项目背景及目标

近几年个人信息泄露事件的数量呈现快速增长的状态，消费者的金融信息、航旅信息、快递信息、住宿信息、网购信息、医疗信息等也频繁被曝大规模泄露，甚至用于“暗网”交易。同时针对个人信息保护的监管要求日趋严格，欧盟《通用数据保护条例》已于2018年5月25日正式生效，这被称为欧洲“史上严”的数据保护条例将会对企业的数据管理和信息安全，以及数据收集、处理和交易产生重大影响。在国内，《网络安全法》、人行和银监关于客户信息保护的相关规定、《信息安全技术个人信息安全规范》（GB/T35273-2017）均对个人信息保护提出了更高的要求。

在此背景下广东农信高度重视客户信息保护，在2016年IT规划安全架构中专门就客户隐私保护和数据安全进行了详细设计和规划，2018年我联社开展了客户信息保护体系项目，本项目旨在充分了解广东农信的客户信息保护现状，与国内外相关个人信息保护标准及监管机构关于客户信息保护的相关规定要求对标，结合法律法规及业界佳实践，根据广东农信和法人农合机构的特点，构建覆盖客户信息全生命周期的保护体系并规范客户信息保护相关法律协议，全面推动广东农信客户信息保护水平的持续提升。

项目方案

项目以《个人信息安全规范》为核心对标对象，结合国际标准和监管机构要求，拆解客户信息保护关键合规要求，输出关键合规要素。

项目从业务和系统分别入手，对现有客户信息进行了全面梳理。业务层面重点关注客户接触点及涉客协议、客户信息收集情况和现有管理要求。系统层面重点关注各信息系统客户数据的分布流转和保护情况。

项目针对现有的8大关键业务，开展了全面细致的个人信息安全影响评估工作，重点关注个人信息收集与对客协议完备性、个人信息处理与保存必要性、数据主体权利保障机制、处理外包、数据共享与合作方协议及IT系统权限管理与安全防护能力。同时对内部人员、客户、合作方相关业务协议和隐私条款进行了全面的合规分析，并针对存在的问题由专业律师进行了完善以确保合规性。

项目确立了客户信息保护整体管理框架，明确了客户信息保护方针，建立了客户信息保护组织，从日常业务开展、系统研发运维和客户信息保护治理三个维度完善了现有管理制度。项目制定了客户信息保护技术规划蓝图，持续提升数据存储环境安全、数据生命周期安全和数据安全态势感知能力，通过技术赋能为客户信息保护工作开展提供强大的助推力。

项目相关针对8大类关键业务，逐一明确满足客户信息保护合规要素在不同业务场景的落地方案，明确各项合规点的责任人、使用业务场景、合规实现方式、工作要求和时间要求，推动个人信息保护各项控制措施的充分落实，持续改进对于对于相关监管合规要求的符合性。

创新点

一是客户信息保护在国内是新兴课题，目前国内金融机构单独开展客户信息保护的咨询和规划项目不多，在农村金融机构中更少，我联社是多级法人，业务开展主要在农合机构，业务管理与IT服务在省层面。本项目充分理解合规和监管要求，同时在充分了解现状的基础上与广东农信实际业务环境与现有业务流程相结合，开展了完整的个人信息安全影响评估，形成覆盖客户信息全生命周期保护体系。相关经验可作为农村金融机构开展客户信息保护工作参考，

二是安全与业务融合。项目除了在客户信息保护技术方面还进行了业务隐私策略、业务协议等法律法规层面规划，提出农合机构对客户签署的协议标准，将根据不同信息获取场景，设计专用场景下收集个人信息的充分授权获取文档。同时针对关键业务基于业务影响分析结果并结合业务实际，设计了满足个人信息保护合规要求的业务流程和关键控制点，指导日常业务中个人信息保护工作开展。

技术实现特点

在项目过程中主要的技术要点有：

1、数据流转分析。由于银行系统众多，系统之间的访问关系复杂，在进行数据流转分析时应从系统和关键业务二个维度分析数据分布和流转情况，同时标注数据存储要求。

2、业务与安全的整合。在客户信息保护技术方面还进行了业务隐私策略、业务协议等法律法规层面规划，提出农合机构对客户签署的协议标准，将根据不同信息获取场景，设计专用场景下收集个人信息的充分授权获取文档。同时针对关键业务基于业务影响分析结果并结合业务实际，设计了满足个人信息保护合规要求的业务流程和关键控制点，指导日常业务中个人信息保护工作开展

项目过程管理

现状调研：2019年1月至2月

外部合规要求梳理（6周），完成客户信息安全相关监管要求、国内外标准对照。

内部客户信息相关制度梳理（6周），完成中心内部客户信息安全相关制度梳理。

业务系统客户数据梳理（6周），通过交流访谈和资料查阅，识别涉及客户信息生命周期的系统，识别涉及客户信息生命周期的业务，明确客户信息数据存储、流转和访问权限控制，编写数据交互和流转图。梳理系统在涉及客户信息业务的支撑情况。

各类对客协议中客户信息保护现状调研(8周)，通过交流访谈和资料查阅，调查表填写方式，获取各类对客协议中客户信息保护相关法务项信息现状。

评估分析：2019年3月至4月

体系规划：2019年5月至7月

落实推广：2019年8月至9月

运营情况

通过项目的实施推广，取得的成果包括以下部分：

结合业务发展情况、监管要求、法律法规要求，明确了客户个人信息保护指导策略与方针与具体的管理要求。

针对具体业务与业务场景进一步细化制定的客户信息保护手册，覆盖广东农信8大核心业务，指导农合机构开展具体业务。

针对对客、对内、对合作伙伴各种业务场景输出了隐私条款和数据处理协议模板，尤其针对农信社多级法人结构下内部数据共享场景条款进行了特殊设计。

结合四部委专项治理工作监管重点，优先开展落实APP隐私政策更新，落地了符合《个人信息安全规范》佳实践要求的新版本，全面保障客户知情权。

通过全员培训，将相关合规要求、管理制度、业务指南进行了有效的全员宣贯。

项目成效

本项目投资效益和价值主要提高广东农信客户个人信息安全安全管理水平，满足了客户信息安全国家标准、行业标准及相关要求，其主要表现在以下方面：

1.提高客户个人信息安全管理水平，并提升广东农信的客户信息安全整体数据流转、安全风险的发现能力，增强了网络安全的整体防御能力和威慑能力。

2.全面梳理和制定对客协议和隐私保护策略，减少信息安全问题引发的广东农信企业品牌价值的损失。减少因客户个人信息安全问题引发的客户投诉、公共事件所产生的公关成本，降低因客户个人信息安全问题引发的客户离行率。

经验总结

客户个人信息保护工作，是安全问题更是业务问题还是法务问题。做好客户个人信息保护工作，安全团队必须不忘为业务为客户服务的初心，牢记保障信息安全的使命，与法务及业务团队通力配合牢牢把握保障客户权力的根本，守住保护客户信息安全的底线。同时，作为新兴的交叉课题，选择兼具行业经验、安全经验和合规咨询经验的合作伙伴对项目成功至关重要。