央行金融信息中心任妍:数据安全治理工作应贯穿数据全生命周期
11月5日,由北京金融科技产业联盟、移动支付网联合主办的2019第四届中国移动金融安全大会在深圳顺利召开。中国人民银行金融信息中心信息数据服务部副主任任妍以《从个人信息保护看信息安全管理框架》为主题,分析各国在个人数据保护方面的管理要求,结合数据生命周期管理的理念,提出数据安全治理框架。
任妍表示近年来个人信息安全事件频发,可归结为数据非法获取、数据处理失当和数据共享应用适当三类。此类事件已引起世界各国高度关注,目前已经有约120个国家和地区出台了个人信息保护相关政策法规,个人信息保护政策已成为了各国法律体系的标配。从定位来看,监管政策当中有的定位于整体统管,有的定位于规范细分行业或领域;从施策立场来看,有的倾向于强化保护,有的倾向于鼓励发展;从机构职责来看,各国的监管格局大多为多头监管。
相对于发达国家在该领域的发展历程,我国个人信息保护相关法律法规起步略晚,但近年来在不断加速,近10年内可以在刑法、民法总则当中看到国家对个人信息保护的明确要求。2017年实施的《网络安全法》对个人信息保护的界定和处罚有了更加准确的界定,2018年,《个人信息保护法》被列入全国人大常委会立法规范,标志着个人信息保护法律工作进入了新的阶段。2019年,包括儿童个人信息保护、互联网个人信息保护等各项政策法规出台更为密集,以人民银行为代表的金融监管部门在制度规范、行业标准、专题研究、内部治理等多方面多管齐下,积极推动金融领域的个人信息保护工作。
在具体落地方面,任妍表示数据保护需要贯穿数据全生命周期,在数据的获取、使用、传输到存储、归档、销毁各环节,都应设置相应的数据安全管理控制措施。各机构应在数据治理过程中,同步建立数据安全治理体系,在技术层面做好基准评估、敏感数据识别、监控扫描、数据加密、安全行为审计等防控措施,在管理层面则应该设立首席数据安全官来全面负责数据安全,并设立专门的岗位,组建专业团队落实数据安全各环节的技术管理要求;还要建立好攻防对抗机制和应急处置机制。此外,在个人信息安全评估、数据去标示化、法律合规要求转化等方面,任妍提出具体关注建议,并结合业界对数据保护的实现案例进行分析,为各机构建设数据安全治理体系提供参考。