以个人信息保护为根基!马上消费:建立囊括18个领域的信息安全管理体系
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(下称《个人信息保护法》),自2021年11月1日起施行。
值得一提的是,《个人信息保护法》明确,企业通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式。
此外,机构在处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意。
事实上,随着大数据、人工智能等新兴技术的快速商业化落地,数据渐成为核心生产资料,企业智能化转型升级大幅度提速,并为各行发展形成强大的改革驱动力。
在虚拟数字世界扩张同时,消费者享受着更为便利的服务,不过还暴露出一些新的痛点。而最引人关注的是无处遁形的个人隐私。
可以说,保护个人信息安全关系着每一个人的权益。且值得一提的是,金融业作为数字化水平最高的行业之一,对于个人信息的保护呼声越来越高。
01保护关键抓手:个人数据账户制度
如今,金融科技简化了金融业务供需双方的交易环节,使得服务效率获得了极大的提高。不过,其在进行展业的过程中,过度收集用户信息、隐私保护不力等被消费者所诟病。
今年6月,中国财富管理50人论坛学术总顾问、清华大学五道口金融学院理事长吴晓灵在《平台金融科技公司监管研究》课题发布会上表示,保护个人信息的抓手就是个人数据账户制度。
“无论是原始数据还是分析数据,只要能够识别客户主体,就是保护的重点。记录数据要经历产生、采集、转换、存储、应用、协同等过程,问题也是产生在这些环节。”吴晓求称。
且柒财经注意到,将于9月1日起施行的《数据安全法》中提到,“鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为要素的数据经济发展。”
此外,《数据安全法》指出,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他的非法方式获取数据。
于企业而言,若是将商业利益凌驾于社会利益至上,这会损害消费者合法的权益。同时,企业也会将会失去消费者的信任。
所以说,企业必须将个人信息保护理念融入到企业运营管理的全流程,在设计产品阶段必须将隐私保护纳入其中,且必须定期开展个人信息安全影响评估。
而在消费金融领域内,马上消费金融股份有限公司(下称“马上消费”)在保护个人信息安全上为行业内的最佳“样本”。
02技术与管理相结合 严控个人数据全生命周期安全
马上消费自成立以来高度重视消费者个人信息保护,将维护消费者个人权益作为经营发展的根基,在银保监会的指导和监管下,根据《商业银行信息科技风险管理指引》、《银行业金融机构数据治理指引》等相关要求,已经建立了IT治理、管理、技术三个层次包含18个细分领域的信息安全管理体系,从组织、制度、流程、工具各层面多管齐下,构筑了有效的信息安全防线。
具体来看,马上消费建立了《数据安全管理规定》,在数据密级定义、分级、对应保护措施、数据全生命周期保护策略进行了明确的规定;制定了《个人金融信息保护管理办法》,针对客户个人金融信息的收集、存储、传输、使用、共享、销毁等保护要求和操作规范进行了专门规定,在制度层面着力保护客户的个人金融信息安全;收集、使用个人信息,遵循合法、正当、必要及最小化的原则,向个人明示收集与使用个人信息的目的、方式、范围和规则等,且只处理满足用户授权同意的目的所需的最少个人信息类型和数量,并对收集的个人信息严格保密等,有效保障了客户的信息安全。
同时,马上消费紧跟金融科技脚步,高度关注金融科技发展趋势,主动布局信息安全技术的前瞻性研究及应用探索,持续优化信息安全管理体系,有效应对信息安全风险。其从边界防御转向全面防御、从被动防护转向主动防护、从使用传统工具防护转向利用大数据技术和安全技术结合防护的总体策略,持续优化公司客户个人信息保护成效。
另外,马上消费通过技术与管理相结合的方式,严控个人数据全生命周期安全,包括合法合规,依法开展个人数据采集;层层设控,安全开展数据加工和使用;自研加密系统,数据存储实现透蜜加解密;应用加密技术,保障数据传输安全;制度先行,数据销毁实现流程化管理;边界防御转向全面防御,打造马上数据防泄密体系;引入人工智能技术,助力数据安全审计。
值得注意的是,通过不断的努力,马上消费于2020年11月获得信息安全标准体系ISO27001:2013国际安全体系认证。且其于2020年陆续通过了国家计算机病毒应急处理中心(CVERC)的APP安全认证(安全检测)、APP信息安全认证(隐私保护),在数据安全与合规的基础上进行政企合作,以技术创新助力国家互联网治理体系的变革。
此外,马上消费已取得经公安部认证的信息系统安全等级保护备案证明(三级),代表公司在信息安全、数据安全、个人隐私保护等方面获得了国家信息安全监管部门的权威认证。