銀行如何做好個(gè)人金融信息保護(hù)

馬龍 周起文 歐歡峰 馬龍

未來，個(gè)人金融信息數(shù)據(jù)保護(hù)必將成為金融科技行穩(wěn)致遠(yuǎn)的核心要素之一。隨著銀行數(shù)字化轉(zhuǎn)型的持續(xù)縱深推進(jìn)，銀行在個(gè)人金融信息保護(hù)方面面臨的形勢(shì)將日趨嚴(yán)峻，挑戰(zhàn)將日益增大。銀行需要綜合運(yùn)用多種手段，以更加切實(shí)有效的方式強(qiáng)化個(gè)人金融信息保護(hù)，破解數(shù)據(jù)要素運(yùn)用中的業(yè)務(wù)痛點(diǎn)和技術(shù)難點(diǎn)。

數(shù)字化發(fā)展，既是構(gòu)筑國家競(jìng)爭(zhēng)新優(yōu)勢(shì)的戰(zhàn)略選擇，也是滿足人民日益增長(zhǎng)美好生活需要的重要途徑。依托云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)的不斷迭代與演進(jìn)，數(shù)字化發(fā)展又促成了金融和科技的完善結(jié)合，金融科技不僅改變了金融服務(wù)方式和效率，也改變了金融服務(wù)內(nèi)容和質(zhì)量，甚至改變了金融服務(wù)的性質(zhì)和本質(zhì)。金融科技的本源是工具，但金融科技與人性結(jié)合，便有了善惡，所以，如何劃定金融科技的邊界，規(guī)范金融機(jī)構(gòu)和科技公司的行為，讓金融科技增進(jìn)而不是破壞人們的美好生活？在數(shù)字化發(fā)展中加強(qiáng)個(gè)人金融信息保護(hù)的問題，值得深入研究。

個(gè)人金融信息保護(hù)問題越來越得到重視

在個(gè)人信息保護(hù)方面，我國在逐步建立和完善相關(guān)法律法規(guī)，既有國家層面的統(tǒng)一推進(jìn)，也有各主管部門的并行推進(jìn);監(jiān)管趨向嚴(yán)格，執(zhí)法懲處力度加大，對(duì)行業(yè)自律的要求逐步提高;個(gè)人用戶的信息保護(hù)意識(shí)越來越高;個(gè)人信息保護(hù)向數(shù)據(jù)治理轉(zhuǎn)變，涉及的領(lǐng)域愈加多元和深入。

個(gè)人金融信息的界定

根據(jù)中國人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》，個(gè)人金融信息是指：“銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)時(shí)，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個(gè)人信息：個(gè)人身份信息，包括個(gè)人姓名、性別、國籍、民族、身份證件種類號(hào)碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;個(gè)人財(cái)產(chǎn)信息，包括個(gè)人收入狀況、擁有的不動(dòng)產(chǎn)狀況、擁有的車輛狀況、納稅額、公積金繳存金額等;個(gè)人賬戶信息，包括賬號(hào)、賬戶開立時(shí)間、開戶行、賬戶余額、賬戶交易情況等;個(gè)人信用信息，包括信用卡還款情況、貸款償還情況以及個(gè)人在經(jīng)濟(jì)活動(dòng)中形成的，能夠反映其信用狀況的其他信息;個(gè)人金融交易信息，包括銀行業(yè)金融機(jī)構(gòu)在支付結(jié)算、理財(cái)、保險(xiǎn)箱等中間業(yè)務(wù)過程中獲取、保存、留存的個(gè)人信息和客戶在通過銀行業(yè)金融機(jī)構(gòu)與保險(xiǎn)公司、證券公司、基金公司、期貨公司等第三方機(jī)構(gòu)發(fā)生業(yè)務(wù)關(guān)系時(shí)產(chǎn)生的個(gè)人信息等;衍生信息，包括個(gè)人消費(fèi)習(xí)慣、投資意愿等對(duì)原始信息進(jìn)行處理、分析所形成的反映特定個(gè)人某些情況的信息;在與個(gè)人建立業(yè)務(wù)關(guān)系過程中獲取、保存的其他個(gè)人信息?！?/p>

我國近年出臺(tái)了一系列法律法規(guī)和監(jiān)管要求

從2012年全國人大在法律層面明確個(gè)人信息定義，到2020年《個(gè)人信息保護(hù)法（草案）》（簡(jiǎn)稱“個(gè)保法草案”）公開征求意見，我國個(gè)人信息保護(hù)立法經(jīng)歷了從無到有、從分散立法到統(tǒng)一立法的過程，大致可以分為立法起步、深化和統(tǒng)一三個(gè)階段。

立法起步階段（2012年至2017年）

此階段標(biāo)志是2012年全國人大常委會(huì)通過《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，在法律層面首次確認(rèn)了對(duì)個(gè)人信息進(jìn)行保護(hù)的要求;2013年，工業(yè)和信息化部出臺(tái)《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)管理規(guī)定》。但此階段個(gè)人信息保護(hù)法律法規(guī)尚處于起步階段，不夠清晰，各類規(guī)定比較零散，有的還在說教層面，執(zhí)法威懾相對(duì)還不夠強(qiáng)。

此階段，個(gè)人金融信息保護(hù)以監(jiān)管部門通知為主。如，中國人民銀行《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（2011年）、《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個(gè)人金融信息保護(hù)工作的通知》（2012年），以及《征信業(yè)管理?xiàng)l例》（2013年）和《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（2016年）等規(guī)定中也涉及信息保護(hù)內(nèi)容。

立法深化階段（2017年至2020年）

此階段標(biāo)志是2017年國家頒布《網(wǎng)絡(luò)安全法》和最高法出臺(tái)《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，對(duì)網(wǎng)絡(luò)信息管理全面規(guī)范，并且通過司法解釋明確了個(gè)人信息保護(hù)的刑法量刑標(biāo)準(zhǔn)。此外，國家的執(zhí)法力度越來越大。2019年針對(duì)爬蟲行為開展了集中整治，多家大數(shù)據(jù)公司因數(shù)據(jù)違規(guī)被查。但此階段國家尚未出臺(tái)個(gè)人信息保護(hù)專門法，法律法規(guī)相對(duì)分散，系統(tǒng)性不足。

