金融数据泄露成行业“顽疾” 专家建议出台保护法规(2)

　　“移动互联网在金融领域的应用，表现为各类手机应用程序App，主要包括银行类、消费类、支付类、理财类、证券类等。”芦天亮介绍，其中，面向个人用户的消费类App数量最多，占比近四成。无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等，成为金融类App侵犯个人信息的主要情形。

　　据中国信息通信研究院金融科技研究中心产业咨询总监冯橙介绍，在实际业务开展中，金融App只是金融机构接触用户的渠道之一，在PC端网页、小程序、第三方平台投放的网申入口、微信服务号等渠道中的数据收集、传输、留存，由于中间环节的增多，也加大了个人信息数据安全的隐患。

　　当前，人工智能、大数据、生物识别、移动互联网等大量新技术应用到金融领域，在为用户提供便捷高质量服务的同时，也给金融隐私的保护带来了更多风险挑战。例如，人脸识别支付、指纹支付面临被仿冒的风险，物联网、大数据及云计算技术所依托的数据存储服务器，常常成为黑客攻击的重点目标。

　　重点 加快金融消费者权益保护立法

　　2007年，央行陆续通过《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等文件，逐步确立了个人信息收集范围、利用原则等要求，成为我国个人金融信息保护规范的源头。

　　当前，我国民法典人格权编专门对隐私与个人信息保护作出规范，个人金融信息的民事保护有了明确的上位法依据。同时，面临个人金融信息保护力度不够、法律追究机制不健全等问题，业界呼吁加强相关法律制度建设。

　　2019年底，央行下发《个人金融信息(数据)保护试行办法(初稿)》，涉及完善征信机制体制建设，将对金融机构与第三方之间征信业务活动等进一步作出明确规定，加大对违规采集、使用个人征信信息的惩处力度。

　　今年2月，全国金融标准化技术委员会发布《个人金融信息保护技术规范》。规范将个人金融信息按照敏感程度由高到低分为C3、C2、C1三大类，其中C3主要为各类账户密码，C2主要为账户、身份证信息、短信口令、住址等，C1主要为开户时间、支付标记信息等。该规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等各环节的安全防护要求。同时，要求金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息，也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。

　　今年的全国两会上，多位代表委员建议加快金融消费者权益保护立法进程，并对现行的金融监管法规进行修订完善。

　　全国人大代表、中国人民银行参事周振海建议，制定金融消费者权益保护条例，“一方面可以提高金融消费权益保护的立法层次，对金融消费者和金融机构的权利义务进行根本性规定，保护金融消费者的长远和根本利益；另一方面，可统一金融消费权益保护领域的监管标准，避免监管真空与监管套利”。

　　周振海同时建议，在立法层面做出某些特殊制度安排，例如建立监管协作机制、引入金融消费公益诉讼制度、确立金融消费纠纷多元化解决机制等。

　　从源头出发，出台统一的金融信息保护法规，将成为金融行业治理整顿的重要一环。与此同时，企业个人金融信息保护内控机制建设也须跟进。

　　“个人金融信息非法交易问题严峻，暴露出第三方内控不严、信息系统安全漏洞和信息泄露传输链条长、难追溯等问题。”吴业超认为，用户信息的保护需要金融科技企业加强内控与管理，做好数据隐私与保护制度建设、数据的安全监控和周期管控，构建数据安全防卫体系。同时，企业、公安和科研机构等部门应共同合作，提高行业整体的安全性和防御状态，打造良好的金融生态圈。