作者:汉坤律师事务所段志超丨杨铁成丨蔡克蒙丨李芳菲丨乔梦晶
2020年2月13日,中国人民银行(“央行”)和全国金融标准化技术委员会发布了《个人金融信息保护技术规范(JR/T 0171-2020)》(“《规范》”)。《规范》在《网络安全法》和央行此前多部个人金融信息保护监管规定的基础上,从安全技术和安全管理角度对个人金融信息处理的全生命周期提出了系统具体要求。与现行法律法规相比,《规范》的可操作性更高,因此可以对金融机构和金融行业相关企业的合规实践起到重要的指导作用。本文将从企业合规角度剖析《规范》要点,并重点关注《规范》在现行法规及标准基础上提出的新要求。
一、扩大的适用: 从银行业金融机构到金融业机构
《规范》将其直接适用范围划定为“由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”(“金融业机构”),这就意味着包括银行业金融机构、各类期货、基金、保险机构在内的广义的持牌金融机构,以及处理个人金融信息的相关机构(可能持牌或非持牌),例如第三方支付公司、金融科技公司等,都将直接适用《规范》。此外,由于行业间关联性以及对于金融业机构范围解释的空间,《规范》亦有可能对涉及个人金融数据的电商等行业形成间接影响。
另外,对于私募基金管理人(包括PFM、QDLP、QDIE等机构)来讲,尽管这种机构不属于严格意义上的持牌金融机构,但这种机构都须要在中国证券投资基金业协会登记备案,并接受其监管。如果私募基金管理人通过向顾客提供金融产品、服务等渠道获取、保存或处理了任何顾客的个人信息[1] ,则该管理人应参照适用《规范》中的安全技术与管理要求”。
相较而言,早先央行和中国建行保险监督管理委员会(“银保监会”)针对个人金融信息保护相继颁布的系列监管规定,主要包括《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(2011年5月1日生效) (“《央行通知》”)、《中国人民银行关于金融机构进一步做好顾客个人金融信息保护工作的通知》 (2012年3月27日生效)、《中国人民银行金融消费者权益保护施行办法》(2016年12月14日生效) (“《央行办法》”)、《中国建行保险监督管理委员会关于印发工行业金融机构数据整治指引的通知》(2018年5月21日生效)。多仅直接适用于银行业金融机构,只是在实践中参照适用于商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及征信机构等非银行业金融机构。
需要强调的是,本次发布的《规范》是金融行业推荐性标准,而非强制性标准。尽管《规范》作为推荐性标准不具有强制约束力,但我们不排除金融监管机构在举办监督检测或执法活动时将其作为重要参考,将《规范》视为金融业机构在个人金融信息保护方面的实践建议与操作指南。因此,我们建议金融业机构应依照《规范》中的相关标准与要求,以便在最大程度上规避与个人金融信息保护相关的任何法律或合规风险。
二、分级和场景化:个人金融信息的区别化监管要求
《规范》采取了“分类分级”和“场景化”的监管思路,根据信息外泄或被篡改后对个人信息主体的信息安全与财产安全的害处程度,将个人金融信息的敏感程度由高到低分为C3、C2、C1三个类别:
个人金融信息主体提供的家庭成员信息应该根据上述敏感程度进行归类。多种低级别的信息的经过组合、关联或则剖析也有可能构成高敏感程度的信息。《规范》还首次提出了按照服务场景确定信息敏感程度和级别的要求。企业应按照具体服务场景以及有关信息在场景中的作用,对信息进行辨识归类,采取有针对性的保护举措。
需要注意的是,C3和C2类信息在《个人信息安全规范》中基本被归为个人敏感信息的范畴,而《规范》结合金融服务场景,对C3和C2类信息提出一些比《个人信息安全规范》项下个人敏感信息更高的保护要求。