此階段，個(gè)人金融信息保護(hù)納入數(shù)據(jù)管理框架，監(jiān)管部門也出臺(tái)了個(gè)人金融信息保護(hù)規(guī)范。如銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》（2018年），將國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》納入銀行業(yè)金融機(jī)構(gòu)的合規(guī)標(biāo)準(zhǔn)體系;中國人民銀行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（2020年），明確了金融行業(yè)的信息保護(hù)技術(shù)標(biāo)準(zhǔn)。

統(tǒng)一立法階段（2020年起）

2020年10月，全國人大就個(gè)保法草案向社會(huì)公開征求意見，標(biāo)志著我國個(gè)人信息保護(hù)進(jìn)入了統(tǒng)一立法、專門立法階段。同期，新版國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》正式實(shí)施。同時(shí)，在2020年底，中央政治局會(huì)議著重強(qiáng)調(diào)了反壟斷的問題，金融監(jiān)管部門也提出要關(guān)注新的大而不能倒問題，還強(qiáng)調(diào)數(shù)據(jù)確權(quán)是數(shù)據(jù)市場(chǎng)化配置及報(bào)酬定價(jià)中的基礎(chǔ)性問題。

此階段，個(gè)人金融信息保護(hù)進(jìn)展體現(xiàn)在監(jiān)管部門正在基于國家個(gè)人信息保護(hù)立法，制定相關(guān)的行業(yè)法規(guī)。如，2020年12月，中國人民銀行和銀保監(jiān)分別表示正在研究制定《個(gè)人金融信息保護(hù)暫行辦法》和《金融數(shù)據(jù)安全保護(hù)條例》。

在個(gè)人信息保護(hù)方面的監(jiān)管執(zhí)法懲處力度越來越大

2019年，我國針對(duì)爬蟲行為（網(wǎng)絡(luò)留痕信息自動(dòng)采集技術(shù)）開展了集中整治。多家大數(shù)據(jù)公司因數(shù)據(jù)違規(guī)被查，部分中小銀行暫停第三方合作。而多家公司被查的重要原因是違規(guī)使用數(shù)據(jù)爬蟲，并服務(wù)于高利貸、暴力催收等行為。從執(zhí)法情況來看，這次查處已不限于與互聯(lián)網(wǎng)金融相關(guān)的數(shù)據(jù)風(fēng)控公司，而是全面打擊數(shù)據(jù)產(chǎn)業(yè)鏈上下游的違法違規(guī)行為，督促業(yè)界進(jìn)一步認(rèn)識(shí)到合規(guī)的重要性。

2020年中央著重強(qiáng)調(diào)反壟斷的問題。金融監(jiān)管部門也提出要關(guān)注新的大而不能倒問題，還強(qiáng)調(diào)數(shù)據(jù)確權(quán)是數(shù)據(jù)市場(chǎng)化配置及報(bào)酬定價(jià)中的基礎(chǔ)性問題，大型科技公司實(shí)際上擁有數(shù)據(jù)的控制權(quán)，需要盡快明確各方數(shù)據(jù)權(quán)益，依法保護(hù)各交易主體利益。總之，這些動(dòng)向反映出國家進(jìn)一步加強(qiáng)個(gè)人信息數(shù)據(jù)保護(hù)力度，對(duì)與個(gè)人信息保護(hù)密切相關(guān)的大數(shù)據(jù)公司和平臺(tái)公司的監(jiān)管，不僅限于爬蟲問題、數(shù)據(jù)收集等方面，而是深入到金融業(yè)務(wù)場(chǎng)景，開始強(qiáng)調(diào)數(shù)據(jù)權(quán)益歸屬問題。

銀行一直注重個(gè)人金融信息保護(hù)

在數(shù)字化轉(zhuǎn)型發(fā)展中，銀行個(gè)人金融信息保護(hù)既屬于管理范疇，也屬于技術(shù)范疇，保護(hù)體系有三個(gè)共性特征：一是在組織機(jī)制上，強(qiáng)化全行統(tǒng)籌管控，建立了多位一體、職責(zé)明確的保護(hù)機(jī)制;二是在防護(hù)策略上，聚焦客戶隱私維護(hù)，堅(jiān)持個(gè)人金融信息收集和使用的“合法、正當(dāng)、透明、必要”原則;三是在金融科技上，注重技術(shù)防控，打造全領(lǐng)域、縱深化的防控體系，從網(wǎng)絡(luò)通信、系統(tǒng)應(yīng)用、數(shù)據(jù)分析挖掘等各層面均有防控措施。

主要的管理舉措包括：一是協(xié)同的管控架構(gòu)。銀行的保護(hù)組織架構(gòu)由業(yè)務(wù)、科技、內(nèi)控和風(fēng)險(xiǎn)等部門組成，通過跨條線、跨部門協(xié)作，形成多位一體、職責(zé)明確的個(gè)人金融管理信息保護(hù)組織架構(gòu)。二是完善的制度規(guī)范。全面遵循法律法規(guī)和監(jiān)管要求，頂層設(shè)計(jì)整體策略，細(xì)化個(gè)人金融信息分級(jí)分類標(biāo)準(zhǔn)，并從業(yè)務(wù)和科技層面出臺(tái)了具體的工作辦法，明確職責(zé)分工和管理要求，并在系統(tǒng)建設(shè)和業(yè)務(wù)運(yùn)營過程中內(nèi)化固化各項(xiàng)保護(hù)各項(xiàng)要求。三是主動(dòng)的發(fā)展模式。隨著新技術(shù)、新業(yè)務(wù)、新場(chǎng)景的不斷涌現(xiàn)，個(gè)人金融信息保護(hù)逐漸由“以系統(tǒng)為中心”向“以數(shù)據(jù)為中心”轉(zhuǎn)變，各大行積極應(yīng)變，保護(hù)策略與時(shí)俱進(jìn)，保護(hù)舉措主動(dòng)調(diào)整。四是最小的使用范式。厘清業(yè)務(wù)發(fā)展與個(gè)人金融信息保護(hù)關(guān)系，建立清晰明確的調(diào)用系統(tǒng)權(quán)限對(duì)應(yīng)關(guān)系，確保收集的個(gè)人信息和使用的系統(tǒng)權(quán)限最小必要。五是持續(xù)的員工教育。為確保人這一信息安全最關(guān)鍵因素，避免因員工的“不知”“無畏”引發(fā)泄露事件，通過手冊(cè)編制、案例教學(xué)、在線培員工訓(xùn)等方式，持續(xù)組織開展安全意識(shí)培訓(xùn)，并將安全教育納入強(qiáng)制學(xué)習(xí)計(jì)劃，強(qiáng)化合規(guī)意識(shí)。六是透明的告知體系。主動(dòng)向客戶明示采集與使用個(gè)人數(shù)據(jù)的目的、方式、范圍和規(guī)則，同時(shí)全面細(xì)化隱私政策，確保無免除自身責(zé)任、加重客戶責(zé)任、排除客戶主要權(quán)利的條款，保障個(gè)人客戶知情權(quán)。設(shè)計(jì)靈活的授權(quán)及撤銷機(jī)制，確保不存在強(qiáng)制捆綁授權(quán)行為，保障客戶持續(xù)擁有自主選擇權(quán)。

具體的技術(shù)舉措包括：一是全生命周期縱深防護(hù)。建立覆蓋個(gè)人金融信息采集、加工、傳輸、存儲(chǔ)、使用、銷毀等全生命周期、動(dòng)態(tài)靈活的安全技術(shù)保障體系，通過在網(wǎng)絡(luò)、系統(tǒng)、終端、應(yīng)用等不同層面，分別部署異構(gòu)網(wǎng)絡(luò)安全防御系統(tǒng)和工具，并集中納入統(tǒng)一管控，防止金融信息等核心數(shù)據(jù)資產(chǎn)被竊取，持續(xù)完善數(shù)據(jù)防泄露體系建設(shè)，實(shí)現(xiàn)了重要文檔加密、郵件過濾、終端防護(hù)等多層次、立體化的訪問控制和數(shù)據(jù)保護(hù)。二是便捷實(shí)際的可控運(yùn)用。面向主要的使用主題和使用部門，依托桌面云、本地虛擬化等技術(shù)，為數(shù)據(jù)應(yīng)用提供在線安全訪問、安全傳輸、訪問控制、數(shù)據(jù)防泄露、安全清理銷毀等“一站式”功能，構(gòu)建安全、便捷和封閉的數(shù)據(jù)使用環(huán)境。三是外部數(shù)據(jù)的嚴(yán)密防護(hù)。在與政府機(jī)關(guān)、行政事業(yè)單位及各類商業(yè)機(jī)構(gòu)合作中，依法合規(guī)獲取的個(gè)人金融信息，均按照集中管理、最小授權(quán)原則進(jìn)行管控。數(shù)據(jù)通過企業(yè)級(jí)外部數(shù)據(jù)接入平臺(tái)一點(diǎn)接入，由統(tǒng)一的數(shù)據(jù)應(yīng)用平臺(tái)進(jìn)行集中加工、存儲(chǔ)、管理和復(fù)用，確保安全可控。四是常態(tài)監(jiān)控的預(yù)防防護(hù)。加強(qiáng)數(shù)據(jù)使用行為監(jiān)控審計(jì)，運(yùn)用安全態(tài)勢(shì)感知、大數(shù)據(jù)分析技術(shù)，主動(dòng)發(fā)現(xiàn)和追溯數(shù)據(jù)泄露，及時(shí)采取有效控制措施;運(yùn)用技術(shù)、管理、教育綜合手段，防控內(nèi)部違規(guī)查詢、打印等使用個(gè)人金融信息的行為;持續(xù)開展數(shù)據(jù)安全評(píng)估，做好各項(xiàng)預(yù)防工作。五是與時(shí)俱進(jìn)的創(chuàng)新防護(hù)。順應(yīng)后疫情時(shí)代金融全面線上化趨勢(shì)，深入分析客戶行為和風(fēng)險(xiǎn)偏好，借助大數(shù)據(jù)、機(jī)器學(xué)習(xí)、生物識(shí)別、自然語言處理等新技術(shù)，對(duì)線上線下高風(fēng)險(xiǎn)交易進(jìn)行實(shí)時(shí)監(jiān)控與處置，覆蓋交易事前、事中、事后全流程。

此外，銀行近年來一直持續(xù)在海外布局，因此高度注重全球個(gè)人金融信息數(shù)據(jù)保護(hù)。在全面梳理境外機(jī)構(gòu)所在國家和地區(qū)的數(shù)據(jù)安全和個(gè)人信息保護(hù)監(jiān)管法規(guī)的基礎(chǔ)上，形成全球監(jiān)管合規(guī)庫，制定了適合各境外機(jī)構(gòu)的數(shù)據(jù)安全和個(gè)人金融信息保護(hù)基線。同時(shí)，針對(duì)部分國家數(shù)據(jù)本地化、個(gè)人信息加密存儲(chǔ)等法律要求，因地制宜、因行施策，通過加密回傳加密集中處理或本地部署海外專用核心系統(tǒng)等多種方式，有效遵循了各國的監(jiān)管要求。

銀行個(gè)人金融信息數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)

隨著數(shù)字化轉(zhuǎn)型步伐的持續(xù)加快，個(gè)人金融信息在不同系統(tǒng)、產(chǎn)品、業(yè)務(wù)環(huán)節(jié)中快速流轉(zhuǎn)，個(gè)人金融信息保護(hù)管理需要由靜態(tài)安全為主向數(shù)據(jù)全生命周期管控動(dòng)態(tài)拓展。未來隨著銀行數(shù)字化轉(zhuǎn)型的持續(xù)縱深推進(jìn)，數(shù)據(jù)要素的價(jià)值創(chuàng)造作用將更加凸顯，個(gè)人金融信息保護(hù)面臨的風(fēng)險(xiǎn)與挑戰(zhàn)也將史無前例。

金融加速線上化 帶來泄露新風(fēng)險(xiǎn)

隨著銀行業(yè)的全面數(shù)字化，特別是后疫情時(shí)代，“零接觸”的全面線上金融成為各大行標(biāo)配，數(shù)據(jù)泄露的風(fēng)險(xiǎn)敞口也在激增。同時(shí)，相比傳統(tǒng)封閉式架構(gòu)，基于移動(dòng)互聯(lián)網(wǎng)的線上金融勢(shì)必采取開放式架構(gòu)，而開放式架構(gòu)的不足客觀存在，更易成為攻擊目標(biāo)。技術(shù)促進(jìn)業(yè)務(wù)創(chuàng)新的同時(shí)，也須直面新技術(shù)的兩面性，例如云平臺(tái)數(shù)據(jù)匯集使單體風(fēng)險(xiǎn)演化為系統(tǒng)風(fēng)險(xiǎn)，大數(shù)據(jù)時(shí)代的個(gè)人隱私數(shù)據(jù)易被濫用等需要重點(diǎn)關(guān)注。另外，銀行致力于發(fā)展場(chǎng)景金融，銀行場(chǎng)景與外部場(chǎng)景環(huán)環(huán)相扣，其中的個(gè)人金融信息數(shù)據(jù)保護(hù)成為發(fā)展的防線，也是底線。此外，近年來金融機(jī)構(gòu)容易成為主要攻擊目標(biāo)，攻擊者從炫耀技術(shù)到詐騙勒索目的不一，攻擊防范的復(fù)雜嚴(yán)峻可見一斑。

