李东荣：数字化时代个人金融信息保护的思考

扫码订阅《中国信息安全》杂志

权威刊物 重要平台 关键渠道

邮发代号 2-786

12月10日，由中国金融杂志社、中国信息通信研究院共同主办的首届 “中国金融数据治理论坛”在京举行，论坛主题为“银行业金融机构数据治理与价值提升”。中国互联网金融协会会长李东荣在论坛上发表主旨演讲，深入阐述了对数字化时代个人金融信息保护的思考。他指出，近年来我国的金融管理部门、行业协会以及广大的从业机构在个人金融信息保护的制度建设和实践上做了大量的工作，法律规范不断完善，技术标准加速出台，行政监管持续发力，行业实现有序推进。但同时也要清醒地看到，在数字化时代下，个人金融信息保护在立法、监管、自律等方面依然有一些亟待解决的问题。李东荣建议，数字化时代下加强个人金融信息保护需要政府、市场、社会等多个方面协同：一是持续完善制度规范，适应经济金融数字化转型的实际情况；二是增强监管科技能力，进一步完善个人金融信息保护的监管分工和统筹机制;三是发挥行业自律作用，各行业协会要相互沟通，形成合力；四是提升机构的履责水平，完善内部监督和责任追究机制；五是加强社会公众参与度，充分调动社会公众参与个人信息安全的治理。

以下为演讲全文：

尊敬的各位嘉宾，各位朋友：

大家上午好。很高兴出席2020中国金融数据治理论坛。当前，国家正深入推进要素市场化配置改革，数据作为基础性战略资源和关键生产要素的地位更加凸显，金融业作为科技驱动型和数据密集型行业，如何持续提升数据治理能力、更好平衡数据应用与安全保护是一项重要而紧迫的时代课题。今天论坛汇聚政产学各方专家共同探讨金融业特别是银行业数据治理问题，具有重要的现实意义。

从理论上讲，数据治理是通过系统化的架构、制度、流程和方法，确保数据统筹管理、有效保护、高效运行，并在经营管理中充分发挥价值的动态过程。数据治理作为一项涉及数据全生命周期的系统工程，其基础是数据质量管理，核心是数据融合应用，目标是发挥数据价值，前提则是数据安全保护。鉴于此，借今天论坛的机会，我想就数字化时代背景下个人金融信息保护谈一些个人的思考意见，供大家参考。

根据人民银行2020年2月发布的《个人金融信息保护技术规范》，个人金融信息是金融业机构通过金融产品和服务或者其他渠道获取、加工和保存的个人信息，主要包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、信贷信息等。加强个人金融信息保护是落实人民至上理念、保护消费者合法权益的应有之义，也是促进个人金融信息安全合规应用、发挥金融数据价值的必要之举。近年来，随着数字技术与经济金融活动的加速融合，我国金融管理部门、行业协会以及广大从业机构在个人金融信息保护的制度建设和业务实践方面做了大量工作，取得了阶段性成效：

一是法律规范不断完善。涵盖法律、行政法规、部门规章、规范性文件等在内的多层次、广覆盖的个人金融信息法律规范体系初步形成，个人金融信息保护的理念原则、类别范围、业务规则、工作要求基本明确。

二是技术标准加速出台。在金标委的积极组织推动下，《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等相关配套技术规范加速出台，网上银行、金融云、移动金融APP、金融分布式账本等金融科技标准中均对个人金融信息保护和安全管理提出明确要求。

三是行政监管持续发力。近年来，金融管理部门通过宣传教育、风险排查、投诉处理、行政处罚、行业通报、监管评级挂钩等多种方式，不断提升个人金融信息保护工作针对性和监管有效性，督促从业机构履行客户个人金融信息保护义务，切实保障金融消费者信息安全权。

四是行业实践有序推进。从业机构在金融管理部门的指导和各金融行业协会的组织下，认真贯彻落实有关法律规范、监管要求和自律规则，注重将个人金融信息保护纳入公司治理、消费者保护、数据治理等工作规划，建立健全个人金融信息保护相关内控管理制度。

尽管取得了一定进展，我们还应清醒地看到，数字化时代个人金融信息保护在立法、监管、自律等方面依然有一些新老问题相互交织、亟待破解。比如，个人金融信息保护专门法律制度尚未出台，监管统筹、信息共享和工作联动有待持续加强，监管自律有机协调配合的治理机制尚未完全成熟，部分从业机构在个人金融信息保护方面的主体责任意识有待加强，在内部控制、数据治理、消费者保护等方面仍需进一步补短板、强弱项、堵漏洞，一些金融消费者个人信息保护意识和风险识别能力依然薄弱，在数字金融服务、信息安全防护、投诉维权等方面的知识和技能存在欠缺。

总之，数字化时代下加强个人金融信息保护任重而道远，需要包括政府、市场、社会多方协同、久久为功。具体来说，建议从以下几个方面着力开展工作：

一是持续完善制度规范。立足中国现实国情和经济金融数字化转型实际，科学借鉴欧盟、美国、英国、日本等国家和地区立法经验，合理吸收最小必要、目的限定、隐私安全、权益保护等国际通行原则，探索实现信息可携带权等新型权利形式的可行路径，适时出台《个人信息保护法》《个人金融信息（数据）保护试行办法》及相关配套标准。

二是增强监管科技能力。进一步完善个人金融信息保护领域的监管分工和统筹机制，以保护金融消费者合法权益和督促从业机构履行主体责任为切入点，以个人金融信息采集和处理机构为主要对象，探索运用人工智能、大数据、区块链等监管科技手段，持续深入开展个人金融信息保护有关监管执法和检查评估工作。

三是发挥行业自律作用。继续发挥中国互联网金融协会等金融行业自律组织在移动金融APP备案、金融云备案、金融科技创新监管工具等领域的配合支撑作用，搭建从业机构信息共享和国际交流平台，深入研究行业在统筹个人金融信息保护和合理应用方面所面临的共性问题，督促引导从业机构落实个人金融信息保护有关法律规范和监管自律要求。

四是提升机构履责水平。从业机构应牢固树立以客户为中心、负责任创新的正确理念，切实落实个人金融信息全生命周期的安全防护要求，加强内控制度和数据治理体系建设，完善内部监督和责任追究机制。同时，在依法合规前提下探索应用多方安全计算、联邦学习等技术，加强个人金融信息保护技术支撑，促进信息合理开发利用。

五是加强社会公众参与。加强违法违规行为举报奖励、举报人保护等机制建设，充分调动社会公众参与个人金融信息安全治理的积极性。通过司法解释等方式，明确网络环境下个人金融信息侵权形式，丰富和畅通个人金融信息保护的救济渠道。广泛运用线上线下宣传教育渠道，定期发布个人金融信息保护风险提示和典型案例，提高公众对个人金融信息保护的意识和能力。

各位嘉宾，加强个人金融信息保护是一项长期复杂的系统工程，意义重大，任务艰巨。中国互联网金融协会将一如既往在金融管理部门的指导下，切实发挥好自律管理职责，完善个人金融信息保护体系，不断提升金融业数据治理水平。最后，预祝会议取得圆满成功。谢谢大家。

（来源：中国金融杂志）

---

扫码关注我们

更多信息安全资讯

请关注“中国信息安全”

本文始发于微信公众号（中国信息安全）：李东荣：数字化时代个人金融信息保护的思考