背景

现如今，世界各地的立法者正在行动起来，加强个人数据隐私的法律保障。而金融机构仅是等待所有细节得到立法明确是不明智的；相反，我们认为金融机构应该把数据隐私作为一个顶级风险，如网络风险，并采取积极主动的方法来管理来进行管理。

金融机构收集和维护与客户、潜在客户以及员工有关的大量信息。鉴于金融机构使用(和计划使用)个人信息的方式众多，并考虑到监管的演变，我们认为，该行业需要在管理数据隐私风险方面积极主动，抢先布局。积极关注数据隐私文化的另一个好处是，银行可以进一步加强其以客户为中心的原则。通过投资于数据隐私控制和流程，它们可以将自己定位为“安全银行”，增加客户参与度。

我们认为金融机构应采取以下五个步骤以在数据隐私方面取得进展：

步骤一：提升高管和董事会层面的认知

领先的金融机构已增加对数据隐私的讨论、提高对隐私风险的认识，并将其提升至高管和董事会级别。例如，以下问题就被用在数据隐私项目的决策中：

•“我们是否符合现行的规章制度？”

•“我们最大的数据隐私风险是什么？”

•“我们的数据隐私方法是否支持我们的战略、商业模式和客户主张？如果没有，我们能做什么？”

•“我们能做什么来指导不断变化的立法？”

•“我们是否有足够的资源和基础设施来处理过程中的法律问题？”

尚未对此足够重视的机构应确保董事会和高级管理层了解不断变化的数据隐私状况及其对组织的影响。而组织应该制定报告，总结隐私风险防范的发展状况，同时总结公司面临的数据隐私风险类型及对它的准备程度。

步骤二：了解组织如何运用个人信息

管理数据隐私风险的关键第一步是建立知识基础，了解本机构收集哪些类型的个人数据、这些数据存储在何处、谁可以访问这些数据以及它是如何使用的。也要注意从第三方获取、共享或出售的数据以及这些安排的业务目的。金融机构还应该了解哪些数据被聚合或匿名，确保即使被披露也不会被任何人追踪。

许多金融机构已经在网络安全的角度，了解其IT资产（包括数据）的重要性。这包括建立IT资产清单，记录数据所在的位置以及如何使用它。金融机构可以将这些尝试作为一个起点，建立全面的个人信息清单，其中应包括所有相关的客户，潜在客户以及员工的个人信息。

步骤三：进行数据风险识别练习

一旦确定了个人数据及其用途，金融机构需要进行的下一个关键活动是评估他们面临的隐私风险。许多金融机构已经开展了自上而下的风险识别研讨会，以帮助识别其关键的非金融风险，包括网络风险。通过这些研讨会，组织可以利用相关知识来了解固有的风险以及现有的控制措施的有效性，以防止这些风险爆发。

金融机构至少应定制对现有网络风险识别的措施，将隐私视为一个关键风险类别。这可以帮助它们识别最大的数据隐私风险，阐明潜在的风险暴露情景，分析潜在的监管、财务和声誉影响，并评估保护控制措施的有效性。

金融机构应在数据隐私风险管理中采取主动的态度，通过了解公司的风险并倾注资源在保护措施，而不是投资大量的运营资源来处理已出现的隐私问题。

步骤四：确定公司对数据隐私的立场

数据隐私的范围和界限并不像网络等其他风险类型一样清晰，考虑到数据隐私法律的演变性质，金融机构应制定数据隐私风险管理的目标和规定。设定目标时应考虑以下问题:

•我们认为什么是个人信息？

•我们如何使用和共享个人信息？

•我们如何通知消费者数据使用？

•我们给消费者什么权利？

步骤五：增加对消费者的披露透明度

大多数金融机构只是采取了最低限度的措施，以符合相关条例来保护消费者的隐私。少有机构会考虑如何真正提高透明度让消费者了解他们所面临的隐私风险以及他们的金融机构正在做什么来保护他们。

我们相信，这会是一个双赢的措施，可以对金融机构的品牌号召力产生积极影响。同时也可以从科技公司中吸取许多教训。例如，一些公司正在使披露的信息更容易访问。一些公司也在教育个人的隐私概念和个人可以采取的措施，通过调整一些措施来增加他们的隐私保护力度。

结论与愿景

为了在长期能够管理数据隐私风险，金融机构应向传统的风险管理方式转变。这包括定义他们的隐私风险管理操作模型，明确划分三层防线，将隐私影响评估作为他们的产品评估标准的一部分，以及在更广泛的风险管理生态系统下整合隐私风险。

金融机构还应考虑从根本上改变其数据管理和技术实施的方法。在产品、流程和技术设计的原则中结合隐私风险，能够显著减缓风险的爆发和影响。这可以使金融机构处于领先位置，有利于面对可能的监管和消费者审查。

总之，金融机构应将数据隐私视为最高风险，并增加高管和董事会层面的讨论。机构应该了解所收集的个人信息以及他们可能遭受到哪些数据隐私风险。在数据隐私问题上应该采取积极主动的立场——围绕个人的透明度、访问数据和控制风险上做出迅速而及时的反应。这些步骤考虑到了公司的声誉、优秀的行业实践例子和消费者的期待，而不是仅仅等待立法机构指明方向，公司需要将数据隐私的重要性提升至风险管理的策略性原则的高度。