運(yùn)營加速互聯(lián)網(wǎng)化 帶來集中新挑戰(zhàn)

進(jìn)入數(shù)字化時(shí)代之后，銀行的競(jìng)爭(zhēng)力在于能夠充分發(fā)揮數(shù)據(jù)要素的效用，依托人工智能等技術(shù)了解客戶、觸達(dá)客戶并獲客活客。依托數(shù)據(jù)要素經(jīng)營的未來銀行，必須合規(guī)合法整合多方、海量、高維、異構(gòu)的數(shù)據(jù)，并采用數(shù)字化的運(yùn)營模式，才能及時(shí)了解經(jīng)營管理狀態(tài)，降低經(jīng)濟(jì)環(huán)境不確定性帶來的風(fēng)險(xiǎn)，降低市場(chǎng)與周期波動(dòng)帶來的風(fēng)險(xiǎn)，降低客戶需求變化帶來的風(fēng)險(xiǎn)。數(shù)字化運(yùn)營的內(nèi)生需要必須加大數(shù)據(jù)的集中程度，同時(shí)也將帶來更大的泄露風(fēng)險(xiǎn)。當(dāng)前很多銀行都在全力推進(jìn)數(shù)據(jù)中臺(tái)、數(shù)據(jù)湖建設(shè)，但是傳統(tǒng)的授權(quán)模式、多頭的流出途徑、復(fù)雜的交換渠道也是需要配套做徹底的改變，需要技術(shù)、思維與管理齊頭并進(jìn)，才能化解與之相伴相生的個(gè)人金融信息數(shù)據(jù)集中泄露風(fēng)險(xiǎn)。

監(jiān)管加速完善趨嚴(yán) 提出防護(hù)新要求。

從2018年歐盟《通用數(shù)據(jù)保護(hù)條款》（General Data Protection Regulation，簡(jiǎn)稱GDPR），到我國已將《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等納入全國人大立法議程，同時(shí)《個(gè)人信息安全規(guī)范》國家標(biāo)準(zhǔn)和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》金融行業(yè)標(biāo)準(zhǔn)相繼出臺(tái)，全球個(gè)人金融信息安全保護(hù)司法與監(jiān)管持續(xù)完善，并不斷趨嚴(yán)。根據(jù)新的司法與監(jiān)管要求，數(shù)據(jù)權(quán)益代表了數(shù)據(jù)的權(quán)利和利益，貫穿在數(shù)據(jù)流轉(zhuǎn)的整個(gè)生命周期，同時(shí)數(shù)據(jù)生產(chǎn)者跟數(shù)據(jù)消費(fèi)者之間的合作關(guān)系由過往很多時(shí)候默認(rèn)的買賣關(guān)系轉(zhuǎn)變?yōu)樽赓U關(guān)系，這就意味著，即使數(shù)據(jù)被授權(quán)使用，數(shù)據(jù)所有者依然既是擁有者也是生產(chǎn)者，從來沒有放棄對(duì)自己數(shù)據(jù)的權(quán)利。在數(shù)據(jù)已成為銀行重要生產(chǎn)要素，并成為智能化發(fā)展基石的情況下，這些改變勢(shì)必對(duì)個(gè)人金融信息數(shù)據(jù)保護(hù)提出新的要求。

個(gè)人金融信息保護(hù)值得關(guān)注幾個(gè)問題

個(gè)人金融信息的數(shù)據(jù)權(quán)益歸屬問題

個(gè)人金融信息具有一定的特殊性。個(gè)人金融信息既是個(gè)人信息，又涉及公共利益。金融數(shù)據(jù)合規(guī)比一般的個(gè)人信息保護(hù)更為復(fù)雜。例如，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》規(guī)定，個(gè)人信息控制者目的達(dá)成后，應(yīng)及時(shí)根據(jù)約定刪除個(gè)人信息。但根據(jù)金融監(jiān)管法律要求，客戶身份資料在業(yè)務(wù)關(guān)系結(jié)束后、客戶交易信息在交易結(jié)束后，均要按要求保存一定期限。

從縱向的數(shù)據(jù)生成角度，個(gè)人金融信息的數(shù)據(jù)權(quán)益應(yīng)歸屬涉及信息的個(gè)人還是采集信息的機(jī)構(gòu)？個(gè)人與金融機(jī)構(gòu)的數(shù)據(jù)權(quán)益是否需要?jiǎng)澐?，如何劃分？個(gè)人在金融機(jī)構(gòu)的數(shù)據(jù)可以分為兩部分：一部分是個(gè)人直接授權(quán)的數(shù)據(jù)，即個(gè)人在業(yè)務(wù)過程中直接授權(quán)并提供給金融機(jī)構(gòu)的數(shù)據(jù)，另一部分是派生的數(shù)據(jù)，即在處理業(yè)務(wù)的過程中衍生出來的數(shù)據(jù)。對(duì)于直接授權(quán)的數(shù)據(jù)和派生的數(shù)據(jù)，是都?xì)w屬于個(gè)人，還是僅有一部分歸屬于個(gè)人？如果僅有一部分歸屬于個(gè)人，如何劃定個(gè)人與金融機(jī)構(gòu)的權(quán)益歸屬邊界？這些問題與數(shù)據(jù)處理的合規(guī)要求直接相關(guān)。

