个人金融信息保护技术规范影响几何
《个人金融信息保护技术规范》解读
《个人金融信息保护技术规范》发布了,数据玩家对内容进行了研读,初步进行了归类整理,话不多说,进入正题。
规范首先对个人金融信息进行了分级,可以说帮了很多金融机构的大忙,大家都在数据敏感等级划分上一筹莫展的时候,规范做出了明确的定义:
随后,规范对个人金融信息的收集、传输、存储、展示等环节逐一做了细致的规定,数据玩家整理了部分要点如下(并非规范全部内容,全文请大家点击“阅读原文”):
需提醒大家注意,上表并非规范全部内容,只是个人感觉相对比较重要的,以及针对新的敏感信息分类而做出的分级规范要求,金融机构具体执行规范时,还需对照原文,逐一比对。
其中值得注意的是,对于C2、C3类别的系信息做出了诸多规定,影响最大的一条:不允许无资质机构收集、存储、处理(支付等特殊情况除外),这对很多大数据、金融科技企业有较大影响。拿最简单的四要素验证来说,毫无疑问,都是C2、C3级别的信息,市面上的代理机构,都具备“金融业相关资质”吗?当然这个资质目前没有明确,但是可以预计,准入和要求会逐步严格。
另外,不应留存非本机构的数据,确有需要需个人及归属机构授权。与金融机构合作的各家大数据和金融科技公司,补充协议和承诺书该签起来了。51信用卡的模式肯定是不行了,获取的都是其他金融机构的C2-C3级别数据,目前仅取得了个人授权,没有取得金融机构授权(参考某银行投诉51信用卡的邮件):
由于明确了生物特征属于C3级别,那么人脸识别和活体识别自然也在处理个人金融信息的范围内,目前相对合规的方案是本地部署,抽取特征值以后再送到第三方机构进行比对。需要提醒几家人脸识别的供应商,不可留存客户生物特征。
C3级别的信息必须加密存储,各类密码没问题,但是卡片有效期,各银行卡中心应该是没有加密存储的,包括生物特征信息。人脸识别后的照片和视频、公安采集回来的高清网纹照、OCR后的照片、券商在线双录后的视频,都加密存储了吗?
另外,终端和客户端等不可留存客户金融信息,必要的信息交易后应删除,受影响的范围很广,除了ATM、POS、自主终端,还有手机App。有的银行ATM和自助终端是可以人脸识别取款的,拍摄的人脸图片完成交易后不能留存在ATM本地,包括支付机构的人脸识别付款机具、具备人脸识别付款功能的自动贩卖机(待确认)等等。
自动贩卖机是否属于监管范围?
最重要的,App,OCR和人脸识别后,拍摄的身份证照片和人脸识别照片及视频都会留存在手机相册本地,这些信息按理说使用完交易就要删除,有几家App做到了?
最后提一下内控方面,“对存储或处理个人金融信息的系统或设备进行远程访问时,应通过专线、VPN等方式访问,个人金融信息不应在远程访问设备上留存”,我知道很多银行的生产机、堡垒机上面,全都是查数据以后留下来的中间数据,excel表到处乱放,这肯定得整改了。还有业务提数以后通过邮件发送的,发送以后中转机器必须删除,也得有相应管理办法和专人督办。最好的方式,还是业务能够直接自助查询,尽量减少中间数据流转环节。
爬虫和缓存,怎么做才合规?
