近年來，無論從國家法律還是行業(yè)監(jiān)管角度來看，消費者權益的保護工作一直是金融機構工作的關注重點。近期，為維護公平公正的金融市場環(huán)境，切實保護銀行保險業(yè)消費者的合法權益，推動行業(yè)高質量穩(wěn)健發(fā)展，銀保監(jiān)會發(fā)布了《銀行保險機構消費者權益保護管理辦法（征求意見稿）》（以下簡稱《管理辦法》），并向社會公開征求意見。

本文對《管理辦法》進行了要點提煉與總結，并從《管理辦法》的信息安全關注點切入，結合天融信多年來在金融行業(yè)信息安全領域、個人信息保護方面的深厚技術積累和豐富項目經驗，為客戶提供個人信息數(shù)據(jù)安全治理體系建設的理論支撐與實踐指導。

此次《管理辦法》的發(fā)布完善了國家及行業(yè)對消費者權益監(jiān)管及指導的整體框架（見上圖），進一步充實和完善了銀保監(jiān)會審慎監(jiān)管與行為監(jiān)管并重的監(jiān)管體系，有利于推動各金融機構強化主體責任，切實維護銀行保險業(yè)消費者的合法權益。

《管理辦法》要點總結

明確責任與義務

《管理辦法》明確了銀行保險機構需承擔保護消費者合法權益的主體責任，同時也規(guī)定了消費者有誠實守信的義務。

確定工作機制及管理要求

《管理辦法》要求銀行保險機構將消費者權益保護納入公司治理、企業(yè)文化建設和經營發(fā)展戰(zhàn)略，建立健全消費者權益保護審查、消費者適當性管理、個人信息保護、第三方合作機構管理、內部消費者權益保護考核等工作機制，提升消費者權益保護工作水平。

重點強調保護消費者八項基本權利

《管理辦法》從規(guī)范產品設計、內容披露、營銷宣傳、銷售行為，禁止誤導銷售、捆綁搭售、不合理收費等方面作出規(guī)定，保護消費者知情權、自主選擇權和公平交易權；從保護消費者個人財產安全、規(guī)范保險公司核保和理賠活動等方面作出規(guī)定，保護消費者財產安全權和依法求償權；從強化消費者教育宣傳、滿足特殊人群服務要求、規(guī)范營銷催收行為等方面作出規(guī)定，保護消費者受教育權和受尊重權；從收集、使用、傳輸消費者個人信息等方面作出規(guī)定，保護消費者信息安全權。

明確監(jiān)管職責與措施

《管理辦法》明確要求銀保監(jiān)會及其派出機構應依法履行消費者權益保護監(jiān)管職責，經營活動中的同類業(yè)務、同類主體統(tǒng)一標準、統(tǒng)一裁量，打擊侵害消費者權益亂象和行為，營造公平有序的市場環(huán)境。針對銀行保險機構工作中存在的問題，可采取限期整改、下發(fā)風險提示函、人員問責、責令暫停業(yè)務等監(jiān)管措施。

《管理辦法》個人信息保護關注點

明確落實消費者信息安全權保護

《管理辦法》中共7條內容涉及消費者信息安全權的保護規(guī)范，重點說明了需要消費者經過明示同意、授權同意等的業(yè)務場景，強調了需要通過有效技術手段來控制數(shù)據(jù)的濫用及泄漏，需要對處理個人信息的業(yè)務及系統(tǒng)采取有效的監(jiān)控和干預，并對行業(yè)從業(yè)人員行為進行管理等相關事宜。《管理辦法》是繼國務院辦公廳發(fā)布《關于加強金融消費者權益保護工作的指導意見》后，又一有利于充分落實保護消費者信息安全權的具體要求。

強調消費者個人信息保護責任

《管理辦法》銜接了《個人信息保護法》的相關規(guī)定，針對個人信息保護工作提出了明確要求，重點強調銀行保險機構應當建立消費者個人信息保護機制，從管理制度、審批制度、控制措施等方面入手，對消費者個人信息實施全流程分級分類管控，進一步落實銀行保險機構的個人信息保護責任。

