作者:李瑞 鍾俊鵬 賈申 羅儀涵 姚遠
本篇將重點結合《個人信息保護法》《金融消費者權益保護實施辦法》《個人金融信息保護技術規範》介紹個人金融信息合規工作中的要點,並對如何進行個人金融信息資產梳理以及全生命周期保護提供建議。
///
在金融行業數據合規系列的開篇《舉一綱而萬目張——金融數據的分類分級與全生命周期保護》中,我們討論了如何搭建金融數據的分類分級框架,並在此基礎上梳理了對金融數據進行全生命周期保護的合規要點。本系列第二篇將主要聚焦金融數據合規中的個人金融信息保護。個人金融信息保護屬於個人信息保護領域、消費者權益保護領域及金融監管領域共同關注的議題,可能涉及的監管部門包括央行、銀保監會、證監會等金融行業主管部門,網信辦、工信部等網絡與數據安全主管部門以及市場監督管理局等消費者權益保護主管部門;觸及的合規義務主體包括傳統金融持牌機構以及各類金融科技公司;具有業務場景複雜、合規要求交錯綜合等特點,是金融數據合規工作中的難點和重中之重。
為了幫助金融業機構進一步落實《個人信息保護法》(「個保法」)、《金融消費者權益保護實施辦法》(「金融消保實施辦法」)等相關規定中的個人金融信息保護要求、提升個人金融信息全流程處理的規範性,本篇將重點結合《個人金融信息保護技術規範》(「個金技術規範」)[1]介紹個人金融信息合規工作中的要點,並對如何進行個人金融信息資產梳理以及全生命周期保護提供建議。
一、個人金融信息的資產梳理
1. 個人金融信息的定義
在展開個人金融信息保護工作之前,首先需要明確何為個人金融信息。根據個金技術規範第3.2條,「個人金融信息」是指「金融業機構[2]通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息」,具體包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。據此,個人金融信息不等同於個保法所提及的金融賬戶信息,個人金融信息範圍顯然要更加廣泛。另外,根據個保法第28條敏感個人信息的定義及示例[3],個人金融信息也並不完全落入敏感個人信息的範疇,而需結合相關信息泄露的影響做綜合判斷。
2.個人金融信息的分類分級
金融業機構進行個人金融信息資產梳理的核心是建立完善的、動態可調的分類分級體系。個人金融信息的分類規則較為明確,參考個金技術規範,金融業機構可以從「賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他信息」將個人金融信息粗分為7大子類,再進一步根據自身組織經營情況向下細分。在明確個人金融信息的分類後,金融業機構應當搭建個人金融信息的分級框架。依據信息遭到未經授權的查看或未經授權的變更後所產生的影響和危害,個金技術規範將個人金融信息按敏感程度從高到低分為為C3、C2、C1三個等級,並示例了具體的個人金融信息等級供參考(如下表1所示):
表格1 個人金融信息級判斷規則
點擊可查看大圖
我們理解,上述分級標準有助於釐清個人金融信息與個保法下的敏感個人信息的關係:首先,個金技術規範對於C2、C3等級信息的描述與個保法下個人敏感信息「一旦泄露或者非法使用,容易導致自然人的財產安全受到危害的個人信息」的屬性基本一致,因此,宜將C2、C3級信息歸入敏感個人信息,提高其保護合規標準,在處理此類信息時還需要注意遵循單獨同意、進行個人信息保護影響評估等特殊處理規則。其次,對於C1級信息,由於其一旦遭到未經授權的查看或未經授權的變更,可能會對個人金融信息主體的信息安全與財產安全造成一定影響,但這種影響是否達到個保法上侵害自然人的人格或危害人身、財產安全的程度從而構成個人敏感信息,則需結合具體場景下判定。
最後,金融業機構在進行個人金融信息資產梳理和等級判定時還應當注意:
鑑於《金融數據安全數據安全分級指南》(「金融數據分級指南」)提供了與【個金】技術規範具有融合性的金融數據的分類分級框架,而個人金融信息又屬於金融數據,並且金融數據分級指南中提供的分級框架下的2至4級與C1、C2、C3級信息存在一一對應的關係,因此我們建議,金融業機構可以在金融數據資產清單對應的金融數據等級中嵌入個人金融信息模塊,將個人金融信息融合進金融數據分級框架中進行一體化統籌管理,從而減輕需要分別管理多個數據資產清單的工作壓力;
若干低敏感程度信息經過組合、關聯和分析後可能產生高敏感程度信息,例如賬戶登錄的用戶名和動態口令均為C2級別信息,但如果兩者經過組合、關聯後可完成用戶鑑別和登錄,則產生的信息屬於C3級的用戶鑑別信息。金融業機構在從事此類行為後,應注意對相關個人金融信息重新進行分級;
