近年來,銀行泄露客戶隱私的事件頻發,引發大眾對于銀行隱私保護的關注與擔憂。
而從被爆出的眾多事件中我們不難發現,類似的信息泄露事件中都會有一個甚至多個特定人物參與其中,那就是銀行內部員工。
近期,江蘇淮安警方破獲了一起特大販賣公民個人信息案,涉案金額2000多萬元,共抓獲26名嫌疑人。其中一名嫌疑人系建設銀行員工,一年黑色收入超30萬元。
此前,演員池子在微博怒斥中信銀行泄露其個人賬戶流水,中信銀行緊急致歉,并稱已對相關員工做出處分。
今年3月,建設余姚城建支行原行長沈某某,將多條客戶的財產信息泄漏給他人,用于招攬業務。被判犯侵犯公民個人信息罪,處有期徒刑3年。
銀行內部員工成為信息販賣黑色產業鏈的源頭。
個人金融信息安全頻繁暴雷,呼吁監管部門加強監管力度。
今年兩會期間, #加快推進個人信息保護立法# 、#建議對個人信息進行分類分級保護# 、#個人信息保護法將制定# 等熱點議題,也體現了我國對個人隱私保護的重視。
萬眾期待的個人信息保護法終于要來了!
近些年來,從國家法律法規到行業規范層面,個人信息保護相關法律制度正不斷完善,內容向實際場景逐步細化落實,越來越具有實踐指導意義。
2020年2月20日,中國人民銀行印發了個人金融信息保護領域的行業推薦性標準JR/T 0171-2020《個人金融信息保護技術規范》(以下簡稱“《規范》”)。
《規范》提出了客戶個人金融信息分類標準,圍繞個人金融信息全生命周期,從安全技術要求、安全運行要求和安全管理要求三個方面對個人金融信息的保護提出了要求。
具體內容詳見下表:
其中,C3類別加入個人生物識別信息,體現了目前個人生物識別信息被廣泛運用于實際金融支付場景的這一背景。個人生物識別信息進入個人隱私信息的重點保護范圍。
同時,信息分類應該依據具體的場景進行分析,《規范》指出,同一信息在不同服務場景中可能處于不同的級別。
安全技術要求-重點內容
安全技術要求重點內容
《規范》將個人金融信息生命周期分為收集、傳輸、存儲、使用、刪除、銷毀6個環節,以“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的原則,設計安全保護策略。
收集
傳輸
存儲
使用
安全運行要求-重點內容
涉及C2、C3類別信息的Web應用應具有防篡改和防web攻擊的措施;
安全管理要求-重點內容
《規范》的安全管理要求共5大類10個子類,從安全準則、安全策略、訪問控制、安全監控和風險評估、安全事件處置五方面進行了安全管理要求。其中比較特殊的管理準則包括:
收集
存儲
使用
境內收集的個人金融信息應在境內存儲、處理和分析。
明朝萬達通過提供貼合金融企業實際業務場景的、具備高可實施性的、集咨詢、產品、運維一體的解決方案,幫助企業將《規范》要求進行技術性落地,滿足監管的合規要求。
