《个人金融信息保护技术规范》发布,附全文最全信息
近日,全国金融标准化技术委员会(简称“金标委”)发布了《个人金融信息保护技术规范》(以下简称《规范》)。据悉,《规范》已经通过全国金融标准化技术委员会审查,向各金融业机构发布。
“金融业机构”包括两类机构,一类是由国家金融管理部门监督管理的持牌金融机构,另一类是涉及个人金融信息处理的相关机构;[1] “个人金融信息”系指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。[2] 就主体范围而言,结合金融行业的实践,我们理解,“金融业机构”在现实中除了(1)传统的持牌金融机构,还可能包括(2)为持牌金融机构业务提供基础支持服务而需要处理个人金融信息的企业,例如提供身份验证服务的电信服务商、信息技术提供商、风控服务解决方案提供商、市场营销服务提供商等。相较于对主体的概念界定,《规范》适用于“提供金融产品和服务的金融业机构”,这一适用范围似乎并未明确涵盖前述第(2)类机构(例如,涉及个人金融信息处理的云服务提供商)[3] 。 就企业合规而言,考虑到《规范》对“金融业机构”、“个人金融信息传输的接收方”(第6.1.2条e项)、“第三方机构(包含外包服务机构与外部合作机构)(第6.1.4.4条)”等主体也设置了相应的合规义务,且从《规范》全面保护“个人金融信息”的编制目的出发,我们建议落入“金融业机构”的企业均应参考《规范》开展合规工作,对企业运营过程中涉及个人金融信息处理的环节进行对照自查,并在商业可行的范围内参照落实。 就客体范围而言,《规范》中“个人金融信息”的概念与《实施办法》中“个人金融信息(即金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息)”的概念较为相似,范围较为宽泛。虽然《规范》第4.1条并未明确广泛地列举“个人常用设备信息(如IMEI、MAC地址、IDFA、软件列表等)”、“个人上网记录(如网站浏览记录、软件使用记录、点击记录等)”和“个人位置信息(如行踪轨迹、精准定位信息等)”等《个人信息安全规范》附录所明确列举的个人信息,但是《规范》仍然可以通过该条g项的“在提供金融产品与服务过程中获取、保存的其他个人信息”进行兜底规范,甚至可以基于前述个人信息的识别性将其视为C2类别的个人金融信息(即其他能够识别出特定主体的信息)。 考虑到通过移动设备提供金融产品与服务已成大势所趋,设备信息与行为信息在客户身份识别、市场营销、反欺诈与风险控制等领域的使用亦日渐普及,因而在根据《规范》落实合规工作的过程中,金融业机构应当及时梳理提供产品与服务中涉及处理的所有个人信息,而不应仅仅限于《规范》明确列举的信息类型,并参照《规范》第4.2条对该等信息进行分级分类,继而相应落实合规要求。 问题二:我的企业如何遵照《规范》开展整体合规,大致有那些步骤? 就整体架构而言,《规范》在参考《个人信息安全规范》的基础上,先行对“个人金融信息”的范围和类别进行了梳理,继而从“安全技术要求”和“安全管理要求”两个维度详细地阐述了金融业机构在处理个人金融信息时需要遵循的规则。相应地,这一架构也在一定程度上为金融业机构开展内部合规提供了基本的思路和策略。 【企业建议】企业在根据《规范》开展合规工作时,应率先进行个人金融信息的统计与整理。具体而言: 企业既需要从静态的数据类型与内容出发,识别自身日常经营过程中所涉及的个人金融信息,按照《规范》中“C1、C2、C3”的级别进行数据等级划分,并尽可能使之与企业内部既存的数据资产分级得以衔接和协调; 企业也需要从动态的数据生命周期出发,进一步识别个人金融信息的“收集、传输、存储、使用、删除、销毁”等环节,为后续合规奠定事实基础。值得企业注意的是,在进行动态统计与整理时,企业不仅应该关注个人金融信息在内部的流转,更要关注该等信息在企业内部与外部第三方之间的流转,以避免遭遇来自外部的传递式风险。 另一方面,企业需要从技术安全和管理安全两个角度,同步开展安全合规,并需要关注《规范》“增强版”的合规要求,例如: 《规范》结合个人信息保护与金融行业的特点,创新性地对“个人金融信息销毁”(第6.1.6条)、“汇聚融合”(第6.1.4.6条)与“开发测试”(第6.1.4.7条)等新环节提出了要求; 《规范》在现有规则的基础上,针对个人金融信息的保护拟制了更为严格的要求,例如严格限制C2与C3类别信息的收集渠道(第6.1.1条),禁止C2类别信息中的用户鉴别服务信息与C3类别信息的共享与转让(第7.1.3条),要求建立个人金融信息保护制度体系,并明确列举应当制定的管理规定和开展的管理活动(第7.2.1条)等。 因此,在这一过程中,企业将需要着重关注《规范》所拟定的合规要求与既存合规义务的衔接,尤其是网络安全体系下的《网络安全法》、《个人信息安全规范》与《网络安全等级保护基本要求》等关于个人信息保护和网络运行安全的规定,以及金融监管体系下的央行17号文、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》与《中国人民银行金融消费者权益保护实施办法》等关于个人金融信息保护的相关要求。 问题三:个人金融信息的分级分类和相关要求有哪些?
