題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
2020年2月13日,中國人民銀行發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171—2020,以下簡稱“《規(guī)范》”),該《規(guī)范》于同日開始實(shí)施。《規(guī)范》由中國人民銀行提出,并由全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理,多家金融行業(yè)相關(guān)組織與單位參與了起草工作。近年來,中國人民銀行等監(jiān)管部門持續(xù)加大對(duì)非法泄露買賣個(gè)人金融信息、銀行卡盜刷、電信詐騙等違法行為的整治力度,同時(shí)加強(qiáng)對(duì)個(gè)人金融信息保護(hù)制度的研究。《規(guī)范》的發(fā)布做到了標(biāo)準(zhǔn)先行、技術(shù)先行,按照安全基本原則、安全技術(shù)要求、安全管理要求的框架,規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求。
盡管《規(guī)范》在性質(zhì)上屬于推薦性標(biāo)準(zhǔn),但其對(duì)金融業(yè)機(jī)構(gòu)建設(shè)個(gè)人金融信息保護(hù)架構(gòu)的重要意義不言而喻,也為有關(guān)部門在未來的相關(guān)立法和執(zhí)法提供了重要參考。因此,建議金融業(yè)機(jī)構(gòu)以及其他相關(guān)機(jī)構(gòu)按照《規(guī)范》的標(biāo)準(zhǔn)及時(shí)做好合規(guī)準(zhǔn)備。
一、個(gè)人金融信息保護(hù)的監(jiān)管規(guī)定
在個(gè)人金融信息保護(hù)領(lǐng)域,我國目前尚未制定專門的法律或行政法規(guī)。總體而言,與個(gè)人金融信息保護(hù)有關(guān)的專門針對(duì)性規(guī)定主要出現(xiàn)在一行兩會(huì)制定的各類規(guī)范性文件中,具體如下表格所列:
此外,相關(guān)主管部門會(huì)同國家標(biāo)準(zhǔn)化管理委員會(huì)、全國金融標(biāo)準(zhǔn)化委員會(huì)等單位牽頭制定的與信息保護(hù)有關(guān)的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等技術(shù)指導(dǎo)性文件,也為相關(guān)機(jī)構(gòu)在實(shí)踐中提供了大量參考與借鑒,此類文件包括但不限于《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》(JR/T 0071—2012)、《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng) 個(gè)人信息保護(hù)指南》(GB/Z 28828—2012)、《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》(GB/T 32921—2016)等。
此次發(fā)布的《規(guī)范》,在制定過程中也參考、引用了現(xiàn)行的部分監(jiān)管規(guī)定與指導(dǎo)性文件,同時(shí)結(jié)合了金融業(yè)特點(diǎn)以及金融領(lǐng)域近年來不斷發(fā)展的新技術(shù)與新模式,成為我國第一部專門針對(duì)個(gè)人金融信息保護(hù)的行業(yè)標(biāo)準(zhǔn)。
二、《規(guī)范》的主要內(nèi)容
(一)適用范圍
《規(guī)范》明確適用于提供金融產(chǎn)品和服務(wù)的金融業(yè)機(jī)構(gòu),并為安全評(píng)估機(jī)構(gòu)開展安全檢查與評(píng)估工作提供參考。
根據(jù)《規(guī)范》第3.1條的規(guī)定,金融業(yè)機(jī)構(gòu)包括兩種:一種是指由國家金融管理部門監(jiān)督管理的持牌金融機(jī)構(gòu),另一種是指涉及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)。根據(jù)《規(guī)范》第3.2條,個(gè)人金融信息是指金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息。
從上述內(nèi)容可以看出,《規(guī)范》的適用范圍主要包括兩大類:
傳統(tǒng)意義上的持牌金融機(jī)構(gòu),例如銀行、城市信用合作社、農(nóng)村信用合作社、證券公司、保險(xiǎn)公司、金融資產(chǎn)管理公司、金融租賃公司等;
