“张先生您好，有新的房产想要看一下吗？”

“近期需要贷款吗？”

“我们有一款新的保险产品，非常适合您……”

北京市民张某对近期频繁接到此类推销电话感到苦恼。

“可能是因为去年买房的时候泄露了太多个人信息。” 张向英国《金融时报》记者表示，他目前还无法判断问题出在哪里。

相信张某的遭遇并非孤例，这种形式多样的骚扰销售行为早已为公众所诟病。 而如果你仔细想一想，你会发现你的真实姓名、真实电话号码，甚至你最近的身体状况和财务需求，都被电话那头的人知道了。 这种“信息裸奔”的现实更加令人不寒而栗。

信息泄露事件频发，个人信息保护问题备受关注。 2020年，随着《中华人民共和国民法典》正式颁布，相关顶层立法工作正在加速推进。 与此同时，监管部门不断提高个人金融信息保护标准水平，相关处罚力度明显加大。

种种信号表明，个人金融信息的保护正在被提升到前所未有的高度。 2021年，对于金融机构来说，如何加强个人金融信息的安全合规应用，充分发挥金融数据要素的价值，是摆在我们面前的重要课题。

罕见问责数千万元罚款

2020年以来，部分金融机构因金融消费者权益保护意识不足等问题受到监管处罚。 尤其是去年10月，央行开出了数千万元的罚款。 此次处罚涉及三大国有银行的六家分行。 罚款金额超过4000万元。 涉案内容为“侵犯金融消费者金融信息安全”。 。

其中一个案例是去年10月21日中国人民银行吉林市中心支行发布的行政处罚信息：某大型国有银行吉林市江北分行侵犯消费者个人信息知情权受法律保护，违反反洗钱规定，泄露客户信息的。 两次信息违规，被处以1223万元巨额罚款。 同时，按照对机构及相关责任人员“双罚”的原则，对分行时任行长处以罚款元，对相关责任人员处以罚款3万元。

如此严厉的数千万元罚款是比较罕见的。 业内专家对此分析认为，对个人信息违法行为加大行政处罚力度已成为世界范围内的趋势。

近日公布的《个人信息保护法（草案）》规定，侵犯个人信息的，可以处5000万元以下或者上一年度营业额5%以下的罚款，加重行政处罚可以起到震慑作用。 ，有利于个人信息的保护。” 中央财经大学数字经济与法治研究中心执行主任刘全说。

事实上，从2020年的监管情况来看，“侵犯消费者金融信息安全”的整体处罚力度明显加大。 据北京金融科技产业联盟、移动支付网、北京京师（深圳）律师事务所联合发布的《中国个人金融信息保护执法白皮书（2020）》不完全统计，截至2020年10月25日，人民网中国银行2020年总行及地方分行开具的行政处罚通知单中，存在未经批准查询个人金融信息、未按要求保存客户身份信息和交易记录等“个人金融信息”181项。 罚款总额超过1.8亿元。

值得注意的是，银行在处罚频率和金额方面仍然排名靠前。 据统计，涉及“个人金融信息”的银行被罚款超过155次，金额超过1.5亿元。 受到处罚的银行包括大型国有银行、股份制银行、城市商业银行、村镇银行、信用社等。

“可以说，银行在个人金融信息相关问题上的违规行为屡见不鲜。银行作为大型金融机构，数量众多，能够提供全面的金融服务，受众广泛，出现这样的结果并不奇怪。” 北京京师（深圳）律师事务所联合创始人、法律研究院院长王燕飞认为。

记者采访了解到，内控问题依然是导致个人信息违规事件频发的重要因素。 中国银行法研究会会长肖飒认为，当前金融机构保护用户个人信息的意识淡薄，金融机构在现有业务模式中对用户个人信息的重视不够。 造成这种情况的部分原因是社会责任意识普及不彻底。 存在金融机构过于逐利的因素。

“金融机构自身内部控制还存在一些漏洞，未能建立有效的内部机制来保护用户信息，用户信息的收集、使用和管理还不完善。” 肖洒强调道。

“最根本的问题是如何监督相关人员落实到位。” 一位银行内部人士透露，尽管出台了相关政策和规章制度，但部分银行基层机构和工作人员仍然存在保护客户隐私意识淡薄、内部管理制度不统一、流程中存在漏洞等问题，这导致一定范围内不合规、违法经营。

