2020-04-06
個人金融信息保護標準的進一步升級 ——簡評《個人金融信息保護技術規范》
作者:
藍潔
2020年2月13日,中國人民銀行發布了《個人金融信息保護技術規范》(JR/T 0171—2020,以下簡稱“《規范》”),該《規范》于同日開始實施。《規范》由中國人民銀行提出,并由全國金融標準化技術委員會歸口管理,多家金融行業相關組織與單位參與了起草工作。近年來,中國人民銀行等監管部門持續加大對非法泄露買賣個人金融信息、銀行卡盜刷、電信詐騙等違法行為的整治力度,同時加強對個人金融信息保護制度的研究。《規范》的發布做到了標準先行、技術先行,按照安全基本原則、安全技術要求、安全管理要求的框架,規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求。
盡管《規范》在性質上屬于推薦性標準,但其對金融業機構建設個人金融信息保護架構的重要意義不言而喻,也為有關部門在未來的相關立法和執法提供了重要參考。因此,建議金融業機構以及其他相關機構按照《規范》的標準及時做好合規準備。
一、個人金融信息保護的監管規定
在個人金融信息保護領域,我國目前尚未制定專門的法律或行政法規。總體而言,與個人金融信息保護有關的專門針對性規定主要出現在一行兩會制定的各類規范性文件中,具體如下表格所列:
此外,相關主管部門會同國家標準化管理委員會、全國金融標準化委員會等單位牽頭制定的與信息保護有關的國家標準、行業標準等技術指導性文件,也為相關機構在實踐中提供了大量參考與借鑒,此類文件包括但不限于《金融行業信息系統信息安全等級保護實施指引》(JR/T 0071—2012)、《信息安全技術 公共及商用服務信息系統 個人信息保護指南》(GB/Z 28828—2012)、《信息安全技術 信息技術產品供應方行為安全準則》(GB/T 32921—2016)等。
此次發布的《規范》,在制定過程中也參考、引用了現行的部分監管規定與指導性文件,同時結合了金融業特點以及金融領域近年來不斷發展的新技術與新模式,成為我國第一部專門針對個人金融信息保護的行業標準。
二、《規范》的主要內容
(一)適用范圍
《規范》明確適用于提供金融產品和服務的金融業機構,并為安全評估機構開展安全檢查與評估工作提供參考。
根據《規范》第3.1條的規定,金融業機構包括兩種:一種是指由國家金融管理部門監督管理的持牌金融機構,另一種是指涉及個人金融信息處理的相關機構。根據《規范》第3.2條,個人金融信息是指金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息。
從上述內容可以看出,《規范》的適用范圍主要包括兩大類:
傳統意義上的持牌金融機構,例如銀行、城市信用合作社、農村信用合作社、證券公司、保險公司、金融資產管理公司、金融租賃公司等;
其他通過提供金融產品和服務或者其他渠道獲取、加工和保存個人信息的機構,例如第三方支付機構、為持牌金融機構提供信息技術服務的外包服務機構或外部合作機構等。
(二)對個人金融信息的分類管理
《規范》還對個人金融信息內容進行了列舉,包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息,并以“其他反映特定個人金融信息主體某些情況的信息”作為兜底。
根據信息遭到未經授權的查看或未經授權的變更后所產生的影響和危害,《規范》將個人金融信息按照敏感程度由高到低分為C3、C2、C1三個類別,并提出了不同的保護要求,大致歸納如下表所示:
《規范》還特別強調,兩種或兩種以上的低敏感程度類別信息經過組合、關聯和分析后可能產生高敏感程度的信息。同一信息在不同的服務場景中可能處于不同的類別,應依據服務場景以及該信息在其中的作用對信息的類別進行識別,并實施針對性的保護措施。
三、對個人金融信息在生命周期各環節的防護要求
根據《規范》第4.3條的規定,個人金融信息生命周期是指對個人金融信息進行收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程。《規范》所要求的安全基本原則是,金融業機構應遵循GB/T 35273—2017的要求(即《信息安全技術 個人信息安全規范》,目前已被GB/T 35273—2020代替),以“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的原則,設計并實施覆蓋個人金融信息全生命周期的安全保護策略。
《規范》從安全技術要求和安全管理要求兩個方面,對個人金融信息在生命周期各環節的保護提出了規范性的要求。我們將部分重點環節所涉及的要求簡要提示如下:
1、對個人金融信息的委托收集與委托處理
現實中,金融業機構委托第三方收集和處理個人金融信息,例如將催收業務外包給第三方,是較為常見的業務安排,也是近年來各種違規風險的多發地帶。《規范》明確,不應委托或授權無金融業相關資質的機構收集C3、C2類別信息,例如身份證號、手機號碼等可識別特定個人身份的信息。可見,《規范》對這一類安排提出了更高的合規監管要求。
首先,《規范》要求,金融業機構不應委托或授權無金融業相關資質的機構收集C3、C2類別信息。這一規定將會對目前的一些外包業務模式帶來影響。不過,《規范》并沒有對“金融業相關資質”的具體含義作出明確解釋,因此,金融業機構可以委托哪些第三方機構從事相關信息的收集,還有待進一步明確。
其次,對于金融業機構將收集到的個人金融信息委托給第三方機構(包含外包服務機構與外部合作機構)進行處理的行為,《規范》也提出了具體的技術要求,主要包括:
委托行為不應超出已征得個人金融信息主體授權同意的范圍或遵循《規范》中對于征得授權同意的例外所規定的情形;
要求處理C3以及C2類別信息中的用戶鑒別輔助信息,不應委托給第三方機構進行處理;
對委托處理的信息采用去標識化脫敏處理,且不應僅使用加密技術;
應對委托行為進行安全影響評估,確保委托者具備足夠的數據安全能力且提供了足夠的安全保護措施;
應對第三方機構等受委托者進行監督,包括設置合同義務方面及安全檢查評估方面;
應對外部嵌入或接入的自動化工具開展技術檢測,并對其進行審計。
除依據上述相關要求開展委托處理工作之外,《規范》還要求對第三方機構等受委托者提出額外要求,大致包括:
應嚴格按照金融業機構的要求處理個人金融信息,如因特殊原因未能按照要求處理個人金融信息,應及時告知金融業機構,并配合進行信息安全評估、采取補救措施,必要時終止信息處理;
未經書面授權,受委托者不應將個人金融信息再次委托給其他機構處理;
應協助響應個人金融信息主體的請求;
若處理過程中無法提供足夠的信息安全保護水平或者發生安全事件,應當及時告知金融業機構、配合調查、采取補救措施,必要時終止信息處理;
委托關系解除時(或外包服務終止后)應按照金融業機構的要求銷毀信息并在協商期限內承擔保密責任;
應準確記錄和保存委托處理個人金融信息的情況。
在安全策略上,《規范》要求金融業機構建立外包服務機構與外部合作機構管理制度,并提出了具體的要求。例如,要求通過協議或合同的方式約束該等機構不應留存C2、C3類信息,存儲個人金融信息的數據庫不得交由外部合作機構運維,對外包服務機構與外部合作機構定期開展外部信息安全評估、現場檢查,等等。
2、建立個人金融信息保護制度體系
《規范》從四個方面對個人金融信息保護制度體系的建設提出了較為細致的要求。
在安全制度體系的建立與發布方面,《規范》要求相關制度應至少包括個人金融信息保護管理規定、日常管理及操作流程、外包服務機構與外部合作機構管理、內外部檢查及監督機制、應急處理流程和預案。
在組織架構及崗位設置方面,《規范》要求設立個人金融信息保護責任人和個人金融信息保護責任機構,并明確其工作職責,包括但不限于:監督本機構內部,以及本機構與外部合作方個人金融信息安全管理、組織開展個人金融信息安全影響評估,提出個人金融信息保護的對策建議。
在人員管理方面,《規范》的要求主要包括:在錄用員工前應進行必要的背景調査,與所有可訪問個人金融信息的員工簽署相關保密協議;定期開展內外部培訓和教育活動,保留相關記錄;在發生人員調離崗位時,應立即調整和完成相關人員的個人金融信息訪問、使用等權限的配置。在員工終止勞動合同時,應立即終止并收回其對個人金融信息的訪問權限,并明示其繼續履行有關信息的保密義務要求;系統開發人員、系統測試人員與運維人員之間不應相互兼崗;定期開展專業化培訓和考核。
在訪問控制方面,《規范》還要求加強個人金融信息訪問控制管理,并提出了較為具體的要求。
3、金融數據出境
在《金融信息技術規范》出臺以前,與個人金融數據出境相關的規定主要出現在《網絡安全法》《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》《中國人民銀行金融消費者權益保護實施辦法》等規范性文件中。此外,一些尚在制定中的規范性文件及國家標準,包括《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》《信息安全技術 數據出境安全評估指南(征求意見稿)》等,也提出了更具針對性的要求。
《規范》要求,在中華人民共和國境內提供金融產品或服務過程中收集和產生的個人金融信息,應在境內存儲、處理和分析。因業務需要,確需向境外機構(含總公司、母公司或分公司、子公司及其他為完成該業務所必需的關聯機構)提供個人金融信息的,具體要求如下:
應符合國家法律法規及行業主管部門有關規定;
應獲得個人金融信息主體明示同意;
應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估,確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求;
應與境外機構通過簽訂協議、現場核查等方式,明確并監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。
值得留意的是,根據《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》,在反洗錢和反恐怖融資領域要求金融機構保存獲得的客戶身份資料和交易信息,與《規范》中所述的個人金融信息存在重合之處。因此,相關機構在特定情況下向境外提供、傳輸相關信息時,還應注意滿足反洗錢和反恐怖融資等其他相關法規在信息保存與管理等方面的要求。
三、總結與展望
就在《規范》發布后不久,國家市場監督管理總局、國家標準化管理委員會于2020年3月6日正式發布了新版《信息安全技術 個人信息安全規范》(GB/T 35273-2020,以下簡稱“《個人信息安全規范》”),并定于2020年10月1日起實施。如前面所述,《規范》中已明確要求金融業機構應遵循《個人信息安全規范》的要求——即《個人信息安全規范》是基本原則,《規范》是針對個人金融信息保護而制定的特別標準。可以看出,《規范》和《個人信息安全規范》的發布,標志著我國對包括個人金融信息在內的個人信息安全保護標準進行了全面升級。
伴隨著未來金融科技的不斷發展,商業模式的層出不窮,相關行業的逐步開放,個人金融信息保護領域存在著諸多挑戰。今年4月1日,證監會已如期取消了證券公司的外資股比限制,這也是近年來我國進一步擴大金融業對外開放大背景下的一個縮影。同時,在傳統的持牌機構之外,相關主管部門也在加大對金融科技的監管力度,健全金融科技監管基本規則體系,打造包容審慎的金融科技創新監管工具。因此,在個人金融信息保護領域,及時關注法律規范與技術標準的更新,依法建立完備的內部制度體系,充分了解并控制實踐中各個環節的合規風險,對于每一個境內外金融業機構而言都至關重要。
京ICP備05019364號-1 
京公網安備110105011258
