数据保护法规日益严格,金融机构数据合规如何避雷?

来源:天元律师

文章摘要
2015年7月1日实施的《国家安全法》明确提出“提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”的要求。

2015年7月1日实施的《国家安全法》明确提出“提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”的要求。《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第31条提出“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。2020年7月国家发布了《数据安全法(草案)》,对数据保护提出了更为明确的要求。这些规定的不断颁布和生效对金融业机构进行个人信息保护提出了新的挑战。若个人信息被金融业机构泄露或不当使用,在给信息主体带来财产损失的同时,平台可能会承担系列法律责任。如此背景下,金融业机构该如何做到数据合规呢?本文就金融数据合规进行分析。
【一】个人金融信息的内涵
中国人民银行发布关于金融行业的推荐标准《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称“《技术规范》”)对个人金融信息的定义为金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。《技术规范》以“在提供金融产品与服务过程中获取、保存的其他个人信息”作为兜底,扩大了个人金融信息的范围。
《技术规范》对个人金融信息按敏感程度从低到高分为C1、C2、C3三个类别。C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息;C3类别信息主要为用户鉴别信息。根据个人金融信息敏感程度的不同,金融业机构在实践中的应对也有所不同。但是需要注意的是,三种类别的个人金融信息并不是永久不变的,同一信息在不同的服务场景中可能分属于不同的类别,两种或两种以上低敏感程度的信息经过组合、关联和分析后也有可能成为高敏感程度的信息。因此金融业机构在运营过程中对待个人金融信息一定要进行充分的识别,采取正确的手段对待不同敏感程度的信息。
【二】个人金融数据合规要点
(一)数据的采集
1.采集的信息范围
除了直接向客户收集信息,金融业机构还可能向中国人民银行征信中心以及其他有个人征信业务资质的机构查询、收集用户个人征信信息或者为了充分了解、评估用户的信用情况向征信机构之外的主体(包括一些社保、公积金信息、征信信息等)收集用户信息,所收集的信息可能包括用户的个人信息,财产信息、家庭情况、资信状况、收入情况、婚姻情况、学历信息、地址信息、位置数据、通讯行为、互联网使用行为等。
在收集这些信息时,一方面,需要关注收集信息的正当性和合理性,这些信息是否出于正当目的,是否可以达到收集信息的目的;另一方面,即使收集这些信息具有合理性,也需要考虑其必要性,如果收集的信息已经能够满足其收集目的时,就应当立刻停止收集的行为,以免产生合规问题。



  1. 客户授权同意
    金融业机构收集客户个人信息需明示并取得客户授权同意。2011年1月21日中国人民银行颁布的《关于银行业金融业机构做好个人金融信息保护工作的通知》第二款规定“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。”同样,《征信管理条例》十八条规定“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。”如书面授权可以通过在银行服务申请书中增加相应条款的模式进行,增加“征信查询授权”、“信息披露条款”等。在征信查询授权方面可以描述如下:因本人向银行申请某业务,基于业务的需要,本人授权银行向中国人民银行信用信息基础数据库和经中国人民银行批准设立的征信机构采集、查询、使用、报送本人的征信信息,并对银行授权如下……(说明授权期限、用途、查询范围等)。
    现实中,大部分金融企业选择在平台服务协议或者隐私权益中获得用户的授权。需要注意的是,银行业金融机构通过格式条款取得客户书面授权或同意的,应当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形。同时,金融机构需要在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果,并在客户签署协议时提醒其注意上述提示。
    (二)数据的存储
    金融信息存储至关重要。金融业是《网络安全法》明确提到的关键信息基础设施。金融机构开展业务活动时应当合法合规,按照法律规定的要求
    1.加密措施
    《网络安全法》、《个人信息安全规范》都规定个人信息存储时需要采取技术措施和其他必要措施确保信息安全,防止信息泄露、丢失,并且在安全事件发生或可能发生时立即采取补救措施,及时告知用户并上报有关主管部门。《个人信息安全规范》特别就个人敏感信息的传输和存储提出应当采用加密等安全措施的要求。建立适当的数据安全能力,落实必要的管理措施和技术手段,防止个人信息的泄露、毁损、丢失。个人金融信息无疑属于其中一类,需要金融平台采取保密措施。
    2.数据脱敏
    数据脱敏技术是目前监管特别提倡的一种数据保护方式。在开放数据过程中应当结合数据重要程度进行划分,将敏感程度较高的金融数据进行脱敏处理。中国人民银行在《银监会信息科技风险现场检查指南》提到银行等金融业机构的必要性。通过数据脱敏,防止相关数据从金融机构流出,泄露客户的隐私数据。
    3.访问控制
    金融机构应当采取个人信息访问控制措施,对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需的最少够用的个人信息即停止;同时,银行等金融机构内部要设置审批流程,对个人信息的批量修改、拷贝、下载等相关操作设置防线。
    4.用户权益
    金融业机构应当保障用户删除信息、修改信息、注销账户的权利。平台应当保障客户的此类权利,比如设计APP时允许客户可以直接在相关APP上面进行操作或者提供客户联系客服的途径,方便用户发现错误信息及敏感信息时,要求删改,删除该信息。当用户要求删除信息时,平台应当立即停止使用、收集、共享、转让、披露其个人信息,并及时删除。用户撤回同意后,平台后续不得再处理相应的个人信息。
    5.分级分类
    金融行业在数据存储中已依据相应的标准标自然形成了符合本行业要求的金融数据分类分级标准。中国人民银行发布的《个人金融信息保护技术规范》规定按照个人金融信息按敏感程度、泄露后造成的危害程度,从高到低分为C3、C2、C1三个类别;同时,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。证监会的《证券期货业数据分类分级指引》也有相似规定。
    尤其值得关注的《金融数据安全/数据安全分级指南》(“分级指南”)已于2020年4月公布送审稿,对金融业机构在数据安全的分类分级具有重要的参考意义。分级指南主要适用机构为金融业机构和第三方安全评估机构。根据国民经济行业分类(GB/T 4754-2017),金融业机构包括从事货币金融服务、资本市场服务、保险业及其他金融业的相关机构。数据安全分级的重要参考属性是安全性,对于数据安全影响的评估主要从影响对象和影响程度两个要素出发。
    影响对象如国家安全、公众利益、个人隐私、企业合法权益等;影响程度在综合考虑数据类型、数据特征、数据规模及金融业务属性,将程度分为非常严重、严重、中等和轻微。其中,根据数据如遭到破坏后的影响对象及影响程度,金融数据分为5级安全级别,其中第5级为最高级;附录C在重要数据的定义基础上进行了详细列举;附录A对于数据安全级别升降进行了示例(例如汇聚融合、数据脱敏、信息屏蔽、删除关键字段等),体现了对金融数据动态识别和保护的要求。该分级指南的最终通过和实施,将成为数据安全法律体系对金融业机构的重要影响之一。
    (三)数据的利用
    1.信息使用方面
    金融平台使用客户信息时,应当遵守合法正当的原则,保护客户的信息。 《网络安全法》明确要求使用个人信息应遵循合法、正当、必要的原则,向被收集者明示使用信息的目的、方式和范围,且使用信息不得违反法律法规的规定和双方的约定。《个人信息安全规范》则规定使用个人信息时不得超出与收集个人信息时所声称的目的具有直接或合理关系的范围。
    《中华人民共和国数据安全法(草案)》第一次在立法层面提出了“数据中介”这一概念,体现了国家对利用数据进行交易和使用的关注和支持,其中提到了:(1)明确数据活动定义中包含数据交易等行为;(2)国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场;(3)从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源;(4) 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或备案。
    2.信息处理方面
    《网络安全法》规定未经被收集者同意不得向他人提供个人信息。《消费者权益保护法》规定不得泄露、出售或者非法向他人提供个人信息。《个人信息安全规范》指出个人信息原则上不得共享、转让,如果确需共享、转让个人信息则需要符合一定条件。
    这里尤其值得注意的一点是关于金融业机构委托第三方机构处理个人金融信息时,依据《个人金融信息保护技术规范》的规定,C2以及C3类别信息中的用户鉴别辅助信息不应委托给第三方机构进行处理;对于可以委托第三方机构处理的信息,委托者应予以监督并应对个人金融信息生命周期全过程进行安全检査和评估。受委托的第三方机构应按金融业机构的要求处理个人金融信息;未经书面授权,不应将其处理的个人金融信息再次委托给其他机构进行处理;在委托关系解除时(或外包服务终止后),应按照金融业机构的要求销毁其处理的个人金融信息,并依据双方协商的期限承担后续的个人金融信息保密责任。
    3.数据共享方面
    金融平台需共享、转让个人信息,应当在共享、转让时单独向用户说明并征得授权同意。
    共享前,平台需要事先开展个人信息安全影响评估,并根据评估结果采取有效的保护措施,还应当向用户告知共享、转让个人信息的目的、数据接收方的类型,并事先征得同意。仅在一揽子签署的服务协议或隐私权条款中说明平台可能将收集的个人信息共享、转让给关联公司和其他第三方,存在合规风险。
    (四)数据的出境
    《关于银行业金融业机构做好个人金融信息保护工作的通知》第六条规定,在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行,除法律法规及中国人民银行另有规定外,银行业金融业机构不得向境外提供境内个人金融信息。
    2018年7月11日中国人民银行颁布的《关于加强跨境金融网络与信息服务管理的通知》提及了关于金融行业数据出境的规范内容,包括当境内使用人需要使用境外提供人服务的,需要在事前向中国人民银行省级分支机构履行报告手续;同时,《通知》中还规定境外提供人在为境内使用人提供跨境金融网络与信息服务之时,应当在正式提供服务前30个工作日内,以书面形式(含电子文件)向中国人民银行履行报告手续。
    国家互联网信息办公室(以下简称“网信办”) 发布的《个人信息出境安全评估办法(征求意见稿)》第二条规定“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。”
    因此,综合各类规定,当涉及金融数据出境时,首先机构要向省级网信部门申报个人金融信息出境安全评估,向个人金融信息主体说明数据出境的目的、用途、范围、内容、存储期限等,取得个人金融信息主体的授权同意,未成年人个人金融信息出境须经其监护人同意,并告知个人金融信息主体境外接收方主体信息、联系方式,所在的国家或地区,个人金融信息主体对接收方所享有的权利,如访问、删除、更正等权利,境外接收方对个人金融信息主体所承担义务。同时,平台要建立个人金融信息出境记录(记录至少包括:向境外提供个人信息的日期时间;接收者的身份、名称、地址、联系方式,向境外提供的个人金融信息的类型及数量、敏感程度)并且至少保存5年。
    (五)数据的保护
    《中华人民共和国数据安全法(草案)》规定了一系列关于数据保护的规范,包括建立数据安全管理制度、运用技术措施保障数据安全。《数据安全法》专门设立了一章节规范数据安全保护义务制度。《数据安全法》二十五条:“开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。第三十一条:“专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。”
    金融领域银监会2016年发布《银行业金融业机构全面风险管理指引》提出硬件上应当“建立与业务规模、风险状况等相匹配的信息科技基础设施”,同时要求在软件上“真实、准确、连续、完整的内部和外部数据”。
    对于数据信息的整体保护,2007年我国就颁布了《信息安全等级保护管理办法》,并根据数据信息受破坏后可能会对公民、法人和其他组织的合法权益造成危害的程度对信息系统的安全保护等级进行分类,公安机关会定期进行检查和测评,并会委托专业测评机构出具整改意见和方案,以期确保相关企事业单位符合国家信息安全等级标准。等级制度的严格执行客观上也在市场上抚育了专业测评机构这种商业模式的成长,诸如晓法科技等专业数据安全检测评估公司的茁壮成长,也受益于数据安全法等法律法规的认可和促进。数据安全法第十六条规定,国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动,因此未来数据安全检测评估和认证也将成为等保制度的重要组成部分之一。金融业机构在为实现自身健康发展和肩负着维护金融秩序的社会责任,还应当承担为保障客户利益所担负的安全保障义务,依据法律或合同的规定,采取措施保障金融客户的数据信息及交易活动的安全。
    【三】金融数据合规的法律风险
    若金融业机构未能对收集的用户信息做好合规工作,或将承担刑事、民事、行政等方面的责任。
    1.刑事责任
    (1)侵犯公民个人信息罪
    金融数据包含个人信息,不当泄漏或者将个人信息提供给他人牟利的,可能涉及侵犯公民个人信息罪。《中华人民共和国刑法》规定违反国家有关规定向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