既然说到数据合规,我们就再梳理一下去年影响重大的事件,从考拉征信(https://mp.weixin.qq.com/s/uLMuz1hu_SqrjtNt82FCqw)涉案情况来看,获取数据的技术手段是否爬虫并非违法的判断核心。考拉征信并未采用爬虫获取用户数据,作为个人征信准牌照机构,考拉征信的二要素核验返照接口应该来自合规的渠道,即便如此,首次查询过后,考拉征信将信息缓存下来,再次收到同一个人的核验请求时,不再向上游请求授权,直接返回本地的缓存信息。数据玩家看了很多此事件的新闻和解读,基本都描述为“非法缓存公民个人信息”,但是并没有说出到底哪里非法了,因为缓存其实是很常用的技术手段,金融机构在查询外部数据的时候,也经常采用缓存,如果有效期内再次查询,则不再向外部请求,直接使用本地的缓存数据。研究了相关法律条文以后,数据玩家认为,本次考拉征信触犯的具体法律法规为:侵犯公民个人信息罪。
侵犯公民个人信息罪犯罪客观方面表现为违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。
(1)违反国家关于公民个人信息保护的法律规定:
A.违反国家规定是指违反法律、行政法规、部门规章有关公民个人信息保护的规定;
B.违反信息控制人单方承诺或者特定行业规范承诺对个人信息加以自律性保护的,不构成本罪。
(2)实施了出售或非法提供的行为:
A.出售是指将自己掌握的公民个人信息以一定价格卖与他人,自己从中谋取利益的行为;
B.非法提供是指违反国家关于保守公民个人信息的规定,将自己履行职务过程中掌握的公民个人信息,以出售以外的方式提供他人的行为(不包括自己使用的行为)。
可以看到,与金融机构常用的缓存相比,考拉征信违法的关键点在于实施了出售或非法提供的行为,而金融机构是自己使用,并未出售或非法提供。当然,更重要的前提是“违反国家规定”,这里应该主要指网络安全法,是否获得了信息主体的授权,考拉征信服务的那几家机构是否获得了客户授权,考拉征信是否核实?答案应该很明显了,由此判断,大家不用再纠结爬虫了。大数据公司避免违法,建议从以下几方面着手排查:
谨慎选择合作方
“净网2019”重点强调:
特别是对涉及的明知是“套路贷”仍为“套路贷”研发系统平台和APP的科技公司、为“套路贷”进行网上推广的网站和平台、非法获取公民个人信息提供数据支撑的数据公司、为“套路贷”开通资金结算渠道和提供支付服务的第三方支付公司,公安机关将依法查处、严厉打击,绝不姑息。
哪怕自身数据来源合法合规,只要给套路贷提供服务,就难逃干系。有钱就是大爷的时代结束了,刀口舔血的日子也不复存在,稳健合规是今后的第一顺位,没有这个“1”,后面再多的“0”也白搭。
获取数据的方式
从侵犯公民个人信息的司法解释来看,非法获取公民个人信息的方式包括以下特点:
一是违背了信息所有人的意愿或真实意思表示;
二是信息获取者无权了解、接触相关公民个人信息;
三是信息获取的手段违反了法律禁止性规定或社会公序良俗。
具体来看,如果是爬虫,是否超出了robots.txt,并且绕过了被爬取机构的反爬措施,爬虫流量是否超过网站日均流量三分之一(《数据安全管理办法》)。如果是接口,是否合规授权。
根据最新的规范,如果是C1级别个人金融信息,是否获得了数据所有者的授权,针对C2,C3级别的个人金融信息,需要取得数据所在机构及数据所有者本人的双重授权。
获取的数据是否包含公民个人信息
根据法释〔2017〕10号《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条之规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
根据《个人金融信息保护技术规范》,这个范围更大了,虽然还没立法,但是建议金融机构和金融机构的服务商都遵照更为严格的规范来执行。
获取数据后的处理方式
最合规的方式是:一次授权一次获取,完成授权所述用途后销毁。合规成本比较高,而且销毁难以自证。
相对可操作的模式是获取后缓存,后续如果自行使用没问题,如果要提供他人,去隐私后无法识别个人的没问题,未去隐私的需每次请求数据主体授权。
对于各类面向客户服务的机构来说,尤其是金融机构及云计算服务商,应当妥善保存用户的隐私数据。能够识别客户身份的关键信息应该匿名化处理,其他客户隐私信息加密存储。为了防止内部人作案,应建立一整套数据安全管理机制,事前防控,事中监控,事后追责,规定加密密钥及匿名化算法等关键信息由独立的安全合规专员保管,并且确保专员无法接触到加密后的数据,做到权责分离。同时应确保即使数据发生泄漏,通过数字水印、数据血缘追踪等技术,追踪数据泄露后的流向,追溯数据泄露的源头。而针对利用大数据相关分析技术,从匿名化的多个数据集中比对出客户的真实身份的情况,有条件的企业,可以尝试使用差分隐私保护的方法。差分隐私保护技术是指通过对源数据引入一定的噪声,扰动后的数据集新增或者减少少量记录,和改动之前返回的查询结果高度相似,即难以通过不同数据集之间的比对发现差异。
对于生物识别技术的服务提供商,除了做好以上数据安全防护外,还应在生物特征传感器部分加强数据保护,按照最新规范,如无必要,应该在交易完成时就删除相关特征,如果必需要存储的,应在传感器采集生物特征完成时就将生物特征进行加密,可以大大降低生物特征泄露的风险,或者参考上文提到的同态加密方案,参与运算的都是密文,真正明文的特征从不出现,只要保证特征比对的算法能够正常完成即可。采用生物识别技术完成客户身份认证的企业,应该针对高风险交易采用双因素甚至多因素验证,降低客户生物特征被盗取后可能产生的损失。