一、
背景:数据监管趋严形势下的行业规范
在2019年,以四部门在全省范围组织举办App违规违法搜集使用个人信息专项整治活动为代表,数据监管部门执法活动日趋活跃和严格。金融领域个人信息违规违法行政和民事执法案例也呈爆发式下降趋势,在此背景下,中国人民银行近期发布了金融行业推荐性标准《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称“《技术规范》”),并于2020年2月13日颁布。
金融业机构把握和处理的个人金融信息绝大多数属于个人敏感信息,该等信息一旦泄漏,不但会直接侵犯个人金融信息主体的合法权益、影响金融业机构的正常营运,导致相关的刑事、行政、刑事风险,甚至可能会带来系统性金融风险。可以预见,《技术规范》的颁布对于强化个人金融信息的安全管理,指导相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,具有重要意义。
二、
适用:金融持牌机构和数据处理机构
《技术规范》适用于提供金融产品和服务的金融业机构,不仅包括了由国家金融管理部门监督管理的持牌金融机构,也包括了涉及个人金融信息处理的相关机构。即金融产业链的相关机构均可能落入《技术规范》规制范围,例如金融支付、网络借贷、基金、保险、信托等从业机构。
个人金融信息是在金融领域围绕帐户信息、鉴别信息、金融交易信息、个人身分信息、财产信息、借贷信息等方面的个人信息,属于金融业机构在提供金融产品和服务的过程中累积的重要基础数据。《技术规范》不仅对帐户信息、鉴别信息、金融交易信息、个人身分信息、财产信息、信贷信息等信息可能包括的信息类型进行了详尽列出,还将由这种原始数据处理、分析所产生的,例如特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息,能够反映特定个人情况的信息也列入了个人金融信息范畴之内。
此外,与《信息安全技术 个人信息安全规范》(GB/T 25273-2017,以下简称“《个人信息安全规范》”)中将“个人敏感信息”进行单独定义并提出增强性保护要求相类似的是,《技术规范》中对个人金融信息中涉及支付主体隐私和身分辨识的重要信息单独定义为“支付敏感信息”,类别包括但不限于交行卡扇区数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等用于支付信令的个人金融信息。由于支付敏感信息的敏感性更高,《技术规范》中对其的处理和使用也有着一些特殊规定[1]。
三、
关系:与个人信息安全规范和等保2.0一脉相承
《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012》结合金融行业特征及信息系统安全建设须要,对金融行业的信息安全体系构架采用分区分域设计,对不同等级的应用系统进行具体要求。
于2018年5月1日施行的现行版本的《个人信息安全规范》是一部关于我国个人信息保护的技术标准,规定了个人信息在搜集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求。此外,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019,以下简称“《网络安全等级保护基本要求》”)作为等保2.0体系下的重要标准之一,对网路安全等级保护对象的安全通用要求和安全扩充要求提出了具体保护要求。而这次《技术规范》的一些细化要求参考了前述标准和指引的要求,从安全技术和安全管理两个维度出发,规定了个人金融信息在数据处理的全生命周期各环节的安全防护要求,可以视为是金融监管领域在《个人信息安全规范》、《网络安全等级保护基本要求》基础上对个人金融信息的保护提出的增强性要求。
四、
特点:明确了数据搜集的明示授权和数据出境要求
如前所述,《技术规范》对个人金融信息保护提出了一系列规范性要求,考虑到《技术规范》与《个人信息安全规范》从行文体系上较为类似且内容多有重合,以下仅从《技术规范》与《个人信息安全规范》对比的角度,介绍《技术规范》与《个人信息安全规范》有所区别或注重的部份,重复或类似的部份将不在本文论述。
1
安全技术要求
收集环节
除要求确保数据信息来源的可追溯性要求及获得个人金融信息主体对隐私新政的明示同意之外,《技术规范》还要求通过受理终端、客户端应用软件与浏览器等方法引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等举措避免密码明文显示,其他密码类信息宜采取展示屏蔽举措。
传输环节
相比《个人信息安全规范》的要求,相关条文愈发重视个人金融信息传输过程中的参与方(包括数据接收方)而不仅仅是传输方对于信息保密性、完整性和可用性的保证。例如,传输个人金融信息前,通信双方应通过有效技术手段进行身分鉴定和认证;个人金融信息传输的接收方应对接收就得信息进行完整性校准。
存储环节