“内部和外部”数据保护的不平衡

对于个人信息保护中暴露出的问题，银行业高度重视。 《金融时报》记者了解到，不少银行正在从管理理念、制度规范、技术应用等方面不断探索保护个人金融信息的新举措。

2020年，工商银行通过研究发现了业界主流开源微服务框架的高危漏洞，并首次有效控制了该行相关系统风险。 该成果获得中国信息安全评测中心正式认可，并首次入选国家信息安全漏洞库。 证书，为维护国家信息安全做出贡献。

中国银行持续完善数据防泄露体系建设，实施重要文件加密、邮件过滤、终端保护等多层次、立体化的访问控制和数据保护。 同时部署数据安全交付平台，确保技术部门交付给业务部门的财务数据不落地、不被分流。 此外，还建立了统一的业务数据脱敏机制，确保测试数据和大数据平台的安全使用。

为防范和控制内部查询、打印等个人金融信息使用违规行为，建行建立了“员工信息系统使用行为监控平台”和“行为模型库”。 通过综合监控，可以及时发现违规行为。

“事实上，银行对于个人信息的存储体系比较完善，尤其是大型银行，在内控方面非常重视保密性，客户信息只能内部传输，不允许外部传输。”一位内部人士说。来自一家大银行的透露。

不过，业内人士也普遍认为，目前各银行的内控机制更多地侧重于信息存储，更重要的问题是在个人信息数据的获取和使用方面还缺乏完整的制度体系。 。

专家分析认为，大数据时代，获取个人信息更加容易。 数据安全不仅面临数据盗窃、篡改、伪造等传统威胁，还面临数据滥用、个人信息、隐私泄露等新问题。

同时，从金融消费者角度来看，随着公众信息保护意识不断增强，个人对隐私问题越来越敏感。 用户并非“愿意为了方便而牺牲隐私”，以方便的名义获取用户隐私。 且无法被用户接受。 随着个人维权意识不断增强，金融机构在数据安全和个人信息保护方面将面临更大挑战。

严格监管将成为常态

2020年以来，个人信息安全法规的密集发布释放出明确信号：数据标准化和信息安全治理将成为未来金融业监管的重点工作之一。

2020年5月，《中华人民共和国民法典》正式颁布，将隐私权和个人信息保护提升到前所未有的高度。 此后，作为我国第一部成文法的个人信息保护法，《个人信息保护法（草案）》（以下简称《草案》）于2020年10月21日公布，并向全社会征求意见。 作为第一部专门规定个人信息保护的法律，《草案》将成为个人信息保护领域的“基本法”。

《草案》对金融机构在个人金融信息保护方面提出了更高的要求，通过个人信息处理原则、处理义务、敏感信息处理规则以及相关处罚标准等方面对个人金融信息保护做出了规定。 ”。 肖飒说道。

草案的目的是在保护个人信息的基础上合法使用个人信息，并在合法使用个人信息的过程中持续保护个人信息。 特别值得关注的是，《草案》对审计后问责提出了更加具体的要求，其中包括对非法处理个人信息的相关处罚标准。

《草案》明确，非法处理个人信息，或者处理个人信息时未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告；构成犯罪的，依法追究刑事责任。 拒不改正的，责令改正。 处100万元以下罚款； 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下的罚款。

“这些规定明确规范了个人信息处理者履行义务，防止个人信息保护责任成为一句空话。总体来说，对金融机构的约束更加严格，金融机构在个人信息保护方面面临严峻挑战。”信息。监督。” 萧飒相信。

事实上，监管机构正在不断提高消费者金融信息保护的标准水平。 中国人民银行多次明确表示，对侵犯消费者金融信息安全的行为坚持“零容忍”，坚决打击侵犯金融消费者合法权益的违法行为。法律。 2020年，《个人金融信息（数据）保护试行办法》和《中国人民银行金融消费者权益保护实施办法》已纳入中国人民银行规则——制定工作计划。 其中，《中国人民银行金融消费者权益保护实施办法》已于2020年9月18日发布，将于11月1日起施行。

新出台的相关规定对个人金融信息的收集和使用提出了更严格的限制：金融消费者不同意提供个人金融信息的，银行和支付机构不得拒绝提供金融产品或服务，除非该信息符合规定。假如。 产品与服务。

专家认为，与禁止大多数未经个人信息授权的程序使用的做法相比，个人金融信息保护规定在一定程度上保障了金融机构的普惠责任，也给了金融消费者选择的空间。

“监管部门多措并举加强个人金融信息保护，各类信息安全、数据安全相关法律法规的密集出台，是数字时代的必然要求。只有这样，个人信息才能得到最大程度的保护”在最大程度有效保护个人信息流通和利用的前提下，推动数字经济发展，最终实现数字强国。” 刘全相信。

