The EU Experience on the Protection of Client’s Sensitive Information
近年来,随着银行业信息化的蓬勃发展,银行客户信息保护不规范的问题日渐凸显,导致客户敏感信息泄露事件频发,给客户造成不必要的困扰和经济损失。针对这一突出问题,银保监会基于信息科技风险、信息安全可控、客户信息保护等多个角度着力推进该项工作,并取得了一定成效,银行业加强客户信息保护的认识和理念基本形成,但与政策目标还存在差距。就客户敏感信息保护,欧盟从社会层面和行业层面均有较为完备的法律法规体系,特别是“95指令”实施以来所取得的成效,对我国加强银行客户敏感信息保护具有一定的借鉴意义。
我国银行客户信息保护存在的问题
重视程度不到位。一是口头上重视,行动上不够重视。表现为部分银行业金融机构将客户敏感信息保护工作停留在纸面,相关管理责任未落实到岗,落实到人。二是领导和主管部门重视,一般人员不够重视。表现为负责人对该工作有明确认识,但一般人员保护意识不强,对客户敏感数据的提取、传递、存储和使用不够规范。三是大中型银行相对重视,中小银行不够重视。大型银行和股份制银行经过多年积淀,对客户敏感信息保护有明确政策安排、制度流程和技术防范措施,对数据保护认识也比较充分,工作中总体比较重视。中小银行、非银机构对客户数据处置随意性较强,重视普遍较低。四是对案件相对重视,对一般问题隐患不够重视。客户敏感信息保护基本以舆情、案件为导向, 对内控措施的有效性、技术防范措施的科学性重视还不够。
规章制度不健全。表现为部分银行对客户敏感信息定义不明,在实际落实过程中对客户敏感信息保护所涉范围缺乏有效界定,且对客户信息未结合敏感度明确分级,因此对员工的“最小授权”和分级管理也难以有效落实。少数银行还存在将客户敏感信息保护直接等同于保密或信息安全工作的情况。现有规章制度往往局限于数据管理的某一环节和某一领域,或者某一部门范围,基于全行层面、全周期数据管理的规章制度尚不够健全。
技术手段不过硬。银行特别是中小银行受限于科技投入不足、技术力量不强等因素,防范客户信息被窃取过程中普遍存在设备老化、技术手段简单等问题,风险隐患较为突出。在防范员工倒卖敏感客户信息工作中,多数银行传统手段未能与技术手段有效结合,仍然停 留在调阅监控录像、突击检查员工抽屉等方式,检查效率低下,对员工震慑不足。虽然部分银行能够采用终端安全管理等方式对员工使用计算机拷贝数据等行为进行管控,但在遏制员工偷拍、偷录、抄写等方面效果不够理想。
工作推动不持续。不少银行客户敏感信息保护工作还存在运动式思维,具备“一阵风”特点,往往结合监管部门或针对特定风险事件进行排查,未将有关事项融入企业文化,纳入日常工作,长效机制有待形成。
外部环境不理想。近年来,国内黑色数据产业链快速发展,产业链上连各行业海量用户数据,下接伪造银行卡、盗刷网银、电信诈骗、网络游戏盗号等犯罪团伙,已经形成了价值数千亿、参与人员上百万的黑色市场。由于银行客户数据“四大件”(姓名、身份证号、手机号、银行卡号)及周边信息(银行卡磁道信息、交易流水、消费记录等)体量大、真实性强、含金量高,广受黑色产业追逐。银行普通员工手握大量银行数据资产,变现渠道畅通,且违规成本低,难免滋生客户敏感信息泄露事件。此外,少数银行迫于展业营销压力,对同业及其他行业高端客户敏感数据亦有需求,难免与黑色产业存在利益共同点。
欧盟的经验
欧盟在网络信息安全、客户敏感信息保护方面起步较早,积累了较为丰富的经验。从社会层面,欧盟普遍重视网络信息安全和公民数据保护工作,经过多年努力,已经建立了较为完备的基础法
律法规体系。从行业层面,欧盟委员会按照法律基本要求,结合银行业自身特点,进行了长期的研究、探索和实践,也已形成了一套较为完备的监管体系,对于确保银行业信息系统安全、持续、稳定运行和保护客户信息安全起到了很好的保驾护航作用,对银行业落实客户敏感信息保护有很大的影响。
