伴隨著金融和科技的深度融合，數(shù)據(jù)要素價值凸顯，但個人金融信息過度應(yīng)用或隨意共享等問題，對金融消費(fèi)者信息安全和個人權(quán)益造成威脅和侵害。本文分析了個人金融信息保護(hù)的現(xiàn)狀和所面臨的挑戰(zhàn)，提出在個人金融信息保護(hù)方面進(jìn)一步完善治理的建議，為做好金融業(yè)數(shù)據(jù)治理、推動我國金融科技健康可持續(xù)發(fā)展、促進(jìn)金融行業(yè)數(shù)字化轉(zhuǎn)型提供參考。

近年來，人工智能、區(qū)塊鏈、大數(shù)據(jù)等新技術(shù)以不可阻擋之勢在各行各業(yè)廣泛應(yīng)用，金融科技浪潮更是滾滾而來。新技術(shù)在提升資金融通效率、降低服務(wù)成本、提高用戶體驗等方面取得顯著成效。但同時也應(yīng)看到，伴隨著金融和科技的深度融合，數(shù)據(jù)要素價值凸顯，部分機(jī)構(gòu)或因利益驅(qū)動，或因?qū)€人信息保護(hù)意識薄弱、或因技防能力欠缺，在創(chuàng)新業(yè)態(tài)中采集了大量個人金融信息，并進(jìn)行過度應(yīng)用或隨意共享，對金融消費(fèi)者信息安全和個人權(quán)益造成威脅和侵害。

黨中央、國務(wù)院高度重視金融風(fēng)險防控，中國人民銀行在加強(qiáng)個人金融信息保護(hù)、防范金融風(fēng)險方面提出明確要求。加強(qiáng)個人金融信息保護(hù)已成為構(gòu)建要素市場化配置體制機(jī)制、激活金融業(yè)數(shù)據(jù)要素價值的關(guān)鍵舉措和必然要求。本文分析了個人金融信息保護(hù)的現(xiàn)狀和所面臨的挑戰(zhàn)，提出在個人金融信息保護(hù)方面進(jìn)一步完善治理的建議，為推動我國金融科技健康可持續(xù)發(fā)展、促進(jìn)金融行業(yè)數(shù)字化轉(zhuǎn)型提供參考。

個人金融信息保護(hù)現(xiàn)狀

個人金融信息是指金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)時自行獲取或通過其他渠道獲取，并進(jìn)行加工和保存的個人信息，包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息。金融業(yè)機(jī)構(gòu)在提供金融服務(wù)的同時也掌握了消費(fèi)者個人金融信息，隨著數(shù)字化轉(zhuǎn)型升級的發(fā)展，個人金融信息安全問題越來越受到國家層面、金融管理部門、從業(yè)機(jī)構(gòu)及金融消費(fèi)者的重視，相關(guān)法律法規(guī)、標(biāo)準(zhǔn)及技術(shù)措施等也逐步制定和推行。

法律法規(guī)及部門規(guī)章保障個人金融信息主體權(quán)益

近年來，國家及監(jiān)管部門越發(fā)重視個人信息保護(hù)，初步形成涵蓋法律法規(guī)、部門規(guī)章等多層次的個人金融信息法律規(guī)范體系。2021年1月1日實(shí)施的《民法典》，確定隱私的定義，明確個人信息的定義及處理個人信息應(yīng)遵循的原則和條件。中國人民銀行于2019年9月6日印發(fā)的《金融科技（FinTech）發(fā)展規(guī)劃（2019—2021年）》（銀發(fā)〔2019〕209號），明確加大金融信息保護(hù)力度，提出建立金融信息安全風(fēng)險防控長效機(jī)制、加強(qiáng)金融信息安全防護(hù)及強(qiáng)化金融信息保護(hù)內(nèi)部控制管理要求?！毒W(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《反洗錢法》等法律法規(guī)，及中國人民銀行《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》（銀發(fā)〔2011〕17號）、《關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個人金融信息保護(hù)工作的通知》（銀發(fā)〔2012〕80號）、《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)做好個人金融信息保護(hù)技術(shù)管理工作的通知》（銀發(fā)〔2020〕45號）等政策文件，均對個人金融信息保護(hù)提出明確要求。銀保監(jiān)會《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》（銀保監(jiān)發(fā)〔2018〕22號），對銀行業(yè)機(jī)構(gòu)的數(shù)據(jù)內(nèi)部控制提出了治理要求，并通過援引國家標(biāo)準(zhǔn)，將個人信息安全相關(guān)要求納入金融業(yè)機(jī)構(gòu)合規(guī)體系。

