攝影:彭敏(九卦金融圈專欄作家、廣州農(nóng)商行網(wǎng)絡(luò)金融事業(yè)部副總經(jīng)理)
導(dǎo)讀
近日,全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)(簡(jiǎn)稱“金標(biāo)委”)發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)。據(jù)悉,《規(guī)范》已經(jīng)通過(guò)全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)審查,向各金融業(yè)機(jī)構(gòu)發(fā)布。
《規(guī)范》將個(gè)人金融信息按照敏感程度分為三大類,由高到低,依次為C3、C2、C1,其中C3主要為各類賬戶密碼,C2主要為賬戶、身份證信息、短信口令、KYC信息、住址等,C1主要為開戶時(shí)間、支付標(biāo)記信息等。
據(jù)透露,《規(guī)范》規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求,從安全技術(shù)和安全管理兩個(gè)方面,對(duì)個(gè)人金融信息保護(hù)提出了規(guī)范性要求。同時(shí),要求金融業(yè)機(jī)構(gòu)不應(yīng)以默認(rèn)授權(quán)、功能捆綁等方式強(qiáng)制獲取個(gè)人金融信息,也不應(yīng)委托或授權(quán)無(wú)金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集身份證號(hào)、手機(jī)號(hào)等個(gè)人信息。
問(wèn)題一:我的企業(yè)處理什么類型的信息需要參考《規(guī)范》的要求?
為了對(duì)個(gè)人金融信息的全生命周期環(huán)節(jié)建立安全防護(hù)規(guī)范,《規(guī)范》界定了兩大核心概念:“金融業(yè)機(jī)構(gòu)”與“個(gè)人金融信息”。根據(jù)《規(guī)范》的規(guī)定:
就主體范圍而言,結(jié)合金融行業(yè)的實(shí)踐,我們理解,“金融業(yè)機(jī)構(gòu)”在現(xiàn)實(shí)中除了(1)傳統(tǒng)的持牌金融機(jī)構(gòu),還可能包括(2)為持牌金融機(jī)構(gòu)業(yè)務(wù)提供基礎(chǔ)支持服務(wù)而需要處理個(gè)人金融信息的企業(yè),例如提供身份驗(yàn)證服務(wù)的電信服務(wù)商、信息技術(shù)提供商、風(fēng)控服務(wù)解決方案提供商、市場(chǎng)營(yíng)銷服務(wù)提供商等。相較于對(duì)主體的概念界定,《規(guī)范》適用于“提供金融產(chǎn)品和服務(wù)的金融業(yè)機(jī)構(gòu)”,這一適用范圍似乎并未明確涵蓋前述第(2)類機(jī)構(gòu)(例如,涉及個(gè)人金融信息處理的云服務(wù)提供商)[3] 。
就企業(yè)合規(guī)而言,考慮到《規(guī)范》對(duì)“金融業(yè)機(jī)構(gòu)”、“個(gè)人金融信息傳輸?shù)慕邮辗健保ǖ?.1.2條e項(xiàng))、“第三方機(jī)構(gòu)(包含外包服務(wù)機(jī)構(gòu)與外部合作機(jī)構(gòu))(第6.1.4.4條)”等主體也設(shè)置了相應(yīng)的合規(guī)義務(wù),且從《規(guī)范》全面保護(hù)“個(gè)人金融信息”的編制目的出發(fā)支付標(biāo)記化系統(tǒng)架構(gòu),我們建議落入“金融業(yè)機(jī)構(gòu)”的企業(yè)均應(yīng)參考《規(guī)范》開展合規(guī)工作,對(duì)企業(yè)運(yùn)營(yíng)過(guò)程中涉及個(gè)人金融信息處理的環(huán)節(jié)進(jìn)行對(duì)照自查,并在商業(yè)可行的范圍內(nèi)參照落實(shí)。
就客體范圍而言,《規(guī)范》中“個(gè)人金融信息”的概念與《實(shí)施辦法》中“個(gè)人金融信息(即金融機(jī)構(gòu)通過(guò)開展業(yè)務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息)”的概念較為相似,范圍較為寬泛。雖然《規(guī)范》第4.1條并未明確廣泛地列舉“個(gè)人常用設(shè)備信息(如IMEI、MAC地址、IDFA、軟件列表等)”、“個(gè)人上網(wǎng)記錄(如網(wǎng)站瀏覽記錄、軟件使用記錄、點(diǎn)擊記錄等)”和“個(gè)人位置信息(如行蹤軌跡、精準(zhǔn)定位信息等)”等《個(gè)人信息安全規(guī)范》附錄所明確列舉的個(gè)人信息,但是《規(guī)范》仍然可以通過(guò)該條g項(xiàng)的“在提供金融產(chǎn)品與服務(wù)過(guò)程中獲取、保存的其他個(gè)人信息”進(jìn)行兜底規(guī)范,甚至可以基于前述個(gè)人信息的識(shí)別性將其視為C2類別的個(gè)人金融信息(即其他能夠識(shí)別出特定主體的信息)。
考慮到通過(guò)移動(dòng)設(shè)備提供金融產(chǎn)品與服務(wù)已成大勢(shì)所趨,設(shè)備信息與行為信息在客戶身份識(shí)別、市場(chǎng)營(yíng)銷、反欺詐與風(fēng)險(xiǎn)控制等領(lǐng)域的使用亦日漸普及,因而在根據(jù)《規(guī)范》落實(shí)合規(guī)工作的過(guò)程中,金融業(yè)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)梳理提供產(chǎn)品與服務(wù)中涉及處理的所有個(gè)人信息,而不應(yīng)僅僅限于《規(guī)范》明確列舉的信息類型,并參照《規(guī)范》第4.2條對(duì)該等信息進(jìn)行分級(jí)分類,繼而相應(yīng)落實(shí)合規(guī)要求。
問(wèn)題二:我的企業(yè)如何遵照《規(guī)范》開展整體合規(guī),大致有那些步驟?
