加强个人信息安全保护　银行应当从源头抓起

近期，上海银保监局披露的两张罚单受到市场关注，两家知名银行的信用卡中心 分别被罚１００万元，主要违法违规事实均包括“对某客户个人信息未尽安全保护义 务”。 “大数据时代里，每个人都在‘裸奔’。”这看似是一句玩笑话，却折射出了当 下社会对个人信息安全问题的忧虑。银行业金融机构汇聚了规模庞大、覆盖广泛的数 据资料，往往与客户的资产安全、信用状况等密切相连，因而信息安全的重要性更加 凸显。 有鉴于此，早在２０１８年５月，银保监会就印发了《银行业金融机构数据治理 指引》，指出银行业金融机构应当依法保护客户隐私，采集、应用数据涉及到个人信 息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准 。 今年２月份，人民银行发布《个人金融信息保护技术规范》，规定了个人金融信 息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安 全技术和安全管理两个方面，对个人金融信息保护予以规范。作为第一部专门针对个 人金融信息的行业标准，其对金融领域数据隐私保护具有标志性意义。 ３月６日，国家市场监督管理总局、国家标准化管理委员会发布ＧＢ／Ｔ３５２ ７３—２０２０《信息安全技术个人信息安全规范》，对个人信息保护领域的相关问 题作出进一步细化与补充。此外，专门性立法《个人信息保护法》和《数据安全法》 已被列入十三届全国人大常委会立法规划。 可以看出，个人信息保护的法律防线正在不断筑牢，将为信息安全提供强有力的 保障。 笔者认为，行业健康有序发展不能仅仅依赖于监管的事后问责。既要做好“打补 丁”的工作，更要重视事先的防范与管控。 从近年来监管披露情况来看，银行业涉及客户个人信息安全违规案例多是因从业 人员法律意识淡薄，例如未经授权随意查询个人征信信息、机构内鬼倒卖客户资料等 。 在当下这个科技快速更迭的时代，银行业与互联网的融合程度不断加深，信息获 取成本降低，应用、存储方式更为多样化，这也使得个人信息安全保护面临着更大的 挑战，对银行机构的风险控制能力、技术处理手段等也都提出了更高的要求。 需要注意的是，尽管银行机构普遍制定了详细严谨的内部规章制度，但在实际操 作层面依然缺乏有效的执行保障。这也是部分银行员工明知违规却依然“铤而走险” 的主要原因。对于如何更好地贯彻落实规章制度，银行在此方面的实践仍然有待加强 。 打造信息安全保障体系，并非朝夕之功。大型银行作为受人们信赖的金融机构， 应当做出表率、更有担当，积极发挥示范作用，而不是频频以负面形象出现在公众眼 前。笔者认为，加强个人信息安全保护，银行应当从源头抓起，打造出一套严密完善 的合规流程，并加大执行力度，确保各环节落实到位，同时要更加重视对从业人员的 合规培训，让信息安全意识深入人心。 [32] \t