2020年2月13日,中国人民银行发布实施金融行业标准《个人金融信息保护技术规范》(JR/T 0171——2020)(以下简称“《个人金融信息保护规范》”)。《个人金融信息保护规范》是金融行业推荐性标准,系在《信息安全技术 个人信息安全规范》(GB/T 35273——2017)等国家标准基础上,就个人金融信息的保护作出的细化规定,就个人金融信息全生命周期提出安全技术和安全管理方面的要求。尽管该行业标准不具备强制执行效力,但仍值得金融业机构在实践中参照执行。[i]以下简要归纳整理该标准的主要内容:
一、适用主体范围
《个人金融信息保护规范》适用于提供金融产品和服务的金融业机构,具体指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。[ii]
二、哪些个人金融信息受到规范
根据《个人金融信息保护规范》,个人金融信息是指通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人某些情况的信息。[iii]
个人金融信息按照其敏感程度从高到低分为C3、C2、C1三个类别[iv],以下为简要整理的类别、范围和以上行业标准针对不同类别设定的要求[v]:
类别 | 范围 | 要求 |
C3:主要为用户鉴别信息 | 银行卡磁道数据(或芯片等效信息)、卡片验证码、卡片有效期、 银行卡密码、网络支付交易密码
账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码
用于用户鉴别的个人生物识别信息
| 不应共享、转让 不应公开披露 不应委托或授权无金融业相关资质的机构收集 应采取弹窗等技术措施引导个人查阅隐私政策,获得明示同意后收集信息 通过受理终端、客户端软件、浏览器等方式收集,应使用加密等技术保证数据保密性,防止未经授权方获取 通过公网传输时,应使用加密通道或数据加密方式传输,其中支付敏感信息应符合行业技术标准和行业主管部门规定 通过受理终端、客户端应用软件与浏览器等方式引导输入或设置银行卡密码、支付密码时应通过展示屏蔽等防止密码明文显示 不应委托第三方机构(含外包服务机构与外部合作机构)处理 境内存储、处理、分析,向境外提供应符合有关规定方能进行 委托处理的信息应采用去标识化等方式进行脱敏处理 对委托行为进行安全影响评估 监督第三方机构 加密存储 不留存非本机构的C3类别信息(确需留存,应取得个人金融信息主体同意+账户管理机构授权) 留存C3类别信息的物理设备或介质移入/出机房受控区域应经审批授权 除银行卡有效期外,不应明文展示
|
C2:主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息 | 支付账号及其等效信息,包括身份证、护照、手机号等 账户登录的用户名 用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码、(若与账号结合可直接完成用户鉴别,则属于C3类别) 直接反映信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息 用于金融产品和服务的关键信息,如交易指令、交易流水、证券委托、保险理赔等 因KYC、主管部门存证、保全等需要收集的信息主体照片、影像信息 其他可识别主体信息:如家庭地址 | 不应委托或授权无金融业相关资质的机构收集 应采取弹窗等技术措施引导个人查阅隐私政策,获得明示同意后收集信息 通过公网传输时,应使用加密通道或数据加密方式传输 用户鉴别辅助信息,不应共享、转让,不应公开披露,不应委托第三方机构(含外包服务机构与外部合作机构)处理 对委托行为进行安全影响评估 监督第三方机构 境内存储、处理、分析,向境外提供应符合有关规定方能进行 委托处理的信息应采用去标识化等方式进行脱敏处理 留存C2类别信息的物理设备或介质移入/出机房受控区域应经审批授权
|
C1:主要为机构内部信息资产,主要为供内部使用的个人金融信息 | 账户开立时间、开户机构 基于账户信息产生的支付标记信息 C3、C2类别信息不包括的其他个人金融信息 | 应采取弹窗等技术措施引导个人查阅隐私政策,获得明示同意后收集信息 境内存储、处理、分析,向境外提供应符合有关规定方能进行 委托处理的信息应采用去标识化等方式进行脱敏处理 对委托行为进行安全影响评估 监督第三方机构 |
我们建议金融业机构对照该行业标准,对业务中涉及的个人金融信息分级分类, 参照该行业标准执行收集、处理、委托处理等个人金融信息全生命周期的安全要求。同时还需注意,《个人金融信息保护规范》第4.2条提示,同一信息在不同服务场景中可能属于不同类别,还应根据具体服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护。
三、与第三方机构合作的范围
1. 可委托处理信息的第三方机构范围:
委托第三方处理相应个人金融信息时,应对委托行为进行个人金融信息安全影响评估,确保受委托方具备足够的数据安全能力,评估其个人金融信息的保护能力是否达到国家、行业主管部门与金融业机构的要求。因此未达到相应要求的第三方机构,不予以使用。
此外,如以上第二部分归纳,委托或授权有金融业相关资质的机构收集
C3和C2类别信息。
2. 不可委托第三方机构处理/维护信息的情形:
a) C3类别信息以及C2中的用户鉴别辅助信息,不应委托第三方机构处理;
b) 个人金融信息未经采用去标识化等方式进行脱敏处理,不得交由第三方机构处理;
c) 存储个人金融信息的数据库不应交由外部机构运营维护。
四、对第三方机构的监督和管理
管理制度就第三方机构的范围(或限制)、委托处理的信息的范围(或限制要求)、第三方机构应满足的条件、与第三方机构的合同条款条件应包含的主要内容、对第三方机构进行监督检查等等作出规定。
另,《个人金融信息保护规范》就第三方机构处理个人金融信息提出以下要求,我们建议金融业机构纳入管理第三方机构的内部制度中,并将这些要求整合融入与第三方机构的业务合同中:
a) 第三方机构应金融业机构的要求处理个人金融信息,因特殊原因第三方机构未能按要求处理个人金融信息,或无法提供足够的信息安全保护、发生安全事件,应及时告知并配合金融业机构进行信息安全评估,并采取措施补救以保护个人金融信息的安全,必要时终止处理个人金融信息;
b) 未经书面授权,第三方机构不得转委托他人处理个人金融信息;
c) 协助响应个人金融信息主体的请求;
d) 委托/外包关系解除时,按金融业机构要求销毁其所处理的个人金融信息,按约承担保密责任;
e) 准确记录和保存委托处理个人金融信息的情况。
此外,《个人金融信息保护规范》第7.3条关于访问控制的规定,对于确立内部工作流程和制度有借鉴意义,金融业机构可借鉴整合入内部数据访问、流转制度和流程中。
2. 通过合同约束合作的第三方机构
除了以上管理制度涉及的对第三方机构管理要求可纳入合同,《个人金融信息保护规范》还明确要求具备以下条款:
a) 第三方机构不得留存C3、C2类别信息[vi];
a) 就C2类别信息中的支付账号等信息因清分清算、差错处理需要留存的情形,约定第三方机构的保密义务、责任;
b) 对可能访问个人金融信息的第三方机构及其人员,金融业机构要求第三方机构确立个人金融信息保护的安全要求,与其人员签署保密协议,并有权对协议履行情况进行监督;
约定金融业机构有权定期对第三方机构落实个人金融信息措施进行确认,包括开展外部信息安全评估、现场检查。
五、个人金融数据的汇聚融合
汇聚融合的数据不应超出收集个人金融信息声明的使用范围,因业务需要超范围使用的,应再次取得个人金融信息主体的同意。就融合后的数据,根据类别及使用目的,开展个人金融信息安全影响评估,采取有效技术保护措施。
六、个人金融信息的删除和销毁
1. 删除
《个人金融信息保护规范》第6.1.5条对“删除”的定义是:采取技术手段,在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问,与《信息安全技术 个人信息安全规范》(GB/T 35273——2017)一致。相应地,个人金融信息主体要求删除其个人金融信息时,金融业机构应按依法律法规或行业主管部门规定以及与个人金融信息主体的约定予以响应。
《个人金融信息保护规范》第7.1.2条规定,个人金融信息的存储应满足国家法律法规与行业主管部门规定,并符合个人金融信息主体授权使用的目的所必需的最短时间要求,超过该期限后,应对收集的个人金融信息进行删除(或匿名化处理)。
2. 销毁
《个人金融信息保护规范》第7.2.1g)规定,金融业机构应在合同中约定外包服务机构、外部合作机构不得留存C3、C2类别信息,因此可看出第三方机构在约定情形下,需要销毁该等信息。此外,《个人金融信息保护规范》第7.1.3c)规定,在金融业机构解除与第三方机构的委托关系或终止外部服务后,第三方机构按金融业机构的要求销毁其处理的个人金融信息,因此金融业机构可与第三方机构在合同中约定清楚届时需要销毁的信息范围以及相关具体义务。
七、个人金融信息的出境
1. 在中国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析
境内存储要求在部门规范性文件《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》和在目前执行的《中国人民银行金融消费者权益保护实施办法》中均有此规定:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。
