频道说
互联网时代对客户信息安全保护,是银行诚信经营的展现,信任越多,责任也越大。
数字化转型加速了互联网、云计算、大数据、物联网、人工智能各种新技术的应用,也加速推动了各个国家经济社会运行和发展对于信息数据的依赖。移动互联网时代,信息数据资源正如水、石油等自然资源那样成为一种战略资源。
正因为信息数据的炙手可热,近年来以非法掌握个人信息为前提的电信诈骗案件,手段之狡猾,形式之多样,屡见不鲜,其目的都是盗取资金、个人信息和银行卡信息等,甚至远程控制支付软件。不仅如此,违规查询个人征信信息牟利也是信息泄露对客户造成的不良影响。
作为经营风险的商业银行来说,在已经到来的互联网大潮中获取和使用数据信息的重要性,不言自明。客户信息的泄露不仅严重影响了银行的声誉和形象,还会给客户的资金造成了损失。银行在各自经营活动中,始终保持着高强度的风险管理,因此,如何在利用好用户数据的同时,保护好客户信息数据信息,已经成为非常重要且关键的课题。
1
客户信息保护四大困境
客户信息安全保护管理工作是商业银行防御风险、稳健经营责无旁贷的一环。在银行日常经营活动中,风险管理也被作为极其重要的内容之一。如若发生对客户信息的违规收集、使用甚至泄露客户信息,会给银行带来极大的操作风险、法律风险和声誉风险。作为保存了海量客户个人金融信息的数据库,现阶段银行在此类信息的保护存在着一些较明显的困难。
1.对客户个人信息涉及隐私权保护的认识还不够充分。
大数据时代,银行在经营活动中采集、保存和使用了丰富的客户信息,其中不乏涉及个人隐私权的信息。这些信息在挖掘后不仅对银行业,对于任何行业都具有很高的经济价值。因此近些年来,客户信息泄露的时间屡有发生。侵犯客户隐私权的行为首先对客户个人信息所涉及的隐私权没有被冲分的认识,这也造成客户不必要的经济损失,这一类事件的持续累积,必然会损害银行业企业的社会形象,牵绊银行业务的开展。
2.在客户信息采集、保存、使用和销毁等环节的管理机制不规范。
采集、保存、使用和销毁客户信息属于操作风险,从操作风险来说,员工非法盗取客户信息造成的内部欺诈以及经营中泄露客户信息等,都会给银行带来极大的损失。
采集客户个人信息过程中对客户信息安全保护不足。如客户信息采集的渠道不合法、没有获得客户的充分授权、采集信息的过程缺乏隐秘性或客户在填写银行单据时处在开放的环境下等情况;
银行员工对于客户信息保护的意识不够,没有充分认识到客户信息是银行的重要资产和客户隐私权的重要部分,对客户纸质资料保管和电子材料的储存安全不到位;
门类繁多的信息系统权限设置不够精准,可能导致客户信息使用不规范,无意中扩大了客户信息的展现范围;
客户信息的使用记录不详实。如查询、调阅、打印、截屏客户信息时相应的使用记录不够完备,可能导致客户使用范围扩大和泄露;
客户信息的销毁流程不完备。如数据的可使用时间应该有清晰地定义,并对超出使用周期的数据按特定流程销毁,否则可能导致客户信息的泄露。
3.制度规范不到位,缺乏自律和惩戒手段。
目前,我国尚未建立完备的个人隐私数据管理法律法规,银行更多是以自身风控来约束相关行为,但银行业本身也尚未建立完备的客户信息安全风险防控机制,这便给客户信息泄露带来的隐患。在包括但不限于客户信息采集、处理、保存、共享、分析、销毁等环节中,任何一环出现问题,都有可能给客户和公众带来经济甚至是人身伤害。
银行的业务信息系统对于安全性保障缺乏足够的重视,信息系统安全面临挑战。第三方操作、应用系统的漏洞,也让银行不能够完全评估并掌控,而银行本身针对外部攻击和计算机病毒的防御能力有限,又缺乏完善的灾备环境和应急处置规程,信息安全防护工作任重而道远。。
2
六大举措,加强信息服务安全
保障数据安全,是保障网络空间安全的重点。没有安全能力的网络空间,就好比没有免疫系统的孩子。我们要努力通过人工智能等新技术,保障数据是健康的,智能设备是健康的。那么,银行要如何做到呢?信息服务安全又要从何做起呢?
