浅谈金融行业个人信息安全保护发展现状

前言：进入21世纪以来，随着信息社会的发展，个人信息隐私保护问题日益突出。 由于社会改革开放步伐加快，信息产业迅猛发展，科技日新月异，立法规划日新月异，我国在很长一段时间内没有意识到保护个人信息的重要性。 直到2018年5月1日实施的国家标准GB/T 35273-2017《信息安全技术-个人信息安全规范》的发布，个人信息安全保护方面还没有国家标准规范。 2017年6月1日起施行的《网络安全法》第四章明确规定了个人信息的保护，并对侵犯个人信息安全的行为制定了处罚措施。 基于以上背景，对《安全条例》进行研究分析，无疑对金融主业的发展具有很强的现实指导意义。 从内容上看，《安全规范》呼应了业界长期以来关注的痛点。 》等明确规划了内外边界，对收集、存储、使用、传输等信息处理环节的工作提出明确意见，有助于各行各业制定个人合规政策根据本合规政策符合行业特点的信息安全保护标准，银行、保险、证券、各类交易所等金融机构不仅持有消费者的个人财产信息，还持有消费者在交易过程中的个人身份信息。办理个人金融业务，保护消费者财产信息和个人信息，既是尊重消费者个人隐私的职业道德和企业信誉需要，也是防止因隐私信息泄露、窃取等方式非法牟利的义务。 21世纪，个人信息频发针对信息侵权案件，我国法律加大了对消费者个人信息的保护和对侵犯个人信息行为的处罚力度。 同时，作为关键信息基础设施的运营机构（金融行业）必须高度重视消费者个人信息保护，把握相关法规要求，将消费者个人信息保护作为一项紧迫任务推进.

一、2018年“国内”个人信息安全事件回顾：

2018年2月，知名视频弹幕网站哔哩哔哩（bilibili）比特币的隐私保护策略，又名“哔哩哔哩”，其多条用户视频、昵称、头像、用户评论被360旗下快视频盗用； B站用户表示担心自己的账号密码涉嫌被盗。

2018 年 6 月，51job.com（纳斯达克股票代码：JOBS）的用户信息在暗网上被公开出售。 黑客甚至还展示了一些样本数据，包括电子邮件地址、密码、真实姓名、身份证号码和电话号码。 据卖家信息显示比特币的隐私保护策略，他手中一共可以出售195万条数据，打包价格为12个比特币。 （事发时，1个比特币的价格超过4万元，12个比特币的总价约为50万元。）

2018年6月，AcFun（以下简称“A站”）发布公告称，由于A站遭到黑客攻击，导致数千万用户信息泄露，若2017年7月7日后未登录，则密码实力非最高级别，账号存在一定风险，请尽快修改密码。

2018年8月，据报道，华住集团旗下汉庭、美爵等酒店包括个人身份证号码、手机号码、开房记录等在内的个人信息共计5亿条被泄露，并被打包并在暗网上出售。

2018 年 10 月，香港国泰航空遭遇隐私泄露事件，影响多达 940 万乘客。 24日，国泰航空公布资料外泄事件，称公司及全资子公司港龙航空未经授权获取部分旅客资料，包括护照号码及身份证号码等个人资料。

2018年11月，暗网黑客声称窃取了汽车金融平台久融网的后台权限，可以入侵所有服务器。 黑客声称他在平台上获得了 30 万用户的数据，并以 1 个比特币（目前价值 35000 元）的价格出售。

2018年11月，万豪国际集团官方微博发布声明称，喜达屋酒店客房预订数据库中的宾客信息被未经授权访问。 该数据库包含多达约 5 亿宾客的信息，其中包括客户的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋 VIP 客户信息、出生日期、性别和其他个人信息，对于一些客户还可以包括支付卡号和支付卡有效期。

2018年12月，今日网友在微博爆料称，陌陌的3000万数据在暗网以200元的价格出售。 陌陌向媒体表示，消息中透露的时间是2015年左右，具体情况陌陌内部正在研究确认，会尽快回复。