天融信數(shù)據(jù)安全應對思路

天融信在金融行業(yè)信息安全和數(shù)據(jù)保護方面具有豐富的實踐經驗。在《JR/T 0171-2020 個人金融信息保護技術規(guī)范》、《JR/T 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》、《JR/T 0223-2021 金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》等標準的規(guī)范與指導下，天融信憑借在數(shù)據(jù)安全和個人信息保護方面的技術積累，采用國際先進的數(shù)據(jù)安全治理理念，針對消費者個人信息保護需求，幫助銀行保險機構完善管理組織架構、規(guī)范信息安全制度、做好數(shù)據(jù)分級分類梳理、明確數(shù)據(jù)管理操作流程、提供數(shù)據(jù)安全管控工具，形成涵蓋個人信息保護的數(shù)據(jù)安全治理體系，進一步落實消費者信息安全保護義務。治理框架如下圖所示：

該框架通過規(guī)范管理制度完善組織建設，并從業(yè)務和數(shù)據(jù)識別入手，對金融機構的個人信息保護現(xiàn)狀進行安全風險評估，制定覆蓋數(shù)據(jù)全生命周期的安全策略，并結合技術工具推動有效落地，最終通過多重治理評估，促進數(shù)據(jù)安全體系的持續(xù)優(yōu)化與改進。同時，該框架將網(wǎng)絡安全運營理念融入到數(shù)據(jù)安全治理實踐當中，旨在通過打通數(shù)據(jù)安全管理內外部組織、流程與工具，為數(shù)據(jù)安全運營提供理論參考和實踐指導。

天融信數(shù)據(jù)安全優(yōu)勢

天融信作為國內網(wǎng)絡安全龍頭企業(yè)，在不斷探索中推出了以數(shù)據(jù)安全治理為基礎、數(shù)據(jù)安全防護為手段、數(shù)據(jù)全生命周期管控為核心、數(shù)據(jù)安全服務為支撐的數(shù)據(jù)安全防護體系方法論。

豐富的數(shù)據(jù)安全治理經驗

目前天融信數(shù)據(jù)安全治理服務已在多個金融行業(yè)客戶案例中實施落地，客戶涉及監(jiān)管機構、銀行、保險等多類單位。

專業(yè)的數(shù)據(jù)安全標準制定者

天融信參與了眾多數(shù)據(jù)安全國家標準、行業(yè)標準的制定，并協(xié)助眾多客戶梳理數(shù)據(jù)安全規(guī)范及管理制度，積極落實標準要求。

全面的數(shù)據(jù)安全產品

天融信具有覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全產品，可結合數(shù)據(jù)安全管理平臺，將數(shù)據(jù)安全治理理念及數(shù)據(jù)安全管控策略直接落地。

領先的數(shù)據(jù)安全人才培訓體系

2019年，經中國信息安全測評中心授權，天融信成為國內獨家注冊數(shù)據(jù)安全治理專業(yè)人員（CISP-DSG）認證資質的運營機構。2022年，在原有CISP-DSG合作的基礎上，推出進階級的注冊信息安全專業(yè)人員-數(shù)據(jù)安全官（CISP-DPO）認證課程體系。

TOPSEC

近年來，隨著國家及行業(yè)監(jiān)管部門對個人信息保護力度的不斷加大，金融機構對健全內部控制機制、完善技術防范措施、強化從業(yè)人員安全意識等工作也愈加重視。天融信將積極落實國家及行業(yè)監(jiān)管要求，依托金融行業(yè)實踐經驗，深度了解客戶信息安全保護需求，為其提供先進、可行的數(shù)據(jù)安全治理體系咨詢及方案落地服務，助力金融機構加強個人信息安全保護意識與能力，充分保障金融消費者信息安全。