其他通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存?zhèn)€人信息的機(jī)構(gòu),例如第三方支付機(jī)構(gòu)、為持牌金融機(jī)構(gòu)提供信息技術(shù)服務(wù)的外包服務(wù)機(jī)構(gòu)或外部合作機(jī)構(gòu)等。
(二)對(duì)個(gè)人金融信息的分類管理
《規(guī)范》還對(duì)個(gè)人金融信息內(nèi)容進(jìn)行了列舉,包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息,并以“其他反映特定個(gè)人金融信息主體某些情況的信息”作為兜底。
根據(jù)信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害,《規(guī)范》將個(gè)人金融信息按照敏感程度由高到低分為C3、C2、C1三個(gè)類別,并提出了不同的保護(hù)要求,大致歸納如下表所示:
《規(guī)范》還特別強(qiáng)調(diào),兩種或兩種以上的低敏感程度類別信息經(jīng)過組合、關(guān)聯(lián)和分析后可能產(chǎn)生高敏感程度的信息。同一信息在不同的服務(wù)場(chǎng)景中可能處于不同的類別,應(yīng)依據(jù)服務(wù)場(chǎng)景以及該信息在其中的作用對(duì)信息的類別進(jìn)行識(shí)別,并實(shí)施針對(duì)性的保護(hù)措施。
三、對(duì)個(gè)人金融信息在生命周期各環(huán)節(jié)的防護(hù)要求
根據(jù)《規(guī)范》第4.3條的規(guī)定,個(gè)人金融信息生命周期是指對(duì)個(gè)人金融信息進(jìn)行收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等處理的整個(gè)過程。《規(guī)范》所要求的安全基本原則是,金融業(yè)機(jī)構(gòu)應(yīng)遵循GB/T 35273—2017的要求(即《信息安全技術(shù) 個(gè)人信息安全規(guī)范》,目前已被GB/T 35273—2020代替),以“權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”的原則,設(shè)計(jì)并實(shí)施覆蓋個(gè)人金融信息全生命周期的安全保護(hù)策略。
《規(guī)范》從安全技術(shù)要求和安全管理要求兩個(gè)方面,對(duì)個(gè)人金融信息在生命周期各環(huán)節(jié)的保護(hù)提出了規(guī)范性的要求。我們將部分重點(diǎn)環(huán)節(jié)所涉及的要求簡要提示如下:
1、對(duì)個(gè)人金融信息的委托收集與委托處理
現(xiàn)實(shí)中,金融業(yè)機(jī)構(gòu)委托第三方收集和處理個(gè)人金融信息,例如將催收業(yè)務(wù)外包給第三方,是較為常見的業(yè)務(wù)安排,也是近年來各種違規(guī)風(fēng)險(xiǎn)的多發(fā)地帶。《規(guī)范》明確,不應(yīng)委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類別信息,例如身份證號(hào)、手機(jī)號(hào)碼等可識(shí)別特定個(gè)人身份的信息。可見,《規(guī)范》對(duì)這一類安排提出了更高的合規(guī)監(jiān)管要求。
首先,《規(guī)范》要求,金融業(yè)機(jī)構(gòu)不應(yīng)委托或授權(quán)無金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類別信息。這一規(guī)定將會(huì)對(duì)目前的一些外包業(yè)務(wù)模式帶來影響。不過,《規(guī)范》并沒有對(duì)“金融業(yè)相關(guān)資質(zhì)”的具體含義作出明確解釋,因此,金融業(yè)機(jī)構(gòu)可以委托哪些第三方機(jī)構(gòu)從事相關(guān)信息的收集,還有待進(jìn)一步明確。
其次,對(duì)于金融業(yè)機(jī)構(gòu)將收集到的個(gè)人金融信息委托給第三方機(jī)構(gòu)(包含外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu))進(jìn)行處理的行為,《規(guī)范》也提出了具體的技術(shù)要求,主要包括:
委托行為不應(yīng)超出已征得個(gè)人金融信息主體授權(quán)同意的范圍或遵循《規(guī)范》中對(duì)于征得授權(quán)同意的例外所規(guī)定的情形;
要求處理C3以及C2類別信息中的用戶鑒別輔助信息,不應(yīng)委托給第三方機(jī)構(gòu)進(jìn)行處理;
對(duì)委托處理的信息采用去標(biāo)識(shí)化脫敏處理,且不應(yīng)僅使用加密技術(shù);
應(yīng)對(duì)委托行為進(jìn)行安全影響評(píng)估,確保委托者具備足夠的數(shù)據(jù)安全能力且提供了足夠的安全保護(hù)措施;
