金融行业个人信息保护时代的大门正式打开 [复制链接]

4月9日，中国人民银行某支行公布罚单信息。**银行**分行，因未向央行报送账户开立资料；未准确、完整、及时报送个人信用信息；未按照规定处理异议；未经同意查询个人信息；未按规定履行客户身份识别义务等违法行为，被警告并处罚款若干万元。时任相关责任人被处以1.2万至2万元不等的罚款。

4月12日，中国人民银行某分行发布处罚信息，**银行股份有限公司**分行因违规开展金融营销宣传行为、违规收集与业务无关的第三人信息，被责令限期改正，给予警告，并处罚款人民币合计45万元。

在罚单分类当中，行业内部将这两张罚单分类为反洗钱罚单，是因为违反《中华人民共和国反洗钱法》被处罚。对于这个分类没有人有异议，但是值得注意的是，其中存在的个人信息保护元素。

为什么侵害消费者金融信息安全会违反《反洗钱法》呢？

《反洗钱法》第五条明确规定对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息，应当予以保密；非依法律规定，不得向任何单位和个人提供。

《金融数据生命周期安全规范》发布个人信息保护正成为合规核心

金融数据的重要性日益凸显，数据泄漏、滥用、篡改等安全威胁的影响也在不断增加，从金融机构内转移扩大至机构间和行业间，甚至影响国家安全、社会安全、公众利益。

近年来，人民银行不断推动消费者金融信息保护制度建设，相继出台了《个人金融信息保护技术规范》《金融消费者权益保护实施办法》《银行业金融机构数据治理指引》《金融数据安全数据安全分级指南》等等。

年4月8日，《金融数据安全数据生命周期安全规范》正式获批发布实施。金融数据生命周期是指金融业机构在开展业务和进行经营管理的过程中，对金融数据进行采集、传输、使用、删除、销毁的整个过程。

本文件给出了数据生命周期安全框架遵循数据安全原则，以数据安全分级为基础，建立覆盖全数据生命周期过程的安全防护体系。适用于指导金融业机构开展电子数据安全防护工作，并为第三方测评机构等单位开展数据安全检查与评估工作提供参考。

保障个人信息安全已成为各金融机构安全保障义务的核心内容。

金融行业应如何构建自己的数据安全防护体系？

观安信息专注数据安全防护技术近10年，致力于数据安全治理、数据安全全生命周期管理技术的研究。

观安信息在近几年与金融行业机构不断地合作、沟通的过程中，积累了丰富的对于金融行业数据安全经验和理解。部分银行类金融机构的静态脱敏场景，会偏向于使用数据库迁移工具，将业务数据迁移至开发、测试库后，进行原库脱敏，其目的是为了最大程度使用全面、有效的数据及结构来保证开发、测试效果到位。

此外，《金融数据生命周期安全规范》中体现的数据安全原则，一是全程可控的，即在金融数据在全生命周期各环节中采取相应的安全管控机制和技术措施，避免数据被未授权访问、破坏、篡改、泄漏或丢失等。二是动态控制，即金融数据的安全控制策略和安全防护措施不仅是一次性和静态的，同时可基于业务需求、安全环境属性、系统用户行为等因素实施实时和动态调整。

观安观智场景化脱敏系统完全满足了金融行业对数据安全保护的需求，具备完整的静态脱敏、运维动态、应用动态、接口脱敏等多种能力，对机构而言，一套系统可以完成统一的数据资产管理、敏感数据发现，覆盖真实的、不同的业务处理过程中需要用到的数据脱敏场景。其中：

观安观智场景化脱敏系统具备静态脱敏能力，支持多种类型数据库及文件源，按预设的脱敏规则将数据源中的敏感数据脱敏，脱敏后的数据保证数据有效性及业务关联性。静态脱敏能力适用于如下场景：

※脱敏后的数据安全有效，可用于系统开发、测试等场景。

※满足从生产环境中导出以供政府、相关企业及公众等数据外发场景的需求。

※脱敏后的数据具有业务关联性，可满足科研分析场景使用的需求。

运维动态脱敏可对业务系统数据库中敏感数据进行透明、实时脱敏。主要用于直接访问生产数据的数据使用场景，防止并解决以下具体场景下的问题：

※账号共享、临时账号滥用现象，导致运维身份不清。

※数据库运维人员涉及到高危操作、误操作等问题，一旦关键数据丢失，难以恢复。

※数据库内部操作无审计分析，事后无法进行追责溯源。

应用动态脱敏用于业务用户访问应用系统数据的同时进行数据脱敏，可用于对生产数据共享或时效性很高的应用系统访问、对外数据共享等细粒度管控场景。同时：

※对于不同权限的用户访问应用系统时，可以通过系统匹配不同安全等级的脱敏策略，限制人员对应用系统数据内容的访问权限。

※同一用户通过不同的应用界面访问敏感数据，查看效果不同。

场景化脱敏系统提供脱敏API接口能力化服务，机构内部平台可通过调用脱敏接口，实现敏感数据接口脱敏；并可通过调用脱敏策略配置接口，选择不同的脱敏策略。

※如金融机构内部正在使用数据库迁移系统，通过API接口能力的方式实现脱敏无需原系统做出过多的改造，亦不需另外部署一套脱敏系统，仅通过参数的灵活调整与传递，便可轻松实现库倒库的批量数据脱敏效果。

※第三方平台的文件下载场景：如当金融机构员工登录内部CRM系统下载某个文件时，CRM系统将调用API脱敏接口，将该文件进行安全脱敏，完成后返回、并下载至员工本地。对员工来说，下载过程中的脱敏无感知。

观安观智场景化脱敏系统，通过以上技术手段，帮助金融行业公司在满足安全合规的同时，在各种业务场景下保护自身的数据安全可用，规避风险，大大提高了金融行业信息数据的安全性。