业务创新 | 以标准认证守护个人金融信息安全

文 / 北京国家金融科技认证中心总经理 张海燕

北京国家金融科技认证中心（以下简称国金认证）作为金融质量基础设施机构，依据法律法规和标准规范，面向金融机构推出个人金融信息保护能力认证，助力金融机构全面提升个人金融信息安全保护水平、降低合规风险，共同筑牢金融数据安全防线。在市场监管总局组织开展的2024年全国“服务认证体验周”活动中，国金认证选送的《个人金融信息保护能力认证：构筑数字时代的安全防线》成功入选“服务认证优秀文字作品”，成为金融服务认证标杆。

1.落实国家法律法规与监管政策的责任义务

近年来，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相继出台实施，个人信息保护已步入法制化、规范化轨道。近期，国务院颁布《网络数据安全管理条例》，进一步强调和细化个人信息保护要求。金融管理部门发布金融数据安全分级、个人金融信息保护等标准，并多次开展相关专项检查和整治工作，个人金融信息保护的顶层法律框架日趋完善，监管要求愈发严格。

2.金融机构风险防控与合规经营的必然要求

金融机构掌握大量客户身份信息、账户信息、交易记录等敏感数据，在推动数据要素高效应用、服务金融场景生态建设的同时，应高度重视个人信息安全，一旦发生数据泄露或滥用，可能会给金融消费者带来巨大的经济损失。同时，健全个人金融信息保护管理制度和技术能力，也是赢得客户信任、履行社会责任、树立良好品牌形象的长久经营之道。

3.防范新技术金融应用伴生风险的重要举措

随着金融数字化转型向纵深发展，逐渐呈现信息采集扩大化、应用场景多样化、生态主体复杂化等趋势。特别是人工智能、大数据等技术的应用，在促进服务创新、优化业务流程、提升客户体验的同时，往往容易滋生信息过度采集、越权使用等问题和风险。此外，不法分子也可能利用网络钓鱼、数据窃取、AI换脸等手段进行新型犯罪，对金融机构与金融消费者的安全和利益造成威胁，强化个人金融信息保护愈发成为重要的时代命题。

当前，各金融机构为构建个人金融信息保护体系做了大量工作，如明确个人金融信息保护组织架构以及岗位职责、丰富并完善个人金融信息保护制度体系、通过技术手段防范个人金融信息泄露风险等，但也有部分机构存在一定短板和问题。国金认证通过长期开展审查评估的经验累计和数据沉淀，对个人金融信息保护现状与问题进行了深入分析和梳理，总结形成典型案例并提供针对性改进建议，供业界参考。

案例一：某机构为客户提供的App采集的个人金融信息类别与隐私政策描述的范围不一致，未向客户明示隐私政策并获得授权同意，敏感个人金融信息未采用收集加密方案等。

建议重视并强化隐私政策的管理，明确隐私政策管理的归口部门；建立隐私政策与系统功能一致性的机制；明确客户可获取隐私政策的方式和功能点位，保证客户在查阅隐私政策并授权后才开启收集动作；明确各类别的个人金融信息在收集时的安全保护要求，对于敏感的个人金融信息保证收集时安全可靠，防止被第三方窃取。

案例二：某机构对于敏感个人金融信息的查询、下载、导出等操作管控不严。

建议加强个人金融信息内控管理，人员权限分配满足最小化配置，人员调岗、离职时，系统权限调整、回收纳入管理环节中，定期对人员系统权限进行审计稽核；强化后台管理系统对于客户敏感个人金融信息的明文查看，做到细粒度授权与行为审计，审核岗人员根据实际需求出发明文查看操作，系统具有相应的明文查看操作记录，可支持行为审计；对业务系统和操作终端进行严格的边界管控，数据导出过程严格受控，定期审计稽核。

案例三：某机构在个人金融信息共享、委托处理等场景，未获得个人金融信息主体授权，存在违规对外提供的问题。

建议建立个人金融信息安全影响评估制度，将第三方机构的资质、数据来源合法合规性、数据安全保护能力、数据采集是否满足最小必要原则、采集安全保护措施及有效性等纳入安全影响评估范畴；与第三方机构签订合同和数据安全保护责任承诺，明确双方责任和义务；加强与第三方的接口监控，一经发现第三方违规采集数据，须及时果断进行处置（包括但不限于更改口令、回收权限、断开网络连接等）。

案例四：某机构数据泄露包括内控不严导致的内部数据泄露和信息安全管理不善导致的外部数据泄露。

建议持续强化内控管理，加强个人金融信息保护方面的人员培训，包括法律法规和内部惩戒措施等；采取技术手段防止个人金融信息泄露，如配备数据防泄漏工具，对于个人金融信息的违规外发行为加强监控和警告；同时，须加强网络与信息安全管理，做好安全基线配置，开启防护设备并进行有效的安全策略部署，持续开展漏洞扫描与安全加固，持续强化系统安全运营工作，加强系统的健壮性，保障系统的稳定运行。