應(yīng)對(duì)第三方機(jī)構(gòu)等受委托者進(jìn)行監(jiān)督,包括設(shè)置合同義務(wù)方面及安全檢查評(píng)估方面;
應(yīng)對(duì)外部嵌入或接入的自動(dòng)化工具開展技術(shù)檢測(cè),并對(duì)其進(jìn)行審計(jì)。
除依據(jù)上述相關(guān)要求開展委托處理工作之外,《規(guī)范》還要求對(duì)第三方機(jī)構(gòu)等受委托者提出額外要求,大致包括:
應(yīng)嚴(yán)格按照金融業(yè)機(jī)構(gòu)的要求處理個(gè)人金融信息,如因特殊原因未能按照要求處理個(gè)人金融信息,應(yīng)及時(shí)告知金融業(yè)機(jī)構(gòu),并配合進(jìn)行信息安全評(píng)估、采取補(bǔ)救措施,必要時(shí)終止信息處理;
未經(jīng)書面授權(quán),受委托者不應(yīng)將個(gè)人金融信息再次委托給其他機(jī)構(gòu)處理;
應(yīng)協(xié)助響應(yīng)個(gè)人金融信息主體的請(qǐng)求;
若處理過程中無法提供足夠的信息安全保護(hù)水平或者發(fā)生安全事件,應(yīng)當(dāng)及時(shí)告知金融業(yè)機(jī)構(gòu)、配合調(diào)查、采取補(bǔ)救措施,必要時(shí)終止信息處理;
委托關(guān)系解除時(shí)(或外包服務(wù)終止后)應(yīng)按照金融業(yè)機(jī)構(gòu)的要求銷毀信息并在協(xié)商期限內(nèi)承擔(dān)保密責(zé)任;
應(yīng)準(zhǔn)確記錄和保存委托處理個(gè)人金融信息的情況。
在安全策略上,《規(guī)范》要求金融業(yè)機(jī)構(gòu)建立外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)管理制度,并提出了具體的要求。例如,要求通過協(xié)議或合同的方式約束該等機(jī)構(gòu)不應(yīng)留存C2、C3類信息,存儲(chǔ)個(gè)人金融信息的數(shù)據(jù)庫不得交由外部合作機(jī)構(gòu)運(yùn)維,對(duì)外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)定期開展外部信息安全評(píng)估、現(xiàn)場(chǎng)檢查,等等。
2、建立個(gè)人金融信息保護(hù)制度體系
《規(guī)范》從四個(gè)方面對(duì)個(gè)人金融信息保護(hù)制度體系的建設(shè)提出了較為細(xì)致的要求。
在安全制度體系的建立與發(fā)布方面,《規(guī)范》要求相關(guān)制度應(yīng)至少包括個(gè)人金融信息保護(hù)管理規(guī)定、日常管理及操作流程、外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu)管理、內(nèi)外部檢查及監(jiān)督機(jī)制、應(yīng)急處理流程和預(yù)案。
在組織架構(gòu)及崗位設(shè)置方面,《規(guī)范》要求設(shè)立個(gè)人金融信息保護(hù)責(zé)任人和個(gè)人金融信息保護(hù)責(zé)任機(jī)構(gòu),并明確其工作職責(zé),包括但不限于:監(jiān)督本機(jī)構(gòu)內(nèi)部,以及本機(jī)構(gòu)與外部合作方個(gè)人金融信息安全管理、組織開展個(gè)人金融信息安全影響評(píng)估,提出個(gè)人金融信息保護(hù)的對(duì)策建議。
在人員管理方面,《規(guī)范》的要求主要包括:在錄用員工前應(yīng)進(jìn)行必要的背景調(diào)査,與所有可訪問個(gè)人金融信息的員工簽署相關(guān)保密協(xié)議;定期開展內(nèi)外部培訓(xùn)和教育活動(dòng),保留相關(guān)記錄;在發(fā)生人員調(diào)離崗位時(shí),應(yīng)立即調(diào)整和完成相關(guān)人員的個(gè)人金融信息訪問、使用等權(quán)限的配置。在員工終止勞動(dòng)合同時(shí),應(yīng)立即終止并收回其對(duì)個(gè)人金融信息的訪問權(quán)限,并明示其繼續(xù)履行有關(guān)信息的保密義務(wù)要求;系統(tǒng)開發(fā)人員、系統(tǒng)測(cè)試人員與運(yùn)維人員之間不應(yīng)相互兼崗;定期開展專業(yè)化培訓(xùn)和考核。
在訪問控制方面,《規(guī)范》還要求加強(qiáng)個(gè)人金融信息訪問控制管理,并提出了較為具體的要求。
3、金融數(shù)據(jù)出境
