导读：在促进个人金融信息使用的同时防止滥用，在强化保护策略和举措的同时避免过度保护，在数据应用与个人隐私之间找到平衡点

作者｜金磐石「中国建设银行(601939,股吧)首席信息官」

文章｜《中国金融》2021年第20期

银行作为科技驱动型和数据密集型行业，日常经营中集聚了大量个人信息，在数字技术推动和后疫情时代“零接触”背景下，更多金融服务通过在线方式实现，客户资产及信息数字化特征更趋明显，如何保护个人信息安全、实现信息安全与数据价值兼得是银行的必答题。《个人信息保护法》将于2021年11月1日正式施行，该法将个人信息受保护提升至“国家尊重和保障人权”的高度，细化了保护原则，确立了管理主线，提出了风险防线，划定了合法合规红线和底线。这对银行推进金融数据治理、落实个人信息保护提出了更高的要求，营造个人信息“取之有据、用之有道、护之有术”的良性数据生态至关重要。

银行个人信息保护和数据治理面临的挑战

随着个人信息保护“国家层面推动、行业层面细化、企业自身践行”三位一体模式的确立，当好个人金融信息的“数据管家和守门人”是银行的必修课，尤其是规模居前的大型银行机构，在管理模式、数据治理和技术控制等方面面临诸多挑战。

一是在管理模式上面临管控落地的挑战。首先，需解决管什么的问题。必须合理界定个人金融数据的内涵和外延，既不能无限扩大，也不能简单地局限于账务性信息；既需要法理的阐述，也需要企业经营实践的探索。比如，匿名化处理后的个人信息是否属于银行自有商业信息，这个问题就值得探讨。其次，要解决管理权来源的问题，也就是如何取得个人金融信息的使用权及后续管理权。这既不能采用霸王条款强行索要客户信息，也不能利用艰涩难懂的条文去套取客户授权。尤其是在当前数字经济浪潮下，新金融活水深度融入人民群众日常生活的方方面面，如何在不同业务场景下有效落实“告知—同意”规则且保障用户体验，这些都颇具挑战。最后，要解决谁来管的问题。银行获取个人金融信息后，如何界定内部各类机构对这些信息的管控职责、如何有效识别和评估各种信息处理活动对个人权益的影响也至关重要。

二是在数据治理上面临数据规范缺失的问题。个人金融信息管理路径很长，涉及采集、存储、处理、分析、使用、销毁全生命周期各个阶段。规范每个阶段的操作标准是落实个人信息保护的基础，而这方面业界除了简单的目标和原则外，尚缺乏可参照执行的标准规范，需要企业根据经营性质及自身运作流程完成的具体工作很多，也很艰巨。比如，每项业务采集哪些个人信息、对个人信息如何分类分级，明确相应等级的存储、传输、使用、加工处理规范以及信息销毁处理方法等，都需要认真研究探索。

三是在技术控制上面临传统方法适用性不足的问题。传统的防病毒、防火墙、入侵检测“三板斧”对于开放共享环境下的个人信息保护是远远不够的，单纯的防堵是低效甚至是无效的，对业务的发展往往不是保护而是阻碍。原因很简单，如果一项服务或产品只讲安全不顾应用，体验不好，客户就会“敬而远之”。如何利用新技术手段在不降低客户体验和保障数据安全的情况下更好地实现数据融合使用，还有许多功课要做。

建设银行金融数据治理策略

2020年以来，建设银行按照“建生态、搭场景、扩用户”的数字化经营理念，全面开启数字化经营探索，打造大中台体系。针对个人用户，围绕生活缴费、商户消费、社区居家等多种个人生活场景，建立数据洞察和客户画像，实现数字化连接、产品综合交付、服务多渠道触达。

在数字化经营过程中，建设银行对个人信息采取了“定责明确角色，建制度、定流程、强技术实现体系化保护，培养企业文化固化数据治理成效”的总体策略。通过定责，明确各部门、各级机构在个人信息处理中承担的角色和职责；通过建制度，明确个人信息保护的原则及目标；通过定流程，将信息保护任务融入日常工作；通过强技术，提升信息保护预警、监测甄别及处置的专业化能力和效率，降低操作难度；通过企业文化建设，培养员工对个人信息保护的意识，将个人信息保护要求逐渐转换为员工的规范习惯，进而让企业形成可持续的个人信息保护机制。

