引言
2020年5月6日,知名脱口秀演员池子(本名王越池)在个人微博账号上发长文发称其与笑果文化打官司,笑果文化要求中信银行调取其个人银行账户信息,在未经本人同意及出具法定手续的情况下,中信银行上海虹口支行违规操作将其个人账户交易明细提供给上海笑果文化传媒有限公司。其怒斥中信银行侵犯个人隐私,将他的个人流水信息违法违规提供给第三方。
由此引发的是2021年3月17日,银保监会对中信银行作出的450万元行政处罚。

无独有偶,农业银行也因“数据安全管理较粗放,存在数据泄露风险”等原因,收到了银保监会420万元的行政处罚。

近期频发的数起商业银行个人金融信息泄露及数据安全事件,不仅引发了监管机构的处罚行动以及公众对于商业银行的信任危机,更使得商业银行建立健全数据风险合规体系迫在眉睫。
因此,本文将从个人金融信息的收集利用原则,浅析商业银行等金融机构在个人信息保护方面所应关注的重点。
何为个人金融信息
根据中国人民银行于2021年4月8日最新发布的《金融数据安全数据生命周期安全规范》第3.7条规定,个人金融信息是指:金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
个人金融信息的收集利用原则
01“明示同意”原则
收集、利用个人金融信息应获得个人金融信息主体的明示同意。《金融数据安全数据生命周期安全规范》第3.12条规定,明示同意是指个人金融信息主体通过书面声明或主动作出肯定性动作,对其个人金融信息进行特定处理作出明确授权的行为。肯定性动作包括个人金融信息主体主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。《个人金融信息保护技术规范》及《金融消费者权益保护实施办法》亦作类似规定。
根据上述规定,商业银行通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。例如,当银行向借款客户收集个人信息时,应当向借款客户说明其网络消费、网络交易数据等会被用于分析评定其信用风险等情况。商业银行等金融机构应在设计收集用户信息的告知界面时,针对不同的客户群体有的放矢。
02“分级保护”原则
《个人金融信息保护技术规范》第4.2条规定,根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别:
《金融数据安全数据安全分级指南》第5.3.2条规定,不同类别的个人金融信息对应不同的数据安全级别,个人金融信息相关数据参照JR/T 0171-2020进行定级,并在数据安全定级过程中从高考虑。(数据安全定级规则参考表如下)


不同数据安全级别的个人金融信息,所应采取的保护措施也不同。根据《金融数据安全数据生命周期安全规范》第5.2条之规定,1级数据为公开数据,原则上无保密性要求,其安全防护应参考本文件有关完整性及可用性安全要求;2级至4级数据的安全防护应在平衡安全需求与业务需求的基础上,根据数据安全级别不同,有侧重地采取适当的安全防护措施,2级数据应优先考虑业务需求,4级数据应优先考虑安全需求;5级数据的保护按照国家及行业主管部门的有关要求执行。
另外,需要注意的是,两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),金融机构应提升相应的信息传输、存储保障手段。
03“限制访问”原则
商业银行等金融机构应当对个人金融信息数据设置访问权限。例如,《金融数据安全数据生命周期安全规范》第7.4.2.1条规定:

反观“池子事件”,暴露的正是账户管理权限问题,即不能人人都拥有广泛查询权限。该案的问题不止在于作出该项行为的银行职员,而是在于银行信息系统操作权限的设定违背了“业务需要”和“最小权限”原则。
按照最新发布的《金融数据安全数据生命周期安全规范》,交易流水属于C2类的个人金融信息,对应的最低数据安全级别应为3级,而3级以上的数据访问应建立访问权限申请和审核批准机制,同时应实现多因素认证或二次授权,并结合业务需要对数据采取脱敏和控制访问数据行数的技术措施,以满足最小化原则要求。
合规建议
侵害个人金融信息可能面临行政、刑事和民事的三重处罚,因此我们建议银行等金融机构根据相关法律法规、国家标准及行业规范建立健全内部控制制度,对易发生个人金融信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。
同时,应完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露。此外,还要加强对从业人员的培训并签订保密协议,强化从业人员个人金融信息安全意识,防止从业人员非法使用、泄露、出售个人金融信息。
2020年5月6日,知名脱口秀演员池子(本名王越池)在个人微博账号上发长文发称其与笑果文化打官司,笑果文化要求中信银行调取其个人银行账户信息,在未经本人同意及出具法定手续的情况下,中信银行上海虹口支行违规操作将其个人账户交易明细提供给上海笑果文化传媒有限公司。其怒斥中信银行侵犯个人隐私,将他的个人流水信息违法违规提供给第三方。
由此引发的是2021年3月17日,银保监会对中信银行作出的450万元行政处罚。