二、金融机构在个人信息安全保护方面存在的问题

2.1 法律法规

1）个人信息范围边界不够清晰，增加了银行、证券、保险等金融机构的实施难度

《民法总则》第一百一十一条规定：“自然人的个人信息受法律保护。 任何组织和个人需要获取他人个人信息的，应当依法获取并保障信息安全，不得非法收集、使用、加工、传输他人个人信息。 信息，不得非法买卖、提供或者披露他人个人信息”，但该法并未提及个人信息范围如何确定，企事业单位在实际操作中也存在较大争议。 2017年5月9日公布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，公民个人信息的范围仅涵盖刑法领域，存在一定的能否直接适用于民法领域存在不确定性。 此外，司法解释对个人信息的范围仅采用列举的方式进行说明。 对于年龄、家庭住址、债务状况、婚姻状况、家庭成员状况、职业状况、教育状况、私家车状况、保单信息等是否均属于个人信息范畴，不直接涉及。 例如，消费记录、理财记录、保单消费范围、职业范围等数据是否被加工成大数据用于营销或出售给第三方，涉及个人信息泄露。 现行民法和刑法尚未明确界定。 保护规则的模糊性不利于银行业金融机构的行为预测。 银行业金融机构容易进退两难，纠纷和处理成本也会增加。

2）目前互联网金融、银行、证券公司、保险等诸多合作伙伴在个人信息监管方面存在隐患

目前很多金融机构的理财平台都有很多基金、私募基金、P2P网贷、货币基金、信托产品等，同时与一些担保机构合作，补偿消费者部分产品的损失. 作为很多理财产品所属的公司，客户在购买相关产品后，也会保留消费者的个人信息。 同时，担保机构也有权获取担保人的个人信息。 对于部分担保业务，部分银行业金融机构还以合同形式约定了担保人的权利。 但在大多数情况下，获取个人信息的金融机构将消费者的个人信息置于金融机构对产品营销平台的监管范围之外。 但是，如果个人信息被非法交易、个人信息被窃取等，对于理财平台所属企业的声誉和美誉度将是双重打击。 如何保证存储在第三方公司的个人信息安全，也是所有金融机构需要考虑的问题。

3）个人信息存储时限尚未完善

现行法律并未规定个人信息保护的具体期限。 如果一味要求永久存储，各行业的金融机构都需要付出一定的成本。 如果这笔费用由自己承担，不分担，对银行业金融机构是不公平的。 《个人信息安全规范》规定，个人信息的存储时间应尽量缩短：个人信息的存储期限应为达到目的所必需的最短时间； 个人信息超过上述保存期限后，应当对个人信息进行删除或匿名化处理。 根据中国人民银行关于个人存款人信息保存期限的规定：银行交易记录保存3-6个月，未清账户账户交易明细查询期限由各省规定，原则上不得少于5年。 但消费者在金融机构注销账户时，多数情况下金融机构并不会删除原有的个人信息记录。 此外，国家级研究机构和金融科技公司是否可以出于促进社会发展、促进金融产业结构优化等研究目的，从金融机构获取个人信息，目前尚无明确规定。

2.2 内部管理问题

1）个人信息的收集和使用不够规范

部分金融机构擅自收集信息，擅自查询个人信用报告； 信息收集范围过大，不符合“最低限度必要”原则； 在内部访问和使用个人信息时，未执行严格的审批和责任制度，缺乏必要的权限控制和跟踪管理； 职责权限相匹配的作业制度未严格执行，各类作业人员的信息接触面未得到合理限制。

2）对外提供的信息不规范

部分金融机构未按要求对外包服务机构和网络商户进行安全评估，在向外包企业提供个人信息时未明确告知信息主体； 与外包服务商签订保密协议时，未明确约定个人信息保护责任和保密义务，未制定风险事件发生后的止损措施。 不对个人信息数据进行分类分级，未采取有效的隐私保护脱敏措施。

3) 个人信息的不规范存储

部分保险、证券公司未及时制定或修订信息安全技术防范措施，未对信息系统进行风险评估和等级保护评价； 技术手段审计记录了内部和第三方运维人员的操作行为，涉及消费者个人信息的业务系统未按照保障要求进行彻底整改，存在一定风险和漏洞。 同时，没有采取严格的技术措施来防止接触个人信息的专职人员的办公电脑数据泄露。

4）员工信息保护教育培训不到位

一些金融机构没有将个人信息保护等内容纳入企业安全意识教育培训计划，没有对接触个人信息的专职人员进行专项培训，也缺乏相应的考核。

5）个人信息保护不规范

部分金融机构未明确个人信息保护的主管部门、岗位设置、职责和权限划分。 营业部门和信息部门也有权对消费者的个人信息进行监管。 未制定专门的操作规程、检查制度、责任追究制度和应急预案； 未开展个人信息泄露应急演练，在收集消费者个人信息时未通过书面提示等方式进行明确告知和警示； 未告知客户相关信息的使用目的和范围； 未明确员工对客户信息保密的相关义务； 未与外包机构就信息泄露后双方应承担的法律责任及终止合作后客户信息的处理方式达成一致。

三、解决方法