就整體架構(gòu)而言,《規(guī)范》在參考《個(gè)人信息安全規(guī)范》的基礎(chǔ)上,先行對(duì)“個(gè)人金融信息”的范圍和類別進(jìn)行了梳理,繼而從“安全技術(shù)要求”和“安全管理要求”兩個(gè)維度詳細(xì)地闡述了金融業(yè)機(jī)構(gòu)在處理個(gè)人金融信息時(shí)需要遵循的規(guī)則。相應(yīng)地,這一架構(gòu)也在一定程度上為金融業(yè)機(jī)構(gòu)開展內(nèi)部合規(guī)提供了基本的思路和策略。
【企業(yè)建議】企業(yè)在根據(jù)《規(guī)范》開展合規(guī)工作時(shí),應(yīng)率先進(jìn)行個(gè)人金融信息的統(tǒng)計(jì)與整理。具體而言:
另一方面,企業(yè)需要從技術(shù)安全和管理安全兩個(gè)角度,同步開展安全合規(guī),并需要關(guān)注《規(guī)范》“增強(qiáng)版”的合規(guī)要求,例如:
因此,在這一過(guò)程中,企業(yè)將需要著重關(guān)注《規(guī)范》所擬定的合規(guī)要求與既存合規(guī)義務(wù)的銜接,尤其是網(wǎng)絡(luò)安全體系下的《網(wǎng)絡(luò)安全法》、《個(gè)人信息安全規(guī)范》與《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等關(guān)于個(gè)人信息保護(hù)和網(wǎng)絡(luò)運(yùn)行安全的規(guī)定,以及金融監(jiān)管體系下的央行17號(hào)文、《中國(guó)人民銀行關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個(gè)人金融信息保護(hù)工作的通知》與《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》等關(guān)于個(gè)人金融信息保護(hù)的相關(guān)要求。
問(wèn)題三:個(gè)人金融信息的分級(jí)分類和相關(guān)要求有哪些?
【新增規(guī)定】《規(guī)范》首次在普遍意義上明確了個(gè)人金融信息的分類分級(jí)體系。據(jù)報(bào)道,《規(guī)范》早前版本為《支付信息保護(hù)技術(shù)規(guī)范》,其中將支付信息按敏感程度從低到高分為四級(jí);而正式出臺(tái)的《規(guī)范》則在一定程度上簡(jiǎn)化了分級(jí)體系,將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三類。其中:
【企業(yè)建議】事實(shí)上,《規(guī)范》也承認(rèn)上述“靜態(tài)”的定級(jí)規(guī)則需要結(jié)合實(shí)際情況進(jìn)行具體判斷:一方面,“同一信息”在不同的服務(wù)場(chǎng)景中可能處于不同的類別;另一方面,低敏感程度類別的信息經(jīng)過(guò)組合、關(guān)聯(lián)和分析后可能產(chǎn)生高敏感程度的信息(例如支付標(biāo)記化系統(tǒng)架構(gòu),C2類別的用戶鑒別輔助信息與賬號(hào)結(jié)合使用可直接完成用戶鑒別的,則屬于C3類別信息)。因此,如前文所述,企業(yè)應(yīng)當(dāng)從靜態(tài)的數(shù)據(jù)類型與內(nèi)容出發(fā)和動(dòng)態(tài)的數(shù)據(jù)生命周期兩個(gè)維度開展個(gè)人金融信息的梳理,以免有所遺漏。
【業(yè)務(wù)影響】鑒于在《規(guī)范》的分級(jí)體系下,C3類和C2類由于敏感程度較高,金融業(yè)機(jī)構(gòu)在處理C3和C2類別信息時(shí),需要承擔(dān)相較于處理C1類別信息更為嚴(yán)格的合規(guī)要求。換言之,位于產(chǎn)業(yè)鏈不同環(huán)節(jié)的金融業(yè)機(jī)構(gòu)將可能需要根據(jù)《規(guī)范》的要求調(diào)整、優(yōu)化自身的商業(yè)模式(尤其是基于“委托處理”模式為金融業(yè)機(jī)構(gòu)提供服務(wù)的企業(yè),具體詳見(jiàn)對(duì)問(wèn)題五的分析和建議)。
問(wèn)題四:我的企業(yè)主要從事To B型業(yè)務(wù),什么情形下的處理個(gè)人金融信息無(wú)需征得用戶授權(quán)同意?