此外，聚焦于數(shù)據(jù)安全和個人信息保護(hù)的專門法律《數(shù)據(jù)安全法》《個人信息保護(hù)法》及中國人民銀行專項針對個人金融信息保護(hù)的《個人金融信息（數(shù)據(jù)）保護(hù)試行辦法》，也已呼之欲出，將全面保障個人金融信息主體的合法權(quán)益。

國家和行業(yè)標(biāo)準(zhǔn)進(jìn)一步規(guī)范個人金融信息保護(hù)

2020年3月，國家標(biāo)準(zhǔn)化管理委員會發(fā)布《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2020），規(guī)定了個人信息處理活動的原則和安全要求，提出了銀行賬戶、鑒別信息、信貸記錄、交易和消費(fèi)記錄等為個人敏感信息。2020年2月，中國人民銀行印發(fā)《個人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171-2020），對個人金融信息進(jìn)行了分類分級，規(guī)定了不同類別個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全技術(shù)要求和管理要求。近年來，中國人民銀行陸續(xù)發(fā)布的支付標(biāo)記化、移動金融客戶端應(yīng)用軟件安全管理、金融分布式賬本技術(shù)應(yīng)用、商業(yè)銀行應(yīng)用程序接口等相關(guān)金融標(biāo)準(zhǔn)，從金融領(lǐng)域信息系統(tǒng)、技術(shù)安全層面進(jìn)一步對個人金融信息保護(hù)提出了具體要求。

新技術(shù)發(fā)展應(yīng)用不斷提升個人金融信息保護(hù)能力

個人金融信息安全風(fēng)險通常被認(rèn)為是信息化、網(wǎng)絡(luò)化、數(shù)字化時代產(chǎn)生的，是科技創(chuàng)新挑戰(zhàn)了傳統(tǒng)模式的結(jié)果，同時，保護(hù)個人金融信息安全也仍然需要依靠科技手段。個人金融信息通過受理終端、客戶端軟件進(jìn)入后臺信息系統(tǒng)，在相關(guān)技術(shù)標(biāo)準(zhǔn)指引下，金融業(yè)機(jī)構(gòu)從信息全生命周期入手，采用信息加密保護(hù)、運(yùn)行環(huán)境檢測、系統(tǒng)雙向認(rèn)證等技術(shù)手段，強(qiáng)化終端、軟件及后臺系統(tǒng)的安全管理，防范被非法入侵和信息泄露的風(fēng)險。尤其是近年支付標(biāo)記化、去標(biāo)識化、匿名化、安全加密等技術(shù)在金融業(yè)務(wù)廣泛應(yīng)用，從源頭上對用戶銀行卡卡號、支付賬號、卡片驗證碼等信息進(jìn)行脫敏或加密處理，有效防范了信息泄露的風(fēng)險，切實(shí)提升了信息在收集、傳輸、使用等各環(huán)節(jié)的安全保障能力。

個人金融信息保護(hù)面臨的挑戰(zhàn)

雖然我國法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、技術(shù)應(yīng)用在個人金融信息保護(hù)方面初步形成體系，取得一定效果，但在法規(guī)精準(zhǔn)聚焦、監(jiān)管機(jī)構(gòu)聯(lián)動協(xié)同、技術(shù)措施全面防范、機(jī)構(gòu)和個人意識等方面的不足，使得個人金融信息有效保護(hù)仍然面臨挑戰(zhàn)，具體分析如下：

