近年来商业银行在数字化转型过程中，充分运用内外部大数据和金融科技手段创新业务模式、提升服务水平，特别在零售金融板块广泛使用个人信息数据发展线上业务。实际中，尽管商业银行属于数据治理较为规范和严格的行业，通过银行渠道泄露个人信息的情况也较少，但由于银行数据本身的金融属性、涉众普遍性和广泛渗透性，个人信息保护的重要性更加凸显，对此须高度重视。

银行掌握的个人隐私数据涉及面广、社会影响大

商业银行拥有的个人信息数据覆盖人群广泛，一旦泄露将对社会产生重大影响。当今社会每一个人几乎都是商业银行的客户。央行公布的《2019年支付体系运行总体情况》显示，截至2019年底，我国开立银行账户113.52亿户，其中个人银行账户112.84亿户，全国人均拥有银行账户数达8.09户。每家商业银行都拥有大量个人客户，掌握身份、账户信息等个人隐私数据，且数据均为集中存储，一旦泄露将可能批量泄露，不但给相关个人带来严重不利影响，还可能引发连带社会负面效应。

银行个人信息与客户资金安全和信用状况紧密相关

银行个人客户信息数据不但包括身份证、住址、手机号等基础信息，还包括账号、额度、余额等静态资产数据，同时还有大量的资金流水、支付结算等动态交易数据，具有较强的金融属性，涉及客户资金和财产安全，一旦泄露将对客户利益造成较大威胁，也历来是不法分子窃取的重点。因此，保护好商业银行的个人信息数据，对于确保银行客户的资金财产安全极为重要。

互联网时代负面信息传播迅速 个人信息安全问题极易放大银行的声誉风险

商业银行的声誉是其发挥信用中介职能的隐形背书，因客户信息不安全导致的声誉风险将对银行产生不可挽回的损失。互联网时代，数据泄露事件传播迅速，声誉风险可能导致客户对自身资金安全和银行管理能力产生质疑，严重时可能导致存款减少、业务缩减、利润下滑、投资者失去信心等一系列“滚雪球”效应。银行作为对声誉风险高度敏感的机构，严重负面舆情甚至可能对银行造成较大流动性冲击和系统性风险。

个人信息保护是银行挖掘数据价值的先决条件

数字化转型已成为商业银行发展的必由之路。数据成为一种重要的生产要素，数据安全和个人信息保护是合法、合规、有效、深入开展大数据应用的基础。在实际业务活动中，商业银行需要整合各金融机构、企业、政府所掌握的个人信息，进行传输、共享、加工，形成数据资产。此时，个人信息数据既作为个人隐私受到法律保护，又作为生产要素具备一定的公共属性。因此，银行在应用数据前，必须先明确个人信息数据的权属和使用边界，做好数据安全防护工作，否则可能导致整个数据整合、加工、使用链条的运行中断，从根本上影响数据价值的挖掘使用。

个人数据安全是金融消费者保护的重要组成部分

个人信息保护是金融消费者保护的重要内容。仅凭市场机制无法从根本上解决金融消费者保护问题，必须由政府提供监管保护。各国监管部门都成立了专门机构，制定政策、实施约束，维护金融消费者权益。我国监管机构持续推进金融消费者保护工作，2020年央行发布《中国人民银行金融消费者权益保护实施办法》和《个人金融信息保护技术规范》，对消费者权益和个人信息保护进一步提出明确要求和具体标准。商业银行需要严格按照监管要求和指引，持续规范、加强个人信息保护工作，全力保障金融消费者的权益。

极少数从业人员存在道德风险 利用客户个人信息不当获利给银行带来较大损失

近年来，由于个别从业人员道德风险问题和对个人行为的管理控制系统不完备，国内银行业曾出现过从业人员为获取经济利益而倒卖客户个人信息的案件。虽然通过银行渠道泄露个人信息的情况较少，涉案金额不大，但影响恶劣。如某商业银行从业人员通过银行内部查询系统，获取大量客户在该行的开户资料、手机号、银行卡余额等信息，多次倒卖获利。又如某商业银行信贷中心员工，以每条30元的价格为小贷公司业务经理违规查询客户的人行征信报告。

操作风险管理不到位易造成个人客户信息泄露

从实际情况看，绝大多数银行员工并不愿造成客户信息泄露，一旦发生泄露事件，员工将面临罚款、解聘、禁业，甚至承担严厉的刑事责任，泄露客户信息成本与其收入不成比例。因此实际中往往是因为员工操作不规范、操作不慎和执行漏洞造成客户信息泄露。部分银行员工信息保护意识薄弱，不清楚信息泄露危害性。如某银行员工缺乏客户信息保护意识，未严格落实银行制度流程要求，未经客户同意向客户所在单位提供个人银行账户交易明细，给银行造成重大舆情事件与巨大的声誉损失。