《技术规范》规定在停止营运时,除根据国家法律法规与行业主管部门有关规定要求,对储存的个人金融信息进行妥善处理之外,还可以移交国家与行业主管部门指定的机构继续保存。
信息使用(展示)环节
《技术规范》对提供业务代办与查询功能的应用软件以及应用软件的后台管理与业务支撑系统分别提出展示的技术要求,尤其是对于涉及其他个人金融信息主体的信息时,除特殊情形外,宜进行屏蔽展示。
共享和出售环节
除对安全影响评估、签署数据保护责任承诺、访问控制、审计等方面进行规定外,《技术规范》对支付帐号及其等效信息在此环节中的脱敏技术进行了限定,通常应使用支付标记化技术。
委托处理环节
《技术规范》要求对委托处理的信息应采用去标识化(不应仅使用加密技术)等方法进行脱敏处理。
销毁环节
除要求完善销毁管理制度、保留有关记录等对个人信息销毁的常规性处理要求外,《技术规范》还要求储存个人金融信息的介质如不再使用,应采用不可恢复的方法(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删掉索引、删除文件系统的方法进行信息销毁,应通过多次覆写等方法安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或则以其他方法加以借助。
除上述信息处理环节之外,《技术规范》还对公开披露、加工处理、汇聚融合、删除等环节进行相应规定,除此之外,针对安全运行技术要求,承载和处理个人金融信息的信息系统、应用软件、密码产品等应符合全国信息安全标准化技术委员会、全国金融标准化技术委员会及其他主管部门的标准、规范。
2
安全管理要求
(1)就安全管理要求的安全准则部份,《技术规范》与《个人信息安全规范》类似,对个人金融信息的搜集、存储、使用的基本原则、具体要求均进行相应规定。特别地,需关注《技术规范》中对于明示授权和数据出境的相关规定:
(2)就安全管理要求的安全策略部份,明确金融业机构构建个人金融信息保护制度体系、加强访问控制和人员管理。其中,就完善个人金融信息保护管理规定、建立分级授权管理机制、开展个人金融信息分类分级管理等要求,与《中国人民银行金融消费者权益保护施行办法》(征求意见稿)、《个人金融信息(数据)保护试行办法》(征求意见稿)中的相应要求一脉相承。除此之外,《技术规范》还提出以下额外的制度要求:
就安全管理要求的安全检测与风险评估部份,与《个人信息安全规范》要求类似,《技术规范》要求匹配相应的监控与审计举措、建立安全风波处置的全流程管控举措,此外,对于安全检查和评估环节,《技术规范》除对个人金融信息安全影响评估制度的完善和执行进行相应要求之外,还要求金融业机构以及与其合作的第三方机构针对个人金融信息中的支付信息每年起码举办一次支付信息安全合规评估。
五、
措施:个人金融信息的分类保护
1
个人金融信息的分类
关于《技术规范》的前身,最初的公开版本为《支付信息保护技术规范》(送审稿),在该版本中支付信息被根据敏感程度从高到低分为四个类别。
《技术规范》则依据信息受到未经授权的查看或未经授权的变更后所形成的影响和害处,将个人金融信息根据敏感程度从高到低分为C3、C2、C1三个类别。具体类别及对应信息列出情况如下:
信息类别
信息划分标准
信息列出
C3类
主要为用户分辨信息。该类信息一旦受到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全导致严重害处。
银行卡扇区数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码;
账户(包括但不限于支付帐号、证券帐户、保险帐户)登录密码、交易密码、查询密码;
用于用户分辨的个人生物辨识信息。
C2类
主要为可辨识特定个人金融信息主体身分与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦受到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全导致一定害处。
支付帐号及其等效信息,如支付帐号、证件类辨识标示与护照信息(身份证、护照等)、手机号码。
账户(包括但不限于支付帐号、证券帐户、保险帐户)登录的用户名。
用户分辨辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码(若用户分辨辅助信息与帐号结合使用可直接完成用户分辨,则属于C3类别信息)。
直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网路支付帐号余额)、借贷信息。
用户金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。
用于履行了解你的顾客(KYC)要求,以及按行业主管部门存证、保全等须要,在提供产品和服务过程中搜集的个人金融信息主体相片、音视频等影像信息。
其他才能辨识特定主体的信息,如家庭地址等。
C1类
主要为机构内部的信息资产,主要提供金融业机构内部使用的个人金融信息。该类信息一旦受到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全导致一定影响。