新業(yè)態(tài)下信息保護(hù)難度加大

一是隨著金融與信息科技的深度融合，個人金融信息在金融產(chǎn)業(yè)鏈中的應(yīng)用場景及行業(yè)間共享范圍不斷延伸，信息保護(hù)相關(guān)法律法規(guī)建設(shè)滯后于業(yè)務(wù)形態(tài)快速發(fā)展。二是當(dāng)前個人金融信息各監(jiān)管部門的職責(zé)分工有待進(jìn)一步明確，監(jiān)管統(tǒng)籌、工作聯(lián)動、協(xié)同機(jī)制等有待加強(qiáng)。三是近年來數(shù)據(jù)黑色產(chǎn)業(yè)猖獗，通過“拖庫”等非法手段獲得個人銀行開戶、手機(jī)注冊等信息，在“暗網(wǎng)”等渠道進(jìn)行非法交易，大量的個人金融信息遭到泄露，且追查不法分子難度較大。四是有些規(guī)模較大企業(yè)，借助電商、社交媒體、游戲等領(lǐng)域，匯聚了大量的用戶群體，通過霸王條款，過度收集用戶信息，形成數(shù)據(jù)寡頭。一旦數(shù)據(jù)發(fā)生集中泄露，便可能利用大數(shù)據(jù)分析技術(shù)預(yù)測經(jīng)濟(jì)形勢和居民消費(fèi)行為，從而對國家經(jīng)濟(jì)安全、信息安全帶來威脅。

技術(shù)防護(hù)措施仍然存在短板

線上金融業(yè)務(wù)不斷發(fā)展的今天，愈來愈多個人金融數(shù)據(jù)暴露在互聯(lián)網(wǎng)上，在數(shù)據(jù)搜集、傳輸?shù)冗^程中，技術(shù)安全措施只要在某一環(huán)節(jié)上存在缺陷，就可能造成數(shù)據(jù)泄露。以網(wǎng)絡(luò)安全措施為例，常見的網(wǎng)絡(luò)安全技術(shù)措施在應(yīng)對以破壞為目的攻擊時，通常能發(fā)揮較明顯的作用，但當(dāng)受到以竊取數(shù)據(jù)為目的攻擊時，其防御性可能會明顯降低，尤其是當(dāng)攻擊者利用網(wǎng)絡(luò)安全漏洞從內(nèi)部網(wǎng)絡(luò)攻擊時，安全措施更是難以應(yīng)對。網(wǎng)絡(luò)安全技術(shù)措施的短板成為造成消費(fèi)者數(shù)據(jù)泄露和資金損失的重要原因之一。例如2018年，不法分子利用某機(jī)構(gòu)的網(wǎng)絡(luò)安全漏洞，入侵其安全防范薄弱的信息系統(tǒng)，并植入惡意腳本竊取了上萬名消費(fèi)者個人金融信息。另外，在生物特征采集和使用、數(shù)據(jù)集中存儲、密碼信息保護(hù)等方面所采取的技術(shù)保護(hù)措施，也存在被非法利用的可能，全面做好技術(shù)防護(hù)措施，補(bǔ)齊應(yīng)用短板，對保障個人金融信息安全尤為重要。

機(jī)構(gòu)內(nèi)部數(shù)據(jù)治理有待加強(qiáng)

近年來，部分金融業(yè)機(jī)構(gòu)內(nèi)控管理機(jī)制不健全、信息系統(tǒng)建設(shè)不完善，個人信息保護(hù)職能不清晰、信息審計和專項檢查不到位、信息使用和訪問不規(guī)范、發(fā)生信息泄露事件后處理無制度可循等問題，使得惡意盜取用戶信息，違規(guī)向第三方平臺泄露個人金融信息的情況頻出，甚至存在內(nèi)部職工在金錢利益的驅(qū)使下，利用職務(wù)之便，從系統(tǒng)導(dǎo)出客戶個人金融信息違規(guī)出售的情況，嚴(yán)重違背了個人金融信息保護(hù)規(guī)定，侵害了消費(fèi)者的信息安全權(quán)。2020年11月，北京金融科技產(chǎn)業(yè)聯(lián)盟與相關(guān)機(jī)構(gòu)共同發(fā)布的《中國個人金融信息保護(hù)執(zhí)法白皮書（2020）》，分析了近年來有關(guān)個人信息保護(hù)的各類行政、民事、刑事案例情況。據(jù)不完全統(tǒng)計，截至2020年10月25日，中國人民銀行總行及各地分支行開出的罰單中，涉及“個人金融信息”的超過180張，處罰對象包括銀行、證券、支付機(jī)構(gòu)等，處罰的行為主要包括未經(jīng)審批查詢個人金融信息、未按規(guī)定保存客戶身份資料和交易記錄、侵害消費(fèi)者個人信息依法得到保護(hù)的權(quán)利等。