從橫向的參與主體角度，對(duì)于金融機(jī)構(gòu)特別是銀行來說，需要關(guān)注各參與主體之間的數(shù)據(jù)權(quán)益歸屬關(guān)系。在實(shí)踐中，我國對(duì)這些主體之間數(shù)據(jù)權(quán)益歸屬的規(guī)范尚不夠清晰。一是銀行內(nèi)部各部門之間的關(guān)系。一個(gè)部門的數(shù)據(jù)，其他部門是否可以直接共享，如何共享？二是集團(tuán)內(nèi)部不同法人主體之間的關(guān)系。例如，集團(tuán)內(nèi)部的商業(yè)銀行、消費(fèi)金融公司、保險(xiǎn)公司等機(jī)構(gòu)之間，如何合規(guī)共享數(shù)據(jù)，如何合規(guī)開展?fàn)I銷引流、風(fēng)險(xiǎn)管理等業(yè)務(wù)合作？三是集團(tuán)與外部合作機(jī)構(gòu)的關(guān)系。銀行與互聯(lián)網(wǎng)公司等各類外部機(jī)構(gòu)在合作中，有時(shí)會(huì)涉及相互進(jìn)行營銷引流、風(fēng)險(xiǎn)管理等業(yè)務(wù)需要，此時(shí)會(huì)涉及個(gè)人信息的跨機(jī)構(gòu)流轉(zhuǎn)。如何合規(guī)開展數(shù)據(jù)共享和流轉(zhuǎn)？四是銀行與政府部門及其辦事機(jī)構(gòu)之間的關(guān)系。如國家部委、地方政府、政府部門下屬的事業(yè)單位等。銀行與這些機(jī)構(gòu)之間如何合規(guī)地共享數(shù)據(jù)？當(dāng)前我國的法律法規(guī)在這些領(lǐng)域還不夠細(xì)致和清晰。

采用第三方數(shù)據(jù)的安全性問題

金融機(jī)構(gòu)的數(shù)據(jù)或直接收集或由第三方提供。因第三方數(shù)據(jù)接入的風(fēng)險(xiǎn)點(diǎn)更加復(fù)雜，所以，運(yùn)用第三方接入數(shù)據(jù)存在幾個(gè)風(fēng)險(xiǎn)點(diǎn)。

未經(jīng)授權(quán)進(jìn)行收集或爬取。通過公開網(wǎng)站收集的個(gè)人信息，若非個(gè)人信息主體自行向社會(huì)公眾公開或者公共機(jī)構(gòu)主動(dòng)明示公開，則仍須獲得個(gè)人信息主體的授權(quán)。非法收集個(gè)人信息，可能遭到被收集機(jī)構(gòu)基于平臺(tái)安全的正當(dāng)理由所阻止。同時(shí)，未經(jīng)第三方平臺(tái)授權(quán)，通過破解技術(shù)爬取用戶數(shù)據(jù)的活動(dòng)，可能構(gòu)成竊取或以其他非法方式獲取個(gè)人信息的違法行為。

不正當(dāng)競(jìng)爭(zhēng)及其他風(fēng)險(xiǎn)。未經(jīng)授權(quán)直接爬取第三方數(shù)據(jù)的行為，爬蟲可能構(gòu)成妨礙、破壞正常運(yùn)營等違法行為，屬于不正當(dāng)競(jìng)爭(zhēng)情形。此外，還可能構(gòu)成“危害計(jì)算機(jī)信息系統(tǒng)安全的其他行為”，由此面臨行政監(jiān)管處罰。在較嚴(yán)重的情況下，可構(gòu)成“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”或“破壞計(jì)算機(jī)信息系統(tǒng)罪”，帶來刑事風(fēng)險(xiǎn)。

模糊措辭，概括性授權(quán)。采集協(xié)議文本使用“等個(gè)人信息”表述違反了“透明度”的要求。實(shí)踐中，此類描述往往有超出使用目的范圍、開展過度收集活動(dòng)的嫌疑，極有可能違反最小必要原則。

數(shù)據(jù)融合后超出范圍使用。數(shù)據(jù)融合處理和使用不是無限制的，應(yīng)當(dāng)遵循“合法性、正當(dāng)性、必要性”原則，即要有合法性和正當(dāng)性基礎(chǔ)（用戶授權(quán)同意等）。對(duì)自身爬取數(shù)據(jù)、從第三方獲得的爬取數(shù)據(jù)以及自身數(shù)據(jù)進(jìn)行融合處理和使用時(shí)，也須采取個(gè)人信息安全保護(hù)措施，不得超出用戶授權(quán)范圍進(jìn)行使用。

數(shù)據(jù)提供方將具有授權(quán)瑕疵的數(shù)據(jù)整合后提供給下游數(shù)據(jù)使用方。情節(jié)嚴(yán)重到一定程度，很可能構(gòu)成侵犯公民個(gè)人信息罪。具有授權(quán)瑕疵的數(shù)據(jù)收集或爬取行為可能構(gòu)成“竊取或者以其他方法非法獲取公民個(gè)人信息”。數(shù)據(jù)提供行為可能構(gòu)成“向他人出售或者提供公民個(gè)人信息”。

下游數(shù)據(jù)使用方使用數(shù)據(jù)提供方非法收集或爬取的數(shù)據(jù)。若不對(duì)上游數(shù)據(jù)提供方的數(shù)據(jù)來源合法性、數(shù)據(jù)收集授權(quán)范圍進(jìn)行審查和確認(rèn)，在購買和使用其非法數(shù)據(jù)后，情節(jié)嚴(yán)重時(shí)很可能構(gòu)成侵犯公民個(gè)人信息罪。

我國個(gè)保法草案的適用主體為境內(nèi)自然人。個(gè)保法草案雖然擴(kuò)大了域外適用范圍，但對(duì)范圍的規(guī)定相對(duì)模糊和保守。個(gè)保法草案的保護(hù)主體側(cè)重于個(gè)人。我國已處在數(shù)字經(jīng)濟(jì)跨越式發(fā)展階段，對(duì)數(shù)據(jù)安全、個(gè)人信息安全問題更加重視。

我國個(gè)保法草案與歐盟GDPR的差異及其對(duì)銀行的影響

歐盟GDPR將全球個(gè)人數(shù)據(jù)信息的保護(hù)和監(jiān)管提升至更高層級(jí)。該條例不僅適用于設(shè)立于歐盟境內(nèi)的主體，在許多情況下還可適用于非設(shè)立于、運(yùn)營于歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者。GDPR強(qiáng)調(diào)的監(jiān)管要求體現(xiàn)出個(gè)人信息保護(hù)和數(shù)據(jù)合規(guī)的趨勢(shì)。一是隱私治理。組織在特定情況下應(yīng)設(shè)立數(shù)據(jù)保護(hù)官（Data Protection Officer，簡(jiǎn)稱DPO）。組織需建立數(shù)據(jù)保護(hù)政策、隱私設(shè)計(jì)原則。二是數(shù)據(jù)保護(hù)。禁止數(shù)據(jù)跨境傳輸（除非采取適當(dāng)措施）。對(duì)高風(fēng)險(xiǎn)的場(chǎng)景開展數(shù)據(jù)保護(hù)影響評(píng)估。三是告知同意。必須獲取數(shù)據(jù)主體的明確同意，且同意清晰可辨。組織須要保留數(shù)據(jù)處理記錄。四是客戶權(quán)利響應(yīng)。組織應(yīng)及時(shí)響應(yīng)客戶的權(quán)利請(qǐng)求。數(shù)據(jù)主體擁有知情權(quán)、訪問權(quán)、更正權(quán)等多項(xiàng)權(quán)利。五是事件響應(yīng)。必須在72小時(shí)內(nèi)匯報(bào)數(shù)據(jù)泄露事件。

