導(dǎo)讀

從池子銀行賬戶被泄事件看個(gè)人信息保護(hù)。

池子，原名王越池，因參加《吐槽大會(huì)》而成名。在今年5月初，池子稱(chēng)其與上海笑果文化傳媒有限公司產(chǎn)生合約糾紛，雙方均提出了仲裁，在笑果文化寄給王越池的案件材料里面，竟然發(fā)現(xiàn)了他在銀行的個(gè)人賬戶交易明細(xì)。

1、銀行面臨高額懲罰

此次事件，銀行已經(jīng)致歉并將該支行行長(zhǎng)撤職，并稱(chēng)是“個(gè)別員工未嚴(yán)格按照制度操作”，與此同時(shí)銀保監(jiān)會(huì)已經(jīng)提出立案調(diào)查。但是，業(yè)內(nèi)人士表示，銀行將面臨頂格處罰，并且公司高管及相關(guān)責(zé)任人將面臨法律風(fēng)險(xiǎn)。

但是我想這并不是銀行高層想要看到的。

2、很難說(shuō)是“個(gè)別員工”造就的意外

客戶不分大小，隱私權(quán)都是絕對(duì)平等的。

《商業(yè)銀行法》第29條就明確規(guī)定，“對(duì)個(gè)人儲(chǔ)蓄存款，商業(yè)銀行有權(quán)拒絕任何單位或者個(gè)人查詢(xún)、凍結(jié)、扣劃”。

除了公安機(jī)關(guān)、法院等經(jīng)過(guò)法定程序的調(diào)取外，銀行沒(méi)有任何權(quán)利將交易記錄泄露給第三方。而且值得一提的是，這并不是銀行第一次陷入隱私泄露風(fēng)波。

前幾年，因下屬分行工作人員涉嫌泄露倒賣(mài)個(gè)人征信信息，銀行就曾被央行點(diǎn)名通報(bào)。

根據(jù)公開(kāi)數(shù)據(jù)，央行2017年到2019年間針對(duì)征信違規(guī)的193期處罰里關(guān)于內(nèi)部人員越權(quán)查詢(xún)個(gè)人或企業(yè)征信的處罰就有88起。

因此，這次風(fēng)波很難說(shuō)是“個(gè)別員工”造就的意外。

3、銀行個(gè)人信息管理中到底有哪些問(wèn)題

首先，我們從各路媒體的公開(kāi)報(bào)道中可以知道，銀行支行員工是在支行行長(zhǎng)的授權(quán)下將池子的銀行流水打印出來(lái)提交給的。在這段信息里，我們可以提煉下有用的信息：池子的個(gè)人信息不屬于高級(jí)別權(quán)限，誰(shuí)都能看。換言之，這個(gè)行長(zhǎng)是有授權(quán)權(quán)限的。

眾所周知，銀行也是要賺錢(qián)的，各大支行的業(yè)績(jī)壓力那是一點(diǎn)都不小，那么不可避免的，一家支行會(huì)對(duì)一家公司客戶存在多少依賴(lài)，那么與分支業(yè)績(jī)相關(guān)的行長(zhǎng)很難不受到大客戶裹挾。這里隱藏的信息是：與第三方利益相關(guān)的人在參與授權(quán)，這其實(shí)是制度缺陷。

另外，不論是該支行具體操作員工還是支行行長(zhǎng)對(duì)個(gè)人信息安全保護(hù)的意識(shí)顯然是不足的。

這暴露出，銀行雖然有制度，但是依然存在很大的執(zhí)行缺陷和管理漏洞。針對(duì)此點(diǎn)，國(guó)際上有個(gè)標(biāo)準(zhǔn)（ISO/IEC 27701:2019隱私信息管理體系）就能夠有效進(jìn)行規(guī)避。該標(biāo)準(zhǔn)對(duì) PII （個(gè)人可識(shí)別身份信息）提出專(zhuān)門(mén)的要求（例如：要求組織需要根據(jù)自身角色配置響應(yīng)的PII管理專(zhuān)職人員；分別對(duì)PII控制者和處理者的評(píng)估增加了額外指導(dǎo)，包括收集和處理PII的條件等控制域）。