三、合法与必要:严格与灵活性兼备的个人金融信息搜集规则
依法搜集数据是后续依法处理数据的前提,因此《规范》从搜集手段、数据来源、收集范围等维度对搜集环节重点着墨。
对于直接搜集的个人信息,金融业机构应避免通过默认授权、功能捆绑的形式逼迫或欺骗个人金融信息主体提供信息。为防止隐秘搜集个人金融信息,《规范》要求金融业机构在产品或服务上线发布前进行技术检查,确保个人金融信息的搜集、使用、共享等依法依规进行,通过隐私新政等给以披露。
对于间接搜集的个人金融信息,金融业机构应要求信息提供方说明个人金融信息来源,并通过技术手段保证信息来源的可溯源性。金融业机构有义务确认信息来源的合法性,了解信息提供方已获得的授权内容。这些金融业机构需承当更高的审查义务,难以仅依赖与信息提供方的书面协议或保证减免自身责任。
就数据搜集范围而言,《规范》对数据搜集的“最小化要求”做出了阐述,允许金融业机构搜集与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联的个人金融信息[2]。与此前相关监管规定中常用叙述“不得搜集与业务无关的信息”相比,《规范》的前述规定更为灵活,为以优化金融产品或服务为目的搜集个人金融信息保留了一定灵活度,并照料了金融业风控的特殊需求。
此外,《规范》还规定搜集维护金融产品或服务的安全稳定运行所必需的个人金融信息(例如用于辨识、处置金融产品或服务中的欺诈或被盗用的情形),或与用于履行国家法律法规及行业主管部门有关规定的义务相关的个人信息,可作为例外无需获得信息主体同意。这一规定为金融业机构搜集为举办风控或履行反洗钱、反恐怖融资等而搜集个人金融信息留下了更多空间。
四、脱敏、删除与销毁:更加明确的个人金融信息应用和储存规则
实践中,许多金融业机构往往面临在产品开发中借助个人金融进行合规性的困局。考虑到个人金融信息的敏感性,《规范》要求金融业机构有效隔离开发测试环境和生产环境,在实际开发测试中应该对个人金融信息进行虚构或则去标识化,原则上不应使用个人真实的金融信息。值得关注的是,《规范》特别在附表中对信息屏蔽技术进行了规定和举例,金融业机构可将屏蔽后的信息运用于产品开发和测试活动。
此外,《规范》还规定个人金融信息的储存期限应该满足法律法规和行业主管部门的规定,符合为授权使用的目的所必需的最短时间要求。超出前述期限,或在个人金融信息主体依法要求删掉的情况下,金融业机构应删掉个人金融信息或对其进行匿名化处理。删除是指“使个人金融信息不可被检索、访问的过程”。实践中,值得阐述的是假如服务关系早已结束,授权所需目的已期满,但企业仍依法负有信息存留义务的情况下[3],应怎样处理个人信息。对此,我们觉得金融业机构仍可继续存留个人信息,但不应对个人金融信息进行任何开发借助。
除删掉外,《规范》还对信息销毁作出了规定,销毁是指“个人金融信息进行清理,使其不可恢复的过程”。因此,销毁较删掉更为严格,主要适用于委托处理场景,即在委托第三方机构处理个人金融信息时,如果委托关系解除,受委托者有义务依照金融业机构的要求销毁个人金融信息并继续承当相应的保密责任。委托方金融业机构还应监督销毁存贮介质的过程,要求保存销毁记录等。
五、《规范》对金融业机构外包活动的影响
(1)《规范》与金融业机构信息科技外包
出于提供金融产品或金融服务的业务须要,金融业机构可能会将原先由自身负责处理的信息科技活动委托或授权给服务提供商等第三方机构代为处理(“信息科技外包”)。在实践中,金融业机构的信息科技外包一般囊括以下类型:
在以上三类金融业机构的信息科技外包场景中,第一类“研发咨询类外包”主要集中于企业科技管理构架设计和系统搭建;第二类“系统运行维护类外包”主要针对信息科技系统与设施的整体运维。上述两类外包活动通常不会深入企业实际业务,金融业机构一般不会委托外包服务机构具体参与到个人金融数据的处理。