個人信息防護(hù)意識有待提升

部分金融消費(fèi)者對保護(hù)個人金融信息意識淡薄，在智能移動終端上隨意下載App，使用各種需要提供超出服務(wù)范圍的個人信息才能開展的應(yīng)用，更有甚者為了“薅商家羊毛”不惜無條件出讓個人金融信息。另外，很多金融消費(fèi)者在多家銀行或支付賬戶上使用相同或過于簡單的密碼，在輸入密碼時忽略身邊環(huán)境安全等不良習(xí)慣，造成信息被泄露、盜取，從而發(fā)生資金損失的案例屢見不鮮。移動互聯(lián)網(wǎng)環(huán)境下，應(yīng)提升金融消費(fèi)者主動防護(hù)個人信息安全的意識，并加強(qiáng)防護(hù)措施的教育，才能更加有效防范信息泄露的風(fēng)險。

個人金融信息保護(hù)工作建議

在金融業(yè)務(wù)活動中，出現(xiàn)個人金融信息泄露，不僅侵害金融消費(fèi)者合法權(quán)益、影響金融業(yè)機(jī)構(gòu)聲譽(yù)和發(fā)展，甚至可能危害國家金融安全。當(dāng)前金融科技浪潮迭起，個人金融信息保護(hù)成為保障國家金融安全、實(shí)現(xiàn)數(shù)據(jù)要素倍增作用、達(dá)成商業(yè)利益和公眾權(quán)益共贏的基石，必須打好這個數(shù)字底座，才能保障金融科技發(fā)展行穩(wěn)致遠(yuǎn)。

構(gòu)建協(xié)同共治格局 完善金融業(yè)數(shù)據(jù)治理體系

黨的十九屆四中、五中全會將“數(shù)據(jù)”列為生產(chǎn)要素，提出要推動數(shù)據(jù)資源開發(fā)利用，加強(qiáng)個人信息保護(hù)。平衡好數(shù)據(jù)治理和信息保護(hù)關(guān)系需要金融管理部門與工信、公安等多部門聯(lián)合，實(shí)現(xiàn)多元協(xié)同共治。一是法律法規(guī)制定部門應(yīng)要充分考慮行業(yè)發(fā)展情況和需要，制定或修正相關(guān)配套規(guī)章制度，拓寬法律法規(guī)適用邊界。二是公安機(jī)關(guān)與金融管理等部門聯(lián)動，嚴(yán)厲打擊數(shù)據(jù)交易黑色產(chǎn)業(yè)鏈，處罰、震懾不法分子，營造良好金融數(shù)據(jù)保護(hù)環(huán)境。三是針對擁有大量個人金融數(shù)據(jù)資源的寡頭企業(yè)，監(jiān)管部門應(yīng)對其業(yè)務(wù)開展過程中收集、傳輸、存儲、使用個人金融信息的各環(huán)節(jié)加強(qiáng)監(jiān)管，防范因信息系統(tǒng)漏洞或人為原因，造成數(shù)據(jù)大規(guī)模泄露，給國家經(jīng)濟(jì)安全帶來威脅。四是充分發(fā)揮行業(yè)自律組織作用，通過金融科技產(chǎn)業(yè)聯(lián)盟等建立健全自律檢查制度，組織推動產(chǎn)業(yè)機(jī)構(gòu)合理運(yùn)用新技術(shù)促進(jìn)金融業(yè)務(wù)創(chuàng)新、提升金融業(yè)務(wù)精準(zhǔn)性和可得性的同時，加強(qiáng)個人金融信息全生命周期保護(hù)的自律工作，落實(shí)金融業(yè)數(shù)據(jù)治理要求，防范違規(guī)濫用數(shù)據(jù)而擾亂市場秩序，嚴(yán)控個人金融信息泄露、隱私侵權(quán)等。

