近年来,银行泄露客户隐私的事件频发,引发大众对于银行隐私保护的关注与担忧。
而从被爆出的众多事件中我们不难发现,类似的信息泄露事件中都会有一个甚至多个特定人物参与其中,那就是银行内部员工。
近期,江苏淮安警方破获了一起特大贩卖公民个人信息案,涉案金额2000多万元,共抓获26名嫌疑人。其中一名嫌疑人系建设银行员工,一年黑色收入超30万元。
此前,演员池子在微博怒斥中信银行泄露其个人账户流水,中信银行紧急致歉,并称已对相关员工做出处分。
今年3月,建设余姚城建支行原行长沈某某,将多条客户的财产信息泄漏给他人,用于招揽业务。被判犯侵犯公民个人信息罪,处有期徒刑3年。
银行内部员工成为信息贩卖黑色产业链的源头。
个人金融信息安全频繁暴雷,呼吁监管部门加强监管力度。
今年两会期间, #加快推进个人信息保护立法# 、#建议对个人信息进行分类分级保护# 、#个人信息保护法将制定# 等热点议题,也体现了我国对个人隐私保护的重视。
万众期待的个人信息保护法终于要来了!
近些年来,从国家法律法规到行业规范层面,个人信息保护相关法律制度正不断完善,内容向实际场景逐步细化落实,越来越具有实践指导意义。
2020年2月20日,中国人民银行印发了个人金融信息保护领域的行业推荐性标准JR/T 0171-2020《个人金融信息保护技术规范》(以下简称“《规范》”)。
《规范》提出了客户个人金融信息分类标准,围绕个人金融信息全生命周期,从安全技术要求、安全运行要求和安全管理要求三个方面对个人金融信息的保护提出了要求。
具体内容详见下表:
其中,C3类别加入个人生物识别信息,体现了目前个人生物识别信息被广泛运用于实际金融支付场景的这一背景。个人生物识别信息进入个人隐私信息的重点保护范围。
同时,信息分类应该依据具体的场景进行分析,《规范》指出,同一信息在不同服务场景中可能处于不同的级别。
安全技术要求-重点内容
安全技术要求重点内容
《规范》将个人金融信息生命周期分为收集、传输、存储、使用、删除、销毁6个环节,以“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则,设计安全保护策略。
收集
传输
存储
使用
安全运行要求-重点内容
涉及C2、C3类别信息的Web应用应具有防篡改和防web攻击的措施;
安全管理要求-重点内容
《规范》的安全管理要求共5大类10个子类,从安全准则、安全策略、访问控制、安全监控和风险评估、安全事件处置五方面进行了安全管理要求。其中比较特殊的管理准则包括:
收集
存储
使用
境内收集的个人金融信息应在境内存储、处理和分析。
明朝万达通过提供贴合金融企业实际业务场景的、具备高可实施性的、集咨询、产品、运维一体的解决方案,帮助企业将《规范》要求进行技术性落地,满足监管的合规要求。