4、如何通過(guò)標(biāo)準(zhǔn)化管理避免個(gè)人隱私管理違規(guī)

去年以來(lái)，監(jiān)管部門(mén)密集出臺(tái)關(guān)于數(shù)據(jù)安全管理辦法、APP 違規(guī)收集使用個(gè)人信息行為認(rèn)定方法等多項(xiàng)征求意見(jiàn)稿及草案。可以看到，國(guó)家層面對(duì)個(gè)人信息數(shù)據(jù)管理的系統(tǒng)性整治規(guī)范是大勢(shì)所趨。眼下該股份行事件暴露出的流程漏洞，勢(shì)必將加速監(jiān)管方面對(duì)金融機(jī)構(gòu)個(gè)人信息安全的排查監(jiān)管。各家銀行如何有效將鍋補(bǔ)上，規(guī)避未來(lái)發(fā)生此類(lèi)事件的風(fēng)險(xiǎn)將成為今年銀行工作的重中之重。之前我們提到的ISO/IEC 27701隱私信息管理體系或許能夠給各方一點(diǎn)啟發(fā)。

首先，我們都知道銀行由于其特殊性在信息安全方面的技術(shù)手段應(yīng)該是最嚴(yán)、最高精尖的。這也是公眾對(duì)此次個(gè)人信息泄露表露強(qiáng)烈不滿的關(guān)鍵所在，強(qiáng)烈的反差反而突顯了個(gè)人信息安全保護(hù)漏洞的嚴(yán)重性。信息安全保護(hù)的技術(shù)性手段主要應(yīng)用場(chǎng)景還是在外部攻擊，反而在內(nèi)部管理上顯示出了脆弱性，因此，強(qiáng)大的內(nèi)部管理機(jī)制才是解決這也是隱私泄露問(wèn)題頻發(fā)的關(guān)鍵所在。信息安全管理體系是國(guó)際通用的信息安全管理手段，管理體系持續(xù)改進(jìn)的管理方法能夠在問(wèn)題發(fā)生的初次就進(jìn)行有效的系統(tǒng)性修復(fù)，對(duì)制度本身進(jìn)行升級(jí)和優(yōu)化，有效規(guī)避風(fēng)險(xiǎn)的再次發(fā)生。

其次，統(tǒng)一的信息安全認(rèn)識(shí)實(shí)現(xiàn)信息安全管理的全覆蓋。我們可以看到，無(wú)論什么樣的管理措施，關(guān)鍵的落腳點(diǎn)還是在人。針對(duì)不同層次、不同信息安全要求，銀行需積極開(kāi)展信息安全培訓(xùn)教育，提升全行信息安全意識(shí)及專(zhuān)業(yè)技能，達(dá)到針對(duì)信息安全工作認(rèn)識(shí)與分工的高度統(tǒng)一。
如：針對(duì)管理層，重點(diǎn)加強(qiáng)信息安全理念、形勢(shì)、共識(shí)方面的教育培訓(xùn)，確保領(lǐng)導(dǎo)層面對(duì)信息安全的持續(xù)重視與關(guān)注；針對(duì)所有的開(kāi)發(fā)人員和應(yīng)用運(yùn)維人員，開(kāi)展應(yīng)用系統(tǒng)滲透測(cè)試，發(fā)現(xiàn)問(wèn)題并組織專(zhuān)題培訓(xùn)，以提高開(kāi)發(fā)人員安全意識(shí)和安全技能；針對(duì)網(wǎng)點(diǎn)客服人員，開(kāi)展信息安全敏感性及制度落實(shí)培訓(xùn)。

結(jié)語(yǔ)

