的良性數(shù)據(jù)生態(tài)至關重要。

銀行個人信息保護和數(shù)據(jù)治理面臨的挑戰(zhàn)

隨著個人信息保護“國家層面推動、行業(yè)層面細化、企業(yè)自身踐行”三位一體模式的確立，當好個人金融信息的“數(shù)據(jù)管家和守門人”是銀行的必修課，尤其是規(guī)模居前的大型銀行機構，在管理模式、數(shù)據(jù)治理和技術控制等方面面臨諸多挑戰(zhàn)。

一是在管理模式上面臨管控落地的挑戰(zhàn)。首先，需解決管什么的問題。必須合理界定個人金融數(shù)據(jù)的內涵和外延，既不能無限擴大，也不能簡單地局限于賬務性信息；既需要法理的闡述，也需要企業(yè)經(jīng)營實踐的探索。比如，匿名化處理后的個人信息是否屬于銀行自有商業(yè)信息，這個問題就值得探討。其次，要解決管理權來源的問題，也就是如何取得個人金融信息的使用權及后續(xù)管理權。這既不能采用霸王條款強行索要客戶信息，也不能利用艱澀難懂的條文去套取客戶授權。尤其是在當前數(shù)字經(jīng)濟浪潮下，新金融活水深度融入人民群眾日常生活的方方面面，如何在不同業(yè)務場景下有效落實“告知—同意”規(guī)則且保障用戶體驗，這些都頗具挑戰(zhàn)。最后，要解決誰來管的問題。銀行獲取個人金融信息后，如何界定內部各類機構對這些信息的管控職責、如何有效識別和評估各種信息處理活動對個人權益的影響也至關重要。

二是在數(shù)據(jù)治理上面臨數(shù)據(jù)規(guī)范缺失的問題。個人金融信息管理路徑很長，涉及采集、存儲、處理、分析、使用、銷毀全生命周期各個階段。規(guī)范每個階段的操作標準是落實個人信息保護的基礎，而這方面業(yè)界除了簡單的目標和原則外，尚缺乏可參照執(zhí)行的標準規(guī)范，需要企業(yè)根據(jù)經(jīng)營性質及自身運作流程完成的具體工作很多，也很艱巨。比如，每項業(yè)務采集哪些個人信息、對個人信息如何分類分級，明確相應等級的存儲、傳輸、使用、加工處理規(guī)范以及信息銷毀處理方法等，都需要認真研究探索。

三是在技術控制上面臨傳統(tǒng)方法適用性不足的問題。傳統(tǒng)的防病毒、防火墻、入侵檢測“三板斧”對于開放共享環(huán)境下的個人信息保護是遠遠不夠的，單純的防堵是低效甚至是無效的，對業(yè)務的發(fā)展往往不是保護而是阻礙。原因很簡單，如果一項服務或產品只講安全不顧應用，體驗不好，客戶就會“敬而遠之”。如何利用新技術手段在不降低客戶體驗和保障數(shù)據(jù)安全的情況下更好地實現(xiàn)數(shù)據(jù)融合使用，還有許多功課要做。

建設銀行金融數(shù)據(jù)治理策略

2020年以來，建設銀行按照“建生態(tài)、搭場景、擴用戶”的數(shù)字化經(jīng)營理念，全面開啟數(shù)字化經(jīng)營探索，打造大中臺體系。針對個人用戶，圍繞生活繳費、商戶消費、社區(qū)居家等多種個人生活場景，建立數(shù)據(jù)洞察和客戶畫像，實現(xiàn)數(shù)字化連接、產品綜合交付、服務多渠道觸達。

在數(shù)字化經(jīng)營過程中，建設銀行對個人信息采取了“定責明確角色，建制度、定流程、強技術實現(xiàn)體系化保護，培養(yǎng)企業(yè)文化固化數(shù)據(jù)治理成效”的總體策略。通過定責，明確各部門、各級機構在個人信息處理中承擔的角色和職責；通過建制度，明確個人信息保護的原則及目標；通過定流程，將信息保護任務融入日常工作；通過強技術，提升信息保護預警、監(jiān)測甄別及處置的專業(yè)化能力和效率，降低操作難度；通過企業(yè)文化建設，培養(yǎng)員工對個人信息保護的意識，將個人信息保護要求逐漸轉換為員工的規(guī)范習慣，進而讓企業(yè)形成可持續(xù)的個人信息保護機制。

建設銀行數(shù)據(jù)治理實踐

始于組織，在全面融合中持續(xù)肩負多元化的角色職責。對照法律規(guī)定，銀行同時具有“個人信息處理者、關鍵信息基礎設施運營者、達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”等多項身份，在國家數(shù)據(jù)安全、行業(yè)數(shù)據(jù)安全和個人數(shù)據(jù)安全等多個層面均承擔關鍵作用。建設銀行準確理解自身多元化角色，并轉化為全新的組織管理模式。一是統(tǒng)一認知，明確身份角色。建設銀行結合相關法律法規(guī)的出臺和執(zhí)行情況，持續(xù)跟蹤和解析每一種個人信息保護角色對應的部門歸屬和職責分工，細化和落實對應的責任義務。二是協(xié)同治理，形成管理合力。建設銀行統(tǒng)籌業(yè)務部門、數(shù)據(jù)部門、技術部門、風險合規(guī)部門、審計部門等共同開展全行客戶信息保護工作，逐步理清工作模式，強化業(yè)務、數(shù)據(jù)、技術融合，形成個人客戶信息保護合力。三是統(tǒng)籌管理，整合個人信息保護需求。明確全行客戶信息保護工作依據(jù)和工作目標，以個人信息保護需求及相關系統(tǒng)開發(fā)為統(tǒng)籌切入點，初步制定全行個人客戶信息保護工作方案，涵蓋全渠道信息處理客戶授權、客戶信息保護提醒、客戶信息異常查詢監(jiān)測等業(yè)務需求。

