2020年2月13日,中国人民银行(“央行”)和全国金融标准化技术委员会发布了《个人金融信息保护技术规范(JR/T0171-2020)》(“《规范》”)。《规范》在《网络安全法》和央行此前多部个人金融信息保护监管规定的基础上,从安全技术和安全管理角度对个人金融信息处理的全生命周期提出了系统具体要求。与现行法律法规相比,《规范》的可操作性更高,因此可以对金融机构和金融行业相关企业的合规实践起到重要的指导作用。本文将从企业合规角度解读《规范》要点,并重点关注《规范》在现行法规及标准基础上提出的新要求。
一、扩大的适用: 从银行业金融机构到金融业机构
《规范》将其直接适用范围划定为“由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”(“金融业机构”),这就意味着包括银行业金融机构、各类证券、基金、保险机构在内的广义的持牌金融机构,以及处理个人金融信息的相关机构(可能持牌或非持牌),例如第三方支付公司、金融科技公司等,都将直接适用《规范》。此外,由于行业间关联性以及对于金融业机构范围解释的空间,《规范》亦有可能对涉及个人金融数据的电商等行业产生间接影响。
另外,对于私募基金管理人(包括PFM、QDLP、QDIE等机构)来讲,尽管此类机构不属于严格意义上的持牌金融机构,但这些机构都需要在中国证券投资基金业协会登记备案,并接受其监管。如果私募基金管理人通过向客户提供金融产品、服务等渠道获取、保存或处理了任何客户的个人信息[1] ,则该管理人应参照适用《规范》中的安全技术与管理要求”。
相较而言,早先央行和中国银行保险监督管理委员会(“银保监会”)针对个人金融信息保护陆续出台的系列监管规定,主要包括《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(2011年5月1日生效) (“《央行通知》”)、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》(2012年3月27日生效)、《中国人民银行金融消费者权益保护实施办法》(2016年12月14日生效) (“《央行办法》”)、《中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知》(2018年5月21日生效)。多仅直接适用于银行业金融机构,只是在实践中参照适用于商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及征信机构等非银行业金融机构。
需要指出的是,本次发布的《规范》是金融行业推荐性标准,而非强制性标准。尽管《规范》作为推荐性标准不具有强制约束力,但我们不排除金融监管机构在开展监督检查或执法活动时将其作为重要参考,将《规范》视为金融业机构在个人金融信息保护方面的实践建议与操作指南。因此,我们建议金融业机构应遵照《规范》中的相关标准与要求,以便在最大程度上规避与个人金融信息保护相关的任何法律或合规风险。
二、分级和场景化:个人金融信息的区别化监管要求
《规范》采取了“分类分级”和“场景化”的监管思路,根据信息泄露或被篡改后对个人信息主体的信息安全与财产安全的危害程度,将个人金融信息的敏感程度由高到低分为C3、C2、C1三个类别:
C3类主要为用户鉴别信息,其泄露后可能造成直接财产损害,包括但不限于:账户密码、银行磁道数据、芯片信息、卡片验证码、卡片有效期、用于用户鉴别的个人生物识别信息(如人脸识别、指纹识别);
C2类主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,其泄露后可能造成间接财产损害、造成歧视性待遇或危害信息安全,包括但不限于:账户信息、身份证件信息、用户鉴别辅助信息(如短信验证码)、个人财产信息、交易信息、KYC信息、家庭住址;以及
C1类主要为金融业机构内部使用的个人金融信息,包括但不限于:开户时间、开户机构、支付标记信息等。
个人金融信息主体提供的家庭成员信息应当依据上述敏感程度进行归类。多种低级别的信息的经过组合、关联或者分析也有可能构成高敏感程度的信息。《规范》还首次提出了根据服务场景确定信息敏感程度和级别的要求。企业应根据具体服务场景以及有关信息在场景中的作用,对信息进行识别归类,采取有针对性的保护措施。
需要注意的是,C3和C2类信息在《个人信息安全规范》中基本被归为个人敏感信息的范畴,而《规范》结合金融服务场景,对C3和C2类信息提出一些比《个人信息安全规范》项下个人敏感信息更高的保护要求。
禁止委托或授权无金融业相关资质的机构收集C3类、C2类信息,收集C3类信息应当采取加密等技术措施,防止被未授权第三方获取;
传输C3类信息中的支付敏感信息应当采取符合行业技术标准及行业主管部门规定的控制措施;
原则上不应留存非本机构的C3类信息,如需留存,应当获得信息主体和账户管理机构的授权;
原则上禁止委托第三方机构处理C3类个人金融信息以及C2类个人金融信息中的用户鉴别辅助信息(如短信验证码);
不应共享、转让和披露C3类信息和C2类信息中的用户鉴别辅助信息;以及通过合同或协议约束外包服务机构与外部合作机构不应留存C3和C2类信息。
三、合法与必要:严格与灵活性兼具的个人金融信息收集规则
依法收集数据是后续依法处理数据的前提,因此《规范》从收集手段、数据来源、收集范围等维度对收集环节重点着墨。
对于直接收集的个人信息,金融业机构应避免通过默认授权、功能捆绑的方式强迫或误导个人金融信息主体提供信息。为避免隐秘收集个人金融信息,《规范》要求金融业机构在产品或服务上线发布前进行技术检测,确保个人金融信息的收集、使用、共享等依法依规进行,通过隐私政策等予以披露。
对于间接收集的个人金融信息,金融业机构应要求信息提供方说明个人金融信息来源,并通过技术手段保证信息来源的可追溯性。金融业机构有义务确认信息来源的合法性,了解信息提供方已获得的授权内容。这些金融业机构需承担更高的审查义务,难以仅依赖与信息提供方的书面合同或保证免除自身责任。
就数据收集范围而言,《规范》对数据收集的“最小化要求”做出了阐释,允许金融业机构收集与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联的个人金融信息[2]。与此前相关监管规定中常用表述“不得收集与业务无关的信息”相比,《规范》的前述规定更为灵活,为以优化金融产品或服务为目的收集个人金融信息保留了一定灵活度,并照顾了金融业风控的特殊需求。
此外,《规范》还规定收集维护金融产品或服务的安全稳定运行所必需的个人金融信息(例如用于识别、处置金融产品或服务中的欺诈或被盗用的情形),或与用于履行国家法律法规及行业主管部门有关规定的义务相关的个人信息,可作为例外无需获得信息主体同意。这一规定为金融业机构收集为开展风控或履行反洗钱、反恐怖融资等而收集个人金融信息留下了更多空间。
四、脱敏、删除与销毁:更加明晰的个人金融信息应用和存储规则
实践中,许多金融业机构常常面临在产品开发中利用个人金融进行合规性的难题。考虑到个人金融信息的敏感性,《规范》要求金融业机构有效隔离开发测试环境和生产环境,在实际开发测试中应当对个人金融信息进行虚构或者去标识化,原则上不应使用个人真实的金融信息。值得关注的是,《规范》特别在附录中对信息屏蔽技术进行了规定和举例,金融业机构可将屏蔽后的信息运用于产品开发和测试活动。
此外,《规范》还规定个人金融信息的存储时限应当满足法律法规和行业主管部门的规定,符合为授权使用的目的所必需的最短时间要求。超出前述时限,或在个人金融信息主体依法要求删除的情况下,金融业机构应删除个人金融信息或对其进行匿名化处理。删除是指“使个人金融信息不可被检索、访问的过程”。实践中,值得探讨的是如果服务关系已经结束,授权所需目的已届满,但企业仍依法负有信息留存义务的情况下[3],应如何处理个人信息。对此,我们认为金融业机构仍可继续留存个人信息,但不应对个人金融信息进行任何开发利用。
除删除外,《规范》还对信息销毁做出了规定,销毁是指“个人金融信息进行清除,使其不可恢复的过程”。因此,销毁较删除更为严格,主要适用于委托处理场景,即在委托第三方机构处理个人金融信息时,如果委托关系解除,受委托者有义务按照金融业机构的要求销毁个人金融信息并继续承担相应的保密责任。委托方金融业机构还应监督销毁存储介质的过程,要求保存销毁记录等。
五、《规范》对金融业机构外包活动的影响
(1) 《规范》与金融业机构信息科技外包
出于提供金融产品或金融服务的业务需要,金融业机构可能会将原本由自身负责处理的信息科技活动委托或授权给服务提供商等第三方机构代为处理(“信息科技外包”)。在实践中,金融业机构的信息科技外包通常涵盖以下类型:
研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;以及
业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
在以上三类金融业机构的信息科技外包场景中,第一类“研发咨询类外包”主要集中于企业科技管理架构设计和系统搭建;第二类“系统运行维护类外包”主要针对信息科技系统与设施的整体运维。上述两类外包活动一般不会深入企业实际业务,金融业机构通常不会委托外包服务机构具体参与到个人金融数据的处理。
与前两类相比,第三类“业务外包中的信息科技活动”与金融业机构实际业务活动之间的联系更为紧密。在此类信息科技外包活动中,金融业机构应特别注意外包服务范围是否涉及到委托第三方机构参与到任何个人金融数据的收集、传输、存储、使用、删除、销毁等环节的工作。
如涉及个人金融信息的委托处理,金融业机构应确保自身及外包服务机构除了遵守现行个人信息保护监管规定和国家标准中的安全管理与安全技术要求之外,还应当符合《规范》中针对个人金融信息委托处理的新增要求。
(2) 《规范》中针对个人金融信息委托处理的具体要求
在《规范》出台前,《信息安全技术个人信息安全规范》等国家标准针对个人信息的委托处理已设定了具体的安全管理与安全技术要求。针对金融产品及金融服务的行业特点,《规范》在适用法律法规与国家标准的基础上,对金融业机构委托处理个人金融信息的行为提出了更为细化的安全管理与技术要求,具体请参见下表:
| 类别 | 《规范》中针对个人金融信息委托处理的具体要求 |
| 委托行为的范围 | 委托行为不应超出个人金融信息主体授权同意的范围(无需征得授权同意的特殊情形除外)。 |
| 委托信息的范围 | C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。 |
| 委托信息的脱敏处理 | 对委托处理的信息应采用去标识化(不应仅使用加密技术)等方式进行脱敏处理,降低个人金融信息被泄露、误用、滥用的风险。 |
| 委托行为的个人金融信息安全影响评估 | 金融业机构应对委托行为进行个人金融信息安全影响评估(至少每年开展一次),并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施。 |
| 对受委托者的监督 | 金融业机构应对第三方机构等受委托机构进行监督,方式包括但不限于: 通过合同等方式规定受委托者的责任和义务;以及 对受委托者进行安全检查和评估(至少每年开展一次)。 |
| 外部嵌入的自动化工具的技术检测与审计 | 金融业机构应对外部嵌入或介入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测,确保其个人金融信息收集、使用行为符合约定要求;并对其收集个人金融信息的行为进行审计,发现超出约定行为及时切断接入。 |
| 委托处理的记录 | 金融业机构应准确记录和保存委托处理个人金融信息的情况。 |
(3)《规范》对大数据、金融科技公司的影响
对委托处理个人金融信息的严格规范可以被视为央行、银保监会近期严格规范金融业机构与大数据公司、金融科技公司的政策延伸。目前实践中常见的金融业机构委托大数据公司、金融科技公司获取的借款人行为、电商购物、生活特征等进行验证,用于助贷、反欺诈、信审、催收的做法可能面临限制。大数据公司、金融科技公司向金融业机构提供上述服务前可能将面临金融业机构安全保障能力审查,以及监管部门统一设定的资质或准入门槛限制,可提供服务数据服务范围亦将缩窄。
六、《规范》对个人金融信息跨境传输的影响
(1) 个人金融信息出境监管制度回顾
数据本地化以及数据出境相关的监管一直是金融业机构、尤其是跨国金融业机构在中国本土运营的合规重点之一。在本部分,我们将简要梳理并回顾与个人金融信息出境相关的核心监管要求。
| A.《中华人民共和国网络安全法》(“《网安法》”) |
| 2016年11月7日,全国人大常委会通过《网安法》,首次针对关键信息基础设施的运营者提出了数据本地化与数据出境安全评估的要求: 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储; 以及 因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 另外,《网安法》明确,网络运营者未经被收集者同意,不得向他人提供个人信息,这意味着网络运营者向境外传输个人信息需要获得个人信息主体的同意。 |
| B.国家互联网信息办公室(“网信办”) |
| 针对个人信息出境,网信办先后于2017年4月11日和2019年6月13日发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》,旨在对个人信息出境安全评估的适用范围、评估内容、评估程序等做出规定。 |
| C.全国信息安全标准化技术委员会(“信安标委”) |
| 信安标委在其2017年11月30日发布的《信息安全技术个人信息安全规范》及其后续的征求意见稿中曾提出有关个人信息跨境传输的整体要求; 在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应遵循国家相关规定和相关标准的要求。 另外,信安标委还曾于2017年5月和2017年8月两度发布《信息安全技术数据出境安全评估指南(征求意见稿)》,旨在对个人信息出境安全评估要点和流程等内容予以进一步细化。 |
| D.中国人民银行(“央行”) |
