每经刊评:加强个人信息安全保护 银行应当从源头抓起

  原标题:守护个人信息安全 不能止于事后问责

  每经评论员 李玉雯

  近期,上海银保监局披露的两张罚单受到市场关注,两家知名银行的信用卡中心分别被罚100万元,主要违法违规事实均包括“对某客户个人信息未尽安全保护义务”。

  “大数据时代里,每个人都在‘裸奔’。”这看似是一句玩笑话,却折射出了当下社会对个人信息安全问题的忧虑。银行业金融机构汇聚了规模庞大、覆盖广泛的数据资料,往往与客户的资产安全、信用状况等密切相连,因而信息安全的重要性更加凸显。

  有鉴于此,早在2018年5月,银保监会就印发了《银行业金融机构数据治理指引》,指出银行业金融机构应当依法保护客户隐私,采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。

  今年2月份,人民银行发布《个人金融信息保护技术规范》,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护予以规范。作为第一部专门针对个人金融信息的行业标准,其对金融领域数据隐私保护具有标志性意义。

  3月6日,国家市场监督管理总局、国家标准化管理委员会发布GB/T35273—2020《信息安全技术个人信息安全规范》,对个人信息保护领域的相关问题作出进一步细化与补充。此外,专门性立法《个人信息保护法》和《数据安全法》已被列入十三届全国人大常委会立法规划。

  可以看出,个人信息保护的法律防线正在不断筑牢,将为信息安全提供强有力的保障。

  笔者认为,行业健康有序发展不能仅仅依赖于监管的事后问责。既要做好“打补丁”的工作,更要重视事先的防范与管控。

  从近年来监管披露情况来看,银行业涉及客户个人信息安全违规案例多是因从业人员法律意识淡薄,例如未经授权随意查询个人征信信息、机构内鬼倒卖客户资料等。

  在当下这个科技快速更迭的时代,银行业与互联网的融合程度不断加深,信息获取成本降低,应用、存储方式更为多样化,这也使得个人信息安全保护面临着更大的挑战,对银行机构的风险控制能力、技术处理手段等也都提出了更高的要求。

  需要注意的是,尽管银行机构普遍制定了详细严谨的内部规章制度,但在实际操作层面依然缺乏有效的执行保障。这也是部分银行员工明知违规却依然“铤而走险”的主要原因。对于如何更好地贯彻落实规章制度,银行在此方面的实践仍然有待加强。

  打造信息安全保障体系,并非朝夕之功。大型银行作为受人们信赖的金融机构,应当做出表率、更有担当,积极发挥示范作用,而不是频频以负面形象出现在公众眼前。笔者认为,加强个人信息安全保护,银行应当从源头抓起,打造出一套严密完善的合规流程,并加大执行力度,确保各环节落实到位,同时要更加重视对从业人员的合规培训,让信息安全意识深入人心。

责任编辑:潘翘楚