周政宇：银行保险业金融数据保护要点

金融业数据具有三个较为显著的特征。一是多方融合。金融产品服务于国计民生、百行千业，因此金融数据与各行各业的数据紧密融合。二是敏感度高。金融数据涉及客户的敏感个人信息、商业秘密甚至国家机密，具有高度的敏感性。三是监管严格。金融监管历来严格，保护客户权益、防范系统性金融风险是多数国家金融监管制度的底线。本期内容将围绕以上三个特征展开论述。

数据治理视角下的金融数据保护

金融数据贯穿业务的全流程全环节，如何把数据管理落到实处呢？现在的趋势是通过从上到下、从前端到后端、从前台中台到后台的联动，实现数据驱动金融业务全环节，落实管理机制。数据保护在目前的环境下较为复杂，仅靠合规部门、信息安全部门、业务部门很难达到很好的效果，所以《银行业金融机构数据治理指引》从治理架构、数据管理、质量控制、价值实现和监督管理等方面都提出了管理要求。

在日常的工作中，企业可以从以下方面入手做好数据保护。第一，要有战略意识，要结合金融机构的资金、技术和人员情况、业务资源禀赋制定投入设计。第二，做好包括合规机制、数据价值应用等在内的组织架构，树立数据保护中的重点不是“保护”，而是要实现企业发展和经营目标，为金融行业、实体经济服务并惠及百姓民生的这一意识。

另外，金融机构在开展数据保护、数据治理和业务创新的时候，也会雇佣外包部门加强技术和人员方面的能力，产生内外联动。目前，“open bank”的概念受到热切关注，将金融与消费场景结合的场景金融是新兴趋势。银行保险机构也借此机会与一些特定的互联网平台（如出行、消费、娱乐平台）开展合作，开发新的金融产品，产生大量的数据交互。

在此过程中，部分信息科技外包是常见现象。那么大数据交互的信息安全管理责任应当如何认定呢？银保监会的《银行保险业信息科技外包风险管理指引》做了明确规定。主体责任由金融机构自身承担，因此金融机构需要建立完善的管理体系落实数据保护责任。在外包机构的管理责任这一重点问题上，应当坚持不将信息科技管理责任、网络安全主体责任外包的原则。

目前金融机构或者大型企业集团会要求其供应商购买网络安全保险，对冲信息科技方面的责任。此类保险不仅在欧洲、美国发展得较成熟，覆盖范围较广，而且也在中国大陆的网络安全保险市场中起步很快，起到了对信息科技风险的有效对冲作用。

银行保险业金融消费者个人信息权益保护

银行保险业对于金融消费者的个人信息保护具有“强监管”的特点。在《个人信息保护法》《网络安全法》出台之前，关于金融机构的个人的信息保护已有了一定的管理机制。相关监管要求包括：

《保险法》

保险代理人、保险经纪人及其从业人员在办理保险业务活动中不得：泄露在业务活动中知悉的保险人、投保人、被保险人的商业秘密。

国务院办公厅《关于加强金融消费者权益保护工作的指导意见》

保障金融消费者信息安全权。金融机构应当采取有效措施加强对第三方合作机构的管理，明确双方权利义务关系，严格防控金融消费者信息泄露风险，保障金融消费者信息安全。

《金融消费者权益保护实施办法2020[5]》

消费者金融信息保护：消费者金融信息，是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。

《关于规范互联网保险销售行为可回溯管理的通知》

保险机构开展互联网保险销售行为可回溯时，收集、使用消费者信息应当遵循合法、正当、必要的原则，不得收集与其销售产品无关的消费者信息。

《互联网保险业务监管办法》

自营网络平台显著位置，列明针对消费者个人信息、投保交易信息和交易安全的保障措施。

保险机构应承担客户信息的主体责任。

未经同意授权，不得将客户信息用于所提供保险服务之外的用途。

2022年5月19日，银保监会出台了《银行保险机构消费者权益保护管理办法（征求意见稿）》，专门对银行保险机构消费者的金融信息安全进行保护。该办法把银保监会管辖范围内的所有金融机构都囊括进来，除了银行支付机构之外，保险、征信、消金、信托等都被纳入到了管理体系之中：

格式条款上，使用格式条款取得个人信息授权的，银行保险机构应当在格式条款中明确收集、使用和对外提供的范围和具体情形，并在协议的醒目位置提示与消费者存在重大利害关系的内容。

外部合作上，一方面银行保险机构应在消费者授权同意的基础上与合作方处理消费者信息，与合作机构的协议中应约定数据保护责任、保密义务、监督、处罚、合同终止和突发情况下的应急处置条款。另一方面，合作过程中，应通过加密传输线路、安全隔离、数据加密、权限管控、监测报警等方式，严格控制合作方行为与权限，开展数据分析等方面的合作，使用脱敏后的数据，从而防范数据滥用或泄露风险。

同时，银行保险机构应督促和规范与其合作的互联网平台企业有效保护消费者个人信息，未经消费者授权同意，不得在不同平台间传递消费者个人信息，不得利用痕迹数据对消费者开展未经授权的营销活动。

另外，在技术和设备的投入方面，银行保险机构应注意两个问题。一是加强系统控制，处理和使用个人信息的业务或信息系统，应遵循权责对应、最小必要原则设置访问、操作权限，落实授权审批流程，实现异常操作行为的有效监控和干预。二是注重行为管理，银行保险机构应加强从业人员行为管理，禁止违规查询、复制、下载、储存消费者个人信息，不得超出自身职责和权限非法处理和使用。

实操中可以采取以下技术方案保护银行保险业金融消费者的个人信息权益。

首先，可以采用“数据超市”这一轻量级数据API管理方案，针对内部、外部数据API进行一站式管理。对数据进行交互管理时（如通过API和合作伙伴进行数据交互，或内部不同部门、系统之间进行数据交互时），怎样做流量控制、安全控制，怎样在运营分析模块严格详细地监测调用明细，出现异常时如何警告对接等，都可以由其统管。包括数据安全分级分类、脱敏、审级留痕、加密、数据出库入库等在内的程序，则可以由自动加密去实现，并且在过程中保障业务合规，防止错漏。

其次，管理从业人员时，可以采用全链路数据流转监测与分析系统方案（EFM）强化数据防控的要求。该方案通过旁路流量采集解析技术，为包括应用接口在内的应用协议和数据库协议类型的涉敏数据识别、梳理、监测、分析与溯源提供支持，在不影响业务系统的情况下，利用一站式数据安全运营方案解决问题。

金融数据出境合规

2011年1月，中国人民银行出台《关于银行业金融机构做好个人金融信息保护工作的通知》，规定“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”这说明在《网络安全法》出台之前，央行就已明确我国金融数据的处理活动应当在境内进行。

2011年5月，中国人民银行上海分行出台《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》，规定“为客户办理业务所必需，且经客户书面授权或同意，境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的，可不认为违规。银行业金融机构应当保证其境外总行、母行或分行、子行为所获得的个人金融信息保密。”这意味着在“三加一”的管理体系下，可以进行部分跨境金融数据传输活动（“三”代表业务所必需、书面同意、境内银行业金融机构向境外总行等提供境内个人金融信息，“一”代表境内金融机构要对境外数据处理行为负责）。

2016年12月，《中国人民银行金融消费者权益保护实施办法》规定“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务且经当事人授权，向境外机构（含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构）传输境内收集的相关个人金融信息的，应当符合法律、行政法规和相关监管部门的规定，并通过签订协议、现场核查等有效措施，要求境外机构为所获得的个人金融信息保密。” 但是大家要注意的是 2020年的新一版《金融消费者权益保护实施办法》删除了数据跨境的内容。

总之，金融数据保护不能单一行动，而要在公司的业务战略目标下统筹兼顾。尤其是目前进入金融科技的第二个规划时期，数据要素的价值越发凸显，所以金融数据保护也将贯穿金融业务的整个环节——横向上，是贯穿全行业前中后台的各个部门；纵向上，是从上到下、从董事会到管理层、到一线业务端的人员。因此，在后续的工作中，应当把整体性、系统性思维运用到金融数据保护工作中。