系统防护存在漏洞会对个人数据安全造成危害

银行系统防护不利主要涉及系统防护措施和防护技术两个方面。系统防护措施不完善主要表现为系统防护级别不到位、系统防护制度未有效落实、系统漏洞未及时识别与修复等。系统防护技术缺陷主要表现为防护技术更新换代不及时、未有效阻止黑客的入侵和攻击、未及时切断网络病毒的传播和感染等。传统业务场景中数据相对静止，数据安全防护主要围绕物理载体或特定业务逻辑的边界进行开展，而现在线上新兴业务中数据使用场景更为复杂，涉及数据多向流动，传统防护手段已难以满足细颗粒度管理要求。

外部数据引入存在安全问题 导致银行作为使用者承担数据安全责任

一方面，一些引入的外部数据存在数据来源不合法、不合规的问题。有些数据平台通过数据垄断、数据绑架等方式滥用数据，包括无授权使用数据、不遵守“最小必要”原则过度索取授权、过度营销等问题，均会给银行使用外部数据造成重大合规隐患。另一方面，部分外部数据平台在数据获取、存储、传输中也可能存在个人信息泄露问题。部分外部数据平台管理不规范，信息已经泄露或被黑产集团窃取，银行端若接入此类数据，容易被黑产集团借此进行攻击或欺诈，造成客户和银行双方面的利益损失。

开放银行发展趋势给数据安全和个人信息保护带来更大挑战

一是从数据使用场景和人员看，开放银行体系下数据暴露面大幅扩张。开放银行数据使用场景扩大至跨机构、跨行业甚至跨境等复杂的信息交互场景，数据使用人员涉及行内员工、外包人员、合作机构等。任一场景端、使用方若存在安全薄弱环节，都将给个人数据造成威胁。二是从数据技术看，开放共享过程对数据溯源、数据脱敏的技术要求更高。部分数据会脱离银行的控制，需要通过成熟的数据追踪溯源技术跟踪数据的最终去向和使用情况，防止数据处于失控状态。数据脱敏技术不成熟、脱敏程度不足的情况下共享和交换数据，将导致数据泄露风险。三是从系统建设看，银行系统防护能力面临新的课题。银行原有的安全防护边界和手段难以满足开放银行全场景全链条的网络安全需求。如果服务接口有设计缺陷，或权限设置不当，都可能导致整个系统数据泄露，甚至遭受网络恶意攻击，造成重大的数据泄露事件。

加强对从业人员的管理监督、检查问责和教育

一是建立明确的奖惩机制，严格落实个人信息保护责任，将制度执行情况纳入员工考核。提高违规成本和惩处力度，强化员工对个人信息泄露引发法律后果的认知，让从业人员不愿做、不敢做。二是加强检查监督力度。定期开展员工个人信息保护工作的检查，包括员工数据权限检查、系统操作日志遍历检查、员工异常行为排查等。三是对从业人员加强个人信息保护的教育和文化宣导工作。持续开展培训宣传和案件警示教育，将信息保护具体要求融入业务、技术操作规范和流程中，并定期进行培训及考试。

建立个人信息保护的制度标准与约束机制

一是建立覆盖业务、科技、风险条线多位一体的信息保护组织架构，明确数据归属、数据管理、数据应用等各部门职责，强化统筹管控个人信息保护工作。二是制定个人信息数据全生命周期安全管理要求，覆盖信息的收集、传输、存储、使用及销毁，形成数据安全管理的制度规范体系。三是制定数据分级分类标准，对不同管理级别的数据采取不同安全防护措施，平衡数据安全保障的全面性和重要性。四是制订个人信息保护应急预案，一旦发生个人信息遗失、损毁、泄露或者篡改等情况，及时采取补救措施。

强化数据信息防护的系统刚性控制与技术升级

一是实施系统刚性控制。强化对各级数据权限和个人信息保护机制的内部控制和系统刚性约束，落实制度规范要求。二是完善信息系统安全建设。在数据加密、内部系统监控、网络安全防控等环节加强管控，强化系统对黑客入侵、木马病毒、技术漏洞等监测和识别能力，有效防御外部攻击和内部泄密。三是加强技术更新迭代。充分利用多方安全计算、可信区块链、标记化等新技术，确保数据可用不可见、可用可计量，做到最小够用、专事专用。

建立覆盖外部数据引入使用全流程的安全防护措施

一是严格合作方准入筛选。商业银行应根据合作方的企业基本情况、行业排名、风控能力、与其他银行合作情况、相关业务经验和历史表现等，制定合作方的白名单或准入标准。尤其应重点关注合作方数据使用权的合法合规性，优先选择能通过自身生态体系形成数据的合作方，坚决杜绝通过爬虫获取数据的合作方。二是在外部数据引入前，对数据进行合法合规性评估。商业银行应对外部数据的来源途径、合法合规性、数据接口安全性进行评估，对于可能造成违规使用的数据一概拒绝引入。三是在数据引入后，对数据使用情况进行评估。商业银行应对外部数据在行内的使用现状、合作方系统安全性进行持续评估，一旦发现存在数据安全隐患问题，则应立刻进行整改，必要时暂停或终止相关外部数据的引入和使用。

