煩…推銷電話不斷，我的個人金融信息可能洩露！怎麼辦？

“張先生您好，有個新樓盤要不要看一下？”

“貸款近期有需要嗎？”

“我們新出了一款保險產品十分適合您……”

北京市民張某最近正因頻頻收到此類推銷電話而煩惱。

“或許是因為去年買房時洩露了太多個人信息。”張某告訴《金融時報》記者說，他至今也無法辨別，問題是出在了哪個環節。

煩…推銷電話不斷，我的個人金融信息可能洩露！怎麼辦？

相信張某的經歷並不是個例，諸如此類花樣百出的騷擾式推銷早已為大眾所詬病。而再細思一番，真實的姓名、真實的電話，甚至近期的身體狀況、資金需求，都被電話那頭瞭如指掌，這種“信息裸奔”的現實，更加令人不寒而慄。

頻繁的信息洩露事件已使個人信息保護問題備受關注。2020年，隨著《中華人民共和國民法典》的正式頒佈，相關頂層立法工作正加快推進。與此同時，監管部門持續提升個人金融信息保護規範層級，相關處罰力度明顯加大。

種種信號表明，個人金融信息保護正被提升到前所未有的高度。2021年，對於金融從業機構而言，如何加強個人金融信息安全合規應用，並充分發揮金融數據要素價值，是擺在眼前的一項重要課題。

罕有的千萬元級別罰單問責

2020年以來，有部分金融機構因金融消費者權益保護意識不足等問題相繼受到監管處罰。特別是在去年10月，央行開出了千萬元級罰單，處罰對象涉及三家國有大行的6家分支機構，罰金超過4000萬元，所涉內容均為“侵犯金融消費者金融信息安全”。

其中一例為去年10月21日，人行吉林市中心支行公佈的行政處罰信息：某國有大行吉林市江北支行因侵害消費者個人信息依法得到保護的權利，以及因違反反洗錢管理規定，洩露客戶信息兩項違規行為，被處以1223萬元鉅額罰款。同時，按照機構和相關責任人“雙罰”原則，該支行時任行長被罰1.75萬元，負有責任員工被罰3萬元。

這種千萬元級大額罰單的重罰力度較為罕見。業內專家對此分析認為，對侵犯個人信息的違規行為處以較重的行政處罰已是世界性趨勢。

“近期公佈的《個人信息保護法（草案）》規定，對侵犯個人信息的，可處五千萬元以下或者上一年度營業額百分之五以下罰款。加重行政處罰，可以起到震懾作用，有利於個人信息保護。” 中央財經大學數字經濟與法治研究中心執行主任劉權表示。

事實上，從2020年監管態勢來看，涉“侵害消費者金融信息安全”的總體處罰力度明顯加大。據北京金融科技產業聯盟、移動支付網及北京市京師(深圳)律師事務所聯合發佈的《中國個人金融信息保護執法白皮書（2020）》不完全統計，截至2020年10月25日，中國人民銀行總行及各地分支行在2020年開出的行政處罰罰單裡，涉及未經審批查詢個人金融信息、未按規定保存客戶身份資料和交易記錄等“個人金融信息”的有181張，罰款金額合計超過1.8億元。

值得關注的是，在受處罰的頻次和金額上，銀行仍居高位。據統計，銀行涉“個人金融信息”的處罰超過155次，金額超過1.5億元。被處罰的銀行廣泛涉及國有大型銀行、股份制銀行以及城商行、村鎮銀行、信用社等。

“可以說，銀行在個人金融信息相關問題上違規存在普遍性。作為主要的金融機構組織形式，銀行數量眾多，且能提供全面的金融服務，受眾群體廣泛，出現這樣的結果並不令人意外。”北京市京師（深圳）律師事務所聯合創始人、法律研究院院長王巖飛認為。

煩…推銷電話不斷，我的個人金融信息可能洩露！怎麼辦？

漫畫：朱燕祥

記者採訪瞭解到，內控問題仍是導致侵害個人信息違規行為屢屢發生的一個重要因素。中國銀行法學研究會理事肖颯認為，當前金融機構保護用戶個人信息意識薄弱，現有經營模式中金融機構對用戶個人信息重視程度不足，在一定程度上是社會責任意識未完全普及導致的，也存在金融機構過於逐利的因素。

