邮储银行李朝晖:强化个人金融信息安全,助力银行数字化转型发展


来源:金融电子化    作者:李朝晖    2021-6-18 9:53

数字经济时代下,数据已经成为一种关键生产要素,数据驱动金融、赋能发展的能力已经成为金融机构高质量发展的竞争优势。个人金融信息作为金融数据的核心内容,不仅涉及个人隐私,也影响个人财产和人身安全,甚至影响国家安全。金融机构需要履行主体责任,加强内外联动,对个人金融信息实施重点保护。

中国邮政储蓄银行

信息科技管理部总经理李朝晖

强化个人金融信息安全是银行高质量发展的必然选择

1.个人金融信息安全关系国家金融安全。数字经济离不开数据支撑。为强化网络数据主权,抢占数字经济新优势,欧盟、美国等国家率先颁布数据保护有关法律。近年来,我国个人信息保护得到进一步加强,颁布实施系列法律法规、部门规章和标准规范,从国家层面进一步明确个人信息保护内容,监管要求日趋严格。个人金融信息作为个人信息在金融领域的延伸与细化,一旦发生重大泄露或损毁事件,必将引起系统性金融风险,危害国家金融安全。

2.个人金融信息安全是保障客户权益的客观需要。2020年11月,新版《中国人民银行金融消费者权益保护实施办法》以人民银行令的形式颁布施行,将对违法机构和人员实行“双罚制”,体现了监管部门保护消费者权益的决心。当前,个人金融信息安全已经成为社会普遍关注的问题,今年3·15晚会曝光了9个问题,其中3个问题涉及个人信息,此外疑似“暗网”售卖个人金融信息的事件也时有发生,一旦侵害消费者权益,将受到有关立案调查、现场检查和通报处罚。

3.个人金融信息安全是银行可持续发展的重要保障。近年来,邮储银行秉承“以客户为中心”的服务理念,搭建完成互联网金融平台、服务开放平台、大数据平台等企业级信息化平台,数字化场景生态逐步完善,“千人千面”的个人金融服务能力日渐凸显。疫情期间,服务线上化进程进一步提速,在优化客户流程、提升客户体验的过程中,积累了更多的个人金融电子信息。随着金融科技的广泛应用,个人金融信息的广度和深度进一步扩大,对安全防护提出了更高要求。个人金融信息一旦泄露,将导致银行声誉受损和监管处罚,甚至引起法律责任,影响银行业绩。

邮储银行个人金融信息安全技术体系研究与实践

邮储银行拥有近4万个营业网点,服务个人客户超过6亿户,又具有“自营+代理”的独特运营模式,个人金融信息安全面临更大挑战。个人金融信息由于保护链条长,涉及业务流程复杂,风险动态多变,一直以来都是安全防护的重点和难点。实践证明,个人金融信息保护工作需要立足全行统筹推进,单纯依靠技术或业务部门难以达到较好效果。

2017年,邮储银行按照全行消费者权益保护总体部署,研究制定《加强网络信息安全与客户信息保护工作方案》,邮银协同,总分联动,业务技术部门共同参与,体系化推进,历时3年,取得积极成效。在此基础上,根据国家网络安全与个人信息保护有关法律法规、监管要求和标准规范,邮储银行对标先进同业,以“内控合规”为基础,以“数据价值”为中心,以“风险问题”为导向,组织开展了个人金融信息安全技术体系研究,并结合业务场景推进落地实践。在做好传统网络安全纵深防御的基础上,主要开展了以下技术方面的工作。

