银行作为科技驱动型和数据密集型行业，日常经营中集聚了大量个人信息，在数字技术推动和后疫情时代“零接触”背景下，更多金融服务通过在线方式实现，客户资产及信息数字化特征更趋明显，如何保护个人信息安全、实现信息安全与数据价值兼得是银行的必答题。《个人信息保护法》将于2021年11月1日正式施行，该法将个人信息受保护提升至“国家尊重和保障人权”的高度，细化了保护原则，确立了管理主线，提出了风险防线，划定了合法合规红线和底线。这对银行推进金融数据治理、落实个人信息保护提出了更高的要求，营造个人信息“取之有据、用之有道、护之有术”的良性数据生态至关重要。
 
银行个人信息保护和数据治理面临的挑战
 
随着个人信息保护“国家层面推动、行业层面细化、企业自身践行”三位一体模式的确立，当好个人金融信息的“数据管家和守门人”是银行的必修课，尤其是规模居前的大型银行机构，在管理模式、数据治理和技术控制等方面面临诸多挑战。
 
一是在管理模式上面临管控落地的挑战。首先，需解决管什么的问题。必须合理界定个人金融数据的内涵和外延，既不能无限扩大，也不能简单地局限于账务性信息；既需要法理的阐述，也需要企业经营实践的探索。比如，匿名化处理后的个人信息是否属于银行自有商业信息，这个问题就值得探讨。其次，要解决管理权来源的问题，也就是如何取得个人金融信息的使用权及后续管理权。这既不能采用霸王条款强行索要客户信息，也不能利用艰涩难懂的条文去套取客户授权。尤其是在当前数字经济浪潮下，新金融活水深度融入人民群众日常生活的方方面面，如何在不同业务场景下有效落实“告知—同意”规则且保障用户体验，这些都颇具挑战。最后，要解决谁来管的问题。银行获取个人金融信息后，如何界定内部各类机构对这些信息的管控职责、如何有效识别和评估各种信息处理活动对个人权益的影响也至关重要。
 
二是在数据治理上面临数据规范缺失的问题。个人金融信息管理路径很长，涉及采集、存储、处理、分析、使用、销毁全生命周期各个阶段。规范每个阶段的操作标准是落实个人信息保护的基础，而这方面业界除了简单的目标和原则外，尚缺乏可参照执行的标准规范，需要企业根据经营性质及自身运作流程完成的具体工作很多，也很艰巨。比如，每项业务采集哪些个人信息、对个人信息如何分类分级，明确相应等级的存储、传输、使用、加工处理规范以及信息销毁处理方法等，都需要认真研究探索。
 
三是在技术控制上面临传统方法适用性不足的问题。传统的防病毒、防火墙、入侵检测“三板斧”对于开放共享环境下的个人信息保护是远远不够的，单纯的防堵是低效甚至是无效的，对业务的发展往往不是保护而是阻碍。原因很简单，如果一项服务或产品只讲安全不顾应用，体验不好，客户就会“敬而远之”。如何利用新技术手段在不降低客户体验和保障数据安全的情况下更好地实现数据融合使用，还有许多功课要做。
 
建设银行金融数据治理策略
 
2020年以来，建设银行按照“建生态、搭场景、扩用户”的数字化经营理念，全面开启数字化经营探索，打造大中台体系。针对个人用户，围绕生活缴费、商户消费、社区居家等多种个人生活场景，建立数据洞察和客户画像，实现数字化连接、产品综合交付、服务多渠道触达。
 
在数字化经营过程中，建设银行对个人信息采取了“定责明确角色，建制度、定流程、强技术实现体系化保护，培养企业文化固化数据治理成效”的总体策略。通过定责，明确各部门、各级机构在个人信息处理中承担的角色和职责；通过建制度，明确个人信息保护的原则及目标；通过定流程，将信息保护任务融入日常工作；通过强技术，提升信息保护预警、监测甄别及处置的专业化能力和效率，降低操作难度；通过企业文化建设，培养员工对个人信息保护的意识，将个人信息保护要求逐渐转换为员工的规范习惯，进而让企业形成可持续的个人信息保护机制。
 
建设银行数据治理实践
 
始于组织，在全面融合中持续肩负多元化的角色职责。对照法律规定，银行同时具有“个人信息处理者、关键信息基础设施运营者、达到国家网信部门规定数量的个人信息处理者”等多项身份，在国家数据安全、行业数据安全和个人数据安全等多个层面均承担关键作用。建设银行准确理解自身多元化角色，并转化为全新的组织管理模式。一是统一认知，明确身份角色。建设银行结合相关法律法规的出台和执行情况，持续跟踪和解析每一种个人信息保护角色对应的部门归属和职责分工，细化和落实对应的责任义务。二是协同治理，形成管理合力。建设银行统筹业务部门、数据部门、技术部门、风险合规部门、审计部门等共同开展全行客户信息保护工作，逐步理清工作模式，强化业务、数据、技术融合，形成个人客户信息保护合力。三是统筹管理，整合个人信息保护需求。明确全行客户信息保护工作依据和工作目标，以个人信息保护需求及相关系统开发为统筹切入点，初步制定全行个人客户信息保护工作方案，涵盖全渠道信息处理客户授权、客户信息保护提醒、客户信息异常查询监测等业务需求。
 
稳于制度，在体系设计中不断完善有针对性的制度规范。建设银行在推进数据安全和个人信息保护的过程中始终坚持制度先行，视个人信息保护为金融治理的重要组成部分。一是将个人信息保护相关法律法规要求融入现有的管理体系，纳入公司治理、IT管理、数据治理、消费者保护等工作规划。二是建立数据安全管理制度体系，涵盖数据需求管理、内外部数据采集、安全分级、信息安全保护策略、数据使用、数据共享等各方面。三是加强专项管控，业务部门及风险内控部门针对个人客户信息保护、用户敏感信息保护、员工行为管理、用户数据分析等领域制定严格规范，明确了个人信息保护的理念原则、类别范围和工作要求。