无独有偶,农业银行也因“数据安全管理较粗放,存在数据泄露风险”等原因,收到了银保监会420万元的行政处罚。

近期频发的数起商业银行个人金融信息泄露及数据安全事件,不仅引发了监管机构的处罚行动以及公众对于商业银行的信任危机,更使得商业银行建立健全数据风险合规体系迫在眉睫。
因此,本文将从个人金融信息的收集利用原则,浅析商业银行等金融机构在个人信息保护方面所应关注的重点。
何为个人金融信息
根据中国人民银行于2021年4月8日最新发布的《金融数据安全数据生命周期安全规范》第3.7条规定,个人金融信息是指:金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
个人金融信息的收集利用原则
01“明示同意”原则
收集、利用个人金融信息应获得个人金融信息主体的明示同意。《金融数据安全数据生命周期安全规范》第3.12条规定,明示同意是指个人金融信息主体通过书面声明或主动作出肯定性动作,对其个人金融信息进行特定处理作出明确授权的行为。肯定性动作包括个人金融信息主体主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。《个人金融信息保护技术规范》及《金融消费者权益保护实施办法》亦作类似规定。
根据上述规定,商业银行通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。例如,当银行向借款客户收集个人信息时,应当向借款客户说明其网络消费、网络交易数据等会被用于分析评定其信用风险等情况。商业银行等金融机构应在设计收集用户信息的告知界面时,针对不同的客户群体有的放矢。
02“分级保护”原则
《个人金融信息保护技术规范》第4.2条规定,根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别:
| 信息类别 | 定义及范围 |
| C3 | 主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。 银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码; 账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、査询密码; 用于用户鉴别的个人生物识别信息。 |
| C2 | 主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的査看或未经授权的变更,会对个人 金融信息主体的信息安全与财产安全造成一定危害。 支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。 账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。 用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码;若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息。 直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息。 用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。 用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。 其他能够识别出特定主体的信息,如家庭地址等。 |
| C1 | 主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的査看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。 账户开立时间、开户机构; 基于账户信息产生的支付标记信息; C2和C3类别信息中未包含的其他个人金融信息。 |
《金融数据安全数据安全分级指南》第5.3.2条规定,不同类别的个人金融信息对应不同的数据安全级别,个人金融信息相关数据参照JR/T 0171-2020进行定级,并在数据安全定级过程中从高考虑。(数据安全定级规则参考表如下)


不同数据安全级别的个人金融信息,所应采取的保护措施也不同。根据《金融数据安全数据生命周期安全规范》第5.2条之规定,1级数据为公开数据,原则上无保密性要求,其安全防护应参考本文件有关完整性及可用性安全要求;2级至4级数据的安全防护应在平衡安全需求与业务需求的基础上,根据数据安全级别不同,有侧重地采取适当的安全防护措施,2级数据应优先考虑业务需求,4级数据应优先考虑安全需求;5级数据的保护按照国家及行业主管部门的有关要求执行。
另外,需要注意的是,两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),金融机构应提升相应的信息传输、存储保障手段。
03“限制访问”原则
商业银行等金融机构应当对个人金融信息数据设置访问权限。例如,《金融数据安全数据生命周期安全规范》第7.4.2.1条规定:

反观“池子事件”,暴露的正是账户管理权限问题,即不能人人都拥有广泛查询权限。该案的问题不止在于作出该项行为的银行职员,而是在于银行信息系统操作权限的设定违背了“业务需要”和“最小权限”原则。
按照最新发布的《金融数据安全数据生命周期安全规范》,交易流水属于C2类的个人金融信息,对应的最低数据安全级别应为3级,而3级以上的数据访问应建立访问权限申请和审核批准机制,同时应实现多因素认证或二次授权,并结合业务需要对数据采取脱敏和控制访问数据行数的技术措施,以满足最小化原则要求。
合规建议
侵害个人金融信息可能面临行政、刑事和民事的三重处罚,因此我们建议银行等金融机构根据相关法律法规、国家标准及行业规范建立健全内部控制制度,对易发生个人金融信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。
同时,应完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露。此外,还要加强对从业人员的培训并签订保密协议,强化从业人员个人金融信息安全意识,防止从业人员非法使用、泄露、出售个人金融信息。