【新增规定】《规范》首次在普遍意义上明确了个人金融信息的分类分级体系。据报道,《规范》早前版本为《支付信息保护技术规范》,其中将支付信息按敏感程度从低到高分为四级;而正式出台的《规范》则在一定程度上简化了分级体系,将个人金融信息按敏感程度从高到低分为C3、C2、C1三类。其中: C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害; C2类别信息主要为可识别特定用户身份与金融状况的个人金融信息,及用于金融产品和服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害; C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。 【企业建议】事实上,《规范》也承认上述“静态”的定级规则需要结合实际情况进行具体判断:一方面,“同一信息”在不同的服务场景中可能处于不同的类别;另一方面,低敏感程度类别的信息经过组合、关联和分析后可能产生高敏感程度的信息(例如,C2类别的用户鉴别辅助信息与账号结合使用可直接完成用户鉴别的,则属于C3类别信息)。因此,如前文所述,企业应当从静态的数据类型与内容出发和动态的数据生命周期两个维度开展个人金融信息的梳理,以免有所遗漏。 【业务影响】鉴于在《规范》的分级体系下,C3类和C2类由于敏感程度较高,金融业机构在处理C3和C2类别信息时,需要承担相较于处理C1类别信息更为严格的合规要求。换言之,位于产业链不同环节的金融业机构将可能需要根据《规范》的要求调整、优化自身的商业模式(尤其是基于“委托处理”模式为金融业机构提供服务的企业,具体详见对问题五的分析和建议)。 问题四:我的企业主要从事To B型业务,什么情形下的处理个人金融信息无需征得用户授权同意? 【新增规定】在《个人信息安全规范》征得授权同意收集、使用个人信息的例外情况的基础上,值得注意的是《规范》结合金融行业的业务实践定制了“用于维护所提供的金融产品或服务的安全稳定运行所必须的,例如识别、处置金融产品或服务中的欺诈或被盗用等”进行的个人金融信息收集使用无需征得个人金融信息主体授权同意的情形[4] 。 【业务影响】实践中,不排除存在个人金融信息主体主观意志上不愿意授权金融业机构在反欺诈、身份验证等场景下采集并使用其个人金融信息,从而导致企业无法按照正常业务的合规逻辑规避可能的业务风险。因此,此次新增的例外情形能够在一定程度上增强企业基于客户身份识别、反欺诈等业务办理所必需却难以获得用户授权同意收集使用信息时的合规依据支持。 值得注意的是,尽管《规范》在一定程度上体现出金融行业监管者在个人金融信息保护上的监管态度与思路,但是考虑到《规范》属于金融行业推荐性标准,其中的例外规定并不必然能够突破《网络安全法》等强制性法律法规规定中的原则性要求。 【企业建议】为此,金融业机构可提前考虑结合《规范》中的相关规定: 梳理与新增例外情况相关的业务,对于确实难以征得客户授权同意的,需规划和完善面对公众和监管者的应对话术和宣传策略; 由于个人金融信息的对外共享并未增加如采集使用类似的例外情形,同时也为了避免个人信息非法买卖的风险,在未获得用户授权同意的前提下,金融业企业仍然需谨慎与第三方共享与客户反欺诈或反黑产相关的黑名单信息等; 仍需注意个人金融信息采集使用的必要性和正当性,对于个人金融信息的采集类型和频率应当与办理金融业务的风险大小相匹配,且应为实现目的最小范围。 