数字经济时代下，数据已经成为一种关键生产要素，数据驱动金融、赋能发展的能力已经成为金融机构高质量发展的竞争优势。个人金融信息作为金融数据的核心内容，不仅涉及个人隐私，也影响个人财产和人身安全，甚至影响国家安全。金融机构需要履行主体责任，加强内外联动，对个人金融信息实施重点保护。

中国邮政储蓄银行

信息科技管理部总经理李朝晖

强化个人金融信息安全是银行高质量发展的必然选择

1.个人金融信息安全关系国家金融安全。数字经济离不开数据支撑。为强化网络数据主权，抢占数字经济新优势，欧盟、美国等国家率先颁布数据保护有关法律。近年来，我国个人信息保护得到进一步加强，颁布实施系列法律法规、部门规章和标准规范，从国家层面进一步明确个人信息保护内容，监管要求日趋严格。个人金融信息作为个人信息在金融领域的延伸与细化，一旦发生重大泄露或损毁事件，必将引起系统性金融风险，危害国家金融安全。

2.个人金融信息安全是保障客户权益的客观需要。2020年11月，新版《中国人民银行金融消费者权益保护实施办法》以人民银行令的形式颁布施行，将对违法机构和人员实行“双罚制”，体现了监管部门保护消费者权益的决心。当前，个人金融信息安全已经成为社会普遍关注的问题，今年3·15晚会曝光了9个问题，其中3个问题涉及个人信息，此外疑似“暗网”售卖个人金融信息的事件也时有发生，一旦侵害消费者权益，将受到有关立案调查、现场检查和通报处罚。

3.个人金融信息安全是银行可持续发展的重要保障。近年来，邮储银行秉承“以客户为中心”的服务理念，搭建完成互联网金融平台、服务开放平台、大数据平台等企业级信息化平台，数字化场景生态逐步完善，“千人千面”的个人金融服务能力日渐凸显。疫情期间，服务线上化进程进一步提速，在优化客户流程、提升客户体验的过程中，积累了更多的个人金融电子信息。随着金融科技的广泛应用，个人金融信息的广度和深度进一步扩大，对安全防护提出了更高要求。个人金融信息一旦泄露，将导致银行声誉受损和监管处罚，甚至引起法律责任，影响银行业绩。

邮储银行个人金融信息安全技术体系研究与实践

邮储银行拥有近4万个营业网点，服务个人客户超过6亿户，又具有“自营+代理”的独特运营模式，个人金融信息安全面临更大挑战。个人金融信息由于保护链条长，涉及业务流程复杂，风险动态多变，一直以来都是安全防护的重点和难点。实践证明，个人金融信息保护工作需要立足全行统筹推进，单纯依靠技术或业务部门难以达到较好效果。

2017年，邮储银行按照全行消费者权益保护总体部署，研究制定《加强网络信息安全与客户信息保护工作方案》，邮银协同，总分联动，业务技术部门共同参与，体系化推进，历时3年，取得积极成效。在此基础上，根据国家网络安全与个人信息保护有关法律法规、监管要求和标准规范，邮储银行对标先进同业，以“内控合规”为基础，以“数据价值”为中心，以“风险问题”为导向，组织开展了个人金融信息安全技术体系研究，并结合业务场景推进落地实践。在做好传统网络安全纵深防御的基础上，主要开展了以下技术方面的工作。

1.强化系统安全建设，增强源头保护。一是加强应用安全防护，按照我行个人客户信息保护和数据安全管理专项制度要求，技术业务部门各司其职，协调联动，研究制定有关标准规范，着力规范个人金融信息采集，并将客户授权同意、分类分级保护、业务逻辑和操作安全等要求嵌入业务需求、系统设计、研发测试等关键环节，通过系统固化业务流程，利用强认证、标记化、国密加密、数据脱敏、显示屏蔽、细粒度访问控制及安全审计等措施，从源头上加强保护。二是加强重点领域安全防护，对涉及个人金融信息的重要互联网系统，特别是移动客户端APP、第三方SDK软件，在投产前委托第三方专业机构开展安全检测、金融科技产品认证和监管备案工作，确保安全合规。三是加强终端安全防护，推进数据防泄漏等工程建设，进一步增强数据使用安全，提高对违规操作的监测预警能力。四是加强运维安全，推进生产运维云桌面系统建设，严格特权账号访问路径和权限管理，严控运维人员访问生产系统，并定期开展日志审计，严防数据导出隐蔽通道，确保生产数据安全可控。五是组织开展网络数据与个人信息安全专题评估，联合外部安全机构，持续推动风险隐患整改，同时培养自有安全测试队伍和攻防对抗能力，不断提升主动发现技术漏洞和业务逻辑风险的能力。

2.强化数据安全能力，增强流转保护。一是优化业务流程，通过业务流程触发和动态授权，结合数据脱敏等技术，严格控制员工操作流程，确保个人金融信息查询、修改等敏感操作的合法合规。二是建设数据实验室，通过专用场地提供大数据分析服务，并搭建大数据门户、数据脱敏、数据分析云桌面、数据分发等系统，保障业务数据的安全使用。三是加强数据交互管控，统一外部数据准入管理，并明确系统线上接口交互规范要求，适时开展个人金融信息安全影响评估，优先采用标记化、不可逆脱敏等措施满足业务需要。如确需共享个人金融信息，须提示用户授权同意，并采用传输加密、合约约束等措施进行有效保护。四是探索数据安全共享新模式，研究多方安全计算、同态加密、数据水印等隐私保护技术的应用场景，促进信息安全高效利用。五是加强外部环境监测，与国家专业机构和科技公司合作，开展钓鱼监测与处置服务，定期对源代码托管、共享文库等开放平台进行敏感数据监测和违规追责，并加强外包安全检查。

3.强化宣贯培训和检查，提升安全意识。一是面向全行员工组织开展消费者权益保护、安全保密、个人金融信息安全等方面的培训，让员工知悉消费者权益保护、保密管理及个人金融信息安全方面的新政策新要求，开展案例警示教育，并强化培训考核，切实提高员工安全合规意识。二是积极参加国家网络安全宣传周活动，以此为契机，利用网点、网站、社区等多种渠道，宣传数据安全与个人金融信息保护内容，提高公众安全意识。三是组织开展年度信息科技风险有关检查，将个人金融信息安全纳入条线检查重点内容，坚持零容忍态度，对违规行为严肃追责。

个人金融信息安全展望

近年来，大数据“杀熟”、“内鬼”泄露数据、人脸数据过度采集等不良现象频出，个人金融信息被窃取、泄露、滥用的新手段层出不穷，工具化、产业化、低龄化趋势日趋明显。随着数字经济社会建设和银行数字化转型的深入推进，个人金融信息将面临更加严峻的安全形势，需要持续加强保护。

国家十四五规划和2035年远景目标纲要提出：要加强涉及个人隐私的数据保护，加快推进数据安全、个人信息保护等领域基础性立法，强化数据资源全生命周期安全保护；要实施金融安全战略，维护金融基础设施安全。人民银行将适时出台《个人金融信息保护暂行办法》，进一步加强行业监管。

个人金融信息安全是一项长期性、系统性工程，需要持之以恒，不断提升。邮储银行将按照国家和金融监管部门要求，认真履行国有银行责任担当，发挥网络安全主体责任，完善长效工作机制，平衡好数据安全与合规使用的关系，强化业技融合，夯实安全基础，完善数据全生命周期安全防护，着力加强移动APP、开放接口等深度触达客户、连接金融生态的互联网系统安全防护，推进隐私计算等新技术应用，进一步提升全行个人金融信息安全防护水平。