引言
金融机构一旦将其所掌握的核心数据、重要数据以及大量个人信息非法利用、泄露或出境,会对社会造成巨大影响,甚至影响国家主权安全,因此金融行业应顺势而为,在网络空间主权的原则下构建自身的行为规范。
No.1
监管部门加大对金融机构的监管力度
(一)金融客户端应用软件实名备案年9月16日,央行发布《金融行业标准加强移动金融客户端应用软件安全管理规范》,对各金融机构在加强金融类App个人金融信息保护方面提出要求,开展移动金融客户端应用软件实名备案,截至年7月初,共有款App通过移动金融客户端应用软件实名备案。
(二)银保监会指明金融机构开展数据合规的风向标年6月7日银保监会印发《关于开展银行业保险业“内控合规管理建设年”活动的通知》要求,各银行保险机构重点加强互联网业务等领域的内控合规建设。
中国银行业协会党委书记、专职副会长潘光伟强调“考虑到金融数据的敏感性和特殊性,防止数据滥用是银行业机构开展业务必须遵守的底线。个人金融信息保护是大势所趋,在此背景下,银行业金融机构应审时度势,在个人金融信息的采集、使用上牢固树立合规意识,进一步完善银行客户个人信息保护机制,切实维护消费者的合法权益。”
(三)金融机构因信息安全问题收到较大罚单银保监会年1号处罚直指数据安全问题,中国农业银行因数据安全管理较粗放存在数据泄露风险、网络信息系统存在较多漏洞、互联网门户网站泄露敏感信息等数据合规问题被处以万元罚款。
(四)主管人员和负责人因信息安全问题亦受到较重处罚年6月24日,中国银保监会发布的行政处罚信息显示,中国农业银行因员工非法查询、泄露客户账户交易信息,被处罚款20万元,其主管、副主任因负直接责任被给予警告的处罚。
年5月建设银行因员工违规查询、泄露客户信息以及未按规定报送涉刑案件(风险)信息,被罚30万,员工的直接责任人被罚禁止从事银行业工作5年。
(五)金融机构被处罚的侵犯金融数据安全行为汇总(六)近年来金融机构被处罚原因分析通过对近年来几十份金融机构涉及数据安全的罚单进行汇总分析,我们发现被处罚的金融机构大部分存在如下原因:
1、数据合规意识薄弱,管理较粗放,违法违规搜集、使用、共享信息;
2、存在数据泄露风险、网络信息系统存在较多漏洞;
3、客户信息安全管理不到位;
4、末建立信息科技风险管控系统、未有效识别及控制信息科技项目风险。
No.2
个人金融信息
(一)个人金融信息的范围
个人金融信息是指:账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。1、账户信息包括但不限于支付账户、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。2、鉴别信息
用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡支付密码;个人金融信息主体登录密码、账户查询密码、交易密码;卡片验证码、动态口令、短信验证码、密码提示问题答案等。
3、金融交易信息
个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金融、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。
4、个人身份信息
个人基本信息:客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息等;
个人生物识别信息:指纹、人脸、虹膜、耳纹、掌纹步态、笔迹等生物特征样本数据、特征值与模板。
5、财产信息
金融业机构在提供金融产品和服务的过程中,收集或生成的个人金融信息主体财产信息,包括但不限于个人收入状况、拥有的不动产状况、车辆状况、纳税额、公积金存缴等。
6、金融交易信息
个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。
7、其他信息
对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息。包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息;
在提供金融产品与服务过程中获取、保存的其他个人信息。
(二)个人金融信息保护涉及的机构
《个人金融信息保护技术规范》(JR/T—)规定:本标准中的金融业机构是指国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。(三)个人金融信息的敏感程度分类
《个人金融信息保护技术规范》(JR/T—)规定:(四)个人金融信息不同敏感程度的不同要求
《个人金融信息保护技术规范》(JR/T—)规定:(五)金融数据安全级别分类
图片来源于:《金融数据安全-数据生命周期安全规范》(JR/T-)
(六)金融数据的生命周期
(七)金融数据生命周期安全
图片来源于:《金融数据安全-数据生命周期安全规范》(JR/T-)
No.3
金融数据安全立法
(一)数据安全立法沿革(二)金融数据安全立法1、常用法律规范(部分列举)分类
法规名称
通用
《银行业金融机构数据治理指引》
《中国人民银行金融消费者权益保护实施办法》
《国务院办公厅关于加强金融消费者权益保护工作的指导意见》
《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》
《金融科技(FinTech)发展规划(-年)》
《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》
互联网金融协会发布的《关于增强个人信息保护意识依法开展业务的通知》
《金融企业业务档案管理规定》
《个人金融信息(数据)保护试行办法》……
2、常用行业标准(部分列举)分类
相关标准
通用
《个人金融信息保护技术规范》(JR/T-)
《金融数据安全数据生命周期安全规范》(JR/T-)
《金融业数据能力建设指引》(JR/T-)
《金融行业信息系统信息安全等级保护实施指引》(JR/T)
《金融信息服务信息安全指南》(GB/T-)
《金融服务生物特征识别安全框架》(GB/T-)
《移动金融基于声纹识别的安全应用技术规范》(JR/T-)
《移动金融客户端应用软件安全管理规范》(JR/T-)
《云计算技术金融应用规范技术架构》(JR/T-)
《云计算技术金融应用规范安全技术要求》(JR/T-)
《云计算技术金融应用规范容灾》(JR/T-)
《分布式数据库技术金融应用规范(征)》
《金融数据安全数据安全分级指南(征)》
《金融行业信息系统多活技术规范参考架构(征)》
《金融IT基础设施模块化机房技术规范(征》
《多方安全计算金融应用技术规范(征)》……
3、分业细则(部分列举)
(1)网络支付
(2)贷款
(3)保险
(4)基金
(5)信托
(6)征信
No.4
金融行业数据安全问题面临的民事责任风险
(一)集体诉讼年11月30日,万豪集团数据库被黑客入侵,多达5亿人次的详细信息遭到泄露。此事件之后数小时,众多消费者向万豪提起集体诉讼。
(二)公益诉讼年8月6日,北京市海淀区人民检察院发布公告,腾讯