业内专家普遍认为，相关法律法规的加速完善，标志着我国个人信息保护进入新阶段，这也对金融机构提出了更高的合规要求。 随着顶层制度的不断完善，金融行业的数据治理将进入常态化阶段。 依法合规保障个人信息安全，是现阶段金融机构面临的紧迫而现实的问题。

数据所有权的变化迫使银行进行改革

从立法趋势来看，数据合规的重要性和必要性日益凸显。 业内分析认为，未来随着《征求意见稿》等法规的实施以及数据权属的明确，可能会对整个金融体系的数据中后台建设、金融业的数字化道路产生根本性影响。金融机构可能会发生变化。

“根据草案，数据生产者和数据消费者之间的合作关系发生了根本性的变化。” 微众银行区块链安全科学家严强强调。

业内专家分析，在立法之前，数据生产者和数据消费者之间更多的是买卖关系。 数据消费者获得数据后，可以对其进行处理和利用，或者提供服务。 获得全部好处。

在新的立法框架下，两者的关系由买卖关系转变为租赁关系。

“租赁关系意味着，作为数据生产者，你从未放弃过对自己数据的权利。即使你在对方的平台上使用了对方的服务，这部分产生的数据也只是在对方的平台上提供给对方。”平台或服务方不再拥有数据，但需要与数据生产者就如何使用数据达成一致，包括如何分配收益权。 严强表示，“目前很多应用都完善了隐私政策，公开并承诺了数据的使用方式，这也是数据使用租赁关系的一种体现。”

除了分配问题之外，最重要的一点是数据生产者有权干预或禁止使用自己的数据，以控制自身的隐私风险，拒绝不公平的利益分配。 这是行业面临的最大问题。 变化。

专家对此分析认为，未来银行业在对外合作的数据获取和使用方面或将面临更高的监管关注。

“如何加强合作伙伴的管理，满足外部数据合规审查，可能是银行未来需要考虑的问题。” 国家金融与发展实验室副主任曾刚认为。

事实上，随着近年来银行互联网端业务的快速发展，内部数据很难完全满足行业需求。 因此，银行业一直在拓展场景、接入外部数据。 在与场景方对接的过程中，如果外部数据提供者在数据安全和保护方面不能满足合规要求，合规风险可能会传导给银行。

“目前银行通过自建场景获取数据相对较少，更多的是与主流头部互联网平台对接获取数据。因此，加强与外部数据提供商的合作可能是银行下一步重点关注的方向”。 ” 曾刚建议，银行在选择合作伙伴时，可以通过建立白名单等方式严格执行准入要求，同时在使用数据时也要密切关注监管要求。

相比之下，中小银行未来可能面临更大的压力。 业内分析人士认为，部分中小银行受限于自主研发能力，更有动力寻求与金融科技公司合作发展一些创新业务，其中蕴含诸多不确定性和风险。

“与大型银行相比，中小银行的数据治理能力相对较差，在合规使用外部数据方面存在较多问题。此外，在合作关系上，中小银行也不具备大型银行的优势，因此可能存在更多风险。” 曾刚认为。

专家建议，未来中小银行应增强自主意识，加强个人信息保护方面的技术和合规团队建设。 同时，还应参照大型银行的标准，逐步建立对外合作的准入要求。

相关链接

消费者金融信息安全自我保护七点建议

消费者金融信息一般包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息以及反映特定个人一定情况的其他信息。 这些重要信息一旦泄露，可能对金融消费者本人及其家人、亲友的精神、名誉、财产造成损害。

为保障金融消费者的金融信息安全，金融消费者应重点关注以下几个方面：

一是妥善保管好自己的身份证件、银行卡、银行（支付）账户等，不要转借给他人。

二是不向他人透露个人财务信息、财产状况等基本信息，不在线上线下各种渠道随意留下个人财务信息。

三是尽量亲自办理金融业务，不要委托不熟悉的人或中介机构代为办理，防止个人金融信息被盗。

四是办理各项业务提供个人身份证件复印件时，必须在复印件上注明使用目的。

五、不要丢弃信用卡购货单、提款收据、信用卡对账单等，并及时销毁无效的金融业务单据。

六是不要轻易点击短信、邮件和来历不明的链接，不要随意扫描来历不明的二维码，谨慎使用公共WIFI和免密码WIFI。

第七，如发现个人金融信息泄露风险，必须及时联系公安等部门，维护自身权益。 （冰）