从IT时代到DT时代,网络已深入到社会经济生活的方方面面,在为人们带来便捷的同时也带来了日益严重的个人信息泄漏问题。目前,保障个人信息安全早已成为各金融机构安全保障义务的核心内容。在大数据潮流的冲击下,传统的制度管理保障已经不能满足金融机构对个人信息保护的需求,用户的个人信息隐私保护面临严重挑战。2020年10月21日,备受瞩目的《中华人民共和国个人信息保护法(草案)》(以下简称“《草案》”)经人大常委会审议,在中国人大网上公布向全社会征求意见。该草案的出台代表着我国个人信息立法进程翻开了新篇章,然而就在草案发布的同一天,多家银行接到了“侵害消费者个人信息”的罚单。
-----
人民银行在依法做出行政处罚的同时,约谈相关金融机构,责令其立即整改。相关金融机构高度重视检查中发现的问题,并聚焦具体问题进行整改,进一步规范个人信息管理机制,并对有关责任人员进行了严肃问责。
该案件中涉及的银行均付出了惨痛的经济代价,这对金融机构的警醒是沉重的:近几年虽然各金融机构在信息化建设和管理水平方面都有长足的提升,但依然不能杜绝个人金融信息泄露事件的发生,而每一起事件中不单只是消费者个人信息安全受到侵害,对金融机构形象所产生的的不良影响同样十分严重。
因此,对个人金融信息安全的防护需要更多支撑,此次《草案》出台就为保护个人金融信息提供了法律保障,并提出了更高的要求。
《草案》规定了信息处理七大基本原则
此次发布的《草案》规定了个人信息处理的七大基本原则,分别是合法性原则(第五条)、目的明确原则(第六条)、最小必要原则(第六条)、公开透明原则(第七条)、准确性原则(第八条)、可问责性原则(第九条)、数据安全原则(第九条)。这七大原则与既往的相关法律法规一脉相承,又有新的突破。
《草案》明确了个人信息处理者的多项义务
此次发布《草案》第五章明确了个人信息处理者的合规管理和保障个人信息安全等义务。要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施(第五十条);
并指定负责人对其个人信息处理活动进行监督(第五十一条);
定期对其个人信息活动进行合规审计(第五十三条);
对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估(第五十四条);
履行个人信息泄露通知和补救义务等(第五十五条)。
《草案》对个人敏感信息的处理提出高要求
此次发布《草案》将个人敏感信息的处理规则单独成节(第二章,第二节),着重描述体现了对个人信息保护的“风险路径”考量。即在规制个人信息处理行为时区分主次、抓大放小,企业也应据此合理分配合规资源。个人信息处理者只有在具有特定目的和充分必要的情形下才能处理敏感个人信息。
“告知-同意”义务方面,需额外向个人告知处理敏感个人信息的必要性以及对个人的影响,并取得个人的单独同意或依法取得书面同意。
敏感个人信息的范围在草案中只有概括定义及非穷尽列举。实践中,可以参考《个人信息安全规范》对个人敏感信息的举例,其对草案中的个人生物特征、医疗健康、金融账户类目均具备参考价值。
值得关注的是,种族、民族、宗教信仰均作为敏感个人信息被写入草案,充分体现了我国法律的进步性和对多元文化的尊重。
-----
明朝万达数据安全管理专家通过对《草案》的深度解读,理解到本《草案》对个人信息的数据安全要求、技术措施应用和事后审计问责等提出了更为具体的要求,凭借多年的行业经验,为金融机构今后个人信息保护工作提出如下建议:
以集中管控大数据系统进行信息采集、分析、控制、展示进行态势感知,结合终端DLP、邮件DLP和网络DLP数据,通过数据构建三位一体多方面的安全防护机制,为上层决策与执行提供技术支持,提升理解分析、响应处理的能力。
最终实现:
·实时动态掌握整个业务运行情况
·全网感知整个系统运行环境
·全面掌握系统的安全状态
·建立整体安全风险防御能力
-----
个人信息安全保护任重而道远,明朝万达愿携手金融行业所有从业者,共同为个人信息安全建设尽一份力。
作为中国新一代信息安全技术企业,明朝万达专注数据安全、公共安全、云安全、大数据安全等服务,客户覆盖金融、政府、公安、电信运营商等诸多领域,其中在金融领域数据安全的市场占有率超80%。公司始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展。在坚持科技创新的同时,注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。