金融机构个人信息安全亟需严格保障

近日，一家股份行涉及泄露上海笑果文化有限公司旗下脱口秀艺人银行账户流水的事件持续发酵。涉事银行道歉并辞退支行网点负责人。按属地监管原则，上海银保监局已介入调查。“未经当事人授权”是这次个人金融信息安全危机的关注焦点，也是导致舆论场持续热议的重要原因。 涉事股份行的深夜致歉和员工追责，非但不意味着事件落幕，反而让银行未经当事用户个人允许、调取工资流水这一事情落下实锤。很明显，这次信息泄露事件是该股份行基层职员的职业失范行为。 近年来，随着银行线下业务线上化、与流量方边界日益拓宽等新变化，对外包研发、测试的管理不当，生产环境暴露、数据库过度授权等问题，都给银行数据安全管理带来新挑战。金融机构尤其是银行的信息安全等级最为严格，一方面是监管指引高标准要求，且有严格日常督查管理制度，另一方面也是由其业务属性决定。对银行来说，客户账户信息是核心商业价值要素之一，银行必然会投入大量人力、物力做相关保障，大中型银行也具备强大技术团队和实力。 正是因为这些元素的背书，普通民众会对银行放心，视银行为金融数据安全的可靠防火墙。截至2019年底，我国开立银行账户113.52亿户，全国人均拥有银行账户数达8.09户。金融数据覆盖人群、牵涉产业面广，其中又以银行方面数据为甚。按央行此前明确规定，个人账户账号、余额、账户交易信息都属于典型的“个人金融信息”，同时按重要性等级由高到低分C3、C2、C1三个类别，相对应信息安全保护及管理的具体规范指引。由此看来，银行为用户信息保密，应该是一个“简单而基本”的职业素养守则。正因如此，该事件被广泛传播后让不少人闻之心惊：已有明文规定的隐私管理都被置若罔闻，遑论其他方面的信息管理，会不会潜伏更大的漏洞？ 去年以来，监管部门密集出台关于数据安全管理办法、APP违规收集使用个人信息行为认定方法等多项征求意见稿及草案。可以看到，国家层面对个人信息数据管理的系统性整治规范是大势所趋。眼下该股份行事件暴露出的流程漏洞，势必将加速监管方面对金融机构个人信息安全的排查监管。 [32] \t