【新增規(guī)定】在《個(gè)人信息安全規(guī)范》征得授權(quán)同意收集、使用個(gè)人信息的例外情況的基礎(chǔ)上,值得注意的是《規(guī)范》結(jié)合金融行業(yè)的業(yè)務(wù)實(shí)踐定制了“用于維護(hù)所提供的金融產(chǎn)品或服務(wù)的安全穩(wěn)定運(yùn)行所必須的,例如識(shí)別、處置金融產(chǎn)品或服務(wù)中的欺詐或被盜用等”進(jìn)行的個(gè)人金融信息收集使用無(wú)需征得個(gè)人金融信息主體授權(quán)同意的情形[4] 。
【業(yè)務(wù)影響】實(shí)踐中,不排除存在個(gè)人金融信息主體主觀意志上不愿意授權(quán)金融業(yè)機(jī)構(gòu)在反欺詐、身份驗(yàn)證等場(chǎng)景下采集并使用其個(gè)人金融信息,從而導(dǎo)致企業(yè)無(wú)法按照正常業(yè)務(wù)的合規(guī)邏輯規(guī)避可能的業(yè)務(wù)風(fēng)險(xiǎn)。因此,此次新增的例外情形能夠在一定程度上增強(qiáng)企業(yè)基于客戶身份識(shí)別、反欺詐等業(yè)務(wù)辦理所必需卻難以獲得用戶授權(quán)同意收集使用信息時(shí)的合規(guī)依據(jù)支持。
值得注意的是,盡管《規(guī)范》在一定程度上體現(xiàn)出金融行業(yè)監(jiān)管者在個(gè)人金融信息保護(hù)上的監(jiān)管態(tài)度與思路,但是考慮到《規(guī)范》屬于金融行業(yè)推薦性標(biāo)準(zhǔn),其中的例外規(guī)定并不必然能夠突破《網(wǎng)絡(luò)安全法》等強(qiáng)制性法律法規(guī)規(guī)定中的原則性要求。
【企業(yè)建議】為此,金融業(yè)機(jī)構(gòu)可提前考慮結(jié)合《規(guī)范》中的相關(guān)規(guī)定:
問(wèn)題五:我的企業(yè)在個(gè)人金融信息委托處理上需要注意什么?
?《規(guī)范》在委托處理個(gè)人金融信息的實(shí)踐上,提出了較為嚴(yán)格的合規(guī)要求,除個(gè)人信息保護(hù)中常見(jiàn)的合同約定各方權(quán)責(zé)義務(wù)、要求被委托者不得超范圍使用、準(zhǔn)確記錄等要求以外,還進(jìn)一步提出了更多的技術(shù)要求,主要包括:
1.對(duì)數(shù)據(jù)委托收集的主體限制
【新增規(guī)定】《規(guī)范》要求金融業(yè)機(jī)構(gòu)不應(yīng)委托或授權(quán)無(wú)金融業(yè)相關(guān)資質(zhì)的機(jī)構(gòu)收集C3、C2類別信息[5] 。
【業(yè)務(wù)影響】考慮到《規(guī)范》對(duì)于C3、C2類別信息的定義十分寬泛且目前有關(guān)“金融業(yè)相關(guān)資質(zhì)”的定義未有明確規(guī)定,該新增規(guī)定可能導(dǎo)致許多非持牌機(jī)構(gòu)在金融信息的收集環(huán)節(jié)上需要有所調(diào)整,例如可能不再能在業(yè)務(wù)前端代表金融業(yè)企業(yè)采集客戶KYC、借貸等相關(guān)信息。 [6]
【企業(yè)建議】建議非持牌機(jī)構(gòu)視具體情況調(diào)整業(yè)務(wù)模式,采取替代方案以避免基于金融機(jī)構(gòu)客戶的委托對(duì)個(gè)人金融信息進(jìn)行直接采集或使用。例如,非持牌機(jī)構(gòu)是否可以考慮發(fā)展面向終端消費(fèi)者(To C)的相關(guān)業(yè)務(wù)。
2.對(duì)委托處理數(shù)據(jù)的限制
【新增規(guī)定】對(duì)于個(gè)人金融信息的委托處理而言,《規(guī)范》相對(duì)《個(gè)人信息安全規(guī)范》新增的要求主要包括:
1)C3類和C2類中的用戶鑒別輔助信息,不應(yīng)委托給第三方處理(第6.1.4.4.條b項(xiàng));
2)應(yīng)對(duì)委托處理的信息采用去標(biāo)識(shí)化(不應(yīng)僅使用加密技術(shù))進(jìn)行脫敏處理(第6.1.4.4.條c項(xiàng));
3)應(yīng)對(duì)外部嵌入或介入的自動(dòng)化工具(如代碼、腳本、接口、算法模型、軟件開發(fā)工具包等)開展技術(shù)檢測(cè),并對(duì)第三方的收集個(gè)人金融信息行為開展審計(jì),發(fā)現(xiàn)超出約定行為及時(shí)切斷接入(第6.1.4.4.條f項(xiàng))。
【業(yè)務(wù)影響】
首先,對(duì)于某些金融業(yè)企業(yè)的外部合作機(jī)構(gòu)而言,其產(chǎn)品和服務(wù)的提供可能必須基于明文的C3類和/或C2類中的用戶鑒別輔助信息,如目前接受銀行等金融機(jī)構(gòu)委托進(jìn)行身份核驗(yàn)等的助貸企業(yè),可能必須以客戶身份三要素(如姓名、身份證號(hào)和手機(jī)號(hào)碼)的獲取為業(yè)務(wù)開展的基礎(chǔ),依據(jù)目前的要求,非持牌機(jī)構(gòu)可能難以再獲得明文的上述個(gè)人金融信息,因此業(yè)務(wù)模式可能面臨重新調(diào)整的需要。
其次,嚴(yán)格按照《規(guī)范》規(guī)定來(lái)看,金融企業(yè)客戶在選擇業(yè)務(wù)和服務(wù)的外包方時(shí),將可能不再僅要求對(duì)于產(chǎn)品和服務(wù)的合規(guī)性和業(yè)務(wù)邏輯進(jìn)行說(shuō)明、承諾,還可能需要進(jìn)一步地針對(duì)自動(dòng)化工具開展技術(shù)檢測(cè),并對(duì)基于委托收集個(gè)人金融信息的行為進(jìn)行審計(jì)。
【企業(yè)建議】
對(duì)于個(gè)人金融信息的被委托方而言,為避免不同合作方的反復(fù)檢測(cè)和自證,同時(shí)合理考慮委托處理環(huán)節(jié)的脫敏處理要求,建議:
1)考慮采用本地化部署和交付等方式為金融企業(yè)客戶提供相關(guān)產(chǎn)品或服務(wù),通過(guò)由客戶自行掌握相關(guān)服務(wù)系統(tǒng)的方式,避免SaaS服務(wù)模式下處理禁止委托處理的信息、或者針對(duì)被委托處理信息的頻繁、多方技術(shù)檢測(cè)成本;
2)有必要時(shí),自行開發(fā)面向金融企業(yè)客戶的技術(shù)工具,用于客戶全方位了解和掌握相關(guān)服務(wù)系統(tǒng)運(yùn)行情況和安全保障狀況;
3)如有可能,盡早考慮新的系統(tǒng)架構(gòu)模式,確保去標(biāo)識(shí)化處理后映射信息僅在客戶本地保留,被委托方系統(tǒng)僅對(duì)去標(biāo)識(shí)化后不可回溯個(gè)人金融信息主體的數(shù)據(jù)進(jìn)行處理、分析,進(jìn)而為客戶提供數(shù)據(jù)分析能力和算法模型構(gòu)建能力。
對(duì)于個(gè)人金融信息的委托方而言,為了避免向第三方委托處理禁止性信息、保證數(shù)據(jù)委托處理的合規(guī)性,建議:
1)提高自身的技術(shù)研發(fā)能力,尤其對(duì)于禁止委托處理的信息(如用戶鑒別用途的個(gè)人生物識(shí)別信息),盡量使用自身技術(shù)予以處理以滿足業(yè)務(wù)經(jīng)營(yíng)的需要;
2)建立對(duì)于自動(dòng)化工具應(yīng)用的全流程管控制度,包括接入前的合規(guī)和技術(shù)評(píng)估、定期審計(jì)和應(yīng)急處理機(jī)制等。
以下為《規(guī)范》原文:
