引言
在落实《个人信息保护法》(“《个保法》”)和《数据安全法》(“《数安法》”)的过程中,心中往往会有很多问号。毕竟法条只有寥寥数语,如何将抽象的文字落地到业务开展中去却非常麻烦。
此时,全国信息安全标准化技术委员会(“国标委”)、央行、证监会及各行业协会等在过去发布的很多国家标准(GB)、金融行业标准(JR)以及团体标准就具有极佳的借鉴意义。
本文旨在梳理笔者近期整理并高频使用,金融机构可以参考的相关标准和规范。相信一定会有疏漏,欢迎各位在评论区补充。
我先举两个例子,分享一下我的看到相关标准时,内心“嗷,原来已经有标准规定好了呀”的感觉。
人脸识别
比如你在纠结一个场景是否属于“人脸识别”时。《信息安全技术人脸识别数据安全要求 》(征求意见稿)早已把“人脸图形处理”场景进行分类。
本文件总结了涉及人脸图像处理的三类场景,包括:
a)人脸验证:将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁功能等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。
b)人脸辨识:将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。
c)人脸分析:不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。此类场景应遵循GB/T 35273-2020、GB/T AAAAA-AAAA《网络数据活动安全要求》的要求处理人脸图像。
看了这个就很清楚地知道,人脸分析相关的测温、人流统计相关场景不属于人脸识别之范畴。而无论是1:1对比或是1:N对比,均属于人脸识别。
此外,电信终端产业协会《APP收集使用个人信息最小必要评估规范人脸信息》还将人脸识别的场景分为“智能体验类”、“本地核身类”、“远程核身类”、“本地与远程核身类”,同时对于这四种场景下,人脸信息的收集、存储、使用、删除作出规定。
我是在检索人脸照片原图像应该如何存储时找到上述两标准的,之所以要寻找,是因为《个人信息安全规范》和《个人金融信息保护技术标准》之间的规定存在冲突。
虽然,找到这两个标准并没有帮我解决上面这个问题,但还是让我大开眼界。
反洗钱
《个人信息保护法》第13条规定,若处理个人信息为个人信息处理者履行法定义务所必需,则无需取得个人同意。
那么,此处的“法定义务”,可以来源于什么层次的法呢?
毋庸置疑,法律所规定的义务,肯定属于法定义务。因此,根据《反洗钱法》第16条第2款:
金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。
金融机构在收集身份证件或其他身份证明文件外,金融机构是否还可以不经过个人同意以反洗钱义务为由处理其他个人信息呢?
根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》的第11条和第33条规定:
证券公司、期货公司、基金管理公司以及其他从事基金销售业务的机构在办理以下业务时,应当识别客户身份,了解实际控制客户的自然人和交易的实际受益人,核对客户的有效身份证件或者其他身份证明文件,登记客户身份基本信息,并留存有效身份证件或者其他身份证明文件的复印件或者影印件:……
自然人客户的“身份基本信息”包括客户的姓名、性别、国籍、职业、住所地或者工作单位地址、联系方式,身份证件或者身份证明文件的种类、号码和有效期限。客户的住所地与经常居住地不一致的,登记客户的经常居住地。
上述《办法》是由央行、银监会、保监会发布的,应属于部门规章。若部门规章中的义务也属于“法定义务”,那么金融机构在KYC时可处理的个人信息就更多了。
层次再往下,相关规范性文件的义务是否属于“法定义务”就更有争议,还需要等官方释义了。
不过,就反洗钱可以收集哪些个人信息,我看到下面这个《个人信息同意告知指南》的时候,就顿时有了恍然大悟的感觉。
金融服务机构通过网络上提供金融服务的,应在主动收集客户信息、间接收取客户信息、客户主动提供信息、对外提供等实现业务所需信息前,告知客户收集使用个人金融信息的目的、范围及用途。
1)必要信息是指金融机构为客户提供金融服务、业务实名制所需要的最小化身份信息,如姓名、性别、国籍、证件号、联系号码;额外信息是指金融机构为履行反洗钱和反恐融资义务所需除个人实名制信息之外的信息,包括但不限于职业、婚姻状况、家庭状况、住所、工作单位、照片、收入、动产及不动产、纳税公积金、账户状况、信用状况等含身份、财产、账户、信用、交易信息。
2)存款、保险及投资理财属于金融机构基本职能,虽然基于反洗钱要求应对客户进行尽职调查,但不能以反洗钱为由无限扩大客户信息的获取范围及获取种类,针对可通过交叉验证或已经通过有效实名认证的网络客户,由于具体交易场景和目的相一致,可经客户同意直接获取或经客户授权同意间接获取必要的客户姓名、性别、证件号码后向客户提供金融服务;但因合理怀疑客户从事洗钱或恐怖融资等犯罪活动相关时,需收集其他信息的应逐项、清晰告知客户,并获得客户的明确同意。
看了这个,金融机构心里大概就明白,反洗钱尽调时,告知同意应该按照什么层次进行了。
虽然这只是一个处于征求意见阶段的标准,但其附录F部分对“互联网金融场景下的告知同意”,对各大金融APP做好“告知同意”的合规整改,会有很大的帮助。
这也是让我想动笔写这篇文章的原因。
相关标准
从《个保法》和《数安法》的对个人信息和数据的定义来看,个人信息是完全包含于数据的。因此,所有对于数据相关的规定,均适用于个人信息。因此,在建章立制时,写一个数据安全相关的制度,再用专门章节规定个人信息保护相关的内容,可能是一个比较讨巧且逻辑通畅的做法。这也是我为什么想把这两者一并梳理的原因。