“金融機構本身內控也還存在一些漏洞，未能建立有效的內部保障用戶信息機制，對於用戶信息的收集、使用、管理尚不完善。”肖颯強調。

“最根本的問題在於如何督促相關人員執行到位。”一家銀行內部人士透露，儘管出臺了相關的政策、規章制度，但部分銀行仍存在基層機構和工作人員保護客戶隱私意識淡薄、內部管理制度與流程存在漏洞等問題，進而在一定範圍內出現有章不循、違規操作等行為。

數據保護“內外”失衡

針對個人信息保護方面暴露出的問題，銀行業已高度重視。《金融時報》記者瞭解到，多家銀行正從管理理念、制度規範、技術應用等方面入手，不斷探索個人金融信息保護的新舉措。

2020年，工行通過研究發現業界主流開源微服務框架中的高危漏洞，並第一時間有效控制了本行相關係統風險，此項成果得到中國信息安全測評中心正式認可並首次獲得國家信息安全漏洞庫證書，為維護國家信息安全作出了貢獻。

中行持續完善數據防洩漏體系建設，實現了重要文檔加密、郵件過濾、終端防護等多層次、立體化的訪問控制和數據保護。同時，部署數據安全交付平臺，確保科技部門向業務部門交付的金融數據不落地、不分流。此外還建立了統一的業務數據脫敏機制，保障測試數據和大數據平臺的安全使用。

為防控內部違規查詢、打印等使用個人金融信息的行為，建行建立了“員工信息系統使用行為監測平臺”和“行為模型庫”，通過一體化監測，可及時發現違規行為。

“事實上，銀行內部對個人信息的保管制度已經較為完善，特別是大型銀行在內控上十分重視保密工作，客戶資料只能在內部傳遞，不允許外傳。”一家大型銀行內部人士透露。

不過，業內人士也普遍認為，目前各行的內控機制更多側重於信息保管方面，而一個更重要的問題在於，在個人信息數據的獲取與使用方面，目前仍缺失完善的制度體系。

專家分析認為，在大數據時代，個人信息獲取更加容易，數據安全不僅面臨數據竊取、篡改與偽造等傳統威脅，同時也存在日益增多的數據濫用、個人信息與隱私洩露等新問題。

與此同時，從金融消費者角度來說，隨著公眾對信息保護意識的不斷增強，個人對隱私問題越來越敏感，用戶並非“願意用隱私交換便捷性”，以便利之名獲取用戶隱私並不能被用戶所接受。隨著個人維權意識的不斷增強，金融機構在數據安全和個人信息保護方面將面臨更大的挑戰。

嚴監管將成常態

2020年以來，有關個人信息安全方面的法規密集發佈已釋放了明確信號：數據規範、信息安全治理將成為未來階段內金融業監管的重點工作之一。

2020年5月，《中華人民共和國民法典》正式頒佈，隱私權和個人信息保護被提升到了前所未有的高度。此後，作為中國第一部法典化的個人信息保護法律，《個人信息保護法（草案）》（以下簡稱《草案》）於2020年10月21日公佈並向全社會徵求意見。作為首部專門規定個人信息保護的法律，《草案》將成為個人信息保護領域的“基本法”。

“《草案》對金融機構在個人金融信息保護上提出了更高的要求。其通過個人信息的處理原則、處理義務、敏感信息的處理規則和相關處罰標準等規定，為保護個人金融信息提供了法律保障。”肖颯表示。

在保護個人信息的基礎上合法利用個人信息，在合法利用個人信息的過程中持續保護個人信息，是《草案》的主旨。尤為值得關注的是，《草案》對事後審計問責等提出了更為具體的要求，包括對違法處理個人信息的相關處罰標準。

《草案》中明確，違法處理個人信息，或者處理個人信息未按照規定採取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告；拒不改正的，並處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

“這些規定是給個人信息處理者履行義務進行了明確規範，避免個人信息的保護責任落為空談。總體來看，對金融機構而言約束更加嚴苛，金融機構在個人信息保護方面正面臨嚴監管。”肖颯認為。

煩…推銷電話不斷，我的個人金融信息可能洩露！怎麼辦？

的確，監管部門正在持續提升對消費者金融信息保護的規範層級。人民銀行多次明確表示，堅持對侵害消費者金融信息安全行為“零容忍”，對侵犯金融消費者合法權益的違法違規行為堅決依法嚴厲打擊。2020年，《個人金融信息（數據）保護試行辦法》《中國人民銀行金融消費者權益保護實施辦法》已列入人民銀行規章制定工作計劃。其中《中國人民銀行金融消費者權益保護實施辦法》於2020年9月18日發佈，自11月1日起施行。