完备的数据保护法律体系。欧盟关于数据保护的法律框架,包括一系列的指令、协议、条例等,基本形成了一整套法律体系,其中最重要的是1995年通过的《关于个人数据处理保护与自由流动指令》(简称“95指令” ),为欧盟成员国立法保护个人数据设立了最低目标和标准。以德国为例,德国数据保护源于德国宪法关于公民之间沟通隐私性保护要求, 1978年出台的《联邦数据保护法》确立了联邦数据保护的基本规则和框架。此后,根据欧洲议会和欧盟理事会“95指令”要求,德国于2001年、2003年和2006年有针对性地对《联邦数据保护法》进行了多次修订。基于《联邦数据保护法》,各行各业、各州在制定法规时,也将数据保护作为一项重要内容加以细化。欧盟委员会金融系统监管和风险管理部以及德国金管局在开展日常金融业监管中,严格按照上述法律框架制定配套政策、完善组织架构、落实相关法律要求,确保了金融业数据的安全性。近期,欧盟议会经过长达四年的讨论,对“95指令”进行修订,修订后的《一般数据保护条例》于2018年5月25日正式生效,对欧盟及各成员国将产生更加深远的影响。
高效的数据保护组织架构。为加强数据保护,德国联邦政府设立了联邦数据保护特派员机制,负责国家层面数据保护工作,并监督联邦公共机构对数据保护政策的执行情况。联邦数据保护特派员由议会选举产生、总统任命,任期5年,可连任一次。在州层面对应设有州一级数据保护特派员,负责监督各州公共部门数据保护工作落实。德国法律 要求9人以上的企业必须设置数据保护特派员岗位,为企业数据保护提供政策咨询、员工培训和内部检查审核服务。欧盟明确要求银行业正式设立数据保护专员,并明确了其必须具备的基本条件。银行数据保护专员具有较高的独立工作条件,直接向单位负责人负责,定期就数据保护履行情况向单位负责人进行说明,专员任期内不能随意被免职。
严格的数据保护基本原则。欧盟原则上不允许数据跨境传输,特别是“当第三国数据保护水平没有达到欧盟的数据保护力度时,需报监管部门进行‘个案处理’ ”,在“个案处理”过程中,一般会加强与数据传输目的地监管部门的沟通,同时会要求签署四个方面法律文书,包括客户要签订《客户数据跨境知悉书》、数据接收方签署《数据保护承诺书》、境内外机构签订《跨境传输协议》等,对于第三国银行机构在欧盟的分支机构要将数据存放在欧盟境外的,需要根据《最低风险管理要求》签署相关外包协议,并报监管部门备案。
细致的数据保护监管措施。以德国《联邦数据保护法》为例,第九条规定“公共和私人机构处理个人资料,无论出于何种目的,均应采取必要的技术手段和管理措施,确保达到监管要求”,对于相关机构是否达到监管要求,在相关审计条款中对审计要求和信息公布提出了明确要求,第十一条对数据收集、处理和使用过程中的保护措施进行了详细规定,要求明确数据采集主体及持续时间、数据采集计划、数据采集范围和目的、采取的技术措施、数据采集主体的权利责任和义务等,尤其是对于保护个人资料的条款更加严格。
借鉴与建议
结合目前国内银行业客户敏感信息保护工作存在的不足,参考欧盟经验,建议我国应该做好以下四个方面的工作。
完善法律法规。建议加快推进全国人 大《网络安全法》和《加强网络信息保护的决定》在银行业落实,尽快出台银行业客户敏感信息保护监管政策,并督促银行业加大内部制度建设。要通过政策宣导、全员培训等手段,推动银行业金融机构进一步提高认识,增强忧患意识和消费者权益保护意识,居安思危,切实承担主体责任,确保客户敏感信息保护工作真正落地。
加快机制建设。借鉴欧盟经验,监管部门要研究建立相关的评估机制、评估流程和评估标准,为客户敏感信息保护确定良好标准。进一步推动银行业机构规范职能部门、明确岗位职责、理顺内部流程,将客户敏感信息保护内嵌到有关业务流程和环节。同时,要进一步推动建立银行、公安、检察、法院、安全、通信运营商等部门之间合作机制,完善联合打击倒卖银行客户敏感信息犯罪活动有关措施,必要时也要加快建立国际间合作打击网络犯罪机制,通过国际间合作,共同打击跨国金融犯罪。
强化技术应用。银行业客户敏感信息保护要求内部控制策略与技术防控措施高度融合,人防和技防相结合。银行业要从董事会战略层面重视客户敏感信息保护,未雨绸缪,切实加大科技投入,加快专业人才储备,及时更新防范设备和防范技术,不断提升技防的有效性,持续满足客户敏感信息保护各项要求。
加大研究力度。目前,为有效解决偷拍偷录等特定场景下的客户信息保护问题,国内已有通过数字水印、沙箱、蜜罐等技术手段的先例。因此,要借鉴其他行业相对成熟经验,推动银行业在研究一般性数据保护措施的基础上,加强对云计算、移动互联网和大数据等网络新业态环境下的客户敏感信息保护工作的研究,确保相关工作的前瞻性、科学性、有效性和针对性,真正实现风险管理的全覆盖。■