| 在金融领域,央行对于金融业机构的个人金融信息保护采取了较为审慎的态度。 央行于2011年1月21日发布《央行通知》。 根据《央行通知》,银行业金融机构应遵守以下要求: 在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行; 以及 除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。 在《央行通知》发布五年后,央行于2016年12月14日印发《央行办法》,《央行办法》对在境内依法设立的为金融消费者提供金融产品和服务的银行业金融机构、提供跨市场、跨行业交叉性金融产品和服务的其他金融机构以及非银行支付机构提出更为严格的数据出境要求: 境内金融机构为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定; 以及 境内金融机构通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。 |
(2) 《规范》中针对个人金融信息跨境传输的具体要求
在相关适用法律法规与国家标准的基础上(如上述第(1)部分总结),《规范》对金融业机构个人金融信息本地化与跨境传输提出了更为细化的管理要求。具体要求请见下表:
| 类别 | 《规范》中针对个人金融信息跨境传输的规定 |
| 原则性要求 | 《规范》规定,在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。 |
| 个人金融信息出境需满足的要求 | 《规范》提出,金融业机构可向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息,但需要同时满足以下要求: 出于业务需要,确需向境外机构提供; 应获得个人金融信息主体明示同意; 应开展个人金融信息出境安全评估,并确保境外机构数据安全保护能力达到相关的安全要求; 应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务; 以及 应符合国家法律法规及行业主管部门的有关规定、办法与标准。 |
(3) 个人金融信息跨境传输与反洗钱合规
值得注意的是,《规范》允许金融业机构向境外机构提供个人金融信息,但提供信息的行为必须同时符合国家法律法规及行业主管部门的有关规定、办法与标准。这意味着金融业机构在向境外机构提供个人金融信息时,也应同时关注我国金融业主管部门针对反洗钱与反恐怖主义融资的监管规定与要求。
在中国反洗钱监管制度下,除了全国人大常委会于2006年10月31日正式通过的《中华人民共和国反洗钱法》外,央行、银保监会等金融监管机构也陆续出台了一系列关于反洗钱与反恐怖主义融资的监管规定与要求,其中有两点值得注意:
根据央行等金融监管部门联合发布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》:
- 自然人客户的“身份基本信息”包括客户的姓名、性别、国籍、职业、住所地或者工作单位地址、联系方式,身份证件或者身份证明文件的种类、号码和有效期限;以及
- 客户的“交易记录”包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。
针对客户身份资料和交易信息的保密与对外提供,我国金融监管部门也提出了严格的限制。根据《银行业金融机构反洗钱和反恐怖融资管理办法》、《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》、《支付机构反洗钱和反恐怖融资管理办法》等反洗钱监管规定,对依法履行反洗钱和反恐怖融资义务获得的客户身份资料和交易信息,相关金融机构及其工作人员应当予以保密;非依法律规定,不得向任何单位和个人提供。
我们注意到,在中国现行反洗钱监管制度下金融机构在开展业务活动中所获取的“客户身份资料和交易信息”与《规范》所定义的“个人金融信息”在很大程度上是重合的。这也为金融业机构在个人数据保护制度与反洗钱监管制度下的数据合规工作带来一定的挑战。
鉴于此,我们提示金融业机构在遵守个人金融信息保护与跨境传输相关法律法规与国家标准的同时,也应注意遵守央行、银保监会、证监会等金融监管部门在反洗钱领域出台的法规与监管要求,确保充分履行金融业机构的反洗钱合规义务。与此同时,随着我国个人信息保护与反洗钱监管制度的不断完善,我们也将进一步关注相关制度的修订情况,并及时与各位读者分享我们的观点。
[1] 示例:客户的账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
[2] 直接关联是指无该个人金融信息参与无法实现前述目的。
[3] 例如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》明确要求金融机构对客户身份资料和交易记录等至少保存五年。
