近日,人民銀行河南省分行發布的行政處罰信息顯示,浦發銀行鄭州分行因存在5項違法行為,被警告,并被罰款90.8萬元。5項違法行為分別為:
1、未按規定履行客戶身份識別義務;
2、與身份不明的客戶進行交易;
3、違反人民幣流通管理規定;
4、違反征信安全管理規定;
5、違反金融產品和服務信息披露管理規定。
其中又涉及到了征信管理的數據合規問題。據有關統計,僅去年一年內,人民銀行及銀保監會向銀行、保險公司、證券公司、資產管理公司、期貨公司、信托公司、金融租賃公司等各類金融機構共開出數據相關的罰單1227張,處罰金額為10.07億元,涉及達573家機構,由此可見,金融行業相當一部分機構的數據安全防護和數據合規建設還遠遠“未達標”。
Part.1
金融領域數據合規的主要問題
>> 個人信息的保護問題
截至目前,銀行、保險機構等金融機構遭受數據合規相關的行政處罰最常見原因還是在于違規收集、處理個人信息。比如在《人身保險產品信息披露管理辦法》第二十三、二十四條就規定,保險公司應當加強數據和信息的安全管理,建立客戶信息保護機制,不得違規收集、使用、加工、泄露客戶信息。因此,金融機構在開展金融業務時,如何合規收集與處理客戶的個人信息是其目前需要解決的首要問題。
>> 與第三方合作過程中的數據合規風險管控問題
與第三方合作過程中的數據合規風險管控亦是金融領域的重點問題。2022年,銀保監會發布了一系列規章及規范性文件,強調金融機構應當加強對合作機構的準入條件和合規風險進行管控。而金融機構與第三方開展合作的頻次較高,進行數據交互的場景較多,加強對第三方的數據合規風險管控,是實現金融數據安全的重要環節。
>> 內部數據合規制度的建立問題
2022年,銀保監會在其發布的一系列規章規范性文件中強調建立客戶信息保護機制,完善信息安全管理體系,落實保密管理責任。數據合規并非一時、偶發的問題,其需要有相應的內部制度和常規化操作流程作為依托,因此,對于金融行業而言,建立內部的數據合規制度顯得尤為重要。
Part.2
金融領域完善數據合規的提升路徑
>>> 加強個人信息保護
1. 在個人信息處理活動中嚴格遵循《個人信息保護法》的合法、正當、必要和誠信原則,不得超范圍收集客戶個人信息,不得違法收集客戶個人信息;
2. 除法律法規另有規定外,在處理個人信息時,應當向個人信息主體履行告知義務并獲取其同意,涉及敏感個人信息的,應當獲取其單獨同意;
3. 采取數據加密、數據備份等相應的技術措施,保障內部個人信息的存儲安全,防止其泄露或遭受非法入侵。
>>> 完善第三方的數據合規風險管控
1. 嚴格控制第三方合作方的準入,在引進第三方合作方之前,應當明確第三方合作方的準入標準,對備選合作方的經營資質、數據合規風險以及數據安全能力等進行綜合評估;
2. 在合作協議中應當清楚載明相關的數據安全要求,包括但不限于在合作中需遵循的合規、內控及風險管理要求,服務質量考核評價,安全保密等內容;
3. 對服務過程進行持續監控,制定和落實網絡和信息安全管理措施,盡可能降低服務過程中的網絡和信息安全風險。
>>> 建立健全內部數據安全管理制度
1. 建立全流程的數據安全保護制度,覆蓋數據收集、存儲、使用、加工、傳輸、提供、公開、刪除整個生命周期;
2. 建立數據分類分級制度,根據數據的內容以及重要敏感程度將數據進行分類分級,并針對不同類別、不同級別的密級數據制定不同訪問權限管理制度;
3. 建立數據安全事件應急處理機制,并定期進行事故處置演練和開展員工數據安全意識培訓。
敏捷科技之前通過數據安全衛士DG為山東省國企、省平臺的建設運營單位——山東省征信有限公司構建了數據全生命周安全防護體系。通過數據加密、外發管控、授權訪問和水印溯源等技術手段,保障山東征信的個人信息數據在內部存儲、對外交互、事后追溯等階段都處在加密狀態,并由后臺進行統一監管,增強了數據泄露防護能力和數據管理能力,完善了山東征信在個人信息保護、第三方合作和安全管理制度等層面的數據合規建設。
數據安全是發展數字經濟的重要前提和保障。而數據合規是實現數據安全的必由之路。金融數據安全關乎國計民生,在數字經濟的背景下,金融機構對其數據進行合規勢在必行。同時,金融數據復雜多樣,金融機構千差萬別,金融數據合規工作還需咨詢專業機構,找到符合自身業務及產品特點的解決方案,方能行之有效。
★ 為助力更多企業建設合法合規、統一高效的數據安全防護體系,敏捷科技現開展數據安全與數據管理系列“公益培訓”,請有意向的相關單位及企業掃描下方敏捷小助手二維碼與我們聯系獲取更多活動細節~
18120179909
關注敏捷小助手,了解更多