新出臺的相關規定針對個人金融信息的採集與使用提出了更為嚴格的約束：金融消費者不同意提供個人金融信息的，銀行、支付機構不得因此拒絕提供金融產品或者服務，除非該信息為提供產品與服務之所必需。

專家認為，相較於大多數程序不獲取個人信息授權就不允許使用的做法，個人金融信息保護的規定在一定程度上保障了金融機構的普惠責任，給予了金融消費者選擇的空間。

“監管部門多措並舉加強個人金融信息保護，各種與信息安全、數據安全相關的法規密集發佈，是數字時代的必然要求。只有這樣，才能在有效保護個人信息的前提下，實現個人信息最大程度地流通利用，促進數字經濟發展，最終實現數字強國。”劉權認為。

業內專家普遍認為，相關法律法規的加快完善標誌著我國個人信息保護工作進入了新的階段，這也對金融機構提出了更高的合規要求。伴隨著頂層制度的不斷完善，金融業的數據治理工作將邁入常態化階段，依法依規保障個人信息安全是現階段金融機構面臨的迫切而又現實的問題。

數據權屬生變倒逼銀行改革

從立法趨勢來看，數據合規的重要性與必要性日益凸顯。業內人士分析認為，隨著《草案》等法規的落地，未來對數據權屬的明確，或將對整個金融體系的數據中後臺建設帶來根本性的影響，金融機構的數字化路徑可能發生改變。

“根據《草案》，數據生產者跟數據消費者之間的合作關係發生了一個本質性的變化。”微眾銀行區塊鏈安全科學家嚴強強調。

據業內專家分析，在立法之前，數據生產者跟數據消費者二者之間更多體現的是買賣關係，數據消費者在獲得數據之後，就可以對其進行加工、利用，或者是提供服務，獲得完整的收益。

而在新的立法框架中，兩者之間已經從買賣關係轉變成了租賃關係。

“租賃關係意味著作為數據生產者，從來沒有放棄對自己數據的權利，即便在對方的平臺上使用了對方的服務，在這部分產生的數據僅僅是以租賃的方式提供給對方。平臺或服務方不再擁有數據的所有權，而是需要跟數據生產方協定如何使用數據，包括收益權如何分配。” 嚴強表示，“目前很多APP都完善了隱私政策，披露並承諾數據的使用方式，這也是數據使用租賃關係的一種體現。”

除了分配的問題之外，最重要的一點是，數據生產方有權幹涉或禁止自己數據的使用方式，以控制自身的隱私風險、拒絕不公平的利益分配方式，這對行業而言是一個最大的改變。

專家就此分析認為，未來銀行業在外部合作的數據獲取和使用方面，或將面臨監管層更高的關注。

“如何強化對合作方的管理以及滿足外部數據合規性審查等，可能是未來銀行需要重點考慮的問題。” 國家金融與發展實驗室副主任曾剛認為。

事實上，隨著近年來銀行在互聯網端的業務迅速發展，內部數據已很難完全滿足行業展業需求，因此銀行業一直在拓展場景、接入外部數據。而在與場景方對接的過程中，如果外部接入的數據提供方無法滿足數據安全和保護方面的合規要求，就可能將合規風險傳導到銀行。

“目前，銀行通過自建場景獲取的數據還比較少，更多的還是與主流的頭部互聯網平臺進行對接以獲取數據。所以，強化合作的外部數據提供方可能是銀行下一步要去重點關注的。”曾剛對此建議，銀行在選取合作方時，可通過建立白名單等方式嚴格準入要求，同時在使用數據時也要緊緊圍繞監管要求來展業。

相此而言，中小銀行未來或面臨更大壓力。業內人士分析認為，一些中小銀行受限於自主研發能力，更加有動力尋求與金融科技企業合作的方式開展一些創新業務，這其中蘊含很多不確定因素和風險。

“相比大型銀行來說，中小銀行數據治理能力相對較差，在合規使用外部數據方面問題較多，加上在合作關係中不如大型銀行有優勢，可能存在更多的風險。”曾剛認為。

專家對此建議，未來中小銀行還要提高自主意識，在個人信息保護方面加強技術與合規團隊的建設，同時也應參考大銀行的標準，逐步建立起涉及外部合作準入的要求。