建设银行数据治理实践

始于组织，在全面融合中持续肩负多元化的角色职责。对照法律规定，银行同时具有“个人信息处理者、关键信息基础设施运营者、达到国家网信部门规定数量的个人信息处理者”等多项身份，在国家数据安全、行业数据安全和个人数据安全等多个层面均承担关键作用。建设银行准确理解自身多元化角色，并转化为全新的组织管理模式。一是统一认知，明确身份角色。建设银行结合相关法律法规的出台和执行情况，持续跟踪和解析每一种个人信息保护角色对应的部门归属和职责分工，细化和落实对应的责任义务。二是协同治理，形成管理合力。建设银行统筹业务部门、数据部门、技术部门、风险合规部门、审计部门等共同开展全行客户信息保护工作，逐步理清工作模式，强化业务、数据、技术融合，形成个人客户信息保护合力。三是统筹管理，整合个人信息保护需求。明确全行客户信息保护工作依据和工作目标，以个人信息保护需求及相关系统开发为统筹切入点，初步制定全行个人客户信息保护工作方案，涵盖全渠道信息处理客户授权、客户信息保护提醒、客户信息异常查询监测等业务需求。

稳于制度，在体系设计中不断完善有针对性的制度规范。建设银行在推进数据安全和个人信息保护的过程中始终坚持制度先行，视个人信息保护为金融治理的重要组成部分。一是将个人信息保护相关法律法规要求融入现有的管理体系，纳入公司治理、IT管理、数据治理、消费者保护等工作规划。二是建立数据安全管理制度体系，涵盖数据需求管理、内外部数据采集、安全分级、信息安全保护策略、数据使用、数据共享等各方面。三是加强专项管控，业务部门及风险内控部门针对个人客户信息保护、用户敏感信息保护、员工行为管理、用户数据分析等领域制定严格规范，明确了个人信息保护的理念原则、类别范围和工作要求。

精于流程，在管理实践中积极探索落地推广的可行路径。在设计个人信息保护的流程机制时，仅仅从个人权益保护或商业利益角度出发都是片面的，过度保护甚至会阻滞个人信息在金融机构内和企业间共享，直接影响数据要素流动和价值创造。平衡信息安全与数据利用的关键在于厘清流程边界、明确管理环节、形成长效机制。为此，建设银行通过多年实践，探索形成了多维立体的个人信息保护管理机制。一是横向协同。在总行层面，构建从分类分级、风险监测、事件管理到检查考核的多部门协同管理机制。建立数据分类分级管理流程，探索自动化分类打标机制，建立数据风险监测预警体系和信息安全事件响应与处置流程，围绕金融消费者权益保护建立事前审查、事中管控、事后监督管控机制。二是纵向联动。在各业务条线构建交易流程客户信息保护机制，开展客户信息安全检查，确保客户信息合规采集，防止客户信息滥用，促进员工合规操作。

强于技术，在金融创新中密切紧跟行业前瞻的安全科技。建设银行依托金融科技战略，强化数据安全管理的技术支撑，构建了融预防、检测、应急为一体的数据安全风险防控技术体系。一是建设客户隐私授权管理系统。建设银行采用“云端存储、集中管控”的模式，将数据保护在安全可控的生产环境里，加强用户终端和网络边界的数据泄露防控。同时建立隐私授权管理系统，实现客户授权信息、授权协议统一管理。二是落地个人客户信息智能监测。建设银行通过“龙智盾”实现柜面主要客户的查询交易监测；运用神经网络等大数据技术建立柜员行为智能分析模型，识别疑似不合规操作，减少客户数据泄露。三是通过联合建模实现最小化可行数据共享和价值转化。在风控和反欺诈等方面，建设银行分别与政府部门、公共事业机构、电信运营商、头部电商企业等可信外部数据源开展联合建模工作，旨在打破数据孤岛。

成于文化，在行为规范中引导培育守正向善的数据素养。建设银行高度注重数据安全的企业文化建设和专业人员安全素养培育，充分发挥每位员工的主人翁精神以及守正向善的价值观，在实现金融数据价值创造的同时，切实做好个人信息安全工作。一是紧跟法律法规热点开展宣传教育。在总分行层面定期开展数据安全和个人信息保护宣传，通过案例警示、培训等多种形式明确数据安全的红线。二是培养个人信息保护人人有责的安全文化，提高员工对个人金融信息保护的意识和能力。三是通过引入国内外权威数据安全能力水平专业培训体系和资格认证，加强数据安全和个人信息保护专业人才培养。■