问题五:我的企业在个人金融信息委托处理上需要注意什么? 《规范》在委托处理个人金融信息的实践上,提出了较为严格的合规要求,除个人信息保护中常见的合同约定各方权责义务、要求被委托者不得超范围使用、准确记录等要求以外,还进一步提出了更多的技术要求,主要包括: 1.对数据委托收集的主体限制 【新增规定】《规范》要求金融业机构不应委托或授权无金融业相关资质的机构收集C3、C2类别信息[5] 。 【业务影响】考虑到《规范》对于C3、C2类别信息的定义十分宽泛且目前有关“金融业相关资质”的定义未有明确规定,该新增规定可能导致许多非持牌机构在金融信息的收集环节上需要有所调整,例如可能不再能在业务前端代表金融业企业采集客户KYC、借贷等相关信息。 [6] 【企业建议】建议非持牌机构视具体情况调整业务模式,采取替代方案以避免基于金融机构客户的委托对个人金融信息进行直接采集或使用。例如,非持牌机构是否可以考虑发展面向终端消费者(To C)的相关业务。 2.对委托处理数据的限制 【新增规定】对于个人金融信息的委托处理而言,《规范》相对《个人信息安全规范》新增的要求主要包括: 1)C3类和C2类中的用户鉴别辅助信息,不应委托给第三方处理(第6.1.4.4.条b项); 2)应对委托处理的信息采用去标识化(不应仅使用加密技术)进行脱敏处理(第6.1.4.4.条c项); 3)应对外部嵌入或介入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测,并对第三方的收集个人金融信息行为开展审计,发现超出约定行为及时切断接入(第6.1.4.4.条f项)。 【业务影响】 首先,对于某些金融业企业的外部合作机构而言,其产品和服务的提供可能必须基于明文的C3类和/或C2类中的用户鉴别辅助信息,如目前接受银行等金融机构委托进行身份核验等的助贷企业,可能必须以客户身份三要素(如姓名、身份证号和手机号码)的获取为业务开展的基础,依据目前的要求,非持牌机构可能难以再获得明文的上述个人金融信息,因此业务模式可能面临重新调整的需要。 其次,严格按照《规范》规定来看,金融企业客户在选择业务和服务的外包方时,将可能不再仅要求对于产品和服务的合规性和业务逻辑进行说明、承诺,还可能需要进一步地针对自动化工具开展技术检测,并对基于委托收集个人金融信息的行为进行审计。 【企业建议】 对于个人金融信息的被委托方而言,为避免不同合作方的反复检测和自证,同时合理考虑委托处理环节的脱敏处理要求,建议: 1)考虑采用本地化部署和交付等方式为金融企业客户提供相关产品或服务,通过由客户自行掌握相关服务系统的方式,避免SaaS服务模式下处理禁止委托处理的信息、或者针对被委托处理信息的频繁、多方技术检测成本; 2)有必要时,自行开发面向金融企业客户的技术工具,用于客户全方位了解和掌握相关服务系统运行情况和安全保障状况; 3)如有可能,尽早考虑新的系统架构模式,确保去标识化处理后映射信息仅在客户本地保留,被委托方系统仅对去标识化后不可回溯个人金融信息主体的数据进行处理、分析,进而为客户提供数据分析能力和算法模型构建能力。 对于个人金融信息的委托方而言,为了避免向第三方委托处理禁止性信息、保证数据委托处理的合规性,建议: 1)提高自身的技术研发能力,尤其对于禁止委托处理的信息(如用户鉴别用途的个人生物识别信息),尽量使用自身技术予以处理以满足业务经营的需要; 2)建立对于自动化工具应用的全流程管控制度,包括接入前的合规和技术评估、定期审计和应急处理机制等。
以下为《规范》原文: