作者
上海农商银行金融科技部副总经理 张淳
当前,金融机构积极推进数字化转型,数据成为提升其竞争优势的关键要素。个人信息是金融数据的核心内容,个人信息保护工作关系到客户的信息安全和个人权益,金融机构需承担起维护金融安全和消费者权益的责任。
在此背景下,上海农商银行成立了消费者权益保护暨个人信息保护工作委员会,构建了自上而下的个人信息保护组织架构,形成了涵盖事前预防、事中控制以及事后监督的全方位工作机制。通过合规(消保)、业务、科技等部门的深度融合与协同合作,上海农商银行从牵头统筹、执行落地、技术保障三个维度持续加强个人信息保护工作,并取得了显著成效。
一、金融机构个人信息保护工作的背景与挑战
近年来,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律相继颁布施行,社会公众对个人信息保护的重视程度显著提升。2024年12月27日,国家金融监督管理总局颁布了《银行保险机构数据安全管理办法》,该办法单独设置了“个人信息保护”章节。与此同时,金融机构因违反相关法规而受到处罚的案例逐渐增多。这些无疑给金融机构的个人信息保护工作带来巨大挑战。如何在满足监管合规以及保护用户主体权益的同时,实现业务发展与个人信息保护的平衡,已成为金融机构亟待解决的问题。
二、上海农商银行个人信息保护工作实践
在监管合规与业务拓展的双重挑战下,上海农商银行积极开展个人信息保护实践,探索个人信息保护工作创新方法(如图1所示),通过构建完善的自上而下的个人信息保护组织架构,建立健全包括管理流程、技术措施以及检查监督的事前、事中、事后三位一体的个人信息保护机制,形成前台、中台、后台紧密协同的个人信息保护规程,全面强化个人信息保护全流程管理。同时,上海农商银行持续深化组织对个人信息保护的认识与保障能力,有效预防和控制个人信息合规与安全风险,持续推动银行业务数字化转型的稳健发展。
图1 上海农商银行个人信息保护工作创新方法
1.构建与组织自身发展相适应的组织架构
合理的组织架构对于确保个人信息保护工作的全面规划和有效执行至关重要,鉴于个人信息保护工作具有跨领域、跨部门、跨职能以及跨层级的特性,构建一体化管理框架可形成协同合力。为有效推动和开展个人信息保护工作,必须充分考虑现有的组织架构和职责分配,根据个人信息保护监管合规及全生命周期的保护要求,结合行业实践,厘清思路、理顺路径,明确个人信息保护重点领域的工作目标,促进个人信息保护工作的切实落地。
上海农商银行立足实际,构建了“一会、2+N、一岗”自上而下的三层组织架构,确保个人信息保护工作得到“纵深度”及有效执行。其中,“一会”指的是在决策管理层设立消费者权益保护暨个人信息保护工作委员会,负责执行高管层关于消费者权益保护和个人信息保护的工作部署、统一规划,并统筹安排全行消费者权益保护和个人信息保护工作。委员会办公室设在总行消费者权益保护部,并由该部门牵头全行个人信息保护工作。为确保个人信息保护的管理要求、工作安排以及具体措施得到贯彻执行,上海农商银行从保障个人信息主体权益以及安全措施和技术手段等维度出发,设置了“消保合规+数据安全+N业务条线”的“2+N”执行层。“一岗”则是在各部门/业务条线根据其业务发展规模、管理要求、技术保障等实际情况,配置相应的个人信息保护人员,负责辖内个人信息保护的具体工作。
2.建立和完善个人信息保护工作机制
在构建个人信息保护的顶层设计与管理框架后,上海农商银行聚焦制度、流程、技术、人员,确保将个人信息保护工作从宏观指导到微观执行,包括管理制度、流程规范、技术保障及人员意识等各方面都得到全面覆盖和逐层落实,进而构建和完善组织个人信息保护事前、事中、事后工作机制(如图2所示),同时,采取总体设计、分步实施、稳步推进的策略,明确各阶段的实施路径和具体工作内容。
图2 个人信息保护事前、事中、事后工作机制
(1)管理制度
上海农商银行以制度规范行为、以流程优化管理、以文化引领思想,构建并不断完善个人信息保护制度体系,持续优化个人信息保护的工作流程,培育并弘扬积极向上的个人信息保护文化,提升员工个人信息保护的意识和能力,营造全体成员共同维护个人信息安全、促进社会和谐发展的良好文化环境。
一是以用户为中心建章立制。完善个人信息保护的政策、用户协议和流程,确保用户权益得到充分尊重和保障。此外,建立个人信息保护事件应急响应机制,并定期开展应急演练,以确保能够迅速有效地应对各类突发事件,最大限度减少损失和降低事件的不良影响。
二是完善个人信息保护制度体系。相继制定《个人客户信息保护管理办法》《个人信息保护政策管理规定》《个人信息保护影响评估实施细则》《数据出行安全影响评估指南》《移动互联网应用程序(App)个人信息收集和使用规范》等一系列管理办法、规定、细则、标准、指南等,旨在理顺和明确个人信息保护的管理要求、工作职责、工作流程以及技术标准。
