银行机构数据安全威胁的影响范围从机构内扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场的稳定,银行对个人信息的安全等级定义的起点比较高,最低定义为2级,涉及个人生物特征的信息定义为4级。那么,银行又是采用哪些手段对个人金融信息进行保护的呢?
随着大数据、人工智能、云计算等新技术在金融,特别是银行业的深入应用,数据逐步实现了从信息化资产到生产要素的转变。银行机构数据安全威胁的影响范围从机构内扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场的稳定。
个人金融信息(personal financial information),是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
根据中国人民银行2020年9月23日发布的《金融数据安全数据安全分级指南(JR/T 0197—2020)》标准,其对个人信息进行了如下划分,分为五大模块:个人基本概况信息、个人身份鉴别信息、个人咨询信息、个人行为信息和个人标签信息。并对上述信息的最低安全级别给出了参考。
(4级——个人隐私严重损害;3级——个人隐私一般损害;2级——个人隐私轻微损害)
可以看出,银行对个人信息的安全等级定义的起点比较高,最低定义为2级,涉及个人生物特征的信息定义为4级。
那么,银行又是采用哪些手段对个人金融信息进行保护的呢?下面,小编通过专利带你一窥其中的奥秘。
各银行在开展业务和进行金融管理过程中,对个人金融信息保护贯穿数据收集、传输、存储、使用和销毁的整个过程[1]。
数据搜集阶段
数据搜集阶段,各银行的专利主要布局在信息采集和数据识别、分类这两个方面。
信息采集过程中,根据不同的采集场景,提供给针对个人信息的保护。如在图像信息录入银行系统时,可以借助电脑自动识别防止人工录入或人工校验员直接获取完整个人信息(CN101739441B,建设银行);个人使用手机银行时,利用眼球关注点信息判断是否被窥屏的风险(CN112202963A,中国银行);用户使用手机APP时,容易因截屏功能而泄露敏感信息,故设计截屏隐私保护控件(CN114065295A,建设银行)。
数据识别、分类过程中,主要涉及对个人信息数据进行识别,并将其归为敏感数据,根据确定的分级标准,设定访问权限。例如通过建立敏感词语库,通过机器学习实现对数据的敏感信息识别(CN111966875A,中国银行);通过对敏感数据进行分类得到敏感数据类别,基于敏感数据类别进一步采取措施(CN107944283B,农业银行)。
数据传输阶段
数据传输阶段,各银行的专利主要涉及传输控制和传输加密。
传输控制,主要是针对设备终端、接口对个人信息等敏感数据采取保护措施。例如,对传输内容的敏感信息识别和处理,当判断传输文件中具有个人信息等敏感数据,立即进行传输阻断并获取传输IP地址(CN112788146A,中信银行)。
传输加密,是对传输链路进行严格加密,对于个人信息数据采用更严格的加密方式。例如:通过获取敏感信息信息流路径,并对敏感信息进行动态混淆处理(CN112613000A,建设银行);在APP端增加加密模块,根据前端信息和预先建立的加密结构模板对要发送的信息进行加密(CN111159748A,中国银行)。
数据存储阶段
数据存储阶段,由于银行是数据加密方法或设备的最终用户,其专利很少涉及数据加密算法、设备等,更多的专利布局在防泄漏领域。
例如在APP获取个人信息时,判断请求是否合规,从而避免手机APP未经同意而非法获取个人信息,造成信息泄露(CN113691989A,中国银行);通过检测和管控日志文件中包含的个人信息等敏感数据,防止日志文件泄露个人信息(CN112100660A,建设银行);通过信息交换的两端定制,构建信息泄密检控方法,从而避免了某些涉密信息的传递、算法及数据处理技术方法等的共享(CN103490893B,工商银行)。
数据使用阶段
数据使用阶段,各银行的专利主要涉及授权管理和数据脱敏。
授权管理,是对不同管理权限的管理人员授予可见、可用的个人信息数据。例如,通过判断个人信息查询授权请求,验证是否授权查询(CN112395572A,建设银行);通过锚定实时更新的敏感信息关键字,动态授权用户的权限(CN113553619A,中信银行)。
数据脱敏,是对交付的数据进行“漂白”,去除其中的敏感数据信息。例如为了简化数据脱敏时长和降低占用内存容量,增加用于数据脱敏的数据临时表,服务器中完成脱敏工作后再对数据进行传输(CN110598451B,中国银行);其他银行也提出了各自的数据脱敏方法,例如针对大数据脱敏方法(CN111753331A,中国银行)、电子文档中敏感数据的脱敏处理方法及装置(CN113204949A,建设银行)、数据脱敏方法及装置(CN113569289A,工商银行)等。
数据销毁阶段
各银行均未在数据销毁阶段进行关于个人信息处理的专利申请,推测其原因主要在于,目前数据销毁通常采用送交符合资质的承销单位,而银行不属于该领域的主要创新主体。
区块链技术
随着区块链技术与金融的进一步深度融合,在利用区块链技术重塑业务流程的同时,各银行还积极利用区块链技术解决个人信息安全保护中遇到的各种问题。
例如,公有链中屏蔽链上实体与现实实体的联系来解决隐私问题的方案无法进一步满足金融行业对个人信息安全保护的需求,在报文传递过程中增加密文报文模块,从而实现对隐私信息的加密(CN110335043A,中国银行);结合区块链技术,尽可能的保护用户隐私,减轻信息泄露的风险(CN113364597A,工商银行);为了解决跨机构查询客户信息时候的客户、机构信息权限授信问题,提供一种基于区块链的跨机构授信管理方法(CN114065285A,建设银行)。
最后,随着银行对于个人金融信息安全的愈加重视,以及个人金融信息安全保护技术的逐渐普及,个人金融信息安全技术将会集中越来越多的创新资源,来保障用户的个人信息,小编也可以安心使用银行APP对着手机刷脸了。
作者:孙晶晶 品源专利代理