来源：经济参考报
_原题是：金融机构多管齐下筑个人信息“防护墙”
伴随着金融科技的高速发展 ， 个人金融信息保护问题愈发突出 。 日前正式实施的《中华人民共和国个人信息保护法》 ， 对个人金融信息保护提出了更高要求 ， 金融账户等个人信息更是被归入敏感个人信息当中 。
《经济参考报》采访人员日前采访获悉 ， 当前不少机构正围绕个人信息保护法、数据安全法等进行研究 ， 对现有的系统设置和业务模式进行调整 ， 积极探索新型技术防护手段 ， 保障数据全生命周期安全 。
更细更严 分级管理或成趋势
人工智能、大数据、云计算、分布式记账以及电子商务等技术广泛应用于金融领域 ， 促使金融服务变得更普惠、便捷和高效 。 但与此同时 ， 个人信息保护问题也显得尤为重要 。 “个人金融信息安全、隐私保护领域存在一些顽疾 ， 包括违规收集与使用信息 ， 强制、频繁、过度索取用户权限 ， 超范围收集信息等 。 ”易观高级分析师苏筱芮表示 。
个人金融信息保护一直受到监管层高度关注 。 人民银行行长易纲近日在2021年香港金融科技周上发表视频演讲时表示 ， 2005年以来人民银行在反洗钱、消费者权益保护和征信等领域陆续出台了个人信息保护相关制度 。 而从立法层面来看 ， 今年6月和8月 ， 我国分别出台了数据安全法和个人信息保护法 ， 初步建立了个人信息保护的法律制度体系 。
11月1日正式实施的《中华人民共和国个人信息保护法》 ， 是我国第一部个人信息保护方面的专门法律 。 “虽然个人信息保护法并没有专门关注个人金融信息 ， 但包括了对个人金融信息在内的各类个人信息的周密保护 。 ”北京金融法院法官丁宇翔表示 。 他特别提及 ， 个人信息保护法第二章第二节为“敏感个人信息的处理规则” ， 将生物识别信息归入敏感个人信息中 ， 而金融账户以及金融服务线上场景中常用的指纹、面部识别特征等都属于敏感个人信息 。
按照个人信息保护法规定 ， 只有在具有特定目的和充分必要性 ， 并采取严格保护措施的情形下 ， 个人信息处理者方可处理敏感个人信息；处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的 ， 从其规定 。
丁宇翔表示 ， 金融机构需要探索更为精细或者说更为严格的个人金融信息的分级管理措施 。 个人信息保护法将个人信息分为敏感个人信息和非敏感个人信息 ， 而金融行业实际上划分的更为精细 。 他提及 ， 2020年 ， 中国人民银行出台过一个行业标准 ， 即个人金融信息保护技术规范 ， 这个标准将个人金融信息按照敏感程度分为三个等级 ， 针对每个等级 ， 金融机构需要实施的保护举措是不一样的 。
“分级管理是一个大的方向 ， 我预期所有的金融机构会在个人金融信息分级管理措施上有更进一步的跟进举措 。 ”丁宇翔说 ， 后续 ， 金融机构也需要针对不同等级不同敏感程度的个人金融信息 ， 遵循不同的处理规则 。
技术加持 常态化全周期防护
整体而言 ， 数据安全法、个人信息保护法给金融机构在信息获取和使用、数据处理等方面提出了更高要求 。 采访人员在采访中了解到 ， 当前 ， 不少机构正在根据新规进行相应调整 。
平安银行相关负责人表示 ， 今年伊始 ， 该行成立了平安银行个人信息保护委员会 ， 委员会包含了风险、业务、科技、合规、消保、人力资源管理等各领域专家 ， 统筹管理全行个人信息保护相关工作 。 同时 ， 该行不断提升技术防护能力 ， 保障数据全生命周期安全 。 技术防护能力逐步优化 ， 强化物理安全、网络安全、系统安全、应用安全、数据安全技术防护措施的同时 ， 也在积极探索新型技术防护手段 ， 确保个人信息数据收集、传输、存储、使用、删除及销毁的全生命周期安全 。