图片来源:支撑“个保法”“数安法”落地,相关国标梳理
对于国标的梳理, CCIA数据安全工作委员会在其推送中已经做得非常到位了。不但简单介绍了相关标准,还梳理了其对应《个保法》和《数安法》中的条款号。详情可以点击上图下方图片来源处链接。

查询国标可以去国家标准全文公开系统:
http://openstd.samr.gov.cn/bzgk/gb/index
但是,这个网站只可以在线预览不可下载。

查询行业标准可以去行业标准信息服务平台:
http://hbba.sacinfo.org.cn/
这个网站可以直接下载PDF文件。
接下来我再根据我所搜集到的相关标准,进行一个梳理。
个人信息:
数据安全:

网络安全:

APP:

我本可以画几个思维导图来增加阅读体验,但我太懒了就直接截图了。
我把几个CIIO和等保评估应该属于《网络安全法》下的标准其实也放上来了。同时对于APP也单独列了一个版块。
不妨让我来重点推荐几个可以重点阅读的规范。
首先,《个人信息安全规范》和《个人金融信息保护技术规范》覆盖个人信息处理完整生命周期,肯定都是要仔细阅读的。与之相对应,《网络数据处理安全规范(征求意见稿)》和《金融数据安全数据生命周期安全规范》对于数据的处理全流程,也规定得十分详尽。
别忘了,个人金融信息也是属于金融数据的,因此把《个人金融信息保护技术规范》和《金融数据安全数据生命周期安全规范》对比总结也是非常必要的。对于其他行业来说,尽管《网络数据处理安全规范》只是征求意见稿,但仍有借鉴意义。
首先,分级分类是对于数据安全或者个人信息保护工作开展的第一步,因此如何对数据分类,也是一门大学问。对于金融机构,最先推荐阅读的是《金融数据安全数据安全分级指南》,把金融数据分为5个等级,也涵盖了《个人金融信息保护技术规范》中的(C3、C2、C1)的分类。因此,金融数据和个人金融信息的分类,都可以参照这个指南一并完成。其对应关系如下表。

C3类个人金融信息是最需要重点关注的,因为其既属于4级金融数据又属于敏感个人信息。同时,《个人金融信息保护技术规范》还对C3类信息单独提出了“加密保存”的要求。
最后,对于《个保法》的落地,《个人信息告知同意指南》和《个人信息安全影响评估指南》对于所有企业落实“告知-同意”规则和“个人信息保护影响评估”都是非常有帮助的。
在落实《个人信息保护法》(“《个保法》”)和《数据安全法》(“《数安法》”)的过程中,心中往往会有很多问号。毕竟法条只有寥寥数语,如何将抽象的文字落地到业务开展中去却非常麻烦。
此时,全国信息安全标准化技术委员会(“国标委”)、央行、证监会及各行业协会等在过去发布的很多国家标准(GB)、金融行业标准(JR)以及团体标准就具有极佳的借鉴意义。
本文旨在梳理笔者近期整理并高频使用,金融机构可以参考的相关标准和规范。相信一定会有疏漏,欢迎各位在评论区补充。
我先举两个例子,分享一下我的看到相关标准时,内心“嗷,原来已经有标准规定好了呀”的感觉。
人脸识别
比如你在纠结一个场景是否属于“人脸识别”时。《信息安全技术人脸识别数据安全要求 》(征求意见稿)早已把“人脸图形处理”场景进行分类。
本文件总结了涉及人脸图像处理的三类场景,包括:
a)人脸验证:将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁功能等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。
b)人脸辨识:将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。
c)人脸分析:不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。此类场景应遵循GB/T 35273-2020、GB/T AAAAA-AAAA《网络数据活动安全要求》的要求处理人脸图像。
看了这个就很清楚地知道,人脸分析相关的测温、人流统计相关场景不属于人脸识别之范畴。而无论是1:1对比或是1:N对比,均属于人脸识别。
此外,电信终端产业协会《APP收集使用个人信息最小必要评估规范人脸信息》还将人脸识别的场景分为“智能体验类”、“本地核身类”、“远程核身类”、“本地与远程核身类”,同时对于这四种场景下,人脸信息的收集、存储、使用、删除作出规定。
我是在检索人脸照片原图像应该如何存储时找到上述两标准的,之所以要寻找,是因为《个人信息安全规范》和《个人金融信息保护技术标准》之间的规定存在冲突。
虽然,找到这两个标准并没有帮我解决上面这个问题,但还是让我大开眼界。
反洗钱
《个人信息保护法》第13条规定,若处理个人信息为个人信息处理者履行法定义务所必需,则无需取得个人同意。
那么,此处的“法定义务”,可以来源于什么层次的法呢?
毋庸置疑,法律所规定的义务,肯定属于法定义务。因此,根据《反洗钱法》第16条第2款:
金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。
金融机构在收集身份证件或其他身份证明文件外,金融机构是否还可以不经过个人同意以反洗钱义务为由处理其他个人信息呢?
根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》的第11条和第33条规定:
证券公司、期货公司、基金管理公司以及其他从事基金销售业务的机构在办理以下业务时,应当识别客户身份,了解实际控制客户的自然人和交易的实际受益人,核对客户的有效身份证件或者其他身份证明文件,登记客户身份基本信息,并留存有效身份证件或者其他身份证明文件的复印件或者影印件:……
自然人客户的“身份基本信息”包括客户的姓名、性别、国籍、职业、住所地或者工作单位地址、联系方式,身份证件或者身份证明文件的种类、号码和有效期限。客户的住所地与经常居住地不一致的,登记客户的经常居住地。
上述《办法》是由央行、银监会、保监会发布的,应属于部门规章。若部门规章中的义务也属于“法定义务”,那么金融机构在KYC时可处理的个人信息就更多了。
层次再往下,相关规范性文件的义务是否属于“法定义务”就更有争议,还需要等官方释义了。
不过,就反洗钱可以收集哪些个人信息,我看到下面这个《个人信息同意告知指南》的时候,就顿时有了恍然大悟的感觉。
金融服务机构通过网络上提供金融服务的,应在主动收集客户信息、间接收取客户信息、客户主动提供信息、对外提供等实现业务所需信息前,告知客户收集使用个人金融信息的目的、范围及用途。
1)必要信息是指金融机构为客户提供金融服务、业务实名制所需要的最小化身份信息,如姓名、性别、国籍、证件号、联系号码;额外信息是指金融机构为履行反洗钱和反恐融资义务所需除个人实名制信息之外的信息,包括但不限于职业、婚姻状况、家庭状况、住所、工作单位、照片、收入、动产及不动产、纳税公积金、账户状况、信用状况等含身份、财产、账户、信用、交易信息。
2)存款、保险及投资理财属于金融机构基本职能,虽然基于反洗钱要求应对客户进行尽职调查,但不能以反洗钱为由无限扩大客户信息的获取范围及获取种类,针对可通过交叉验证或已经通过有效实名认证的网络客户,由于具体交易场景和目的相一致,可经客户同意直接获取或经客户授权同意间接获取必要的客户姓名、性别、证件号码后向客户提供金融服务;但因合理怀疑客户从事洗钱或恐怖融资等犯罪活动相关时,需收集其他信息的应逐项、清晰告知客户,并获得客户的明确同意。
看了这个,金融机构心里大概就明白,反洗钱尽调时,告知同意应该按照什么层次进行了。
虽然这只是一个处于征求意见阶段的标准,但其附录F部分对“互联网金融场景下的告知同意”,对各大金融APP做好“告知同意”的合规整改,会有很大的帮助。
这也是让我想动笔写这篇文章的原因。
相关标准
从《个保法》和《数安法》的对个人信息和数据的定义来看,个人信息是完全包含于数据的。因此,所有对于数据相关的规定,均适用于个人信息。因此,在建章立制时,写一个数据安全相关的制度,再用专门章节规定个人信息保护相关的内容,可能是一个比较讨巧且逻辑通畅的做法。这也是我为什么想把这两者一并梳理的原因。

