金融行业数据合规观察“银行篇”（二）

　　目前对银行业数据合规专门进行规制的立法多为监管部门发布的行业指引或部门规章，缺乏更高位阶的法律规范。但扩大到整个金融行业或是数据领域，现已有《网络安全法》《数据安全法》《个人信息保》等法律对其进行规制。而根据中国银保监会、中国人民银行近年来发布的指导意见、行业指引等可知，银行业数据合规治理已经得到了监管部门的高度重视，银行业数据合规监管已成大势所趋。

　　该法对商业银行的设立、组织机构、及其他业务等作出了规定，旨在保护商业银行、存款人和其他客户的合法权益，规范商业银行的行为，提高信贷资产质量，加强监督管理，保障商业银行的稳健运行。该法第三章为“对存款人的保护”专章，其中规定了商业银行办理个人储蓄存款业务应当遵循为存款人保密的原则，并指出除法律另有规定外，商业银行有权拒绝任何单位或个人查询、冻结、扣划个人储蓄存款，有权拒绝任何单位或个人查询单位存款。

　　该《办法》旨在防范和降低商业银行的信用风险，促进个人信贷业务的发展，保障个人信用信息的安全和合法使用。《办法》明确了个人信用信息的定义，并从个人信用信息的报送和整理、查询、异议处理、安全管理等方面进行规制，提出了商业银行在个人信用信息安全方面的义务。其义务主要有：一是应当遵循中国人民银行发布的个人信用数据库标志及其有关要求，准确、完整、及时地向个人信用数据库报送个人信用信息；二是应当建立完善的规章制度和采取先进的技术手段确保个人信用信息安全；三是应当建立用户管理制度，明确管理员用户、数据上报用户和信息查询用户的职责及操作规程；四是应当建立保证个人信用信息安全的管理制度，确保只有内部得到授权的人员才能接触个人信用报告等。

　　该《办法》对电子银行业务相关事项进行了规制，旨在加强电子银行业务的风险管理，保障客户及银行的合法权益，促进电子银行业务的健康有序发展。《办法》中指出，金融机构应采用适当的加密技术和措施，保证电子交易数据传输的安全性与保密性，以及传输交易数据的完整性、真实性和不可否认性。另外，在第四章中，《办法》对电子银行业务的数据交换与转移管理环节提出了要求，如参加联合风险管理委员会、确保电子银行业务数据安全并被恰当使用、数据转移时遵守有关法律规定并采取必要措施等。

　　该《指引》对商业银行信息科技风险管理作出了指导，其目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。《指引》从信息科技治理、信息科技风险管理、信息安全、信息科技运行等方面作出了全面规定，可为商业银行进行信息科技风险管理工作提供有效指导。

　　该《通知》主要对客户个人金融信息保护进行了规制，旨在强化个人金融信息保护和银行业金融机构法制意识，规范银行业金融机构收集、使用和对外提供个人金融信息行为，保护金融消费者合法权益，维护金融稳定。《通知》明确了个人金融信息的定义，并指出了银行业金融机构在个人金融信息保护方面的义务，主要有：一是在收集、保存、使用、对外提供个人金融信息时应当遵守法律规定并采取有效措施；二是应当建立健全内部控制制度；三是不得篡改、违法使用个人金融信息等。

　　该《通知》对商业银行电子银行业务中电子资金转移与支付环节的客户信息管理工作提出了要求，旨在规范商业银行客户信息管理行为，有效保护商业银行客户信息安全，维护客户合法权益。《通知》指出，商业银行应按照有关法律法规要求，高度重视客户信息安全与保密工作，采取有效措施切实保障客户信息安全，如加强客户信息安全的内部控制与管理、做好相关系统的日常运行维护工作等。

　　该《通知》是在商业银行客户个人金融信息被盗的安全事件背景下发布的，旨在进一步加强银行业金融机构个人金融信息保护工作，保护金融消费者合法权益，维护金融稳定。《通知》指出，各银行业金融机构必须严格遵守相关法律法规，依法合规收集、保存、使用和对外提供个人金融信息，不得向任何单位和个人出售客户个人金融信息，不得违规对外提供客户个人金融信息。另外，各银行业金融机构需在制度、技术和员工教育等方面采取有效措施确保客户金融信息安全，防止信息泄露和滥用。

　　该《条例》对征信机构、征信业务规则、金融信用信息基础数据库等进行了规定，旨在规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设。《条例》重点对信息主体的权益作了规定，包括信息主体的知情权、同意权、信息安全权、异议权及投诉权等，以全面保护信息主体的合法权益。

　　该《通报》总结了2013年个人金融信息保护专项检查的总体情况，并重点介绍了发现的主要问题，提出了进一步加强个人金融信息保护的要求。《通报》指出，本次检查发现的主要问题为：一是内控制度建设及运行管理不完善；二是个人金融信息收集、查询、使用、保存的管理不规范、不健全；三是技术保障不严密；四是外包服务风险评估与监督不充分；五是员工教育培训方面不充分。《通报》还对进一步加强个人金融信息保护提出了要求：一是着力进行整改，实行常态自查；二是完善规章制度，强化运营管理；三是加强教育培训，提高员工素质。

