观点 | 构建数据风险管理体系,保护数据主体权益
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国光大银行信息科技部 刘巍
当前,数字经济正在迅速崛起,数据在我国经济社会发展中具有重要战略意义,成为可市场化配置的关键生产要素。2021年9月以来,《数据安全法》与《个人信息保护法》(以下简称两法)相继实施,成为保障数字经济健康发展的压舱石,这也标志着我国在数据领域顶层制度以及网络空间治理体系上的不断完善。中国光大银行主动融入数字经济生态,积极推动数字化转型中科技新治理体系建设,以保护数据主体权益为核心目标创新构建数据风险管理体系,探索两法在商业银行内部的落地实施的可行路径。
商业银行落实两法面临巨大挑战
2020年以来,光大银行一直密切关注两法发布实施的进程,深入研究了国家网信办、人民银行、银保监会等监管机构出台的一系列监管规定与执法动作,明确了数据安全与个人信息保护(以下简称数据安全)是我行数字化运营及数据资产价值释放过程中的安全合规底座与风险防线。
金融行业是产生和积累数据量最大、数据类型最丰富的行业之一,数据信息一旦泄露或滥用,不仅会给客户造成直接经济损失,也会给金融业的声誉带来负面影响,银行业在数据安全管理和数据保护方面面临诸多新的挑战。
1.数据安全是银行科技治理体系的底线要求
两法发布实施后,数据安全的内涵和外延大大拓展,从科技系统、应用技术、运行保障及应急等传统信息安全下技术层面,扩展到贯穿客户权益保障、业务及应急管理、产品与渠道管理、风险管控等银行全方位业务流程中,数据保护能力也将是未来银行参与数据要素市场的基础与准入条件,银行将数据治理上升至公司治理层面是必然选择。
2.重塑银行业务流程,变革银行产品与服务设计模式
个人信息保护影响评估(PIA)是针对个人信息处理过程检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程,是《个人信息保护法》的核心要求。对于银行而言,事前开展PIA就需要在业务流程设计和开发过程中有意识加入隐私保护设计,某一个产品与服务如果评估不通过,就会重新进行隐私设计或被取消。这就意味着,新增的产品与服务设计时要同步进行隐私设计,存量的产品与服务要进行全面评估并整改,银行业务流程将进一步重塑。
3.数据共享与跨境、自动化决策、外部生态化等诸多领域的合规风险更高
在数据共享与跨境方面,由于与传统生产要素相比,数据具有非实体性、无消耗性、零成本复制性等特点,数据一旦共享,数据控制权就一并转移,其他数据处理者的数据泄露、滥用风险难以防范。大规模数据出境还极有可能对国家主权造成损害。对于银行而言,数据共享、数据跨境场景多,数据接收方风险的管控难度与成本巨大。
在自动化决策合规方面,银行数字化转型过程中广泛存在通过人工智能驱动场景运营情况,《个人信息保护法》针对此类情况不仅有专门规定,还新增了“商业营销”作为自动化决策的具体场景,对此提出了更明确的个人选择权与透明度要求。
在生态化建设方面,随着居民消费行为的线上化发展,大型平台公司拥有大量生态化场景,银行与金融科技公司合作开展生态化建设,通过互联网平台批量获客引流,成为重要的获客渠道,与第三方平台合作开展的大量生态化建设面临更高的合规要求。
4.数据安全的强监管和重处罚态势凸显
两法出台前,监管机构已制定各类行政法规和技术标准,规范银行对个人信息的使用,并加大违规处罚力度。2021年,人民银行、银保监会、外管局全年发布的处罚名单中,数据安全与个人信息保护相关罚单119张,占数据类罚单的11%,罚款金额合计约4654万元,金融业数据安全“严监管、重处罚”态势已经形成。
以保护数据主体权益为
目标的数据风险管理体系
《个人信息保护法》第55条、第56条规定:处理敏感个人信息(银行账户属于敏感个人信息);利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动等情形应事先进行信息保护评估。《数据安全法》中也规定:重要数据的处理者应当对其数据处理活动定期开展风险评估。GDPR规定的数据保护影响评估(DPIA)也要求控制者与处理者应评估数据处理过程中固有的风险,并采取措施减轻这些风险。
GDPR与两法的核心均是要求评估数据处理活动的每一个环节能否保护单个数据主体的合法权益,既有业务开展前的影响评估,也有事后的风险评估,本质上是一种风险管理的形式。银行落实数据保护体系实质是企业需要额外增加一种以数据为对象,保护数据主体权益为目标的数据风险管理体系,分为两条主线:
一条主线是业务产品与服务的数据合规管理体系,这个以隐私设计与影响性评估为主,重点保证数据生命周期处理过程是否答合合规与伦理要求,满足合法、正当、必要及告知原则,并重点关注数据主体的权利响应。例如,客户要求银行提供或删除在我行的所有个人信息,行使查阅权、复制权或删除权,银行如何响应?
