银行业个人金融信息安全保护及风险防范 梁力军 副教授 一、课程背景 个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息,指纹、人脸等个人生物识别信息也被涵盖在内。近期,中信银行上海一家支行客户经理泄露某演员个人金融信息的事件,引发了社会公众和金融监管机构对商业银行如何依法合法保护个人金融信息的高度关注。已发生的个人金融信息安全事件,往往和银行内部人员有紧密关联,也从另一方面说明个人金融信息的保护制度和防范措施,往往是被挂在墙上或束之高阁,而非真正落在实处。 事件发生后,中国银保监会消费者权益保护局对中信银行启动立案调查,并严格依法依规进行查处。而这并非中信银行首次因此类事件遭受查处。屡罚不改的背后,凸显出加强个人金融信息保护的必要性和急迫性。随后,5月19日,中国互联网金融协会公布首批拟备案的金融类APP 名单,涉及工商银行、支付宝、微信等 33 家机构 73 款移动金融客户端应用软件;备案机构还将持续扩围,监管部门将推动金融 APP 备案全覆盖。金融 APP 进行备案管理,将推动信息采集、使用更加规范,有利于加强对个人金融信息的源头追踪和保护。 在此背景下,如何更好地认知个人金融信息保护中存在的风险点,如何堵塞防控漏洞?如何界定个人金融信息泄露的违法违规行为?如何采取适当的措施和手段保密好金融数据和客户信息?如何符合监管规范?以上这些是商业银行当前面对的重大课题。 二、课程时长 本培训计划时长为 1 天(6 小时)。 上半场主题:个人金融信息认知与风险、法律与规范解析 下半场主题:个人金融信息安全保护案例解析与风控措施 三、授课对象 商业银行、互联网公司、类金融企业等机构的风险管理部、信息技术部、电子银行部、网络金融部、法律合规部、运营管理部、内部审计部、零售业务部和公司业务部等总分行相关部门的管理者、技术人员和业务人员等。 四、授课形式 课件讲授:制作培训课件,并以课件作为授课主线。 视频解析:通过播放个人金融信息安全保护方面的相关视频,引发并组织参训人员对个人金融信息安全保护方面的思考和讨论。 案例分析:通过解析中外商业银行在个人金融信息安全及风险防范、监管方面的实际案例,引发参训人员思考。 情景设置与实战演练:通过预设金融场景或引入真实场景,运用头脑风暴法和团队讨论方式,进一步提升参训人员的个人金融信息安全保护及风险管控思维。 五、课程收益 本培训从商业银行面临的个人金融信息安全保护入手,系统性解析商业银行的个人金融信息泄露风险案例,并针对性提出风险管控与安全保护措施。其主要课程收益如下: 第一,本培训可进一步强化参训机构及人员的个人金融信息安全思维、风险思维和防范思维,使参训人员能够清晰认知个人金融信息保护之重要意义与价值。 第二,本培训可为参训机构设计、制定和实施个人金融信息安全管控规划与实施策略,提供重要的建议措施参考。 六、内容框架 上半场:个人金融信息认知与风险、法律与规范解析 1. 个人金融信息认知 (1) 个人金融信息内涵 (2) 个人金融信息具体种类 (3) 个人金融信息特征 2. 个人金融信息泄露动因分析 (1) 机构经营压力与竞争环境分析 (2) 银行绩效考核体系失当分析 (3) 金融监管体系与监管科技应用分析 3. 个人金融信息安全风险源分析 (1) 系统视角下的个人金融信息安全风险解析 (2) 客户视角下的个人金融信息安全风险解析 (3) 机构视角下的个人金融信息安全风险解析 (4) 监管视角下的个人金融信息安全风险解析 4. 2020 个人金融信息保护技术规范解析 (1) 技术规范的主体框架 (2) 个人金融信息安全防范解读(C1 C2 C3 级别) (3) 个人金融信息安全 5. 个人金融信息安全法律保护与监管演进 (1) 国外金融业的个人金融信息安全法律保护 (2) 国内金融业的个人金融信息安全法律保护 (3) 个人金融信息安全的法律保护与政策演进 (4) 人民银行《个人金融信息(数据)保护试行办法》解读 下半场:个人金融信息安全保护案例解析与风控措施 1. 个人金融信息安全素材解析 (1) 国内银行个人客户信息安全事件案例解析(2020 中信银行事件、2020北京银行事件、2020 建设银行事件等) (2) 国外银行个人客户信息安全事件案例解析(2011 年花旗银行客户信息泄露事件、2011 年韩国农协银行、2019 美国银行第一资本过亿客户信息泄露案件) (3) 花旗银行客户数据泄露事件 2. 个人金融信息安全技术应用案例 (1) 人工智能在个人金融信息安全保护方面的应用 (2) 大数据分析在个人金融信息安全保护方面的应用 (3) 云技术在个人金融信息安全保护方面的应用 (4) 区块链在个人金融信息安全保护方面的应用 3. 个人金融信息安全保护方面的建议与措施 (1) 法律法规视角下的个人金融信息安全保护体系建设 银行法、公司法方面的完善 互联网电商的数据确权应用方面 个人征信体系建设方面 金融消费者个人客户数据安全意识的提升方面 (2) 银行经营视角下的个人金融信息安全保护机制建设 公司治理层面 部门职能层面 运营管理层面 技术科研层面 业务导向层面 应急机制层面 操作风险层面 员工意识层面 (3) 个人金融信息安全防范之展望 金融发展与金融风险之平衡 金融数字化之“红”与“黑” 金融文化与金融伦理
|