穩(wěn)于制度，在體系設計中不斷完善有針對性的制度規(guī)范。建設銀行在推進數(shù)據(jù)安全和個人信息保護的過程中始終堅持制度先行，視個人信息保護為金融治理的重要組成部分。一是將個人信息保護相關法律法規(guī)要求融入現(xiàn)有的管理體系，納入公司治理、IT管理、數(shù)據(jù)治理、消費者保護等工作規(guī)劃。二是建立數(shù)據(jù)安全管理制度體系，涵蓋數(shù)據(jù)需求管理、內外部數(shù)據(jù)采集、安全分級、信息安全保護策略、數(shù)據(jù)使用、數(shù)據(jù)共享等各方面。三是加強專項管控，業(yè)務部門及風險內控部門針對個人客戶信息保護、用戶敏感信息保護、員工行為管理、用戶數(shù)據(jù)分析等領域制定嚴格規(guī)范，明確了個人信息保護的理念原則、類別范圍和工作要求。

精于流程，在管理實踐中積極探索落地推廣的可行路徑。在設計個人信息保護的流程機制時，僅僅從個人權益保護或商業(yè)利益角度出發(fā)都是片面的，過度保護甚至會阻滯個人信息在金融機構內和企業(yè)間共享，直接影響數(shù)據(jù)要素流動和價值創(chuàng)造。平衡信息安全與數(shù)據(jù)利用的關鍵在于厘清流程邊界、明確管理環(huán)節(jié)、形成長效機制。為此，建設銀行通過多年實踐，探索形成了多維立體的個人信息保護管理機制。一是橫向協(xié)同。在總行層面，構建從分類分級、風險監(jiān)測、事件管理到檢查考核的多部門協(xié)同管理機制。建立數(shù)據(jù)分類分級管理流程，探索自動化分類打標機制，建立數(shù)據(jù)風險監(jiān)測預警體系和信息安全事件響應與處置流程，圍繞金融消費者權益保護建立事前審查、事中管控、事后監(jiān)督管控機制。二是縱向聯(lián)動。在各業(yè)務條線構建交易流程客戶信息保護機制，開展客戶信息安全檢查，確保客戶信息合規(guī)采集，防止客戶信息濫用，促進員工合規(guī)操作。

強于技術，在金融創(chuàng)新中密切緊跟行業(yè)前瞻的安全科技。建設銀行依托金融科技戰(zhàn)略，強化數(shù)據(jù)安全管理的技術支撐，構建了融預防、檢測、應急為一體的數(shù)據(jù)安全風險防控技術體系。一是建設客戶隱私授權管理系統(tǒng)。建設銀行采用“云端存儲、集中管控”的模式，將數(shù)據(jù)保護在安全可控的生產環(huán)境里，加強用戶終端和網(wǎng)絡邊界的數(shù)據(jù)泄露防控。同時建立隱私授權管理系統(tǒng)，實現(xiàn)客戶授權信息、授權協(xié)議統(tǒng)一管理。二是落地個人客戶信息智能監(jiān)測。建設銀行通過“龍智盾”實現(xiàn)柜面主要客戶的查詢交易監(jiān)測；運用神經(jīng)網(wǎng)絡等大數(shù)據(jù)技術建立柜員行為智能分析模型，識別疑似不合規(guī)操作，減少客戶數(shù)據(jù)泄露。三是通過聯(lián)合建模實現(xiàn)最小化可行數(shù)據(jù)共享和價值轉化。在風控和反欺詐等方面，建設銀行分別與政府部門、公共事業(yè)機構、電信運營商、頭部電商企業(yè)等可信外部數(shù)據(jù)源開展聯(lián)合建模工作，旨在打破數(shù)據(jù)孤島。

成于文化，在行為規(guī)范中引導培育守正向善的數(shù)據(jù)素養(yǎng)。建設銀行高度注重數(shù)據(jù)安全的企業(yè)文化建設和專業(yè)人員安全素養(yǎng)培育，充分發(fā)揮每位員工的主人翁精神以及守正向善的價值觀，在實現(xiàn)金融數(shù)據(jù)價值創(chuàng)造的同時，切實做好個人信息安全工作。一是緊跟法律法規(guī)熱點開展宣傳教育。在總分行層面定期開展數(shù)據(jù)安全和個人信息保護宣傳，通過案例警示、培訓等多種形式明確數(shù)據(jù)安全的紅線。二是培養(yǎng)個人信息保護人人有責的安全文化，提高員工對個人金融信息保護的意識和能力。三是通過引入國內外權威數(shù)據(jù)安全能力水平專業(yè)培訓體系和資格認證，加強數(shù)據(jù)安全和個人信息保護專業(yè)人才培養(yǎng)?！?/p>

（責任編輯  張林）

本文首發(fā)于微信公眾號：中國金融雜志。文章內容屬作者個人觀點，不代表和訊網(wǎng)立場。投資者據(jù)此操作，風險請自擔。