銀行最核心的資產(chǎn)不是金融資本，而是金融消費(fèi)者對(duì)于金融機(jī)構(gòu)的信賴(lài)和信任。在當(dāng)前的市場(chǎng)應(yīng)用中，個(gè)人信息塑造了個(gè)人的虛擬形象，更有著顯著的財(cái)產(chǎn)和資源屬性，在個(gè)人隱私、財(cái)產(chǎn)利益、信息安全、經(jīng)濟(jì)發(fā)展等方面都產(chǎn)生了深刻影響，信息化發(fā)展越嚴(yán)重，對(duì)隱私安全的保護(hù)要求就會(huì)越高。大數(shù)據(jù)、云計(jì)算、人工智能等新技術(shù)不斷涌現(xiàn)的時(shí)代，充分利用新技術(shù)，提高銀行業(yè)生產(chǎn)效率，既關(guān)系到客戶的切身利益和安全，也關(guān)系到銀行業(yè)的未來(lái)發(fā)展，而個(gè)人信息的有效保護(hù)和管理是所有前提。

ISO/IEC 27701隱私信息管理體系

ISO/IEC 27701最初開(kāi)發(fā)為ISO/IEC 27552，它為建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)隱私信息安全管理體系（PIMS）提供了特定要求和指導(dǎo)，作為對(duì)ISO/IEC 27001中定義的靈活信息安全管理體系（ISMS）的擴(kuò)展。除了信息安全之外，還應(yīng)考慮到處理PII所需的隱私保護(hù)。像ISO/IEC 27001認(rèn)證標(biāo)準(zhǔn)一樣，ISO/IEC 27701認(rèn)證并不希望組織在所有情況下都采用每種控件。相反，它要求組織了解處理PII的特定上下文，并以適合其處理活動(dòng)的方式調(diào)整特定的控件集以及這些控件的相關(guān)實(shí)現(xiàn)。

簡(jiǎn)而言之，ISO/IEC 27701認(rèn)證是ISO/IEC 27001認(rèn)證的增強(qiáng)擴(kuò)展。該標(biāo)準(zhǔn)可以提供通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）要求的數(shù)據(jù)隱私和信息安全標(biāo)準(zhǔn)。為了有效地管理隱私，它包含用于個(gè)人身份信息（PII）處理器和控制器的結(jié)構(gòu)。實(shí)施ISO/IEC 27701將創(chuàng)建一個(gè)隱私信息安全管理體系，簡(jiǎn)稱(chēng)PIMS。

ISO/IEC 27701 隱私信息管理體系的作用：

盡管符合ISO27701/IEC 的PIMS對(duì)于具有數(shù)據(jù)保護(hù)義務(wù)的任何組織都可能是有價(jià)值的，但對(duì)于在國(guó)際上運(yùn)營(yíng)，與其他司法管轄區(qū)的客戶合作或在國(guó)際供應(yīng)鏈中運(yùn)營(yíng)的組織而言，它可能特別有意義。這些組織通常需要遵守各種隱私法規(guī)和法律，而ISO/IEC 27701的方法可以使這一挑戰(zhàn)更容易解決。

該框架可以幫助組織適當(dāng)?shù)亟鉀Q其信息安全和隱私風(fēng)險(xiǎn)，并可以減少花在客戶要求的和合同要求的審核上的時(shí)間。

用ISO/IEC 27701擴(kuò)展符合ISO/IEC 27001的ISMS可以提供證據(jù)，表明該組織已采取措施實(shí)施“適當(dāng)?shù)募夹g(shù)和組織措施”，以降低風(fēng)險(xiǎn)并保護(hù)個(gè)人數(shù)據(jù)，這是全球范圍內(nèi)越來(lái)越多的隱私法所要求的。

通過(guò)將PIMS實(shí)施為現(xiàn)有的符合ISO/IEC 27001的ISMS的擴(kuò)展，組織可以系統(tǒng)地收集和處理數(shù)據(jù)（包括個(gè)人數(shù)據(jù)），管理與信息的機(jī)密性，完整性和可用性有關(guān)的風(fēng)險(xiǎn)，并應(yīng)對(duì)不斷發(fā)展的變化對(duì)該數(shù)據(jù)及其隱私的威脅和風(fēng)險(xiǎn)。

隱私信息管理系統(tǒng)還允許組織通過(guò)不斷適應(yīng)環(huán)境和組織內(nèi)部的變化來(lái)降低與隱私和信息安全相關(guān)的成本，從而顯著提高其抵御網(wǎng)絡(luò)攻擊的能力。