个人金融信息保护技术规范下金融业机构的个人信息保护工作
中国人民银行《金融科技(FinTech)发展规划(2019-2021年)》指出,在新一轮科技革命和产业变革的背景下,金融科技蓬勃发展,人工智能、大数据、云计算、物联网等信息技术与金融业务深度融合,为金融发展提供源源不断的创新活力。数据资源和算法模型是金融科技的核心资产,信息科技与金融的深度融合,使金融消费者的个人信息产生了巨大的商业价值,衍生出“套路贷”“非法催收”等诸多不法行为,“个人信息保护”开始受到广泛关注。近年来,人民银行等金融管理部门不断加大整治非法泄露买卖个人金融信息、银行卡盗刷、电信诈骗等违法行为力度,加强个人金融信息保护制度研究,先后出台《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行关于金融机构进一步做好个人金融信息保护工作的通知》《银行业消费者权益保护工作指引》《中国人民银行金融消费者权益保护实施办法》《个人金融信息(数据)保护试行办法(初稿)》等一系列规章及规范性文件。
2020年2月13日,中国人民银行正式发布了《个人金融信息保护技术规范》(JR/T 0171—2020)金融行业标准。《个人金融信息保护技术规范》(以下简称“《规范》”)由全国金融标准化技术委员会归口管理,由中国人民科技司提出并负责起草,北京银联金卡科技有限公司、中国银联股份有限公司、网联清算有限公司、浙江蚂蚁小微金融服务集团股份有限公司、中国金融电子化公司等单位共同参与了起草工作。根据说明,《规范》有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展;有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。虽然《规范》在性质上属于推荐性标准,但作为第一部专门针对个人金融信息的行业标准,为金融业机构建设个人金融信息保护架构提供了体系化与专业化的参考标准,同时也会成为未来金融领域数据隐私保护立法和执法的重要参考。对此,企业可以按照《规范》提前做好个人数据保护合规布局。
在内容上,《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
一、《规范》的适用对象
《个人金融信息保护技术规范》适用于提供金融产品和服务的金融业机构。这里的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。这说明,除了传统意义的持牌金融机构,《个人金融信息保护技术规范》的适用对象还包括处理个人金融信息的机构,比如为持牌金融机构提供信息技术服务的外包服务机构或外部合作机构。
二、《规范》保护在金融消费行为中提供个人金融信息的自然人
《规范》指出,个人金融信息主体是个人金融信息所标识的自然人。根据《中国人民银行金融消费者权益保护实施办法(征求意见稿)》,金融消费者是指购买、使用金融机构提供的金融产品或服务的自然人。金融消费者作为购买、使用金融机构提供的金融产品和服务的自然人,在金融消费行为中提供个人金融信息的,受《规范》保护。
三、《规范》对个人金融信息的分类
(一)按照信息属性分类
按照《中国人民银行金融消费者权益保护实施办法》规定(《中国人民银行金融消费者权益保护实施办法(征求意见稿)》同),“金融信息”指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。《规范》增加了“鉴别信息”,指用于验证主体是否具有访问或使用权限的信息,如登录密码、交易密码、短信验证码等。
(二)按照信息权受到侵害所产生的影响和危害分类
《规范》承袭了《网络安全法》和《个人信息安全规范》中关于数据和个人信息的划分逻辑,首次将个人金融信息按照敏感程度由高到低划分为C3、C2、C1三个类别。
C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。包括:(1)银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码;(2)账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;(3)用于用户鉴别的个人生物识别信息。
C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害。信息主要指识别信息及鉴别辅助信息。包括:(1)支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码;(2)账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名;(3)用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码(若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息);(4)直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息;(5)用户金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等;(6)用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息;(7)其他能够识别特定主体的信息,如家庭地址等。
C1类别信息主要为机构内部的信息资产,主要提供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定影响。包括:(1)账户开立时间、开户机构;(2)基于账户信息产生的支付标记信息;(3)C2和C3类别信息中未包含的其他个人金融信息。