因此,金融业机构需要通过合同等途径要求及采取措施确保接受委托的第三方机构将个人金融信息存储在境内并予以监督。
2. 特定情形下可向境外提供
根据《网络安全法》,金融行业信息系统属于关键信息基础设施,并且,关键基础设施领域业务产生和收集的重要数据和个人信息境内存储,因业务确需向境外提供的,应按照国家网信部门会同国务院有关部门规定的办法进行安全评估,法律行政法规另有规定的依照其规定。[vii]
与部门规范性文件《中国人民银行金融消费者权益保护实施办法》一致,《个人金融信息保护规范》仅允许因业务需要,向特定境外机构提供个人金融信息,即总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构。
并且,该行业标准在数据出境的条件上与《中国人民银行金融消费者权益保护实施办法》基本一致:取得个人金融信息主体的明示同意、与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密义务,向境外提供前依据国家、行业制定的办法和标准开展个人金融信息出境安全评估,并作了扩展即监督境外关联机构数据删除、案件协查等义务。
我们建议现阶段向境外机构提供个人金融信息时,金融业机构除了参照《个人金融信息保护规范》更新合同条款义务时,还需就《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等相关立法状态保持关注,适时调整合同条款。
八、员工管理
《个人金融信息保护规范》对涉及个人金融信息的人员的安全管理要求,提出了指引,金融业机构可参考纳入内部数据合规制度中[viii]:
a) 录用员工前,进行必要的尽职调查,并与可访问个人金融信息的员工签署保密协议,或在劳动合同中设置保密条款;
b) 定期开展培训,保留记录;
c) 有关员工调岗时,立即调整个人金融信息访问、使用等权限设置;
d) 与有关员工终止劳动关系时,立即终止并回收对个人金融信息的访问权限;
e) 岗位设置方面,系统开发人员、测试人员与运维人员之间不应相互兼任岗位;
f) 至少每年一次定期或在隐私政策发生重大变化时培训、考核个人金融信息处理岗位上的相关人员;
g) 员工的保密期限不限于履行个人金融信息相关岗位期间。
因此,金融业机构的人力资源部门与技术部门需要密切保持联动,在员工调岗或离职时,做好有关系统的访问、处理等权限分配或终止权限工作;有关员工的保密义务范围应涵盖履行职务过程中获取或接触到的个人金融信息,保密义务的期限延长,不限于履行前述职位期间。
此外,《个人金融信息保护规范》第7.2.2详细描述了个人金融信息保护责任人和责任机构的职责,对于实践中各企业单位确立数据合规负责机构的职责,包括DPO的职责(JD),较有借鉴意义。
以上简要归纳了《个人金融信息保护规范》对金融业机构较为重要、可借鉴参考的一些规定。实践中,金融业机构有必要结合《网络安全法》及其配套法律法规以及金融业领域部门规章、部门规范等,如《中国人民银行金融消费者权益保护实施办法》《银行业消费者权益保护工作指引》以及近期可能出台的其他规定,调整完善合规策略,开展内部、外部数据合规工作。值得一提的是,中国人民银行于2019年12月就《中国人民银行金融消费者权益保护实施办法(征求意见稿)》征求意见,该征求意见稿拟将该实施办法效力位阶提升至部门规章,为人民银行金融消费者权益保护工作提供更有效的依据、标准和制度遵循,预示着银行领域对于消费者权益保护(包括个人金融信息保护)执法将会强。
[i] 实践中,《信息安全技术 个人信息安全规范》被有关执法部门作为执法的参考。有关规范如2020年2月4日《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》就个人信息收集的范围直接援引适用《信息安全技术 个人信息安全规范》。因此,本文所述的银行业推荐性行业标准细化了个人金融信息全生命周期的安全技术和安全管理要求,也有被有关主管部门执法时予以参考的可能性。
[ii] 《个人金融信息保护规范》第3.1条。
[iii] 《个人金融信息保护规范》第3.2条。
[iv] 《个人金融信息保护规范》第4.2条将个人金融信息进行分类。请注意,根据该规范,两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。
[v] 详情参见《个人金融信息保护规范》第6.1条。
[vi] 《个人金融信息保护规范》第7.2.1g)条。
[vii] 参见《网络安全法》第三十一条、第三十一条。
[viii] 《个人金融信息保护规范》第7.2.3条。
