商业银行管理着大量敏感的客户数据，面临着如何防止数据泄露、欺诈和没有经过授权访问的挑战。本文以J银行为例，阐述商业银行如何采用全面安全措施、遵守监督管理要求，以及利用先进的技术的实践，应对日渐增长的客户隐私问题。在保持运营效率与安全需求之间平衡的基础上，思考改进安全性和增强金融行业信任的前瞻性策略。

  在数字化时代，随着在线银行服务、移动应用程序和数字交易的普及，再加上数据驱动服务的增长，商业银行需要强大的合规安全框架，以确保操作的完整性和客户的信任。

  商业银行在国际和国内层面上受到各种法规的约束，全球数据安全和隐私法律和法规包括由欧盟颁布的全面隐私法《通用数据保护条例》（GDPR）、美国的《金融服务现代化法案》（GLBA）、《加利福尼亚州消费者隐私法案》（CCPA）等。这些法律和法规对客户数据的收集、存储和处理作出了严格规定，要求金融机构解释如何共享和保护客户数据。

  在国内《网络安全法》《个人隐私信息保护法》等法理依据下，商业银行数据要素应用的规范性和安全性，不仅受到专门负责数据合规部门的监督，如国家互联网信息办公室、各地通信管理局，同时也受到金融行业相关监督管理的机构的严格监管，如中国人民银行、国家金融监督管理总局，以及中国证券监督管理委员会（见表）。

  此外，中国人民银行于2023年7月24日对《中国人民银行业务领域数据安全管理办法》发送了征求意见的通知，虽然是尚未正式生效的意见征求稿，但其规制内容及立法动态应予以重视。（该办法于2025年5月1日正式对外发布，自6月30日起施行）

  1. 数据全生命周期管理。监管文件从数据全生命周期角度规范业务领域数据的安全管理，在数据处理的场景明确具体的要求。图1以用户登录掌银为例，描述商业银行个人金融信息全生命周期管理。

  2. 重点环节合规要点。（1）收集。沿用《个人隐私信息保护法》《数据安全法》等一般数据要素合规法律，强调数据的收集应当合法、正当的方式，不得超出法律和法规规定或者与数据主体约定的目的和范围。部分规定结合金融业务实践进行细化，强调不以欺诈、诱骗、误导的方式收集，不隐瞒收集目的，不从非法渠道获取。

  （2）存储与跨境传输。就存储期限而言，应为实现目的所必需的最短时间，法律和法规另有规定的除外。《个人隐私信息保护法》对个人隐私信息的存储期限进行原则性规定，为执行反洗钱、客户身份认证、行为可追溯等法律义务，金融行业的数据存储通常有其明确的存储期限。就存储地点而言，金融行业的数据大多被要求存储在境内。但部分金融机构存在跨国业务或者境外设有分支机构等，有几率存在着出境需求。在《促进和规范跨境数据流通规定》明确的数据出境合规机制框架下，对于法律规定允许出境的金融数据，必须在履行相应的合规义务后才可以进行跨境传输。

  （3）对外提供。部分金融数据禁止向第三方提供，或者需要满足一定条件才能对外提供。金融机构应严格遵循相关规定，不得擅自对外提供数据，或者在履行相应的合规义务后再向第三方提供。

  （4）委托处理。金融机构委托第三方处理数据时，应加强对受托方的监督，确保其数据处理活动合规，并根据法律和法规的要求充分约定委托方和受托方的责任义务，避免金融机构作为数据处理者承担对应违规后果。

  银行业关于数据合规治理体系建设的规定与业务实践紧密结合，极具行业特点。下面以J银行为例，阐述商业银行数据安全合规和风险管理策略，以及安全技术集成的实践。

  1. 隐私与数据安全治理体系建设。隐私与数据安全治理架构包括董事会、高级管理层、数据安全管理部门、业务部门和技术部门等的职责分工，详见图2。

  数据安全与隐私管理制度。按照国际标准和国家法规，建立内部管理制度和操作规程：如《个人客户信息保护工作管理办法》《个人隐私信息保护政策要点》，明确个人客户信息保护“合法合规、责任明确、告知同意、最小必要、分级授权、公平合理”六项根本原则，确定机构职责分工、全生命周期管理、应急管理机制及监督管理等方面的要求。制定《数据安全管理办法》基本制度，以及《数据分类分级保护细则》《数据安全事件应急预案》专项配套制度。通过ISO27001信息安全管理体系认证，涵盖总行信息系统、云平台和云服务的运行维护，全行基础设施的规划建设和技术运行管理，实现总分行、境内外、母子公司一体化的企业级IT系统安全架构。

