银行业个人信息保护怎么做?

2015年7月1日实施的《国家安全法》明确提出“提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控” 。2017年6月1日即将实施的《中华人民共和国网络安全法》(简称“《网络安全法》”)第31条提出“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。这些规定对金融机构进行个人信息保护提出了新的挑战。
银行业金融机构涉及的个人信息种类较为丰富,包括:个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人交易信息等。客户每一次使用信用卡、进行ATM取款、购买金融产品等都会在银行留下记录,而这些信息是获知客户消费偏好、财产情况的重要依据。若个人信息被银行泄露或不当使用,在给信息主体带来财产损失的同时,银行可能会遭到行政处罚。如此背景下,银行业金融机构该如何做到恰当保护的同时进行有效利用呢?
银行收集客户个人信息需明示并取得客户同意
2016年10月10日,中国人民银行营业管理部对某全国性股份制商业银行作出行政处罚决定,该银行因违反《征信业管理条例》相关规定(违规采集个人信息)而被罚款人民币40万元整。“银行收集客户个人信息需明示并取得客户同意”的原则在本次颁布的《网络安全法》第22条第3款中也有所体现:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

上述银行收集客户个人信息时的明示与同意要求与中国人民银行对个人信息保护的监管思路整体是一脉相承的。早在2005年10月起实施的《个人信用信息基础数据库管理暂行办法》就已经提出:银行除对已发放的个人信贷进行贷后风险管理,查询个人信用报告时应当取得被查询人的书面授权。
书面授权可以通过在银行服务申请书中增加相应条款的模式进行,增加“征信查询授权”、“信息披露条款”等。比如在征信查询授权方面可以描述如下:因本人向银行申请某业务,基于业务的需要,本人授权银行向中国人民银行信用信息基础数据库和经中国人民银行批准设立的征信机构采集、查询、使用、报送本人的征信信息,并对银行授权如下……(说明授权期限、用途、查询范围等)。
在法律服务的过程中,我们发现有的银行在前期开展服务时并未与客户约定相关的信息披露条款,后期希望委托第三方提供清收核查等外包服务时补签信息披露条款,这种做法在实践中存在难度。
个人信息应当依照法律、法规以及与用户的约定进行有效使用
美国与欧盟曾就个人信息跨国流通问题签订《安全港协议》,该协议要求:收集个人数据的企业必须通知个人其数据被收集,并告知他们将对数据进行的处理,企业必须得到允许才能将信息传递给第三方,必须允许个人访问被收集的数据,并保证数据的真实性和安全性以及采取措施保证这些条款得以遵从。但2015年10月,欧盟法院认为上述协议无法充分保证个人信息安全,必须予以撤销。
《网络安全法》第42条第1款提出:未经被收集者同意,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外。银行在进行个人信息保护时需注意, “被收集者”涉及的对象可能是直接客户,也可能是间接客户。这里的间接客户是指未直接从银行获取服务,但在银行为直接客户服务过程中充当担保人等角色,向银行提供了个人信息的主体。由于间接客户同样属于《网络安全法》第42条中提及的“被收集者”,所以银行在业务过程中也应关注间接客户的相关授权问题。
银行集团客户信息的共享
随着传统商业模式的转型,客户需求的把握变得尤为重要,个人信息对于银行集团的价值不言而喻。银行应当如何在合法合规的情况下协助集团有效使用个人信息呢?1)银行可在信息披露部分明确个人信息相关定义,比如:“客户”可指基于有关协议,与银行有业务往来的人员、“个人资料”可指银行从非公开渠道不时取得的与客户有关的信息和资料以及任何担保人(若有)和/或其他相关人员和实体有关的信息和资料,形式上包括但不限于各类书面文件、电子数据、视听资料及电话录音等、“集团成员”可指集团控股公司及其直接或间接投资的公司、企业或其他组织等等。2)为了避免银行使用客户个人信息时发生不必要的争议,银行与客户需进一步明确约定授权查询、使用和对外提供信息的原因、范围、用途等。如果只是简单的约定:“银行可以为了更好得服务客户,而将个人信息披露或与集团成员交换”是不可取的。3)需谨防将客户的上述概括性授权作为建立业务关系的先决条件。上述建议可供参考,银行集团需根据自身情况与具体业务情况选择合适的约定方式。