三是加强全员个人信息保护意识培养。为了提高全员个人信息保护意识,使其了解“红线”及底线要求,将个人信息保护意识内化于心、外化于行,上海农商银行针对不同培训对象,包括中高级管理人员、基层业务人员、新入职人员、个人信息保护专员以及产品经理等,采取线上培训、现场授课、考试等多种方式,开展法律法规及管理制度的普适性培训、业务专项和条线专题培训以及案例分享与实务操作实战培训,构建了多层次的培训体系。此外,加强对个人信息保护专员的教育工作,相关人员分别通过中国网络安全审查认证和市场监管大数据中心个人信息保护专业人员(PIPP)认证、中国电子技术标准化研究院个人信息保护工程师(PIPE)认证等。
(2)技术保障
上海农商银行通过科技赋能和合力协同,持续推动工作流程线上化、管控措施技术化,强化业务、合规、技术三轮驱动,实现业务场景/流程、数据安全/合规与技术工具/平台有效融合,提供更加智能、透明的个人信息保护技术支撑,固化个人信息保护流程,落实个人信息保护技术措施,稳步推进金融科技在个人信息保护工作中的应用及落地,持续强化个人信息保护全生命周期管理能力(如图3所示)。
图3 个人信息保护全生命周期管理
一是业务流程线上化。建立个人信息影响评估和隐私政策管理系统,实现个人信息保护政策文本新建、调整和发布的全流程管理,以及个人信息保护影响评估审核流程的线上化和平台化,有效解决以往隐私版本管理难、审核流程进度不可见、信息“孤岛”等痛点、难点问题,从而高效落实相关法律法规中关于个人信息主体权利和个人信息保护影响评估的相关要求。
二是识别信息工具化(事前)。通过数据安全定级自动化发现、识别结构化数据中的个人信息,解决个人信息发现难、识别难的问题。
三是信息保护自动化(事中)。采用高可用的应用数据动态脱敏网关,实现对个人数据在展示和下载过程中的权限控制及自动化脱敏处理,有效解决原有实现方式离散化以及用户行为审计、溯源难等问题,降低数据使用风险以及各应用系统改造成本,保障个人信息在使用过程中的安全性和可控性。
四是信息泄露可发现(事后)。开展外联以及内部敏感数据API的安全风险监测工作,加强对敏感数据安全风险的监测,提升对数据泄露事件的追溯能力,保障业务快速、可持续发展。
(3)检查考核
上海农商银行以保障客户信息安全为目标,以检查监督为坚实后盾,通过自查、排查及专项检查等多种方式,坚守个人信息主体权益保障、个人信息(数据)保护以及个人信息(数据)合理使用底线,聚焦工作重点与行业典型案例,全面查找不足,积极补强薄弱环节。
同时,加强个人信息保护工作的检查及考核,全面评估和反映个人信息保护工作的成效。上海农商银行采取技术监测措施,开展了个人信息保护专项检查工作,检查内容包括各相关部门个人信息保护管理现状、对客渠道信息主体权益保护现状以及App个人信息保护合规性等多个方面,进而检验个人信息保护合规要求落实以及安全保护措施执行的有效性。
3.形成紧密协同的个人信息保护工作规程
在开展个人信息保护工作的过程中,上海农商银行着力加强前台、中台、后台的紧密协同,并结合实际业务场景,尤其是重点关注的领域,形成基于业务场景的个人信息保护工作规程。首先,以业务场景为“锚点”,打通个人信息保护工作的“最后一公里”,进一步加强前台、中台、后台之间的紧密协同;其次,通过在实际业务场景中落地个人信息保护工作,推动现有工作机制的改进和优化,形成良性循环,从而加大个人信息保护工作的下沉力度,为业务的快速发展赋能增效。
三、总结与展望
通过上述举措,上海农商银行个人信息保护工作取得了显著成效,获得了相关部门的认可。2023年,上海农商银行荣获由中国网络安全产业联盟(CCIA)数据安全工作委员会、“数据安全共同体计划(DSC)”等组织联合授予的“个人信息保护影响评估(PIA)专题工作二星级标识”;2024年,上海农商银行的“个人信息保护体系的建设与实践”项目荣获第十五届金融科技创新奖“金融科技应用创新奖”。以上奖项充分彰显了上海农商银行在金融科技领域的创新实力和对个人信息保护工作的高度重视,是对其在金融科技创新实践中取得成绩的高度认可。
当前,金融行业蓬勃发展,面对海量数据的挑战,个人信息的保护和治理是一个长期、持续的过程,亦与监管要求以及金融服务高质量发展趋势紧密契合。鉴于个人信息的特殊属性以及组织的自身特点,区域性银行应坚持“认清红线、摸清家底、业技融合、防控风险”的原则,构建并落实切实可行的个人信息保护机制,采取总体设计、分阶段实施、有序推动的策略,以提升组织在个人信息保护方面的整体效能,从而保障和推动业务的高效、可持续发展。
本文刊于《中国金融电脑》2025年第2期
声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