与前两类相比,第三类“业务外包中的信息科技活动”与金融业机构实际业务活动之间的联系更为紧密。在这种信息科技外包活动中,金融业机构应非常注意外包服务范围是否涉及到委托第三方机构参与到任何个人金融数据的搜集、传输、存储、使用、删除、销毁等环节的工作。
如涉及个人金融信息的委托处理,金融业机构应确保自身及外包服务机构不仅违背现行个人信息保护监管规定和国家标准中的安全管理与安全技术要求之外,还应该符合《规范》中针对个人金融信息委托处理的新增要求。
(2)《规范》中针对个人金融信息委托处理的具体要求
在《规范》出台前,《信息安全技术个人信息安全规范》等国家标准针对个人信息的委托处理已设定了具体的安全管理与安全技术要求。针对金融产品及金融服务的行业特征,《规范》在适用法律法规与国家标准的基础上,对金融业机构委托处理个人金融信息的行为提出了更为细化的安全管理与技术要求,具体请参见下表:
类别
《规范》中针对个人金融信息委托处理的具体要求
委托行为的范围
委托行为不应超出个人金融信息主体授权同意的范围(无需征得授权同意的特殊情形除外)。
委托信息的范围
C3以及C2类别信息中的用户分辨辅助信息,不应委托给第三方机构进行处理。
委托信息的脱敏处理
对委托处理的信息应采用去标识化(不应仅使用加密技术)等方法进行脱敏处理,降低个人金融信息被泄漏、误用、滥用的风险。
委托行为的个人金融信息安全影响评估
金融业机构应对委托行为进行个人金融信息安全影响评估(至少每年举办一次),并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施。
对受委托者的监督
金融业机构应对第三方机构等受委托机构进行监督,方式包括但不限于:
外部嵌入的自动化工具的技术检查与审计
金融业机构应对外部嵌入或介入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检查,确保其个人金融信息搜集、使用行为符合约定要求;并对其搜集个人金融信息的行为进行审计,发现超出约定行为及时切断接入。
委托处理的记录
金融业机构应确切记录和保存委托处理个人金融信息的情况。
(3)《规范》对大数据、金融科技公司的影响
对委托处理个人金融信息的严格规范可以被视为央行、银保监会近日严格规范金融业机构与大数据公司、金融科技公司的新政延展。目前实践中常见的金融业机构委托大数据公司、金融科技公司获取的借款人行为、电商购物、生活特点等进行验证,用于助贷、反欺诈、信审、催收的做法可能面临限制。大数据公司、金融科技公司向金融业机构提供上述服务前可能将面临金融业机构安全保障能力审查,以及监管部门统一设定的资质或准入门槛限制,可提供服务数据服务范围亦将缩窄。
六、《规范》对个人金融信息跨境传输的影响
(1)个人金融信息出境监管制度回顾
数据本地化以及数据出境相关的监管仍然是金融业机构、尤其是跨国金融业机构在中国本土营运的合规重点之一。在本部份,我们将简略梳理并回顾与个人金融信息出境相关的核心监管要求。
A.《中华人民共和国网络安全法》(“《网安法》”)
2016年11月7日,全国人大常委会通过《网安法》,首次针对关键信息基础设施的运营者提出了数据本地化与数据出境安全评估的要求:
另外,《网安法》明确,网络运营者未经被收集者同意,不得向别人提供个人信息,这意味着网路运营者向境外传输个人信息须要获得个人信息主体的同意。
B.国家互联网信息办公室(“网信办”)
针对个人信息出境,网信办先后于2017年4月11日和2019年6月13日发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》,旨在对个人信息出境安全评估的适用范围、评估内容、评估程序等作出规定。
C.全国信息安全标准化技术委员会(“信安标委”)
信安标委在其2017年11月30日发布的《信息安全技术个人信息安全规范》及其后续的征询意见稿中曾提出有关个人信息跨境传输的整体要求;
另外,信安标委还曾于2017年5月和2017年8月两度发布《信息安全技术数据出境安全评估手册(征求意见稿)》,旨在对个人信息出境安全评估要点和流程等内容给以进一步细化。
D.中国人民银行(“央行”)
在金融领域,央行对于金融业机构的个人金融信息保护采取了较为审慎的心态。央行于2011年1月21日发布《央行通知》。根据《央行通知》,银行业金融机构应遵循以下要求:
在《央行通知》发布五年后,央行于2016年12月14日印发《央行办法》,《央行办法》对在境内依法筹建的为金融消费者提供金融产品和服务的银行业金融机构、提供跨市场、跨行业交叉性金融产品和服务的其他金融机构以及非交行支付机构提出更为严格的数据出境要求:
(2)《规范》中针对个人金融信息跨境传输的具体要求
在相关适用法律法规与国家标准的基础上(如上述第(1)部分总结),《规范》对金融业机构个人金融信息本地化与跨境传输提出了更为细化的管理要求。具体要求请见下表:
类别
《规范》中针对个人金融信息跨境传输的规定
原则性要求
《规范》规定,在中华人民共和国境内提供金融产品或服务过程中搜集和形成的个人金融信息,应在境内储存、处理和剖析。
个人金融信息出境需满足的要求
《规范》提出,金融业机构可向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息,但须要同时满足以下要求:
(3)个人金融信息跨境传输与反洗钱合规
值得注意的是,《规范》允许金融业机构向境外机构提供个人金融信息,但提供信息的行为必须同时符合国家法律法规及行业主管部门的有关规定、办法与标准。这意味着金融业机构在向境外机构提供个人金融信息时,也应同时关注我国金融业主管部门针对反洗钱与反恐怖主义融资的监管规定与要求。
在中国反洗钱监管制度下,除了全省人大常委会于2006年10月31日即将通过的《中华人民共和国反洗钱法》外,央行、银保监会等金融监管机构也相继颁布了一系列关于反洗钱与反恐怖主义融资的监管规定与要求,其中有两点值得注意:
-自然人顾客的“身份基本信息”包括顾客的姓名、性别、国籍、职业、住所地或则工作单位地址、联系方法,身份护照或则身份证明文件的种类、号码和有效期限;以及
-客户的“交易记录”包括关于单笔交易的数据信息、业务账簿、账簿以及有关规定要求的反映交易真实情况的协议、业务账簿、单据、业务信函和其他资料。
我们注意到,在中国现行反洗钱监管制度下金融机构在举办业务活动中所获取的“客户身分资料和交易信息”与《规范》所定义的“个人金融信息”在很大程度上是重合的。这也为金融业机构在个人数据保护制度与反洗钱监管制度下的数据合规工作带来一定的挑战。
鉴于此,我们提示金融业机构在遵循个人金融信息保护与跨境传输相关法律法规与国家标准的同时,也应注意遵循央行、银保监会、证监会等金融监管部门在反洗钱领域颁布的法规与监管要求,确保充分履行金融业机构的反洗钱合规义务。与此同时,随着我国个人信息保护与反洗钱监管制度的不断建立,我们也将进一步关注相关制度的修订情况,并及时与诸位读者分享我们的观点。
[1]示例:客户的帐户信息、鉴别信息、金融交易信息、个人身分信息、财产信息、借贷信息及其他反映特定个人个别情况的信息。
[2]直接关联是指无该个人金融信息参与未能实现前述目的。
[3]例如《金融机构顾客身分辨识和顾客身分资料及交易记录保存管理办法》明确要求金融机构对顾客身分资料和交易记录等起码保存两年。
段志超
86-10-8516 4123
kevin.duan@hankunlaw.com
杨铁成
86-10-8516 4286
tiecheng.yang@hankunlaw.com
蔡克蒙
kemeng.cai@hankunlaw.com
李芳菲
fangfei.li@hankunlaw.com
乔梦晶
virginia.qiao@hankunlaw.com
实习生胡敏喆对本文的写作亦有贡献。
