2020年2月13日,中国人民银行("央行")发布了金融行业标准《个人金融信息保护技术规范》(以下简称《金融规范》),从安全技术和安全管理两个方面规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节的安全防护要求。本文拟从《金融规范》的出台背景、效力和作用、适用范围、主要特点等方面进行解读,并提出合规建议。
一、出台背景
1.安全事件引发强监管
2019年金融个人信息安全事件频发,例如,某金融App被曝违规获取用户隐私,某银行因未经信息主体书面授权查询个人信息而被央行罚款,某公司未经同意查询个人信息和企业信贷信息,被央行罚款29万元。
针对个人金融信息非法收集、泄露、滥用的现状,监管部门纷纷展开了各类专项行动并发布大批法规、规范性文件及标准。其中,对于金融App的专项治理是监管的重中之重。2019年1月23日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》拉开了这项工作的帷幕。随后,多家互联网金融App被点名批评要求整改,银行被处罚的事例并不鲜见。
2.合规工作面临的挑战
金融机构在开展个人信息保护方面工作面临比其他行业更加严格的要求。一方面,其需遵守网络安全法体系下各行业普遍适用的法律法规,例如《网络安全法》第四章提出的框架性法律要求,网信办、工信部、市场监督总局等出台的部门规章和规范性文件,以及国家标准,如《个人信息安全规范》("《安全规范》");另一方面,金融机构还要遵守金融行业的特殊规定,尤其是银保监会和央行的发文。
此外,法规的庞杂也给合规工作提出挑战。现阶段网络安全法体系下相关法律法规120多部,发文主体包括人大常委会、国务院、工信部、网信办、发改委、财政部、公安部、市场监督局、国家标准化管理委员会、中国人民银行、银保监会等十多个主体。而在金融领域个人信息保护的发文仅有《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》("《通知》")、《中国人民银行关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》、《中国人民银行关于印发<中国人民银行金融消费者权益保护实施办法>的通知》等几部,且都是寥寥几页,既未成体系也缺乏具体操作标准。
二、重点解读
1.效力和作用
与《安全规范》1一样,《金融规范》作为金融行业的个人信息保护标准,属于《中华人民共和国标准化法》第二条中的推荐性标准,相对于强制性标准,国家鼓励但不强制。不过,其在合规工作中的重要性和作用不容小视,主要理由如下:
(a)安全检查与评估工作的重要参考
根据《金融规范》第1条,该规范"为安全评估机构开展安全检查与评估工作提供参考"。所以,行政机构在进行有关个人金融信息的安全检查与评估工作时将参考适用该规范。实践中,监管部门开展的多项专项整治工作也将同样把推荐性标准《安全规范》作为主要参照依据,要求相关企业据此进行整改。
(b)现阶段最有指导意义的"合规手册"
首先,《金融规范》相对于《安全规范》而言,对于个人金融信息保护来说更具有针对性。前者的保护客体是一般个人信息,而后者增加了具体金融场景化规则,为金融业的合规从业者们提供了一套有据可循的实践标准。
其次,《金融规范》为即将出台的《个人金融信息(数据)保护试行办法》("《办法》")做好铺垫和准备。2019年4月,央行公布的2019年规章制定工作计划中包括《办法》。其作为金融领域落实网络安全法的部门规章很有可能今年正式出台。在该《办法》正式出台之前,《金融规范》对金融领域个人信息保护具有重要指导意义,且其将来被援引的可能很大。因为两个文件的发布机关均是央行,且立法思路具有一致性,例如均强调外包机构的资质审核以及降低对外包机构数据的依赖。
因此,建议适用企业在现阶段依据《金融规范》开展合规工作,有利于提前布局,为《办法》正式出台做好准备。
2.适用范围
《金融规范》第3.1条对其适用的主体"金融业机构"进行定义:"本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。"也就是说,不仅仅是持牌机构,只要是处理个人金融信息的机构都适用《金融规范》,例如,在风控时通过人脸识别收集C3类信息的网络借贷信息中介机构("P2P")。
此外,《金融规范》对境外金融业机构本地化存储和信息出境提出了严格的要求。随着中美经贸协议助推国内金融业的进一步开放,越来越多的境外金融业机构会进入中国,也将面临日趋严格的数据合规监管。至于个人信息出境,具体的监管规定并不明朗,因为2019年中央网信办发布的《个人信息出境安全评估办法》("《出境办法》")尚在征求意见阶段。未来《出境办法》如何与《金融规范》衔接以及个人金融信息出境如何进行安全评估等问题值得关注。
3.主要特点
