金融业个人金融信息安全保护及风险防范 梁力军 副教授 一、课程背景 现代信息技术的快速发展,促进了金融业各领域的“互联网+”化,互联网与传统金融业的结合应用日益紧密。互联网金融作为一种新型业态,已经成为金融业发展的新主题和新方向,它对证券业发展产生了极大影响。证券公司不再局限于传统的经纪业务,在技术驱动下逐渐实现产品和服务多元化、经营渠道多样化,使得证券公司掌握着大量客户的各类基本信息、交易数据及后台服务信息等,且所拥有的数据呈现爆炸式增长。但同时需要指出,证券行业的个人信息侵权事件也屡屡发生,不仅侵犯了自然人客户的隐私甚至还造成了资金、财产损失,这些问题也严重影响了证券业的声誉,不利于证券业的市场秩序的稳定和社会经济的发展。 2020 年,某股份银行上海一家支行客户经理泄露脱口秀演员个人金融信息的事件,引发了社会公众和金融监管机构对金融机构如何依法合法保护个人金融信息的高度关注。个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息,指纹、人脸等个人生物识别信息也被涵盖在内。已发生的个人金融信息安全事件,往往和金融机构内部人员有紧密关联,也从另一方面说明个人金融信息的保护制度和防范措施,往往是被挂在墙上或束之高阁,而非真正落在实处。随着《个人金融信息保护技术规范》(银发[2020]45)文件的颁布,在此背景下,如何更好地认知个人金融信息保护中存在的风险点,如何堵塞防控漏洞?如何界定个人金融信息泄露的违法违规行为?如何采取适当的措施和手段保密好金融数据和客户信息?如何符合监管规范?以上这些是证券公司等金融机构当前面对的重大课题。 二、课程时长 本培训计划时长为 1 天(6 小时)。 上半场主题:个人金融信息泄露与案例解析 下半场主题:个人金融信息保护技术规范解析 三、授课对象 证券公司、保险公司、商业银行以及互联网公司、类金融企业等机构的风险管理部、信息技术部、电子银行部、网络金融部、法律合规部、运营管理部、内部审计部、零售业务部和公司业务部等相关部门的管理者、技术人员和业务人员等。 四、授课形式 课件讲授:制作培训课件,并以课件作为授课主线。 视频解析:通过播放个人金融信息安全保护方面的相关视频,引发并组织参训人员对个人金融信息安全保护方面的思考和讨论。 案例分析:通过解析中外证券公司在个人金融信息安全及风险防范、监管方面的实际案例,引发参训人员思考。 情景设置与实战演练:通过预设金融场景或引入真实场景,运用头脑风暴法和团队讨论方式,进一步提升参训人员的个人金融信息安全保护及风险管控思维。 五、课程收益 本培训从证券公司等金融机构面临的个人金融信息安全保护入手,系统性解析证券公司的个人金融信息泄露风险案例,并针对性提出风险管控与安全保护措施。其主要课程收益如下: 第一,本培训可进一步强化参训机构及人员的个人金融信息安全思维、风险思维和防范思维,使参训人员能够清晰认知个人金融信息保护之重要意义与价值。 第二,本培训可为参训机构设计、制定和实施个人金融信息安全管控规划与实施策略,提供重要的建议措施参考。 六、内容框架 上半场:个人金融信息泄露及案例解析 1. 个人金融信息认知 (1) 个人金融信息内涵 (2) 个人金融信息具体种类 (3) 个人金融信息特征 2. 个人金融信息泄露动因分析 (1) 机构经营压力与竞争环境分析 (2) 银行绩效考核体系失当分析 (3) 金融监管体系与监管科技应用分析 3. 个人金融信息安全风险源分析 (1) 系统视角下的个人金融信息安全风险解析 (2) 客户视角下的个人金融信息安全风险解析 (3) 机构视角下的个人金融信息安全风险解析 (4) 监管视角下的个人金融信息安全风险解析 4. 个人金融信息安全案例解析 (1) 银保业案例解析 2020 中信银行池子事件 银行数据治理违规事件(EAST 报送) 中国人寿保单信息泄露事件 (2) 证券业客户个人信息安全事件案例解析 中国银河证券违规打印客户对账单事件 京东股票 APP 客户信息泄露风险警示 华泰证券重大信息安全事件 其他证券机构信息安全事件 下半场:个人金融信息保护技术规范解析 1. 个人金融信息安全技术应用案例 (1) 人工智能在个人金融信息安全保护方面的应用 (2) 大数据分析在个人金融信息安全保护方面的应用 (3) 云技术在个人金融信息安全保护方面的应用 (4) 区块链在个人金融信息安全保护方面的应用 2. 个人金融信息保护技术规范解析 (1) 《信息安全技术-个人信息安全规范》(GB/T 35273-2020)解读 (2) 《个人金融信息保护技术规范》主体框架 (3) 个人金融信息安全防范解读(C1 C2 C3 级别) (4) 个人金融信息安全防范措施 3. 个人金融信息安全法律保护与监管演进 (1) 国外金融业的个人金融信息安全的法律保护 (2) 国内金融业的个人金融信息安全的法律保护 (3) 个人金融信息安全的法律保护与政策演进 (4) 人民银行《个人金融信息(数据)保护试行办法》解读 4. 个人金融信息安全保护路径 (1) 法律法规视角下的个人金融信息安全保护体系建设 数据确权应用方面 个人征信体系建设方面 金融消费者个人客户数据安全意识的提升方面 (2) 个人金融信息安全风险监管 加大规范与打击力度 加强金融违法违规行为处罚 出台数据案例管理办法 加强金融机构数据治理 (3) 个人金融信息安全防范 信息安全与网络安全管理 信息的安全需求与“六项”规则 安全防范的五项建议 金融机构的经营规范 内控体系的完善与建设 系统控制原则 系统控制措施 数据控制措施
|