采访人员从浦发银行了解到 ， 其根据数据安全法、个人信息保护法等法律法规和监管要求 ， 正持续提升数据安全防护能力 ， 着力打造全覆盖体系化网络安全防护体系 ， 持续强化数据安全和客户隐私保护力度 ， 建立全周期多层次数据安全保障体系 ， 从治理、管理、技术三个层面 ， 实施数据采集、传输、存储、使用、删除销毁等全生命周期安全控制 ， 防护数据安全 。
“主要措施包括 ， 一是构建综合安全治理框架 ， 建立常态化安全内控规范机制；二是建立数据安全分类分级标准 ， 采取分级保护；三是实施多层次的纵深防御策略 ， 持续升级网络安全防护体系 。 ”该负责人表示 。
值得注意的是 ， 为了做到完全合规 ， 金融机构也需在业务模式和系统上进行调整 。
一家股份制银行信用卡中心相关负责人对采访人员表示 ， 银行信用卡部门因为客户量众多 ， 为了提高合约签订的效率 ， 银行和客户建立业务关系时使用的合同条款多是格式条款 。 但格式条款在新的个人信息保护法实施后 ， 则遭遇了很大挑战 。 “因为个人信息保护法要求敏感个人信息的对外提供和使用需要取得客户的单独授权和同意 ， 不允许通过格式条款‘一揽子’提供 。 另外 ， 个人信息保护法要求客户在同意提供个人信息之后 ， 还享有撤回的权利 。 以上这些要求都需要我们对现有的系统设置和业务模式进行调整 。 ”他说 。
该负责人也表示 ， 个人信息保护法所保护的客户享有的权利对应的则是银行应该承担的义务 ， 这意味着银行不可避免要进行成本上的投入 ， 这或对银行的利润等产生一定影响 。
难题待破 制度将进一步完善
不过 ， 金融机构人士也表示 ， 在落实个人信息保护和数据安全治理的过程中 ， 存在一些难点和挑战 。
平安银行相关负责人表示 ， 银行因业务发展或风险管理需要 ， 存在外部数据引入及向外部提供数据的需求 ， 该行难以完全掌握外部合作方的个人信息保护工作落实情况 ， 提升了在个人客户信息数据保护的工作难度 。 而外部方并非完全受到金融行业监管约束 ， 这使得在客户个人信息方面 ， 银行与外部方合作的风险难以完全有效缓释 。
浦发银行相关负责人也表示 ， 在推进数据安全治理过程中有如下难点：一是数据的多样化、复杂性给识别数据资产以及数据分级分类带来一定难度；二是数据安全的相关法律法规有待进一步完善 ， 为数据确权提供依据 。
业内人士预期 ， 未来相关法律制度将进一步完善 ， 以促进个人金融信息保护工作的更好开展 。
苏筱芮表示 ， 伴随着顶层制度的不断完善 ， 金融业的数据治理工作将迈入常态化阶段 。 个人信息保护法的出台不仅能够为个人信息保护工作的顺利开展奠定优良根基 ， 且作为信息保护领域的上位法 ， 后续亦将助推其他个人金融信息保护领域相关的法规条例加速出台 。
“未来 ， 我们会进一步完善金融领域个人信息保护的法律制度 ， 并加大对个人信息保护的监管力度 。 ”易纲说 。
易纲还表示 ， 个人信息保护的最终目的是促进数据的合理使用 。 要在充分保护个人信息的前提下 ， 探索实现更加精确的数据确权 ， 更加便捷的数据交易 ， 更合理的数据使用 ， 激发市场主体活力和科技创新能力 。
【金融机构多管齐下筑个人信息“防护墙”】“个人金融信息保护是在合理利用的基础上对个人金融信息保护的强化 。 因为个人金融信息一方面是个人的信息 ， 但另一方面众多的个人金融信息对于国家金融战略的实施和国家金融政策的制定也具有巨大价值 。 因此 ， 在保护个人金融信息的同时 ， 也要兼顾个人金融信息的合理利用 ， 不能为了个人金融信息的保护 ， 而舍弃个人金融信息的合理利用 ， 这二者之间必须保持平衡 。 ”丁宇翔表示 。