记者5日从相关渠道获悉,金融监管总局近日向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》),要求银行保险机构全面开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展排査整改。
《通知》明确,银行保险机构在合同协议中要强化数据安全要求,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,在问题整改完成前,不能扩大合作范围内 容。
此外,《通知》还要求加强科技风险统筹管理,要将数字生态合作纳入到银行保险机构的外包风险管理范围,加强统筹管理,科技和数据管理部门应加强外包合作的网络和数据安全管理,加强风险评估和事件处置。
招联首席研究员、复旦大学金融研究院兼职研究员董希淼对记者表示,近段时间来,以ChatGPT为代表的生成式对话产品兴起。如果满足合规和风控要求,生成式对话产品将在金融机构数字化转型、提升客户服务水平等方面发挥积极作用。但是,生成式对话产品需要接入很多数据库进行大量训练,会涉及大量的信息和数据。金融机构在与第三方合作中,如何加强网络和信息数据的安全防护,相关机构如何依法合规获取数据进行训练,都需要进一步研究。
业内人士介绍,金融行业属于数据密集型,对网络和数据依赖性极强。如何更好地保障网络和数据安全,保护个人信息、引导数据向善,是金融业必须面对的重要课题。
“随着数字经济发展,有效监管和法规约束是十分必要的。”董希淼表示,只有相应的法律法规和监管制度实施以后,各市场主体才能够更好地享受大数据带来的便利。对金融机构而言,下一步应从三个方面加以努力:
一是在思想上,要高度重视网络和数据安全管理。这既是维护金融消费者合法权益的重要内容,也是金融机构取信于社会和客户的基本义务和基础工作。特别是在第三方合作中,金融机构要绷紧网络和数据安全管理的弦。当前,金融机构要加强排查,摸清数字生态场景合作的风险底数;应将保护个人信息的理念内化于金融机构血液中,以最严格的标准和最严密的措施确保个人信息安全。
二是在管理上,金融机构应建立个人信息数据库分级授权管理制度。金融机构应根据个人信息的重要程度、业务需要、敏感程度等,实行分级管理。例如,对未满十八周岁未成年人的个人信息,作为敏感个人信息予以更严格保护;对需要向境外提供的个人信息,应当通过国家相关部门的安全评估。在个人信息处理过程中,金融机构应在技术上对客户信息复制、查询有硬约束,比如建立分级审批、双人控制等要求。
三是在机制上,加强网络和数据安全保护的宣传教育。一方面金融机构应开展员工内部培训,在工作中强化对用户个人信息的保护意识;另一方面金融机构应当未雨绸缪,将加强信息保护等融入消费者教育内容,提高消费者金融素养和自我保护能力。
编辑/樊宏伟