账户开立时间、开户机构。
基于帐户信息形成的支付标记信息。
C2和C3类别信息中未包含的其他个人金融信息。
需要说明的是,两种或两种以上的低敏感程度类别信息经过组合、关联和剖析后可能形成高敏感程度信息,同一信息在不同的服务场景中可能处于不同的类型。因此,上述分类不应做死板认定,应当在不同的服务场景中对数据类别做动态和综合性的判定,并施行针对性的保护举措。例如,《技术规范》规定应按照个人金融信息的不同类别,采用技术手段保证个人金融信息的安全传输;低敏感程度类别的个人金融信息因参与身分鉴定等关键活动引起敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提高相应的安全传输保障手段。
2
特定类别个人金融信息的分类保护要求
《技术规范》在个人金融信息进行分类的基础上,对于C2和C3类别的个人金融信息提出了众多特定保护要求,以下分别从安全技术要求和安全管理要求进行分别列出。
(1) 安全技术要求
类别
环节
C2类别信息
C3类别信息
生命周期技术要求
收集
不应委托或授权无金融业相关资质的机构搜集。
通过受理终端、客户端应用软件、浏览器等方法搜集时,应使用加密等技术举措保证数据的保密性。
传输
通过公共网路传输时,应使用加密通道或数据加密的方法进行传输。
对于该类别中的支付敏感信息,其安全传输技术控制举措应符合有关行业技术标准与行业主管部门有关规定要求。
存储
不应存留非本机构的建行卡扇区数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等。若确有必要存留的,应取得个人金融信息主体及帐户管理机构的授权。
应采用加密举措确保数据储存的保密性。
使用(信息展示)
* 提供业务代办与查询等功能的应用软件,
处于未登入状态时,不应展示。
处于已登入状态时,除交行卡有效期外,不应明文展示。
* 应用软件的后台管理与业务支撑系统,除交行卡有效期外,不应明文展示。
委托处理
用户分辨辅助信息,不应委托给第三方机构进行处理。
不应委托给第三方机构进行处理。
加工处理
应采取必要的技术手段和管理举措,确保在信息清洗和转换过程中对信息进行保护,对C2和C3类别信息,应采取愈加严格的保护举措。
安全运行技术要求
Web应用安全要求
应具备对网站页面篡改、网站页面源代码曝露、穷举登陆尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。
Web应用系统与组件上线前应进行安全评估。
应具备对系统组件进行实时检测的能力,有效辨识和组织来自内外部的非法访问。
(2) 安全管理要求
类别
C2类别信息
C3类别信息
安全准则
使用
用户分辨辅助信息不应共享、转让。
用户分辨辅助信息不应公开披露。
不应共享、转让。
不应公开披露。
安全策略
安全制度体系构建与发布
建立外包服务机构与外部合作机构管理制度,包括但不限于:应通过合同或协议的形式,约束外包服务机构与外部合作机构不应存留C2、C3类别信息。
支付帐号等信息,若因清分清算、差错处理等业务须要确需存留,金融业机构应明晰其保密义务与保密责任,并应按照安全要求落实安全控制举措,并将有关资料留档备查。
访问控制
N/A
存储或处理个人金融信息的相关化学设备或介质应在获得审批授权后方可移入或移出机房受控区域,留存有C2、C3类别信息的化学设备或介质移入或移出区域应具有同等的安全保障举措。
由上述归纳可知,针对与外包服务机构和外部合作机构的合作,在《个人信息安全规范》等相关规定的基础要求(例如安全影响评估、对第三方的监督、审计)上,《技术规范》还从以下几个方面提出禁止性要求或额外规制:
因此,对于普遍采用人力外包等方法委托分包商提供非核心服务的金融行业来说,为防止合规风险,相关从业机构可能面临调整相关业务或合作模式的考验。
六、
结语
去年9月以来,公安部门加大对进军互联网金融行业的大数据服务公司在网路安全及数据合规领域的执法力度,“净网2019”行动持续举办。我们判定,2020年,随着数据执法的进一步推进,金融等数据敏感行业将进一步建立行业内的网路安全和数据保护施行条例的立法和规范工作,建议相关金融业机构以《技术规范》、《个人信息安全规范》及等保2.0等相关规范和标准要求,开展内部网路安全自查、自律行动,切实落实个人信息尤其是个人金融信息的安全保护要求。
[注]
[1]例如在受理终端、个人终端及客户端应用软件均不应储存支付敏感信息,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时给以去除;在网路支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效举措避免合作机构获取、留存支付敏感信息。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
陈瑊 律师
北京办公室 知识产权部