加开微型公交 加密公共自行车布点

突破网络安全管理瓶颈的力作
本次的《网络安全法》对集团使用个人信息提供了另一种渠道,根据该法第42条,如果个人信息经过处理无法识别特定个人且不能复原,那么即使未经过被收集人同意,银行也可将经过处理的个人信息提供给集团使用。但对于何种信息属于“不能识别特定个人”,又如何认定“不能复原”还有待相关监管机构进一步明确。
银行对个人信息的境内储存与跨境传输
《网络安全法》第37条规定,关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。早在2011年,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》就曾规定:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。
在《网络安全法》颁布之前,我们曾经遇到某外资汽车金融公司咨询:汽车金融公司作为非银行业金融机构,可否可以将在中国境内收集的个人信息传输并储存至境外?我们认为,汽车金融机构虽不是央行上述文件的规范对象,但作为持牌金融机构,一旦客户个人信息发生泄漏,同样将导致严重后果,所以我们建议在进行个人信息跨境传输前仍应咨询央行与监管机构的意见。在《网络安全法》实施之后,上述问题将迎刃而解。关于“因业务需要,确需在境外存储或者向境外的组织或者个人提供”中 “业务需要”的内涵,我们倾向认为仅指企业为客户提供服务而进行的内部处理程序,不涉及第三方机构。
银行业金融机构落实客户个人信息保护的工作任重道远,我们将持续关注相关监管动态,为银行合法合规收集、使用、储存、传输客户个人信息保驾护航。

三亚男子受利诱向境外提供军事情报90余次被判刑

外包服务客户越来越重视数据安全保护,越来越精明的客户要求将数据保护写入外包合约,并要求服务商提供更多安全保障措施。
来源:大众网

厦反诈骗中心发布电信诈骗五大高发警情 “冒充查案”排第一(全文)

该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

国家间在信息安全领域的竞争,说到底是人才的竞争,包括人才素质和规模的竞争。从人才上突破,就是推进人才培养和使用机制的建设。

猜您喜欢

高晓松、李双江、合规遵循与信息安全制度
企业安全歌,唱红中国,唱响全球
地理位置信息泄露
欢聚时代陈洲:过去一年净营收 80 亿,YY 是怎么..
FLOWTILITY KENTUCKYBBQFESTIVAL
强化网络安全意识宣传网络信息安全重要性

化工事业部组织“卓越安全”黑板报巡展活动

安全氛围的营造是企业安全文化建设的重要组成部分,也是真正落实安全生产方针的内因,而打造安全氛围是实现安全文化的前提和基本工具。根据电冶集团卓越安全安全氛围执行小组工作方案要求,化工事业部安全氛围小组特组织“卓越安全”黑板报巡展活动,并于2017年1月19日在化工事业部办公楼大厅组织黑板报评选,后期将组织在各公司巡展。
活动期间,化工事业部安全氛围小组组织公司制作卓越安全主题黑板报,板报内容主要丰富,形式多种多样。巡展活动为期三周,在各公司办公楼及生产厂区进行巡展,让广大职工干部认真学习宣传板报上的安全知识。
此次“卓越安全”黑板报评比、巡展活动由各分公司参与设计,由各分公司推选出13副 优秀板报参与事业部层面进行巡展。共计评选出一等奖、二等奖、三等奖各一名,优秀奖两名。活动宣传受教育人员广泛,反响热烈,形成了人人参与安全、人人重视的良好氛围。
安全氛围的营造,就是对安全过程管理的一种宣传。利用好、发挥好宣传阵地是将安全氛围执行方案执行到底最后途径,化工事业部安全氛围小组也将会把打造本质安全型化工工作作为重中之重。