(a)信息的分级管理
《金融规范》保护的客体是个人金融信息,是金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。具体分为七类信息,即账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他信息。这与《通知》第一条"个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息、其他个人信息"的分类有所区别。《金融规范》的变化主要是:(1)加入了"鉴别信息"的概念,即用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡支付密码等;(2)在个人身份信息中明确指纹、人脸、虹膜等个人生物识别信息属于"个人身份信息"。
《金融规范》的创新之处是提出了按敏感程度分类,将上述个人金融信息分成C3、C2、C1管理(如下表总结)。上述的鉴别信息和用于用户鉴别的个人生物识别信息均被归属于C3类,即最高级别保护信息。
《金融规范》在不同个人金融信息生命周期(收集、传输、存储、使用、删除、销毁)提出了分级管理的要求,尤其注重对C3、C2类信息的保密。在收集方面,相对于《安全规范》第6.3条个人敏感信息的传输和存储,《金融规范》第6.1.2条对传输技术提出了更多和更严的要求。在传输方面,银行等金融业机构在进行大数据风控、大数据营销、开放银行等业务时除了通过自身收集获取数据之外,还经常需从第三方机构处获得,此时的传输需要严格符合《金融规范》第6.1.2条的加密规则,特别是C2、C3类信息技术保密要求。在存储方面,相对于《安全规范》第6条的保存规定,《金融规范》第6.1.3条增加了不同存储信息的分级管理要求,例如C3类别个人金融信息应采用加密措施确保数据存储的保密性。在使用方面,相对于《安全规范》第8.2条,《金融规范》第7.1.3条增加了禁止共享、转让、公开披露的C3类别信息以及C2类别信息中用户鉴别辅助信息等要求。
(b)加大对第三方机构约束
首先,《金融规范》对与金融业机构合作的第三方机构提出较高的资质要求,例如《金融规范》第6.1.1条a款"不应委托或授权无金融业相关资质的机构收集C3、C2类别信息"。
其次,通过金融机构与第三方机构合作的审核义务来间接规范后者。例如《金融规范》第6.1.4.4和7.1.3条涉及金融机构采用何种手段来确保第三方机构数据保护合规,其中包括:协议、安全影响评估、现场检查、审计等方法。除了在收集、使用等生命周期方面,《金融规范》在安全制度体系建立与发布方面也要求金融业机构建立外包服务和管理制度,例如第7.2.1条g款要求通过协议或合同的方式来避免第三方机构留存C2、C3类别信息。
可见,与金融机构合作的第三方机构所面临的合规标准逐渐与金融机构自身适用的标准看齐。在这方面,《金融规范》对第三方机构来说有一定的"域外适用"效力。
三、合规工作建议
建议金融业机构进行如下合规工作:
1.进行合规体检
对照《金融规范》,通过问卷调查、资料调取、访谈等方式了解业务模式、场景、个人信息的收集/使用/处理、第三方机构的合作情况、内部管理制度、安全事件处置机制等,进行全面的自查或他查,发现问题。
2.制度建立和协议起草
(a)建立和完善金融机构各项内控机制
一般个人信息保护适用的制度,包括但不限于:个人信息访问审批流程、申诉管理机制、申诉跟踪流程、第三方接入管理机制和工作流程、安全事件应急预案、安全影响评估制度、保密协议、安全事件处罚机制、员工个人信息保护指引。
个人金融信息保护适用的制度,(对照《金融规范》7.2.1条)包括但不限于:个人金融信息保护管理机制、个人金融信息分类分级机制、日常管理及操作流程机制、信息系统分级授权管理机制、个人金融信息脱敏管理机制、个人金融信息安全影响评估机制、合作第三方机构管理机制、个人金融信息安全检查及监督机制、个人金融信息事件应急处置机制、个人金融信息投诉与申诉处理机制。
(b)制定和完善隐私政策
(c)起草、修订相关协议
相关协议包括但不限于用户协议、金融产品或服务合同、风险提示书。
尤其应注意与第三方机构补签协议或要求对方出具承诺书。
3.人员设置及组织结构配置
(a)保证人员设置、组织结构配置充足
设置专人专部,并严格限制、分配人员的访问操作权限。
(b)接受专业培训
对个人信息处理岗位上的人员提供专业化培训,确保相关人员熟练掌握隐私政策和相关规程。
附《个人金融信息保护技术规范》全文链接:http://www.cfstc.org/bzgk/gk/view/yulan.jsp?i_id=1856
Footnote
1. 国家标准分为强制性标准和推荐性标准,《安全规范》属于国家标准中的推荐性标准。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
