公司新闻
当前位置: 首页 > 新闻中心 > 公司新闻 > 《个人信息保护法(草案)》解读,金融机构个人信息安全保护迎来新标准 返回
《个人信息保护法(草案)》解读,金融机构个人信息安全保护迎来新标准
发布时间:2020-11-03 打印 字号:


从IT时代到DT时代,网络已深入到社会经济生活的方方面面,在为人们带来便捷的同时也带来了日益严重的个人信息泄漏问题。目前,保障个人信息安全早已成为各金融机构安全保障义务的核心内容。在大数据潮流的冲击下,传统的制度管理保障已经不能满足金融机构对个人信息保护的需求,用户的个人信息隐私保护面临严重挑战。2020年10月21日,备受瞩目的《中华人民共和国个人信息保护法(草案)》(以下简称“《草案》”)经人大常委会审议,在中国人大网上公布向全社会征求意见。该草案的出台代表着我国个人信息立法进程翻开了新篇章,然而就在草案发布的同一天,多家银行接到了“侵害消费者个人信息”的罚单。


-----


10月21日当天,人民银行对部分金融机构侵害消费者金融信息立案调查,并进行处罚警告,做出处罚。受到处罚的六家银行包括:建行建德支行、娄底分行、德阳分行、东营分行、中国银行石嘴山市分行、农行吉林市江北支行,处罚金额合计达4188万元。 其中,农行吉林市江北支行的处罚理由为侵害消费者个人信息,依法得到保护的权利和违反反洗钱管理规定、泄露客户信息,受警告及1223万元罚款处罚,相关责任人罚款从1.75万元到3万元不等。其余分行或支行的处罚理由均为侵害消费者个人信息依法取得保护的权利,其中建行德阳分行的处罚金额最高,为1406万元,也是此轮处罚公示中的最高处罚金额。
人民银行在依法做出行政处罚的同时,约谈相关金融机构,责令其立即整改。相关金融机构高度重视检查中发现的问题,并聚焦具体问题进行整改,进一步规范个人信息管理机制,并对有关责任人员进行了严肃问责。



该案件中涉及的银行均付出了惨痛的经济代价,这对金融机构的警醒是沉重的:近几年虽然各金融机构在信息化建设和管理水平方面都有长足的提升,但依然不能杜绝个人金融信息泄露事件的发生,而每一起事件中不单只是消费者个人信息安全受到侵害,对金融机构形象所产生的的不良影响同样十分严重。
因此,对个人金融信息安全的防护需要更多支撑,此次《草案》出台就为保护个人金融信息提供了法律保障,并提出了更高的要求。

《草案》规定了信息处理七大基本原则

此次发布的《草案》规定了个人信息处理的七大基本原则,分别是合法性原则(第五条)、目的明确原则(第六条)、最小必要原则(第六条)、公开透明原则(第七条)、准确性原则(第八条)、可问责性原则(第九条)、数据安全原则(第九条)。

这七大原则与既往的相关法律法规一脉相承,又有新的突破。




《草案》明确了个人信息处理者的多项义务

此次发布《草案》第五章明确了个人信息处理者的合规管理和保障个人信息安全等义务。
要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施(第五十条);
并指定负责人对其个人信息处理活动进行监督(第五十一条);
定期对其个人信息活动进行合规审计(第五十三条);
对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估(第五十四条);
履行个人信息泄露通知和补救义务等(第五十五条)。

《草案》对个人敏感信息的处理提出高要求

此次发布《草案》将个人敏感信息的处理规则单独成节(第二章,第二节),着重描述体现了对个人信息保护的“风险路径”考量。即在规制个人信息处理行为时区分主次、抓大放小,企业也应据此合理分配合规资源。
个人信息处理者只有在具有特定目的和充分必要的情形下才能处理敏感个人信息。
“告知-同意”义务方面,需额外向个人告知处理敏感个人信息的必要性以及对个人的影响,并取得个人的单独同意或依法取得书面同意。
敏感个人信息的范围在草案中只有概括定义及非穷尽列举。实践中,可以参考《个人信息安全规范》对个人敏感信息的举例,其对草案中的个人生物特征、医疗健康、金融账户类目均具备参考价值。
值得关注的是,种族、民族、宗教信仰均作为敏感个人信息被写入草案,充分体现了我国法律的进步性和对多元文化的尊重。

《草案》规定了对违法处理个人信息的相关处罚标准
此次发布《草案》第七章对违法处理个人信息做了全面规定,强调“法律责任”,今后会加大对违法行为的查处力度,提高违法成本。第七章内容全方位地规定了违法处理个人信息的行政处罚、民事赔偿和刑事责任,尤其是第62条,高达5000万元或上一年度营业额5%的天价罚款,堪比GDPR中2000万欧元或上一年度全球总营业额4%的标准,无不宣示了中国对规范个人信息处理的决心。


-----


明朝万达数据安全管理专家通过对《草案》的深度解读,理解到本《草案》对个人信息的数据安全要求、技术措施应用和事后审计问责等提出了更为具体的要求,凭借多年的行业经验,为金融机构今后个人信息保护工作提出如下建议:

以集中管控大数据系统进行信息采集、分析、控制、展示进行态势感知,结合终端DLP、邮件DLP和网络DLP数据,通过数据构建三位一体多方面的安全防护机制,为上层决策与执行提供技术支持,提升理解分析、响应处理的能力。

最终实现:

·实时动态掌握整个业务运行情况

·全网感知整个系统运行环境

·全面掌握系统的安全状态

·建立整体安全风险防御能力


-----



个人信息安全保护任重而道远,明朝万达愿携手金融行业所有从业者,共同为个人信息安全建设尽一份力。

作为中国新一代信息安全技术企业,明朝万达专注数据安全、公共安全、云安全、大数据安全等服务,客户覆盖金融、政府、公安、电信运营商等诸多领域,其中在金融领域数据安全的市场占有率超80%。
公司始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展。在坚持科技创新的同时,注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。
分享到:

400-650-8968