理财范8大认证为信息安全保驾护航

网络信息安全小曲

卫生和健康不再是卫生部门一家的责任

该文章作者已设置需关注才可以留言

不断出现的安全事故、客户的安全顾虑、法律法规遵循的压力,让信息安全专家和管理团队疲于奔命、甚至极度痛苦。
微信扫一扫关注该公众号

系统是死的,人是活的,防泄露,最难的是人员这一关,大多数的信息安全事件都源自内部人员,加强人员的安全管理,需从安全意识教育开始。

猜您喜欢

保密知识第一课——准确定密并正确标识国家秘密
为保国家网络信息安全“叛徒”“国妖”请勿杀之
面向企业员工的HSE基础知识扫盲式在线学习教程
美国准商务部长声称中国保护主义严重中方回应
AIIMS MOLESWORTHTOURS
企业安全意识之歌

Operational Security Best Practices For Social Media

员工在社交网络和博客中张贴了不利于公司的信息,如何防止员工的无意张贴在未来给公司带来不利影响呢?信息安全管理人员一方面要制定适当的社交网络使用政策规范,另一方面要加强员工的安全意识教育。
Building a firm, clear policy on disclosures online can provide a flexible, adaptive response that will protect proprietary data from winding up in a public leak.
In recent years, we’ve seen the pace of database breaches and the subsequent distribution of Personally Identifiable Information (PII) accelerate to a breakneck pace, causing significant financial and personal damage to the individuals impacted. But what often goes unconsidered is the organizational damage that the loss of even a single email address can cause.
One carefully considered stolen pair of credentials can offer a jumping off point for a phishing campaign that appears to come from a trusted source, an intelligence source that affords an attacker targeting data for subsequent action, or a pivot point to access other accounts that may use the same password. In fact, attackers will commonly comb through leaked databases for high value targets and resell secondary lists to those looking to use the accounts before a password reset. A common defense against these sort of scenarios is practicing good organizational social media operational security – OPSEC – principally by keeping company data off LinkedIn, Facebook, Reddit, and the like.

OPSEC on social media demands good communication between first-line managers, legal policy, and your Security Operations Center (SOC). Legally, you can’t forbid your employees from using LinkedIn, but you can bar them from disclosing company assets publically, such as an organizational email. First-line managers are responsible for implementing legal policies, but more importantly – these managers can communicate back to the OpSec team when business needs are forcing employees to circumvent security policies.
Much more common than the malicious insider threat is the employee who can’t access data they need on the road, and decides to forward company email to a webmail service. Another dangerous scenario is the employee who is required to disclose their company email to third parties, but doesn’t have a separate account for sensitive data.
SOC: Your OPSEC Of Last Resort
There are generally simple, easy fixes for these issues that tend not
to be implemented due to poor communication with first-line managers. And there will always be individuals with exceptionally poor judgment, for example, those who would register for ashleymadison.com with a company email. Bottom line, making sure security policies are aligned with business needs is a low cost measure that decision makers should be doing as a matter of course.
The SOC affords your organization with OPSEC of last resort. If a SOC tech sees company information disclosed in a public space, something has already gone wrong. That said, a simple crawler set to look for a defined keyword or domain list on sites like Reddit or Facebook can find leaked PII fast, increasing the odds that a takedown will be more effective.
A Tier II SOC tech can triage a leak after the fact by pinpointing the precise point of egress. Asking for passive monitoring of PII can afford an additional layer of security for situations when policy is not sufficient. Brand Protection services will also do this as part of a vendor relationship, although typically at significant cost.
As with most cybersecurity issues, protecting company information on social media boils down to issues of communication. Building firm, clear policy on disclosures online, as well as providing channels for feedback to filter upwards, can provide a flexible, adaptive response that will protect proprietary data from winding up in a public leak.
信息化环境下的政府部门保密工作问题研究
为什么侵犯版权的地下黑产业多集中在荷兰、东欧、俄罗斯和中国呢?是不是这些地方的软件业缺乏创新精神,开发者的利益得不到保护?

猜您喜欢

IT早间报:微信小程序正式上线 主打轻量级服务
如何防范假冒WiFi热点
EHS培训计划的制定与培训策略的创新性选择
互联网中文域名可查企业信用 有望“火”起来
FREEONLINESURVEYS MOTEL6-ANAHEIM
安全管理与“伸手不打笑脸人”文化