图片来源:支撑“个保法”“数安法”落地,相关国标梳理
对于国标的梳理, CCIA数据安全工作委员会在其推送中已经做得非常到位了。不但简单介绍了相关标准,还梳理了其对应《个保法》和《数安法》中的条款号。详情可以点击上图下方图片来源处链接。

查询国标可以去国家标准全文公开系统:
http://openstd.samr.gov.cn/bzgk/gb/index
但是,这个网站只可以在线预览不可下载。

查询行业标准可以去行业标准信息服务平台:
http://hbba.sacinfo.org.cn/
这个网站可以直接下载PDF文件。
接下来我再根据我所搜集到的相关标准,进行一个梳理。
个人信息:

数据安全:

网络安全:

APP:

我本可以画几个思维导图来增加阅读体验,但我太懒了就直接截图了。
我把几个CIIO和等保评估应该属于《网络安全法》下的标准其实也放上来了。同时对于APP也单独列了一个版块。
不妨让我来重点推荐几个可以重点阅读的规范。
首先,《个人信息安全规范》和《个人金融信息保护技术规范》覆盖个人信息处理完整生命周期,肯定都是要仔细阅读的。与之相对应,《网络数据处理安全规范(征求意见稿)》和《金融数据安全数据生命周期安全规范》对于数据的处理全流程,也规定得十分详尽。
别忘了,个人金融信息也是属于金融数据的,因此把《个人金融信息保护技术规范》和《金融数据安全数据生命周期安全规范》对比总结也是非常必要的。对于其他行业来说,尽管《网络数据处理安全规范》只是征求意见稿,但仍有借鉴意义。
首先,分级分类是对于数据安全或者个人信息保护工作开展的第一步,因此如何对数据分类,也是一门大学问。对于金融机构,最先推荐阅读的是《金融数据安全数据安全分级指南》,把金融数据分为5个等级,也涵盖了《个人金融信息保护技术规范》中的(C3、C2、C1)的分类。因此,金融数据和个人金融信息的分类,都可以参照这个指南一并完成。其对应关系如下表。

C3类个人金融信息是最需要重点关注的,因为其既属于4级金融数据又属于敏感个人信息。同时,《个人金融信息保护技术规范》还对C3类信息单独提出了“加密保存”的要求。
最后,对于《个保法》的落地,《个人信息告知同意指南》和《个人信息安全影响评估指南》对于所有企业落实“告知-同意”规则和“个人信息保护影响评估”都是非常有帮助的。