1.强化系统安全建设,增强源头保护。一是加强应用安全防护,按照我行个人客户信息保护和数据安全管理专项制度要求,技术业务部门各司其职,协调联动,研究制定有关标准规范,着力规范个人金融信息采集,并将客户授权同意、分类分级保护、业务逻辑和操作安全等要求嵌入业务需求、系统设计、研发测试等关键环节,通过系统固化业务流程,利用强认证、标记化、国密加密、数据脱敏、显示屏蔽、细粒度访问控制及安全审计等措施,从源头上加强保护。二是加强重点领域安全防护,对涉及个人金融信息的重要互联网系统,特别是移动客户端APP、第三方SDK软件,在投产前委托第三方专业机构开展安全检测、金融科技产品认证和监管备案工作,确保安全合规。三是加强终端安全防护,推进数据防泄漏等工程建设,进一步增强数据使用安全,提高对违规操作的监测预警能力。四是加强运维安全,推进生产运维云桌面系统建设,严格特权账号访问路径和权限管理,严控运维人员访问生产系统,并定期开展日志审计,严防数据导出隐蔽通道,确保生产数据安全可控。五是组织开展网络数据与个人信息安全专题评估,联合外部安全机构,持续推动风险隐患整改,同时培养自有安全测试队伍和攻防对抗能力,不断提升主动发现技术漏洞和业务逻辑风险的能力。

2.强化数据安全能力,增强流转保护。一是优化业务流程,通过业务流程触发和动态授权,结合数据脱敏等技术,严格控制员工操作流程,确保个人金融信息查询、修改等敏感操作的合法合规。二是建设数据实验室,通过专用场地提供大数据分析服务,并搭建大数据门户、数据脱敏、数据分析云桌面、数据分发等系统,保障业务数据的安全使用。三是加强数据交互管控,统一外部数据准入管理,并明确系统线上接口交互规范要求,适时开展个人金融信息安全影响评估,优先采用标记化、不可逆脱敏等措施满足业务需要。如确需共享个人金融信息,须提示用户授权同意,并采用传输加密、合约约束等措施进行有效保护。四是探索数据安全共享新模式,研究多方安全计算、同态加密、数据水印等隐私保护技术的应用场景,促进信息安全高效利用。五是加强外部环境监测,与国家专业机构和科技公司合作,开展钓鱼监测与处置服务,定期对源代码托管、共享文库等开放平台进行敏感数据监测和违规追责,并加强外包安全检查。

3.强化宣贯培训和检查,提升安全意识。一是面向全行员工组织开展消费者权益保护、安全保密、个人金融信息安全等方面的培训,让员工知悉消费者权益保护、保密管理及个人金融信息安全方面的新政策新要求,开展案例警示教育,并强化培训考核,切实提高员工安全合规意识。二是积极参加国家网络安全宣传周活动,以此为契机,利用网点、网站、社区等多种渠道,宣传数据安全与个人金融信息保护内容,提高公众安全意识。三是组织开展年度信息科技风险有关检查,将个人金融信息安全纳入条线检查重点内容,坚持零容忍态度,对违规行为严肃追责。

个人金融信息安全展望

近年来,大数据“杀熟”、“内鬼”泄露数据、人脸数据过度采集等不良现象频出,个人金融信息被窃取、泄露、滥用的新手段层出不穷,工具化、产业化、低龄化趋势日趋明显。随着数字经济社会建设和银行数字化转型的深入推进,个人金融信息将面临更加严峻的安全形势,需要持续加强保护。

国家十四五规划和2035年远景目标纲要提出:要加强涉及个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护;要实施金融安全战略,维护金融基础设施安全。人民银行将适时出台《个人金融信息保护暂行办法》,进一步加强行业监管。

个人金融信息安全是一项长期性、系统性工程,需要持之以恒,不断提升。邮储银行将按照国家和金融监管部门要求,认真履行国有银行责任担当,发挥网络安全主体责任,完善长效工作机制,平衡好数据安全与合规使用的关系,强化业技融合,夯实安全基础,完善数据全生命周期安全防护,着力加强移动APP、开放接口等深度触达客户、连接金融生态的互联网系统安全防护,推进隐私计算等新技术应用,进一步提升全行个人金融信息安全防护水平。

评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2021 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号