值得注意的是,《规范》引入了按照服务场景对信息进行划分的风险管理思想。个人金融信息的可识别性与敏感程度并不是一个静态的结果:一方面,同一信息在不同的服务场景中可能属于不同类别;另一方面,低敏感程度类别的信息经过组合、关联和分析后可能产生高敏感度的信息。因此,金融业机构有必要根据具体服务场景及该信息在其中的作用对信息的类别进行识别,对信息进行动态的判定并实施针对性保护。
《规范》通过静态与动态相结合的多维分类,改善不同敏感程度信息的混同管理现状,在减少信息安全风险的同时,保障金融业机构合法信息资产的分析运用,在安全与效率之间寻求最大程度的平衡,为个人金融信息进行归类管理及开展区别化监管提供了明确的参考和依据。
四、金融信息全生命周期的安全技术与安全管理要求
(一)收集:合法、正当、必要
1.收集主体。收集C2或C3类别个人金融信息的主体必须为金融业持牌机构。
2.收集行为。收集主体收集个人金融信息需要经过个人金融信息主体授权同意。除例外情形,收集个人金融信息均需获得个人金融信息主体的明示同意,不得以默认授权、功能捆绑等方式误导强迫提供个人金融信息。
3.最小必要原则。收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。对“最小必要”作出适当的阐释有助于为金融业机构科学、准确收集信息提供可操作标准。
(二)传输要求
个人金融信息传输过程的参与方应当保证信息传输过程中的保密性、完整性和可用性。注意,C2和C3类别信息通过公共网络传输时,应使用加密通道或数据加密的方式进行传输。C3类别信息中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。低敏感程度类别的个人信息因参与身份鉴别等关键活动导致敏感程度上升的,应当提升相应的安全运输保障手段。
(三)存储、删除与销毁要求
个人金融信息的存储时限应符合有关规定及使用信息必需的最短时间要求。超过期限后,应对收集的个人金融信息进行删除或匿名化处理;当主体要求删除,应予以响应。应当建立信息销毁制度,对于需要销毁的信息,采用不可恢复的方式销毁,并作完整记录。注意,C3类别信息不应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等。若确有必要留存的,应取得个人金融信息主体及账户管理机构的授权。C3类别信息还应采用加密措施确保数据存储的保密性。
(四)使用要求
信息的使用包括信息展示、共享和转让。
对于信息展示,要注意,提供业务办理与查询等功能的应用软件,应用软件处于未登陆状态时,不应展示C3类别信息信息。应用软件处于已登陆状态时,除银行卡有效期外,不应明文展示C3类别信息。
2.对于共享和转让,个人金融信息原则上不应共享、转让、公开披露。其中,C2类别信息中的用户鉴别辅助信息和C3类别信息严格不应共享、转让、公开披露,其他信息确需共享和转让和公开披露的,需在事前进行告知、征得同意,并对信息进行去标识化处理。汇聚融合的数据不应超出收集时所声明的使用范围。因业务需要确需超范围使用的,应再次征得个人金融信息主体明示同意。
(五)公开披露要求
个人金融信息原则上不得公开披露。如果金融机构经法律授权或具备合理事由确需公开披露的:(1)应事先开展个人金融信息安全影响评估,并依据评估结果采取有效的保护个人金融信息主体权益的措施;(2)不应公开个人生物识别信息;(3)应准确记录和保存个人金融信息的公开披露情况,包括公开披露的日期、规模、目的、内容、公开范围等。
(六)委托处理要求
与此前出台的《个人信息安全规范》等国家标准相比,《规范》针对金融行业特点,提出了更为细化的安全管理与技术要求。
可委托处理信息的,对第三方机构资质作出要求。要求委托前应当对委托行为进行个人金融信息安全影响评估,确保受委托方具备足够的信息安全保护能力;委托时应当对信息进行脱敏处理,委托过程中应对受委托机构进行监督以及全程做好记录。
不可委托第三方机构处理的信息:C2类别信息别中的鉴别辅助信息和C3类别信息,不应委托给第三方机构进行处理。
五、结语:金融业机构如何构建个人金融信息保护合规框架?
(一)建立个人金融信息保护制度体系
金融业机构应建立个人金融信息保护制度体系,涵盖个人金融信息保护管理基本制度、个人金融信息分类分级管理制度、信息系统分级授权管理制度、个人金融信息脱敏管理规范和制度、个人金融信息安全影响评估制度、外包服务机构与外部合作机构管理制度、个人金融信息安全检査及监督机制、个人金融信息泄露安全事件应急处置工作机制、个人金融信息投诉与申诉处理机制等,制度化保障本机构个人金融信息保护工作的有序开展。
(二)建立个人金融信息保护组织架构
明确本机构个人金融信息保护责任部门和责任人,负责搭建个人金融信息安全管理制度体系,监督本机构内外部信息安全管理,组织开展内部审计、信息安全影响评估及安全事件应急演练,提出对策建议;明确本机构个人金融信息岗位,针对相关岗位明确信息安全管理责任,统筹本机构个人金融信息保护岗位权限管理;明确本机构个人金融信息人员管理,负责员工上岗、离岗前的保密责任确认和访问权限配置、定期开展培训考核。
(三)建立全生命周期信息防控体系
规范收集、存储、使用、删除销毁等全生命周期可能接触个人金融信息的业务操作。加强个人金融信息访问控制管理,按照“最小、必要”原则进行个人金融信息相关的权限管理,严格控制和分配访问权限;开展安全监测与风险评估,全面识别和监控对个人金融信息的访问、增删改等操作,保存日志数据,以备事件溯源;应对个人金融信息生命周期全过程进行安全检査和评估,范围包括金融业机构以及与其合作的第三方机构,发生个人金融信息安全事件后,应及时釆取必要措施进行处置,控制事态发展,消除安全隐患,并及时告知受影响的个人金融信息主体。