我國個(gè)保法草案借鑒了歐盟GDPR等國際經(jīng)驗(yàn)，同時(shí)也堅(jiān)持從國情出發(fā)，在多方面與GDPR存在明顯差異，且對(duì)銀行可能會(huì)造成影響。

第一，合法性事由的部分條款規(guī)定范圍相對(duì)更窄，部分兜底性條款則偏寬泛。

對(duì)于合法性事由，個(gè)保法草案的部分規(guī)定范圍相對(duì)更窄。例如，歐盟GDPR的合法性事由中有以下情形：“對(duì)于保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的核心利益所必要的”，“為了公共利益或基于官方權(quán)威而履行某項(xiàng)任務(wù)而進(jìn)行的”。我國個(gè)保法草案則規(guī)定，“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”，“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個(gè)人信息”。

對(duì)于兜底性條款，個(gè)保法草案的規(guī)定則相對(duì)偏寬泛。例如，GDPR規(guī)定的情形為“處理對(duì)于控制者或第三方所追求的正當(dāng)利益是必要的”，并有更細(xì)致的指導(dǎo)。個(gè)保法草案的兜底性條款為“法律、行政法規(guī)規(guī)定的其他情形”，并未明確指出其標(biāo)準(zhǔn)，規(guī)定偏寬泛，未明確體現(xiàn)正當(dāng)利益事由。

第二，對(duì)罰款金額和執(zhí)行標(biāo)準(zhǔn)的規(guī)定不夠清晰。

歐盟GDPR規(guī)定的最高罰款為2000萬歐元或上一年全球營業(yè)額的4%，兩者取較高者，還規(guī)定了處罰的考量因素。歐盟也會(huì)通過指南文件等方式進(jìn)行更細(xì)致的指導(dǎo)?！秱€(gè)人信息保護(hù)法（草案）》規(guī)定罰款為5000萬元以下或上一年度營業(yè)額5%以下，但未明確是否為全球營業(yè)額，也未詳細(xì)指導(dǎo)處罰中的具體考量因素。

第三，敏感個(gè)人信息處理的合規(guī)義務(wù)較重。

歐盟GDPR對(duì)特殊類型個(gè)人數(shù)據(jù)，實(shí)行原則性禁止加例外情形。對(duì)于同意的原則和方式，未進(jìn)行特別規(guī)定。而我國個(gè)保法草案規(guī)定，個(gè)人信息處理者可處理敏感個(gè)人信息的情形為具有特定的目的和充分的必要性。同時(shí)，應(yīng)取得個(gè)人單獨(dú)同意，還應(yīng)告知必要性、告知對(duì)個(gè)人的影響。在需要取得個(gè)人單獨(dú)同意這一點(diǎn)上，個(gè)保法草案在合規(guī)方面對(duì)個(gè)人信息處理者的要求較高，企業(yè)的合規(guī)成本高。

第四，對(duì)成本承擔(dān)的規(guī)定不夠清晰。

歐盟GDPR規(guī)定，控制者應(yīng)對(duì)個(gè)人數(shù)據(jù)提供副本，若任何數(shù)據(jù)主體要求提供額外副本，控制者可以收取合理費(fèi)用。我國個(gè)保法草案未明確成本的承擔(dān)問題，僅規(guī)定“個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供” 。

第五，在自動(dòng)化決策方面的合規(guī)要求較高。

根據(jù)歐盟GDPR規(guī)定，個(gè)人有權(quán)拒絕自動(dòng)化決策。但也提供了豁免情況，例如出于履行合同的必要、經(jīng)過數(shù)據(jù)主體的明示同意、法律已授權(quán)并且采取了適當(dāng)?shù)拇胧?。GDPR對(duì)個(gè)人信息處理者在加強(qiáng)透明度方面的規(guī)定也更清晰。

我國個(gè)保法草案規(guī)定，個(gè)人若認(rèn)為個(gè)人信息處理者的自動(dòng)化決策對(duì)其權(quán)益造成重大影響，則有權(quán)要求予以說明，且個(gè)人有權(quán)拒絕僅通過自動(dòng)化決策做出決定。個(gè)保法草案還規(guī)定，“通過自動(dòng)化決策方式進(jìn)行商業(yè)營銷、信息推送，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)”。這些要求對(duì)個(gè)人信息處理者是比較高的，且容易與其他法律產(chǎn)生沖突。如，貸款自動(dòng)審批類的自動(dòng)化決策結(jié)論如為拒絕客戶申請(qǐng)，符合《商業(yè)銀行法》規(guī)定;但客戶如依據(jù)個(gè)保法草案主張拒絕銀行的審批結(jié)論，此種情況該如何處理，也需要加以考慮和明確。此外，個(gè)保法草案要求，在自動(dòng)化決策中“應(yīng)當(dāng)保證決策的透明度和處理結(jié)果的公平合理”，但對(duì)透明度和公平合理的具體標(biāo)準(zhǔn)規(guī)定不夠細(xì)致，不便于個(gè)人信息處理者實(shí)際執(zhí)行。

關(guān)于數(shù)據(jù)跨境的合規(guī)要求可能會(huì)有較大影響

歐盟GDPR在數(shù)據(jù)跨境方面，規(guī)定了特別告知同意、數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款、履行合同必要等多種方式。我國個(gè)保法草案則提出了數(shù)據(jù)跨境的前提條件是要告知個(gè)人且取得單獨(dú)同意。個(gè)保法草案還對(duì)本地化存儲(chǔ)的情形做出了規(guī)定。這些規(guī)定對(duì)跨境經(jīng)營者會(huì)有一定的影響。

