基于金融与数据的紧密联系,数据安全与信息保护在金融领域的意义尤为重要。在大数据时代,金融行业得益于海量数据勾勒出的多维度信息,有效缓解了信息不对称问题,金融服务覆盖面和便利性显著提升。但同时,个人金融信息泄露、不当使用等突出问题也越来越引发关注。
在这一背景下,提升个人金融信息保护能力迫在眉睫。近日,为响应国家和行业对个人信息保护的要求和规范,加强对金融行业数据安全的保护,进一步提高个人金融信息保护能力,配合《个人金融信息保护技术规范》等标准的推广实施,中金国盛认证中心(以下简称“中金国盛”)推出了个人金融信息保护能力认证。
对此,业内专家均表示,这一认证有必要,但要持续加强基础性研究,做好制度保障、技术保障和市场平台保障,才能有效发挥作用。
据了解,本次中金国盛推出的认证是针对开展或拟开展提供金融产品或服务的企业法人,在个人金融信息收集、存储、传输、处理等各环节中对个人金融信息保护能力进行标准符合性评估。
“国家正在加紧立法,保护个人隐私与消费者数据信息。”数据治理领域专家王昭彧告诉《金融时报》记者,当前,《数据安全法》《个人信息保护法》已面向社会征求意见。同时,金融行业管理部门针对个人金融信息保护的监管体系也在逐步完善。2019年10月,人民银行就《个人金融信息(数据)保护试行办法》面向社会征求意见,并将根据国家颁布的各项法律及时推出《个人金融信息保护暂行办法》。
王昭彧表示,尽管目前也陆续出台了一系列规范性要求,但金融信息保护领域的最大困难是法规“失之于宽,过于宽泛或模糊的定义让政策执行难上加难”。确切来说,在个人金融信息保护领域并非没有标准,而是大多数普通金融消费者由于专业知识不足、信息不对称等综合因素,无从判断自己的权益是否受到侵害。
“2020年,人民银行正式发布了《个人金融信息保护技术规范》,详细规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面对个人金融信息保护提出了规范性要求。”王昭彧肯定了上述规范的意义,但同时也表示,上述标准都很专业,涉及到生物识别、账户信息等多方面,普通的金融消费者可能难以借此维权。
从这个意义上讲,加强认证工作是有意义且十分必要的。“相当于一个专业的第三方机构,对个人金融信息保护的各方面进行专业的评估。如果认证标准和结果能够充分披露和解释,从普通消费者到业内都将有一个更明晰的认识。”王昭彧表示,这有助于落实个人金融信息全流程保护要求,切实保护金融消费者的合法权益。
“个人金融信息保护能力认证的出发点是好的,但市场接受度还有待检验。”金融科技行业专家苏筱芮表示,如果对标我国信息系统可以看到,当前我国对信息安全产品实行等级管理,其中“三级等保”是指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统。“‘三级等保’是对非银行机构的最高等级保护认证。这一认证由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定,具有较高的权威性。”
“如果想收到良好效果,认证就必须具备足够的市场公信力,并要考虑市场对该认证的需求和接受度。”苏筱芮表示,“例如,金融机构能否将此认证结果作为评级的参照选项,与金融机构有密切业务往来的科技公司是否也可进行该认证,认证结果能否成为金融机构筛选合作伙伴的参照系。”她表示,金融标准化要与适应性、竞争性和普惠性的现代金融体系对接起来,持续增强金融服务实体经济的能力。
需要强调的是,与其他认证业务相比,个人金融信息保护能力认证具有多重特点。例如,该认证面向组织整体开展,而不是面向某一特定产品、服务的认证。而且,该认证是依据人民银行对于数据能力建设的整体框架,面向个人金融信息全生命周期开展的,以国家标准作为底线、行业标准作为门槛,同时充分考虑了组织实际情况,结合组织已开展的相关认证、测评工作,引入互认机制。可以说,这项认证工作必须要由“专业的机构做专业的事”。
实际上,过去几年里,从非银行支付机构支付业务设施技术认证,到金融科技产品认证,金融科技检测认证体系正在蓬勃发展,也逐渐得到了市场认可。中国人民银行科技司二级巡视员、金标委秘书长杨富玉此前介绍,2019年通过建立金融科技产品认证体系,将客户端软件、条码支付受理终端、声纹识别系统和云计算平台等11种金融科技产品纳入国家统一推行的认证体系,以行业标准和团体标准实施为手段,强化金融科技安全与质量管理。上述金融科技产品认证后不到一年,已有商业银行、证券、保险、非银行支付机构等机构的2000余款客户端软件提出认证申请,850款软件完成认证,其中202款通过认证后已被互联网金融协会采信并对通过认证客户端软件进行备案公示。
“个人金融信息保护能力认证本身有其必要性,也有相应的市场需求。但是,最终能否很好落地,还需要考虑多重因素。”王昭彧建议,要加强金融信息乃至信息治理领域的基础研究,更加清晰界定权责边界。“数据确权是一个最核心的问题。数据可复制、易留存,所有权、控制权因为共享使用而发生让渡。我们应针对这些特点进一步深入研究。”
王昭彧表示,要更好解决个人金融信息保护问题,需同时加强制度保障、技术保障和市场保障。制度保障既包括《民法典》等法律从原则上加以确立,也包括建立具体可执行的标准,而后两者则要求监管机构或第三方认证机构具备相应的软硬件实力。如此,好的制度才能真正落地见效。