银行信息数据安全“雷区”：过度收集客户信息

本报记者 杨井鑫 北京报道
随着银行业数字化的不断演进，新技术、新业态不断涌现，金融领域面临的数据安全风险形势严峻复杂，给银行金融机构信息数据安全管理带来了新的挑战。
2024年12月27日，国家金融监督管理总局正式对外发布了《银行保险机构数据安全管理办法》（以下简称“《办法》”），要求银行金融机构采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。同时，监管部门还将以机构自查和监管部门现场检查相结合的方式对银行保险机构的信息数据安全启动专项治理。
据《中国经营报》记者了解，“个人信息保护”是金融消费者权益保护的一项重要内容，强化金融机构信息数据安全管理对监管而言迫在眉睫。此前多家银行金融机构因数据安全管理问题被罚，问题聚焦在信息收集和信息管理两个方面。其中，信息数据管理能够通过制度建设、内控机制等方式解决，而过度收集客户信息却成为了银行金融机构很难迈过的一道坎。
信息数据“雷区”
“监管每年都会对金融机构的信息数据安全进行抽查。”一家股份制银行风控部门相关负责人说道，由于客户信息安全边界的问题，银行在对接客户过程中很容易被认定过度收集信息。“这是一个普遍存在的现象。”
此次《办法》中也明确要求，银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息。
上述股份制银行风控部门相关负责人表示，银行客户的姓名、指纹、脸部图像属于办理业务的基本信息，而年龄、学历、地理位置等信息可能就不属于处理业务目的的范围了。
“在信息化时代，银行风控作为业务的重要一环涉及到很多大模型，以此来对客户进行精准画像。所谓客户画像，即通过客户的已知信息对业务风险进行判断。这也就是说，客户能够提供的信息越多，客户画像也就越精准。”上述股份制银行风控部门相关负责人说，“以客户学历为例，客户学历是否会影响到办理业务呢？表面上，客户学历与业务无关，但是底层逻辑上却又存在一定关系。银行通过大数据可以了解到，学历越高的客户在风险承受能力上越强。同样，客户的年龄、地域和财产都是授信的影响因素。银行风控大模型在客户画像上需要更多信息数据，而信息数据安全保护又需要最大程度的限制范围，这就会产生矛盾。”
该股份制银行风控部门相关负责人表示：“目前银行内部在完善机制防止过度收集客户信息，解决问题的方式就是做减法。监管应该给银行一些数据分类的目录。”
此次《办法》中提到，国家金融监督管理总局按照国家数据分类分级要求，制定银行业保险业重要数据目录，提出核心数据目录建议，监督指导银行保险机构开展数据分类分级管理和数据保护。银行保险机构应当按要求向国家金融监督管理总局或者其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。
机构接连被罚
记者注意到，《办法》相比此前规定更加细化，并落实了权责分明。新规要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。
《办法》中明确表示，在数据分类方面，银行保险机构对机构业务及经营管理过程中获取、产生的数据进行分类管理，具体类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。在数据分级方面，银行保险机构应根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其他一般数据；当数据的业务属性、重要程度和可能造成的危害程度发生变化，导致安全级别不再适用的，及时进行动态调整。
同时，由于数据加工、数据转移、数据跨境等场景的增多，保障数据安全面临新的要求。《办法》提出，银行保险机构应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的“防火墙”，并对共享数据采取有效保护措施。银行保险机构应当构建覆盖数据全生命周期和应用场景的安全保护机制，开展数据安全风险评估、监测与处置，保障数据开发利用活动安全稳健开展。
另外，《办法》还对不同场景的数据安全作了具体规定。比如，银行保险机构应当将数据委托处理纳入信息科技外包管理范围，在实施过程中不得将信息科技管理责任、数据安全主体责任外包；银行保险机构与**机构进行数据共同处理时，应当以合同协议方式明确双方在数据处理过程中的数据安全责任和义务等等。
记者了解到，仅2024年一年来，多家银行因收集客户信息问题“吃罚单”或被点名整改。
2024年12月24日，江苏省通信管理局发布了《2024年第5批关于侵害用户权益行为的APP通报》，其中涉及江阴农商银行、昆山农商银行、苏州农商银行、江苏长江商业银行、无锡农商银行五家银行，而侵权行为包括了“违规收集个人信息；超范围收集个人信息；App强制、频繁、过度索取权限”等。
2024年9月25日，国家计算机病毒应急处理中心通报13款违规移动应用。其中包含甘肃农信App，涉及到“隐私政策难以访问、未声明App运营者的基本情况、未声明隐私政策时效”“处理敏感个人信息未取得个人的单独同意”等问题。
2024年7月10日，内蒙古通信管理局发布关于App侵害用户权益问题的通报。其中，包含4家村镇银行App，4款App均涉及“违规收集个人信息”“超范围收集个人信息”等问题。
2024年4月7日，人民银行四川省分行对自贡农商银行、成都双流诚民村镇银行等5家银行开出罚单。其中4家银行违反信用信息采集、提供、查询及相关管理规定。
2024年3月13日，人民银行吉林省分行发布的行政处罚信息显示，吉林农安农商银行因“违反信用信息采集、提供、查询及相关管理规定”等7项违法行为被罚400多万元。
国家金融监督管理总局有关负责人介绍，《办法》主要特点包括落实数据安全责任制、明确数据安全归口管理部门、将数据安全风险纳入全面风险管理体系、强化数据安全评估、建立数据安全保护基线等。相关举措的目的就是通过采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。
（编辑：朱紫云 审核：何莎莎 校对：颜京宁）