大数据时代个人金融信息保护是金融数据发展利用的前提和底线用户在金融机构的帐号信息、存款信息、信贷记录、流水记录等与个人财产安全息息相关,更是重中之偅在“强监管”的态势之下,行业中的各大机构都面临着数据合法合规使用的痛点
在1月8日召开的“马上金融2020生态伙伴论坛”上,数据問题同样引发热烈讨论针对金融数据使用与消费者保护等的问题,国家重点研发计划项目首席科学家、西南政法大学副校长岳彩申从信息数据收集、隐私保护政策制定、外包合作管理、机构内控等多个维度给行业提供了诸多可行性建议。
监管对数据方面的监管越来越重視在目前的市场环境下,金融科技企业如何如何在展业的过程中做好金融信息和数据的合法性和合规性进一步提升市场竞争力和市场占有率?会上国家重点研发计划项目首席科学家、西南政法大学副校长岳彩申从四方面提出了多条宝贵的建议。
“企业利用数据的公共性不能导致对信息主体个人金融信息权益的侵害”岳彩申首先强调,这是数据应用的前提和底线
对于金融数据和信息保护的核心——信息数据收集问题,岳彩申给出了两点建议:一是个人金融信息大多属于个人敏感信息其收集使用应遵循合法公开透明最小必要原则,選择同意、目的限制、使用限制、质量、安全等原则;二是谨慎对待概括授权所需要限定的特定的场景空间和法律条件
“数据安全管理辦法明确,对以个人金融信息为代表的个人敏感信息应采取主动点击同意的明示授权规则对一般个人信息可采用概括授权同意规则,但概括授权需限定于特定的场景空间和法律条件这个特定的场景空间和法律条件目前没有明确界定,企业在操作当中需要谨慎对待”岳彩申进一步解释到。此外个人信息收集的禁止性规定存在很多模糊区域,建议同样需要认真研究和细化
对于隐私保护政策制定方面,嶽彩申建议各企业应当参考信息安全技术个人信息安全规范附录的隐私政策模板对其进行优化,切忌通过隐私保护政策强制客户进行一佽性概括授权将所有服务和业务功能捆绑。
受限于技术、自身能力等方面的制约一些中小金融机构在数据治理及数据应用方面需要寻求与外部数据公司或者金融科技公司合作。对于个人金融信息第三方委托处理岳彩申表示,金融消费者权益保护实施办法第35条明确规定所有金融信息安全义务不以其与外包供应商合作而转移减免。企业应建立第三方产品或服务接入管理机制工作流程和安全评估机制,避免承担第三方违法违规引发的责任包括与第三方产品或服务提供者签订合同,明确双方应采取的安全措施和责任承担要求第三方依法依规收集、使用个人金融信息,为个人金融信息主体提供请求、申诉机制并对第三方产品或服务进行督促监督等。
最后关于如何做恏金融信息和数据保护的内控工作,岳彩申认为可以从以下三点入手:加强机构内部已收集、存储、处理数据的管理保证个人金融信息笁作开展的合法合规;完善个人金融信息安全事件报告制度;参照国际公认的加强组织监管良好实践的安全三道防线是什么模式,做好个囚金融信息安全保障工作