同一信息在不同的服務場景中可能處於不同的級別,應依據服務場景以及信息在該場景下的作用,對信息等級進行場景化識別。
二、個人金融信息生命周期式保護的技術要求
從收集、傳輸、存儲、使用再到刪除和銷毀,個人金融信息的生命周期的各環節設置與個保法、《金融數據安全 數據生命周期安全規範》等規定基本一致。基於不同的個人金融信息級別,個金技術規範提供了相應的技術和管理要求的參考,金融業機構可以參照相關要求,設計並實施覆蓋個人金融信息全生命周期的安全保護策略。篇幅所限,我們僅在下表2中歸納了主要環節中的典型合規義務:
表格2 個人金融信息生命周期保護技術及管理要求示例
點擊可查看大圖
此外,個金技術規範還特別關注支付敏感信息,並在部分環節中針對性地設置了特殊合規義務。根據個金技術規範,「支付敏感信息」是指「支付信息中涉及支付主體隱私和身份識別的重要信息,具體包括銀行卡磁道數據(或芯片等效信息)、卡片驗證碼(CVN 和CVN2)、卡片有效期、銀行卡密碼、網絡支付交易密碼等用於支付鑒權的個人金融信息。」由於其敏感性,支付敏感信息一般屬於C3級別的個人金融信息,因此,除適用上述C3級別信息處理的一般合規要求外,處理支付敏感信息時還需履行以下的特殊合規義務:
表格3 C3級中支付敏感信息的特殊合規義務
點擊可查看大圖
三、結語
數字化時代,金融業機構全面提高個人金融信息的保護能力不僅僅是更嚴監管態勢下的必然要求,更是實現數字化金融轉型的關鍵之處。金融業機構應當以網絡數據安全及個人信息保護等法律為根基,以行業主管部門的相關規定為枝幹,以國家標準為葉,落實個人金融信息的分類分級,並建立涵蓋個人金融信息收集、傳輸、存儲、使用、刪除、銷毀等各個環節的全生命周期的內控合規制度。
下篇預告
在釐清了個人金融信息的定義、分類分級規則以及全流程的生命周期保護基本要求之後,本章下篇將重點針對金融業機構日常業務開展的若干重要業務場景,為金融業機構提供更為生動具體、更具操作性的框架性合規建議。
[注]
[1] 根據我們的經驗,個金技術規範雖然僅是推薦性標準,但是其內容為金融機構處理個人金融信息過程中涉及的安全核查及評估提供了詳盡的規範指引,是金融監管實務中的重要參考依據。
[2] 金融業機構的具體定義,可以參見作者此前金融數據合規系列文章《舉一綱而萬目張——金融數據的分類分級與全生命周期保護》。具體而言,其不僅指傳統的持牌金融機構,還包括其他提供金融產品/服務從而涉及個人金融信息處理的新型金融業機構。
[3] 根據個保法第28條,金融賬戶屬于敏感個人信息。
作者簡介
李瑞 律師
北京辦公室 合伙人
業務領域:跨境投資併購, 反壟斷和競爭法, 網絡安全和數據保護
特色行業類別:文化娛樂產業
鍾俊鵬 律師
北京辦公室
非權益合伙人
業務領域:跨境投資併購, 網絡安全和數據保護, 反壟斷和競爭法
特色行業類別:金融行業, 通訊與技術
賈申
北京辦公室 顧問
業務領域:反壟斷和競爭法, 貿易合規和救濟, 訴訟仲裁
羅儀涵
北京辦公室 合規與政府監管部
姚遠
北京辦公室 合規與政府監管部
作者往期文章推薦
《舉一綱而萬目張——金融數據的分類分級與全生命周期保護》
《房地產領域典型場景中的個人信息保護合規要點分析》
《固基修道,履方致遠:從數據「三法」看企業數據泄露風險的預防和應對》
《已到凌雲仍虛心——互聯網平台合規監管2021年度盤點》
《問渠那得清如許——企業交易場景下的數據合規要求進一步加強》
《觀千劍而後識器——中美歐個人信息保護制度比較》
《激活網絡安全審查制度 築牢數據安全防火牆—— <網絡安全審查辦法(修訂草案徵求意見稿)>評析》
《沉舟側畔千帆過:金融行業反壟斷合規要點及趨勢概覽》
《大鵬一日同風起,扶搖直上九萬里——中國反壟斷2021年度盤點》
《會當凌絕頂——<反壟斷法(修正草案)>要點速覽》
《合規創造價值——新經濟領域(擬)上市企業的若干合規要點分析》
《新形勢下企業貿易風險防控之道——再議美國出口管制制裁與阻斷辦法》
《從史上最高罰單看企業反壟斷合規的重要性》
《實操建議:社交電商業務模式避免落入傳銷陷阱》
《慮遠謀深——對俄制裁中各行業法律風險和企業防火牆方案探討》
《從監管問詢看擬上市企業應關注的反壟斷合規問題》
特別聲明:
以上所刊登的文章僅代表作者本人觀點,不代表北京市中倫律師事務所或其律師出具的任何形式之法律意見或建議。
如需轉載或引用該等文章的任何內容,請私信溝通授權事宜,並於轉載時在文章開頭處註明來源於公眾號「中倫視界」及作者姓名。未經本所書面授權,不得轉載或使用該等文章中的任何內容,含圖片、影像等視聽資料。如您有意就相關議題進一步交流或探討,歡迎與本所聯繫。
點擊「閱讀原文」,可查閱該專業文章官網版。
留言列表