另一条主线基于各类环境的数据生命周期安全管理体系,重点是对生产、开发测试、办公环境下用户使用不同类型、不同敏感程度数据的行为进行监测审计,并持续发现、预警甚至阻断异常访问行为。同时,借助各种安全技术工具,例如数据脱敏、安全沙箱等,有效防范各类人员操作引发的数据泄露与滥用风险。
传统的网络、应用系统、业务连续性等物理风险客观上也可能会造成数据主体权益的损害,但这种损害往往是群体性的,GDPR与两法强调的数据处理者要考虑个体数据权益的影响有所区分,不纳入数据保护管理的范畴。
光大银行数据安全工作落地实践
光大银行在上述分析研究与工作思路的指导下,以个人信息保护为核心开展数据安全工作,全面落实两法在管理、技术层面的机制与要求并推动实施。具体如下。
1.搭建数据安全管理制度体系框架
我行搭建了以《数据政策》为指导纲领,政策、管理办法、实施细则与技术规范三层的制度框架体系。截至目前,《数据安全管理办法》及相关办法细则,《个人信息保护实施细则》《个人信息保护技术规范》于2021年发布。《数据共享安全管理法》《个人信息保护应急预案》《办公环境数据安全实施细则》等均在制定中。
2.应用开发流程中实施个人信息影响评估(PIA)
我行创新建立了PIA评估机制与300+评估要点库,其中,处理个人信息的最小必要原则是评估要点中最核心的内容。PIA机制于2022年1月实现了EAPS线上化流程,在零售、数金条线40+系统中推广。对手机银行、阳光惠生活、云缴费等7个APP进行专项评估,并逐步覆盖存量重点应用与系统。
3.数据共享安全管理从一事一议转向常态化
数据共享、跨境场景呈快速增长趋势,但由于第三方类型多样、场景复杂,多按需以一事一议的方式开展。同时,对4家外部数据服务商进行了专项评估与整改,与集团签订《集团数据共享治理框架协议》,与卢森堡分行签订《数据处理者协议》等。目前,已对数据共享类型、方式、准入资质、协议等梳理,基本形成数据共享安全影响评估机制进行试点与推广。
4.加速推进创新技术研究与工具开发进程
2021年8月,我行率先上线业内首家基于多方安全计算技术的数据共享融合基础设施平台,探索个人信息跨企业间安全共享的可行路径。2022年重点建设数据安全分级、数据安全监测审计、办公环境数据安全防护系统等技术工具,为有效防范因内部人员违规而导致的数据泄露与滥用风险,以及数据安全管理常态化运营提供重要的技术支撑。
结束语
随着金融科技的不断创新,数据作为生产要素正在深刻地改变着人与人之间、人与之间的关系,数据处理伦理问题不断产生,将严重影响数字经济的健康发展。对于银行来说,数据安全不仅仅是一个新的数据风险管理体系与严守的合规底线,更是数据要素交易市场的准入资质与企业需要秉承的价值观。
2022年,光大银行将以强烈的责任感和使命感,积极探索、勇于尝试,摸索出一条符合我行实际的数据风险管理体系建设道路,培养全员数据安全合规意识与“数据向善”的价值观,为我行的数字化转型之路保驾护航。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