  2. 数据安全与保护隐私举措。一是数据最小化收集和留存。最小化收集是指严格遵守最小必要原则。收集客户信息前，履行“客户告知—同意”流程。收集的信息类型，与实现产品或服务的业务功能直接关联。采集频率是所必需的最低频率。不变相强制收集客户信息，不要求客户给予笼统的个人信息处理授权。最小化留存是指为实现个人客户授权使用的目的所必需的最短时间。超出期限后对个人客户信息进行删除或匿名化处理。客户数据控制权是指保障客户对其数据的访问、维护、删除和获取权利，允许客户主动发起信息维护和删除请求。在个人客户信息处理目的已实现、停止提供产品或服务、个人客户撤回同意、采集到未经同意的个人客户信息、违反约定处理个人客户信息时，主动删除个人客户信息，且客户有权请求删除。

  二是实施访问控制、加密／脱敏技术。数据分类分级保护是指制定数据分级识别规范，依据数据的重要性和敏感程度，按照角色和责任划分访问权限，在收集、加工、使用、对外共享等处理活动中实施数据分级保护要求。客户隐私授权管理是指整合业务条线的客户隐私数据授权签约信息，建立全行跨条线跨系统的客户隐私授权管理组件，将全行个人客户的个人隐私授权、个人单独授权等场景进行统一管理。数据安全技术防控是指采用数据加密、多因素身份验证、数据防泄漏（DLP）系统、入侵检测和预防系统（IDPS）等技术方法，推进数据安全技术与业务应用的结合。实现生产数据取数后的自动化脱敏，加快数据访问控制技术框架在数据查询、数据批量使用、数据接口调用等数据使用场景的应用。

  三是数据安全事件响应计划。制定《个人客户信息保护工作管理办法》《数据安全管理办法》《数据安全事件应急预案》，明确数据安全风险监测、数据安全事件应急管理的职责分工，事件分级、响应处置流程和各类场景的处置要点，建立应急联系机制，加强应急预案与演练管理。

  四是第三方、供应商与业务合作伙伴数据管理。不将个人隐私数据出租、出售或提供给第三方作为完成交易或服务以外的用途，不在未经客户授权的前提下将客户信息共享给本行的金融合作伙伴、关联公司和业务合作伙伴。在监管流程方面，强化与第三方开展数据合作的协议合规性，通过协议或合同明确个人隐私信息安全保密规定、培训要求等事宜。在审查机制方面，定期组织并且开展涉及本行客户个人隐私信息的第三方合作服务专项风险排查，加强信息科技外包与合作的安全管理。

  3. 隐私与数据安全宣教培训。融合专题培训与常态化学习等多种方式。培训内容有数据安全法律和法规和监督管理要求、总行数据安全制度和管理体系介绍、数据安全评估要求、个人客户信息保护、银行隐私和客户保密义务、新项目隐私保护设计与考量、员工识别和回应客户行使其数据权利的请求、对存在隐私与数据安全违规事项的处理解决措施等。此外，还开展个人客户信息保护专题培训和内部网络安全攻防演练。

  4. 隐私与数据安全审计监督。定期开展隐私与数据安全外部审计和内部审计工作。聘请第三方会计师事务所每半年进行一次信息系统外部审计。审计部门每年进行数据信息安全专项审计，以三年为周期实现全行信息科技审计全覆盖。在审计过程中开展网络渗透、代码扫描、安全认证测试、研发资产和数据访问控制及数据安全处理等测试，评估信息安全政策和系统的有效性、安全性和充分性。

  5. 客户教育与服务优化。客户隐私保护告知是指在客户开户、签署协议时，明确告知其个人隐私信息的收集和使用目的，由客户在充分知情的前提下自愿、明确作出是否同意。提供隐私政策的易读版本，帮助客户了解其权利和银行的义务。提供安全工具与建议是指为客户提供安全的交易工具和环境，如手机银行的安全键盘、指纹识别等。向客户提供安全使用指南，提醒其注意保护个人隐私信息，不要轻信钓鱼邮件或诈骗电话。客户投诉与反馈机制是指建立畅通的客户投诉渠道，立即处理客户关于数据安全和隐私的疑问和投诉。按照每个客户反馈，一直在改进服务和安全措施，提升客户满意度。