1.以法律法规和技术标准为认证依据

个人金融信息保护能力认证是国金认证分析行业痛点、结合法律法规标准要求与金融机构需求，于2021年推出的创新服务，旨在加强金融机构个人金融信息保护体系建设，助力金融机构合法依规开展金融服务。认证全程依据《信息安全技术个人信息安全规范》（GB/T 35273—2020）、《个人金融信息保护技术规范》（JR/T 0171—2020）、《金融数据安全数据安全分级指南》（JR/T 0197—2020）等国家标准和金融行业标准，对申请方个人金融信息保护工作的标准符合性开展审查评估。

2.从组织层面和项目层面进行双重审查

组织层面主要审查申请方的个人金融信息保护组织架构与制度体系建设以及数据分级分类情况；项目层面主要审查个人金融信息在全生命周期各个环节保护策略的执行情况以及个人金融信息保护制度在业务操作中的实施情况。根据组织层面和项目层面两方面的审查结果，对申请方的个人金融信息保护能力级别作出判定，共分为I、Ⅱ、Ⅲ三个级别，其中Ⅲ级为最高等级。

图1    个人金融信息保护能力认证（组织层面）

审查内容

图2  个人金融信息保护能力认证（项目层面）

审查内容

3.提供个人金融信息保护通用策略

（1）开展数据分类分级。按照《个人金融信息保护技术规范》要求，参考《金融数据安全数据安全分级指南》对包含个人金融信息的数据资产进行梳理，开展分级分类工作，并对不同类别数据的生命周期各环节制订相应保护措施。

（2）明确隐私保护政策。隐私政策是机构为用户提供服务前，面向用户展示的正式声明，应引起高度重视。应明确隐私政策的管理流程；建立有效机制保证隐私保护政策与上线运行的金融产品或服务的一致性；做好文档版本控制与归口管理。

（3）建立安全评估机制。建立个人金融信息安全影响评估制度，在开展共享、转让、委托处理、公开披露、汇聚融合等场景前，进行个人金融信息安全影响评估，根据评估结果，实施相应策略，并对个人金融信息安全影响评估报告和处理情况记录留档保存至少3年，以满足《中华人民共和国个人信息保护法》相关要求。

（4）严格管控数据权限。加强内控管理，防止个人金融信息泄露。强化访问控制权限管控，尤其是对个人金融信息的开放式查询、批量查询、明文查看等权限，进行细粒度的授权与行为审计；人员岗位调整或离职时，及时回收权限，定期对系统权限进行审计。采用技术手段对个人金融信息进行安全保护，包括屏蔽展示、加密传输、加密存储、部署防泄露工具等。

（5）全面加强安全防护。部署网络安全防护设备，开启相应防护策略；定期对软硬件设备、Web系统等开展漏洞扫描，并进行安全加固；应部署流量监控工具，并配置告警功能，防止信息被滥用或违规外发；对嵌入的第三方自动化工具开展安全检测。

4.认证价值和成效获得社会广泛认可

审查组对于现场审查发现的问题，在与申请方充分沟通后如实提出，使申请方对问题引起足够重视，进而有针对性地整改以满足合规要求。部分金融机构由初审时的个人金融信息保护能力为I级，经过对组织架构和管理制度的持续优化和调整，狠抓个人金融信息保护策略的落地执行后，次年监审时个人金融信息保护能力提升至Ⅱ级。通过开展认证评估，金融机构的个人金融信息保护能力得到了切实提升，个人金融信息保护策略得到了更加有效的落实，这也是此项认证服务的意义所在。认证推出3年以来，累计服务客户30余家，覆盖北京、上海、广东、浙江、陕西、山西、黑龙江等地区，客户类型涵盖银行业金融机构、保险业金融机构、支付机构、小贷机构、金融科技企业等，服务成效和价值获得各机构积极肯定。

图3  个人金融信息保护能力认证的价值和意义

国金认证将持续专注金融领域质量安全，聚焦服务金融业高质量发展大局，围绕做好金融工作五篇大文章，坚持以“为质量安全保驾护航，助金融科技行稳致远”为使命，扎实、创新做好质量认证、检测测评、评估咨询服务，发挥行业重要生态要素作用，推动金融科技守正创新发展，赋能金融机构数字化转型，为金融管理部门加强监管、金融机构提质增效、金融消费者获取优质服务提供支撑和保障。

（此文刊发于《金融电子化》2024年11月上半月刊）