    以黄某彪侵犯公民个人信息罪一案为例 。该案中,黄某彪所属五叶公司虚构“无限贷”产品,收集注册客户的个人信息储存在公司的金融数据平台,而后将这些信息推送给贷款公司,并通过推送个人信息获取费用,黄某彪是维护“无限贷”的技术人员。法院认为,涉案的“无限贷”产品系为获取公民个人信息数据并有偿对外提供而虚构,本身不具有放贷的目的及功能;其次,被告人黄某彪参与了“无限贷”产品的设计、测试、维护、系统BUG修复等工作,上述工作系“无限贷”产品上线运行的重要组成部分;再次,被告人黄某彪在实施上述行为过程中已经明确知晓“无限贷”产品收集公民个人信息并对外推送的事实。法院依法判决被告人黄某彪犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑三年,并处罚金人民币八万元。
    (2)拒不履行信息网络安全管理义务罪
    因层出不穷的网络犯罪,《刑法》与时俱进新设定了拒不履行信息网络安全管理义务罪。在此基础上,若金融业机构不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,可能处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
    单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
    2.民事责任
    在金融数据采集或者存储以及利用的过程中,未经用户授权而泄露或者将信息提供给其他方,可能侵犯其个人隐私。[1]
    个人隐私权被侵害时可以进行维权,侵害公民隐私权的责任承担方式主要有停止侵害、赔礼道歉、赔偿损失。其中隐私权的赔偿范围主要包括两个方面:一是对受害人受到的精神损害进行赔偿;二是对受害人因隐私权受到侵害而产生的其他损失进行赔偿(财产损失)。
    除此以外,若侵犯了公民对个人金融信息权利的知情、修改、保护等权利,也需要承担侵权责任。如《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
    3.行政责任
    金融数据在采集、存储、应用过程中会受到中国人民银行、国家网信部门、公安部门和其他有关机关的监管。一旦违反监管规定,或将面临警告、没收违法所得、对直接负责的主管人员和其他直接责任人员罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚。
    《商业银行法》规定,商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄或单位存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划。《中华人民共和国反洗钱法》第三十二条,明确规定,金融业机构出现未按照规定履行客户身份识别义务的;未按照规定保存客户身份资料和交易记录的;违反保密规定,泄露有关信息的等行为,由国务院反洗钱行政主管部门或者其授权的设区的市一级以上派出机构责令限期改正。情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员,处一万元以上五万元以下罚款。
    以中国人民银行营业管理部处罚厦门国际银行北京分行一案为例,该案中厦门国际银行股份有限公司北京分行未经授权查询征信信息,被处以警告和罚款共计347.5万元。此次厦门国际银行共涉“四宗罪”,包括超期向人民银行报备银行结算账户开立资料;未按规定履行客户身份识别义务;违反征信信息查询规定;未按规定立即停用调离工作人员的个人征信系统查询用户。同时,时任厦门国际银行北京分行副行长的张勤和时任厦门国际银行北京分行行长助理的晏露彬因对厦门国际银行北京分行未按规定履行客户身份识别义务的违法行为负有责任。同日,中国人民银行营业管理部对张勤罚款3.3万元,对晏露彬罚款0.7万元。[2]
    注释:
    [1] 案号:(2020)浙0602刑初176号
    https://www.itslaw.com/detail?initialization=%7B"category"%3A"CASE"%2C"id"%3A"f501297a-ad99-4c6d-aa4d-ce925c8991eb"%2C"anchor"%3Anull%2C"detailKeyWords"%3A%5B"金融数据"%5D%7D#content_null
    [2]http://finance.sina.com.cn/roll/2020-06-29/doc-iirczymk9504943.shtml,访问于2020年8月5日

技术驱动法律,专业成就未来