在《金融信息技術(shù)規(guī)范》出臺(tái)以前,與個(gè)人金融數(shù)據(jù)出境相關(guān)的規(guī)定主要出現(xiàn)在《網(wǎng)絡(luò)安全法》《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》等規(guī)范性文件中。此外,一些尚在制定中的規(guī)范性文件及國家標(biāo)準(zhǔn),包括《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見稿)》等,也提出了更具針對(duì)性的要求。
《規(guī)范》要求,在中華人民共和國境內(nèi)提供金融產(chǎn)品或服務(wù)過程中收集和產(chǎn)生的個(gè)人金融信息,應(yīng)在境內(nèi)存儲(chǔ)、處理和分析。因業(yè)務(wù)需要,確需向境外機(jī)構(gòu)(含總公司、母公司或分公司、子公司及其他為完成該業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu))提供個(gè)人金融信息的,具體要求如下:
應(yīng)符合國家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定;
應(yīng)獲得個(gè)人金融信息主體明示同意;
應(yīng)依據(jù)國家、行業(yè)有關(guān)部門制定的辦法與標(biāo)準(zhǔn)開展個(gè)人金融信息出境安全評(píng)估,確保境外機(jī)構(gòu)數(shù)據(jù)安全保護(hù)能力達(dá)到國家、行業(yè)有關(guān)部門與金融業(yè)機(jī)構(gòu)的安全要求;
應(yīng)與境外機(jī)構(gòu)通過簽訂協(xié)議、現(xiàn)場(chǎng)核查等方式,明確并監(jiān)督境外機(jī)構(gòu)有效履行個(gè)人金融信息保密、數(shù)據(jù)刪除、案件協(xié)查等職責(zé)義務(wù)。
值得留意的是,根據(jù)《金融機(jī)構(gòu)客戶身份識(shí)別和客戶身份資料及交易記錄保存管理辦法》,在反洗錢和反恐怖融資領(lǐng)域要求金融機(jī)構(gòu)保存獲得的客戶身份資料和交易信息,與《規(guī)范》中所述的個(gè)人金融信息存在重合之處。因此,相關(guān)機(jī)構(gòu)在特定情況下向境外提供、傳輸相關(guān)信息時(shí),還應(yīng)注意滿足反洗錢和反恐怖融資等其他相關(guān)法規(guī)在信息保存與管理等方面的要求。
三、總結(jié)與展望
就在《規(guī)范》發(fā)布后不久,國家市場(chǎng)監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)于2020年3月6日正式發(fā)布了新版《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020,以下簡稱“《個(gè)人信息安全規(guī)范》”),并定于2020年10月1日起實(shí)施。如前面所述,《規(guī)范》中已明確要求金融業(yè)機(jī)構(gòu)應(yīng)遵循《個(gè)人信息安全規(guī)范》的要求——即《個(gè)人信息安全規(guī)范》是基本原則,《規(guī)范》是針對(duì)個(gè)人金融信息保護(hù)而制定的特別標(biāo)準(zhǔn)。可以看出,《規(guī)范》和《個(gè)人信息安全規(guī)范》的發(fā)布,標(biāo)志著我國對(duì)包括個(gè)人金融信息在內(nèi)的個(gè)人信息安全保護(hù)標(biāo)準(zhǔn)進(jìn)行了全面升級(jí)。
伴隨著未來金融科技的不斷發(fā)展,商業(yè)模式的層出不窮,相關(guān)行業(yè)的逐步開放,個(gè)人金融信息保護(hù)領(lǐng)域存在著諸多挑戰(zhàn)。今年4月1日,證監(jiān)會(huì)已如期取消了證券公司的外資股比限制,這也是近年來我國進(jìn)一步擴(kuò)大金融業(yè)對(duì)外開放大背景下的一個(gè)縮影。同時(shí),在傳統(tǒng)的持牌機(jī)構(gòu)之外,相關(guān)主管部門也在加大對(duì)金融科技的監(jiān)管力度,健全金融科技監(jiān)管基本規(guī)則體系,打造包容審慎的金融科技創(chuàng)新監(jiān)管工具。因此,在個(gè)人金融信息保護(hù)領(lǐng)域,及時(shí)關(guān)注法律規(guī)范與技術(shù)標(biāo)準(zhǔn)的更新,依法建立完備的內(nèi)部制度體系,充分了解并控制實(shí)踐中各個(gè)環(huán)節(jié)的合規(guī)風(fēng)險(xiǎn),對(duì)于每一個(gè)境內(nèi)外金融業(yè)機(jī)構(gòu)而言都至關(guān)重要。
京ICP備05019364號(hào)-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
潔.jpg)