全面系统加固开放银行的数据安全防护

一是严格执行对场景合作方的身份校验，通过访问权限控制、签名认证、跨域校验等多重手段对合作方身份进行校验，尽可能避免系统接口安全漏洞和被盗用的风险。二是进行个人信息访问的必要授权和加密处理，审慎控制第三方对业务、用户数据的访问权限，并通过网络传输链路加密、报文加密加签等多种方式，保障数据传输的安全性、隐私性和不可篡改性。三是强化网络边界防护。在应用程序接口（Application Programming Interface，简称API）服务层和业务层之间部署防火墙和入侵防御设备，实时监测、分析异常流量，智能感知风险态势，自动阻断非法访问或快速拦截外部攻击。

近年来客户和投资者的维权意识增强，也存在个别客户借助个人信息泄露问题进行舆论炒作，恶意要挟银行获取不当利益的情况，银行在个人信息保护工作中面临很多困难和压力。因此，监管部门对个人信息保护制定明确的判断标准和处罚规则十分重要。否则将造成使用谈判式的方法解决个人信息保护问题，成本巨大而实际效果欠佳。标准越明确，规则越清晰，越有利于保护消费者权益，也有利于银行维护自身权益。

加快出台个人信息保护的统一规定和统一标准

一是建议尽快出台统一完备的法规制度，明确个人信息保护底线要求。我国尚未出台适用于所有数据使用机构、适应新兴数据应用场景、专门针对个人信息保护的法规制度。目前，《个人信息保护法（草案）》和《个人金融信息（数据）保护试行办法（初稿）》均在征求意见，但并未正式发布。《个人金融信息保护技术规范》虽已出台，但仅是推荐性行业标准，并非强制性要求。商业银行在个人信息保护工作中缺乏有力的制度和规则依据，操作边界存在模糊地带。二是按实质重于形式原则全面审慎确定个人信息保护的监管范围。目前商业银行数据合作机构中大量为非银行业甚至非金融机构，部分合作机构存在利用市场优势过度采集、使用客户信息数据的问题。建议监管按照功能性监管要求，对各类个人信息数据使用机构，无论是商业银行还是非银行机构，均要求适用于与数据使用情况相匹配的监管规定，以确保公平竞争、遏制监管套利。三是明确检查机制和处罚标准。为确保法律法规的有效落实，提升消费者个人信息保护成效，建议监管部门同步制定针对性的监督检查机制，明确具体的检查和处罚标准。

加强对社会公众事前预防、事后处置的全方位教育

一是建议监管分层推进、有针对性地开展金融教育。在2020年3·15金融消费者权益日活动期间，某省线上调查结果显示，个人金融信息安全保护知识排名为金融消费者最想了解的金融知识第四位，可见金融消费者尚未获得足够的个人信息保护知识。建议监管部门针对不同群体，区分重点、差异化地加强公众金融信息保护教育。二是根据数字时代对金融信息服务的便利性需求，改进个人信息保护教育的方式和内容。当前公众金融教育内容普遍以“个人信息一概不提供”为原则，偏向“简单粗暴”，很大程度上不完全满足数字时代个人信息使用和保护的实际需求。建议监管研究制定公众金融教育指引，针对已经广泛普及的数字金融服务，进行个人信息提供条款和条件的充分解读，提高公众对必要的数据采集和个人信息保护的分辨能力。三是提升社会公众对个人信息泄露的主动预防能力。目前公众个人信息保护教育往往以犯罪行为鉴别为主，但缺乏对公众日常消费行为中的个人信息保护意识培养，例如在公共场所填写个人信息时应注意遮挡，不高声谈论个人隐私信息等。建议监管引导商业银行在社会公众教育内容中侧重补充日常行为培养，使公众由仅能被动抵制变为可主动预防。四是提升社会公众遭遇个人信息侵害事件后的处理能力。建议监管在社会公众教育中增加发生信息泄露后处理方法的内容，包括固定证据手段、投诉机制、调解机制等，便于公众及时有效维护自身权益。

提升对银行信息保护的IT（信息技术）技术指导

一是建议监管发挥个人信息安全技术的引领作用，向商业银行推介个人信息保护的新技术、解决方案和成果。由于各家商业银行在新技术上的投入和能力方面有所差别，建议监管将所掌握的研究成果在商业银行系统建设中进行介绍，促进商业银行应用新技术。二是建议监管建立商业银行系统建设的共享机制，促进商业银行形成个人信息保护联盟。商业银行个人信息安全系统建设往往存在共性问题、面临相同困境。建议监管组织商业银行对系统建设中出现的共性问题进行研讨，促进银行形成“团结、互助、合作”的工作机制，分享实践经验，加强沟通交流。三是建议监管对商业银行开展网络攻防演习进行指导，对演习中暴露出的系统问题提出相关建议和专业技术指导。  END