金融科技数据空间的客户隐私保护要求？

金融科技数据空间的客户隐私保护需以法规合规为核心，贯穿数据全生命周期并融合“技术+管理+用户权利”三维要求：首先，合规基础需严格遵循《个人信息保护法》《GDPR》等规则，确保数据处理”合法、正当、必要；收集环节需向用户明确告知目的、范围并获得明示同意，坚守“最小必要”原则（如仅采集支付所需的账户信息，不额外索要通讯录）；存储与使用时，敏感金融数据（账户、交易记录、信用评分）需加密、去标识化存储，内部访问采用“按需授权+最小权限”，使用需与收集目的直接关联，禁止未经同意的二次画像或自动化决策（如未经允许用交易数据推送高风险理财）；共享与销毁前需评估风险，第三方合作需签保密协议并审核其保护能力，销毁采用不可恢复技术（如数据覆盖、物理销毁）。同时，用户权利保障是关键：需支持用户访问、更正、删除个人数据，拒绝自动化决策结果（如对信用评级提异议），并及时响应请求（通常不超过15个工作日）。技术上依赖脱敏、匿名化、入侵检测等手段防范泄露；管理上需建隐私治理架构（设隐私专员）、员工培训（禁止私自留存数据）、定期隐私影响评估（PIA）；还需通过透明化的隐私政策（用通俗语言而非格式条款）向用户披露处理规则。此外，需制定泄露应急预案，按规定时告知用户与监管（如中国要求48小时内报告）。

整体需平衡创新与保护，确保数据使用“可控、可查、可追溯”。

摘自《可信数据空间合规100问》