1.建立客户信息保护体系,完善客户信息保护制度。
在经营活动中,银行处于相对强势的位置,客户作为被服务对象则相对弱势。由于角色的不对称,银行理应承担客户信息安全保护义务和责任。
建立健全客户信息保护的内控机制,明确客户信息收集、保存、使用、销毁的全生命周期进行管理权责、标准、奖惩等。
持续加强员工对客户信息安全保护的风险防范意识,守住保密底线。常态化开展信息安全合规教育,认真组织学习相关规章制度,不断提高广大员工的客户信息保护意识。
建立健全客户信息保护体系,建立专业化的客户信息保护机构,配备专职人员分析研究客户信息安全保护工作面对的形势,薄弱环节,制定改善措施,协调解决工作中遇到的问题。
建立健全客户信息保护的监督机制。运用管理、内控、技术等手段持续关注客户信息采集、使用(调阅、下载、打印、截屏)、保存、销毁等过程的规范性。将客户信息保护纳入信息安全保障体系之中。确保客户信息采集时,程序合法,确保采集到的客户信息料准确,明确采集到的客户信息的保存时效,确保客户信息使用前得到合规授权。
2.建立和完善银行业自律机制。
自律机制的建立和完善,不仅有助于对客户权益的保护,更有助于提升客户对银行所提供金融服务的感受。日本信息处理开发协会(JIPDEC)出台了《关于民间部门个人信息保护指导方针》及《个人信息保护管理体系要求事项》,协会依据方针和要求对机构进行合格性评估,按评估等级颁发证书。
而且,制定客户信息保护的自律规范和标准,有利于推动各家银行对客户信息安全保护工作的重视,为银行开展客户信息保护工作提供指引,维护行业良好的风控形象。日本制定《金融领域个人信息保护方针之安全管理措施实务指南》与《金融领域个人信息保护方针》,就对客户信息保护发挥了很好的作用。
3.客户信息的保管机制。
客户的性别、年龄、学历这类个人基本信息,或股票、基金、理财产品持有情况这类商业信息,都涉及到个人隐私。对客户信息的保管应等同于信息安全保护管理。
首先是加强涉及客户个人信息操作岗位的人员管理,包括但不限于入职审查,在职培训、日常行为监督、强制休假和离职审查;其次是建立涉及客户个人信息操作岗位管理制度,明确可为与不可为的行为规范,做到人人知责、守则;
最后,要明确涉及客户个人信息的存储介质的保存要求,对于明确电子介质、纸制介质、其他物理介质等的保存范围,保存期限,保存环境要求,保存交接环节控制点,销毁步骤等。
4.客户信息的使用机制。
在客户信息的使用环节,使用客户信息的人员多,使用场景复杂,较容易造成客户信息的泄露,因此,要明确界定客户信息使用的范围,严格控制使用用途和对象,将客户信息使用范围减少到最低。
另外,科学配置客户信息使用的权限,包括使用过程审查岗的设置,将客户信息使用权限控制到最小,也能优化客户信息使用机制。
5.完善客户个人信息保护的监管机制。
首先,通过银行业行业协会主导建立行业自律规则,作为客户个人信息保护法律法规完善前的补充,发挥行业自律在经济活动中的积极作用。
其次,明确监管机构职责,要求银行业由专门的部门承担起在客户信息采集、使用、保存、管理、销毁等环节的风险控制,规范银行对客户信息的管理,发挥监管的约束作用。
第三,明确监管职责。我国尚没明确个人金融信息保护工作的监管部门,可以考虑由消费者权益保护部门和地方金融管理部门,为金融消费者普及个人信息保护知识,提高消费者的自我保护意识和保护能力。接收金融消费者对自身信息受到侵害的投诉。协调、指导、监督和处罚那些在客户信息保护中出现对客户造成侵害的单位,充分保护金融消费者权益。
最后,完善法律制度保障个人信息安全。新发布的《民法典》对隐私权与个人信息保护的相关内容做了较多细节的规定:
根据《民法典》第一千零三十八条,信息处理者不得泄露、篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
6.持续加强信息安全保障 增强技术防范能力。
《网络安全法》颁布后于2017年6月1日正式实施,重点明确了企业在数据保护中存在以下要求:首先是必须履行数据安全保护的义务;二是承担用户个人信息泄露的责任;三是建立灾难备份体系和应急管理机制。积极开展与现实相匹配的应急模拟演练,并对其持续调整、完善、修订,使其具有高强度的操作性和与现实的一致性;最后是充分利用加密、防攻击和反病毒等信息安全技术。发挥信息技术在银行客户信息数据保护中的直接作用。
本文首刊于《零售银行》,有部分删减。作者周勇任职于交通银行大连分行网络渠道部,连丽君任职于交通银行大连分行信息技术部。如果觉得文章不错就点个【在看】,分享给朋友们吧~
猜你想看:
声誉保卫战,银行应该怎么做好危机公关?
客户激励,你只会送礼品么?
银行掘金,到县域市场去!
更多干货
欢迎订阅《零售银行》
▼▼▼