　　该《通知》对进一步加强风险管理提出了指导和要求，旨在提升支付风险防控能力。《通知》中指出，要强化信息的安全管理，需要强化支付敏感信息内控管理。一是严禁留存非本机构的支付敏感信息，确有必要留有的应取得客户本人及账户管理机构的授权；二是明确相关岗位和人员的管理责任，强化内部监督、责任追究机制。另需加强支付敏感信息的安全防护，如各商业银行、支付机构应在客户端软件与服务器、服务器与服务器之间进行通道和加密双向认证，对重要信息关键字段进行散列或加密存储，保障信息传输，存储、使用安全。

　　该《指引》对金融机构数据治理进行了全方位的规制，旨在引导银行业金融机构加强数据治理，提高数据质量，充分发挥数据价值，提升经营管理能力。《指引》从数据治理架构、数据管理、数据质量控制、数据价值实现和监督管理等方面展开，强调银行业数据治理需通过建立组织架构、明确职责、制定和实施系统化的制度、流程及方法等，确保数据统一管理、高效运行，在经营管理中充分发挥价值。另外，《指引》从公开征求意见到正式发布仅历时2个多月，反映了数据管理的紧迫性及监管部门的重视程度，也标志着我国银行数据改革之路又上了一个新台阶。

　　该《办法》对商业银行互联网的相关管理进行了规定，旨在规范商业银行互联网业务经营行为，促进互联网业务健康发展。《办法》中明确规定，商业银行应当建立健全借款益保护机制，完善消费者权益保护内部考核体系，切实承担借款人数据保护的主体责任，加强借款人隐私数据保护，构建安全有效的业务咨询和投诉处理渠道。另外，关于客户数据的获取，《办法》也作出了规定，即商业银行应当通过合法渠道和方式获取目标客户数据，开展营销，在向目标客户推介互联网产品时尽到充分披露义务，保障客户的知情权和自主选择权。

　　该《办法》对与金融消费者息息相关的八项权利进行了重点规范，旨在加强金融消费者权益保护，规范金融机构提供金融产品和服务的行为，促进金融市场健康稳定运行。《办法》第三章是消费者金融信息保护专章，从消费者金融信息安全权角度，进一步强化了信息知情权和信息自主选择权。即在延续原有的金融信息保护专章的基础上，以实现保护金融消费者信息安全权为目的，从信息收集、存储、使用、加工、传输、提供、披露和告知、管理与保密等方面进行了优化。

　　该《办法》是对监管数据进行的立法规制，标志着将监管数据的安全管理纳入了监管范围，旨在规范银保监会监管数据安全管理工作，提高监管数据安全保护能力，防范监管数据安全风险。《办法》要求对监管数据实行归口管理，由统计信息部门负责统筹，若发现重大安全风险事项，则由业务部门于48小时内上报至归口管理部门。另外，《办法》对监管数据的采集、存储、加工处理和使用均提出了明确而规范的要求，如对数据分级分类管理、建立自查机制、必要时进行数据安全风险评估等。

　　该《办法》明确了何为“信用信息”，对征信业务流程、信用信息安全等作出规定，旨在规范征信业务及其相关活动，保护信息主体合法权益，促进征信业健康发展，推进社会信用体系建设。《办法》以信用信息的采集、保存、加工等全流程合规管理为主线，以明确征信业务边界、加强信息主体权益保护为重点，主要规定了以下内容：一是明确了信用信息的定义和征信管理的边界；二是规范了征信业务全流程；三是强调了信用信息安全和依法合规跨境使用；四是提高了征信业务的公开透明度。

　　该《办法》以原银监会出台的3个指引和通知为基础，形成了相对统一的信息科技外包管理监管规制，旨在进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力。《办法》对银行保险机构信息科技外包风险管理提出了全面要求，且强调重视信息安全，新增了网络安全、数据安全及信息跨境外包处理等要求，并正式将银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技获得纳入管理适用范围。另外，《办法》中还强化了金融机构的主体责任，明确需保障网络和信息安全，加强重要数据和个人信息保护，不得将信息科技管理责任、网络安全主体责任外包。

　　该《意见》旨在加快数字经济建设，全面推进银行业保险业数字化转型，推动金融高质量发展。《意见》中明确提出，银行保险机构要加强战略风险、创新业务的合规性，加强数据安全和隐私保护。在银行保险机构数据能力提升方面，《意见》要求银行保险机构全面提升数据治理与应用能力：一是健全数据治理体系，制定大数据发展战略；二是增强数据管理能力，构建覆盖全生命周期的数据资产管理体系，优化数据架构，加强数据资产积累；三是加强数据质量控制，加强数据源头管理，形成以数据认责为基础的数据质量管控机制；四是提高数据应用能力，全面深化数据在业务经营、风险管理、内部控制中的应用，提高数据加总能力，激活数据要素潜能。