  商业银行客户隐私保护的重要性体现在针对金融机构网络攻击的频率和复杂性持续不断的增加。在未来几年，商业银行需要采取积极措施，不仅涉及实施最新的技术解决方案，还包括平衡安全性和使用者真实的体验，并保持强有力的监管合规性。

  1. 加强监管对齐。监管框架通常会根据技术进步或威胁变化进行更新，尤其是跨多个司法管辖区运营的银行，一定要具有灵活性和快速响应能力，建立和维护能适应不同监管要求的系统。加强监督管理的机构、银行和网络安全公司之间的合作，确保其AI和区块链的使用符合现行法规。

  2. 平衡安全性与使用者真实的体验。随着对其数据价值认识逐渐提高，客户不仅要求银行在如何收集、存储和使用其数据方面保持透明，也需要保持顺畅的使用者真实的体验。过于复杂的安全措施，如多层身份验证，会使客户对使用数字平台感到不便。如何在安全的保障和便捷的服务之间找到平衡仍然是一个挑战。

  3. 平衡合规成本与创新。实施合规措施对于较小或发展中的银行而言可能是昂贵的。监管审计、安装新的安全系统和员工培训会增加银行的经营成本。随着金融机构慢慢的变多地采用如AI和区块链等技术，银行必须在合规经营成本与创新需求之间找到平衡。

  4. 利用下一代技术。为应对深度伪造钓鱼和AI驱动的恶意软件，银行必须要尝试AI驱动的安全工具，以及量子加密和区块链等尖端技术，如同态加密，允许在加密数据上进行计算。尽管这些技术仍在发展中，但它们能提供长期的安全解决方案，有可能彻底改变金融机构保护数据和客户隐私的方式。

  数据安全和客户隐私保护是稳健经营和持续发展的基础。商业银行必须格外的重视数据安全工作，从制度、技术、管理和文化等多方面入手，构建全面的安全防护体系。同时，加强与客户和行业的沟通合作，分享安全威胁情报，及时获取最新的安全动态和防护手段。共同应对新型网络攻击，营造安全、可信的金融环境。

  进入暑期，高温频发，人们有可能会出现乏力、食欲不振、精神萎靡等症状。在高温下工作，更是容易中暑，有时甚至还会危及到生命安全。如何在高温天气下做好防护？记者整理了一些专业的人建议，以供参考。户外工作人员要做好防护。户外工作人员可在工作前涂抹防晒霜，服用藿香正气水等防暑药品（需注意药物禁忌）。

  每经AI快讯，中央气象台7月21日06时继续发布暴雨橙色预警：预计，7月21日08时至22日08时，广东中东部和西南部、香港、澳门、海南岛、广西南部和西部、福建中东部、浙江东南部、江西西部、湖南西部和南部、湖北西部、台湾岛东部以及吉林东南部、辽宁东部和南部、山东中北部、河南北部、

  在很多单位、小区、学校，或者停车场，进出大门常常要走道闸。有些无人停车场通过识别车牌的方式，自动抬杆落杆；有些则需要保安通过无线遥控给车辆放行。这样的操作原本是为保障出入安全，然而却有人打起了这些“道闸”的主意。

  朋友圈、视频号等社交平台并非展示个人生活的地方，就像亦舒在作品《圆舞》传达的观点：“真正有气质的淑女，从不炫耀自己所拥有的一切。她不会提及自己读过什么书，去过啥地方，有多少件衣服，买过什么珠宝，因为她内心没有自卑感。”想考证、留学或搞副业，在成事之前不要大肆宣扬。

  近日，记者梳理多只绩优科技主题基金最新披露的二季报发现，不少基金经理的投资思路在二季度有所变化。有的基金经理将原本放在国内算力板块的仓位转换到了海外算力板块，有的基金经理则选择系统性减持上半年讨论热度颇高的人形机器人概念股。

  22日将迎来夏季的最后一个节气大暑。中医专家觉得，这一时节“暑、湿、热”三邪交织，易伤阳气、耗津液，扰乱脏腑功能，养生防病重在健脾祛湿、清热解暑、固护阳气。

  日本广播协会20日晚公布的最新出口民调结果为，在当天举行的参议院选举中，自民党和公明党组成的执政联盟难以维持参议院过半数议席。

  说到沈白高铁，明年开通后，很多小伙伴最关心的就是抚顺、通化这两个城市到底会不会有跨线车次，能不能直达更多地方。 毕竟高铁一通，出行方便太多了。今天我就来聊聊我的预测，看看抚顺、通化明年可能会出现哪些跨线车次，大家一块儿来看看有没有你期待的线路吧！