總之，從我國個(gè)保法草案與GDPR的差異來看，一方面，有些規(guī)定對(duì)個(gè)人信息處理者的合規(guī)義務(wù)要求較高;另一方面，有些規(guī)定不夠清晰，執(zhí)行標(biāo)準(zhǔn)不明確。后續(xù)如果完全按此立法實(shí)施，可能對(duì)國內(nèi)市場(chǎng)主體履行個(gè)人信息處理者的權(quán)利義務(wù)有一定影響，對(duì)銀行做好個(gè)人信息保護(hù)與數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的平衡有一定影響。

進(jìn)一步強(qiáng)化個(gè)人金融信息數(shù)據(jù)保護(hù)的建議

完善保護(hù)機(jī)制 強(qiáng)化合法合規(guī)

在數(shù)字化時(shí)代銀行要將數(shù)據(jù)安全保障特別是個(gè)人金融信息保護(hù)定位為一項(xiàng)長(zhǎng)期性、系統(tǒng)性工程，需要持續(xù)完善信息保護(hù)機(jī)制，構(gòu)建適應(yīng)新金融、新技術(shù)、新業(yè)態(tài)的個(gè)人金融信息保護(hù)體系。同時(shí)平衡好創(chuàng)新與管控之間的關(guān)系，在平衡中進(jìn)一步發(fā)揮好數(shù)據(jù)要素的價(jià)值創(chuàng)造作用。

銀行應(yīng)積極參與數(shù)據(jù)保護(hù)立法，推動(dòng)立法與務(wù)實(shí)相結(jié)合。銀行承擔(dān)支持實(shí)體經(jīng)濟(jì)重任，更需要主動(dòng)與立法機(jī)構(gòu)和監(jiān)管部門積極溝通，結(jié)合支持實(shí)體經(jīng)濟(jì)的具體數(shù)據(jù)應(yīng)用場(chǎng)景，推動(dòng)在法律文本、司法解釋、監(jiān)管法規(guī)制度等個(gè)人信息保護(hù)法律體系中，通過列舉式細(xì)化“哪些可行，哪些不行”，明確合理合法應(yīng)用個(gè)人金融信息的方式和方法，以及對(duì)應(yīng)的具體處罰標(biāo)準(zhǔn)，盡可能縮小法律中寬泛和模糊的中間地帶，減少因法律體系不夠明晰帶來的不必要的成本和損耗。需要重點(diǎn)關(guān)注的是：一是關(guān)注數(shù)據(jù)確權(quán)，平衡數(shù)據(jù)所有人的權(quán)利與數(shù)據(jù)支撐自身發(fā)展的作用，既要保護(hù)數(shù)據(jù)所有人對(duì)數(shù)據(jù)擁有的固有權(quán)利，確保自身合法、合規(guī)并合理處理與使用。二是關(guān)注數(shù)據(jù)估值，注重劃分?jǐn)?shù)據(jù)資源固有的商業(yè)價(jià)值與數(shù)據(jù)挖掘應(yīng)用產(chǎn)生的商業(yè)價(jià)值，形成合理的數(shù)據(jù)使用價(jià)格機(jī)制，充分公平地發(fā)揮數(shù)據(jù)價(jià)值。三是關(guān)注數(shù)據(jù)跨境，持續(xù)跟蹤并明確個(gè)人數(shù)據(jù)的歸屬權(quán)和司法管轄權(quán)，最大限度維護(hù)數(shù)據(jù)所有人的基本權(quán)益。四是關(guān)注社會(huì)公平。中小企業(yè)是創(chuàng)新的主力軍，在競(jìng)爭(zhēng)中處于相對(duì)弱勢(shì)。在立法過程中應(yīng)充分傾聽業(yè)界聲音，制造寬松適度的競(jìng)爭(zhēng)環(huán)境，鼓勵(lì)中小企業(yè)依法依規(guī)參與個(gè)人金融數(shù)據(jù)相關(guān)行業(yè)。

銀行要密切關(guān)注數(shù)據(jù)保護(hù)執(zhí)法的效果。銀行深刻認(rèn)知金融消費(fèi)者并非“愿意用隱私交換便捷性”，客戶信息保護(hù)和權(quán)益保護(hù)也是競(jìng)爭(zhēng)力。一是關(guān)注法律執(zhí)行，個(gè)人信息保護(hù)不應(yīng)追求立法上的求新、求全，追求從重處罰，應(yīng)更多考慮企業(yè)在執(zhí)行相關(guān)法律和法規(guī)的過程中的實(shí)際情況，讓違法的企業(yè)得到懲處的同時(shí)，也讓真正守法的企業(yè)看到收益。避免讓企業(yè)為了遵守繁瑣的法律法規(guī)撰寫冗長(zhǎng)的授權(quán)協(xié)議，或者讓部分企業(yè)因?yàn)槭胤ǔ杀具^高而放棄業(yè)務(wù)創(chuàng)新;二是關(guān)注事件處置，建立清晰的數(shù)據(jù)侵權(quán)事件處理流程和善后機(jī)制，若發(fā)生侵權(quán)事件，除了承擔(dān)起應(yīng)當(dāng)?shù)乃痉ㄘ?zé)任，也要有內(nèi)部問責(zé)機(jī)制，舉一反三避免重犯。

提升保護(hù)意識(shí) 強(qiáng)化多元效用

數(shù)字化時(shí)代銀行要將個(gè)人金融信息保護(hù)定位為一項(xiàng)長(zhǎng)期性、系統(tǒng)性工程，需要持續(xù)完善信息保護(hù)機(jī)制，構(gòu)建適應(yīng)新金融、新技術(shù)、新業(yè)態(tài)的個(gè)人金融信息保護(hù)體系。首先凸顯協(xié)同作用，銀行普遍采用傳統(tǒng)的科層制架構(gòu)，而個(gè)人金融信息保護(hù)需要管理部門、業(yè)務(wù)部門、科技部門、總分行機(jī)構(gòu)的高度協(xié)同，須采用柔性敏捷模式持續(xù)提升保護(hù)協(xié)同性;其次強(qiáng)調(diào)理性保護(hù)，數(shù)據(jù)要素是大數(shù)據(jù)時(shí)代銀行能夠?yàn)榭蛻籼峁└梅?wù)與體驗(yàn)的關(guān)鍵，要強(qiáng)化保護(hù)策略和舉措的合理性，避免過度保護(hù)，在大數(shù)據(jù)與個(gè)人隱私中間找到平衡點(diǎn)，這關(guān)乎銀行的數(shù)字化轉(zhuǎn)型發(fā)展，也關(guān)乎每個(gè)消費(fèi)者的體驗(yàn);再次發(fā)揮文化力量，銀行內(nèi)部要建立全方位的數(shù)據(jù)安全保護(hù)文化，切實(shí)做到有效識(shí)別自身關(guān)鍵數(shù)字資產(chǎn)要素，制訂適當(dāng)?shù)谋Ｗo(hù)策略和風(fēng)險(xiǎn)緩釋計(jì)劃，將數(shù)據(jù)保護(hù)納入每位員工的工作職責(zé);最后做好消費(fèi)者保護(hù)教育，承擔(dān)社會(huì)責(zé)任，配合政府和社會(huì)機(jī)構(gòu)加大對(duì)個(gè)人金融信息數(shù)據(jù)安全的教育，推動(dòng)社會(huì)公眾意識(shí)到個(gè)人金融信息保護(hù)是維護(hù)公民隱私、維護(hù)商業(yè)利益、維護(hù)國家安全的關(guān)鍵所在，每個(gè)公民都有義務(wù)從自身做起維護(hù)包括自身數(shù)據(jù)在內(nèi)的數(shù)據(jù)安全。

探索保護(hù)模式 強(qiáng)化技術(shù)管控

銀行要積極利用隱私數(shù)據(jù)識(shí)別、數(shù)據(jù)加密、安全存儲(chǔ)、區(qū)塊鏈等技術(shù)，構(gòu)建自主可控、可支撐億量級(jí)客戶和高并發(fā)交易的數(shù)據(jù)保護(hù)能力，不斷提高金融科技服務(wù)的安全性，保障用戶隱私與資金安全，共同搭建健康安全的金融科技生態(tài)圈。

持續(xù)強(qiáng)化成形的保護(hù)方法。銀行要全方位落實(shí)央行三年金融科技規(guī)劃中對(duì)信息數(shù)據(jù)保護(hù)的技術(shù)要求，遵循合法、合理原則，選擇符合國家及金融行業(yè)標(biāo)準(zhǔn)的安全控件、終端設(shè)備、應(yīng)用程序（App）等產(chǎn)品進(jìn)行金融信息采集和處理，利用通道加密、雙向認(rèn)證等技術(shù)保障金融信息傳輸?shù)陌踩?，運(yùn)用加密存儲(chǔ)、信息摘要等手段保證重要金融信息機(jī)密性與完整性，通過身份認(rèn)證、日志完整性保護(hù)等措施確保金融信息使用過程有授權(quán)、有記錄，防范金融信息集中泄露風(fēng)險(xiǎn)。

持續(xù)探索適應(yīng)發(fā)展的保護(hù)模式。銀行要認(rèn)識(shí)到未來的保護(hù)不是簡(jiǎn)單的筑高墻式的封閉保護(hù)，而是在合法合規(guī)使用內(nèi)外部數(shù)據(jù)的基礎(chǔ)之上，進(jìn)行的一種開放式的保護(hù)，因此要加大技術(shù)投入，積極研究運(yùn)用新興隱私計(jì)算模式，基于多方安全計(jì)算、隱私保護(hù)、區(qū)塊鏈等技術(shù)，實(shí)現(xiàn)數(shù)據(jù)可用不可見，解決場(chǎng)景金融發(fā)展過程中內(nèi)外數(shù)據(jù)協(xié)同計(jì)算中的數(shù)據(jù)安全和隱私保護(hù)問題，助力安全高效地完成聯(lián)合風(fēng)控、聯(lián)合營銷、聯(lián)合科研等跨機(jī)構(gòu)數(shù)據(jù)合作任務(wù)，驅(qū)動(dòng)業(yè)務(wù)價(jià)值增長(zhǎng);強(qiáng)化戰(zhàn)略科技力量，綜合利用現(xiàn)代新技術(shù)，構(gòu)建自主可控、可支撐億量級(jí)客戶和高并發(fā)交易的數(shù)據(jù)保護(hù)能力，使自身為國家數(shù)據(jù)安全貢獻(xiàn)應(yīng)有的力量。

規(guī)范對(duì)外合作 強(qiáng)化生態(tài)建設(shè)

數(shù)字化時(shí)代銀行需要多方面的信息來了解客戶。因此，銀行與金融科技公司存在廣泛的數(shù)據(jù)合作。需要對(duì)金融科技公司的行為進(jìn)行有效的規(guī)范，在全社會(huì)營造個(gè)人金融信息保護(hù)的良好生態(tài)。一是商業(yè)銀行應(yīng)堅(jiān)持原則。商業(yè)銀行在和金融科技公司開展數(shù)據(jù)合作時(shí)，要堅(jiān)持“辦理相關(guān)業(yè)務(wù)所必需”原則和“最小必要”原則，將個(gè)人金融信息的交換和范圍減至最小。二是金融科技公司應(yīng)嚴(yán)守底線。金融科技公司主動(dòng)規(guī)范自身行為，不違規(guī)使用數(shù)據(jù)爬蟲，不將個(gè)人金融信息服務(wù)于高利貸、暴力催收等行為。三是建議國家有關(guān)部門出臺(tái)相關(guān)實(shí)施細(xì)則。商業(yè)銀行難以辨別金融科技公司的數(shù)據(jù)來源。建議國家有關(guān)部門出臺(tái)相應(yīng)具體的實(shí)施規(guī)范，明確金融科技公司在數(shù)據(jù)服務(wù)方面的合規(guī)資質(zhì)，共同營造合法合規(guī)的金融信息保護(hù)的良好生態(tài)。

總之，未來，個(gè)人金融信息數(shù)據(jù)保護(hù)必將成為金融科技行穩(wěn)致遠(yuǎn)的核心要素之一。銀行需要綜合運(yùn)用多種等手段，以更加切實(shí)有效的方式強(qiáng)化保護(hù)，破解數(shù)據(jù)要素運(yùn)用中的業(yè)務(wù)痛點(diǎn)和技術(shù)難點(diǎn)，然后更好地拓展場(chǎng)景生態(tài)、釋放數(shù)據(jù)生產(chǎn)力，讓金融科技更加有效地服務(wù)實(shí)體經(jīng)濟(jì)、服務(wù)人民的美好生活。

（汪小亞為清華大學(xué)國家金融研究院特邀研究員，馬龍供職于中國銀行總行信息科技部，歐歡峰供職于中國銀行消費(fèi)金融部，周起文供職于中國銀行總行軟件中心。參與本文研究的還有中國銀行消費(fèi)金融部的劉旭光、劉楊、林陽，在此致謝。本文觀點(diǎn)與作者所在單位無關(guān)。本文編輯/王曄君）