發(fā)揮金融科技優(yōu)勢 強(qiáng)化個人金融信息保障措施

數(shù)據(jù)已成為重要生產(chǎn)要素，嚴(yán)格遵循個人金融信息保護(hù)相關(guān)法律法規(guī)和相關(guān)技術(shù)標(biāo)準(zhǔn)就更為重要，而金融科技手段保護(hù)個人隱私與數(shù)據(jù)安全成為必然之選。一是利用多方安全計算、同態(tài)加密等技術(shù)結(jié)合自然語言處理、機(jī)器學(xué)習(xí)等人工智能技術(shù)可以實(shí)現(xiàn)關(guān)鍵信息脫敏處理、關(guān)聯(lián)信息分散存儲、數(shù)據(jù)傳輸端到端加密，確保數(shù)據(jù)可用不可見，在打破數(shù)據(jù)孤島發(fā)揮數(shù)據(jù)要素倍增作用的同時，有效防控信息泄露、篡改與濫用。二是運(yùn)用大數(shù)據(jù)技術(shù)為風(fēng)險智能防控提供基礎(chǔ)的數(shù)據(jù)處理支撐，對數(shù)據(jù)保護(hù)、數(shù)據(jù)接入、數(shù)據(jù)處理與存儲、變量與模型計算等提出技術(shù)和安全要求，防范數(shù)據(jù)風(fēng)險。三是應(yīng)用區(qū)塊鏈技術(shù)的去中心化、難以篡改等特點(diǎn)，結(jié)合共識機(jī)制、時間戳、智能合約等手段，追溯修改和使用數(shù)據(jù)的主體行為，降低個人金融信息數(shù)據(jù)被破壞和泄露的風(fēng)險。四是通過應(yīng)用程序編程接口技術(shù)（API）、軟件開發(fā)工具包（SDK）等技術(shù)，向金融消費(fèi)者提供個性化、多元化、定制化的金融服務(wù)，有效監(jiān)控和防止數(shù)據(jù)泄露，保障個人金融信息安全。

加強(qiáng)機(jī)構(gòu)內(nèi)控管理 落實(shí)個人金融信息合規(guī)要求

一是明確機(jī)構(gòu)間職責(zé)定位，注重監(jiān)管合作。金融業(yè)機(jī)構(gòu)要加強(qiáng)與金融監(jiān)管部門合作，配合對個人金融信息的監(jiān)管，合理應(yīng)用所采集數(shù)據(jù)，防止利用金融消費(fèi)者敏感信息獲取不當(dāng)利益。二是強(qiáng)化機(jī)構(gòu)內(nèi)部控制管理。金融業(yè)機(jī)構(gòu)要建立健全金融信息安全管理制度，開展網(wǎng)絡(luò)支付相關(guān)業(yè)務(wù)時，不得委托或授權(quán)無支付業(yè)務(wù)資質(zhì)的合作機(jī)構(gòu)采集支付敏感信息，要明確相關(guān)崗位和人員的管理責(zé)任和數(shù)據(jù)訪問權(quán)限，定期開展金融信息安全內(nèi)部審計與外部安全評估，加強(qiáng)金融信息法規(guī)知識培訓(xùn)教育。三是全流程記錄接觸個人金融信息的過程。采取金融科技手段對個人金融信息的接觸者進(jìn)行數(shù)字化記錄，并對訪問數(shù)據(jù)、使用數(shù)據(jù)進(jìn)行留痕。四是建立內(nèi)部個人金融信息安全監(jiān)督機(jī)制。定期開展個人金融信息安全審計，及時修復(fù)所發(fā)現(xiàn)的安全漏洞，存在信息泄露或人員違規(guī)行為的，應(yīng)立即采取有效措施防范風(fēng)險，涉嫌違法犯罪的應(yīng)移交公安機(jī)關(guān)，追究刑事責(zé)任。

加強(qiáng)個體宣傳教育 提高個人金融信息防護(hù)意識

一方面，建立長效宣傳機(jī)制，如通過開展“支付安全”“信息保護(hù)”等主題活動，宣傳做好網(wǎng)絡(luò)支付賬號、銀行卡卡號、交易密碼、短信驗證碼、身份證號碼等信息保護(hù)對資金安全的重要性。另一方面，金融業(yè)機(jī)構(gòu)應(yīng)加大基于大數(shù)據(jù)的行為分析，對發(fā)現(xiàn)的潛在信息安全風(fēng)險，通過短信、微信、電話等方式精準(zhǔn)向金融消費(fèi)者發(fā)布提示信息，及時預(yù)警、核實(shí)存在的風(fēng)險，喚醒消費(fèi)者的個人金融信息防護(hù)意識。

（潘潤紅為中國金融電子化公司副總經(jīng)理、北京金融科技產(chǎn)業(yè)聯(lián)盟秘書長。本文編輯/秦婷）