攝影:彭敏(九卦金融圈專欄作家、廣州農商行網絡金融事業部副總經理)
導讀
近日�,全國金融標準化技術委員會(簡稱“金標委”)發布了《個人金融信息保護技術規范》(以下簡稱《規范》)�。據悉���,《規范》已經通過全國金融標準化技術委員會審查���,向各金融業機構發布���。
《規范》將個人金融信息按照敏感程度分為三大類�����,由高到低,依次為C3�、C2���、C1����,其中C3主要為各類賬戶密碼�����,C2主要為賬戶�����、身份證信息、短信口令、KYC信息����、住址等�,C1主要為開戶時間�����、支付標記信息等��。
據透露����,《規范》規定了個人金融信息在收集�、傳輸����、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求���,從安全技術和安全管理兩個方面,對個人金融信息保護提出了規范性要求。同時���,要求金融業機構不應以默認授權、功能捆綁等方式強制獲取個人金融信息,也不應委托或授權無金融業相關資質的機構收集身份證號�����、手機號等個人信息��。
問題一:我的企業處理什么類型的信息需要參考《規范》的要求�����?
為了對個人金融信息的全生命周期環節建立安全防護規范,《規范》界定了兩大核心概念:“金融業機構”與“個人金融信息”。根據《規范》的規定:
就主體范圍而言��,結合金融行業的實踐����,我們理解,“金融業機構”在現實中除了(1)傳統的持牌金融機構����,還可能包括(2)為持牌金融機構業務提供基礎支持服務而需要處理個人金融信息的企業��,例如提供身份驗證服務的電信服務商��、信息技術提供商�����、風控服務解決方案提供商、市場營銷服務提供商等���。相較于對主體的概念界定,《規范》適用于“提供金融產品和服務的金融業機構”�,這一適用范圍似乎并未明確涵蓋前述第(2)類機構(例如���,涉及個人金融信息處理的云服務提供商)[3] ���。
就企業合規而言�,考慮到《規范》對“金融業機構”����、“個人金融信息傳輸的接收方”(第6.1.2條e項)、“第三方機構(包含外包服務機構與外部合作機構)(第6.1.4.4條)”等主體也設置了相應的合規義務�,且從《規范》全面保護“個人金融信息”的編制目的出發支付標記化系統架構�����,我們建議落入“金融業機構”的企業均應參考《規范》開展合規工作,對企業運營過程中涉及個人金融信息處理的環節進行對照自查����,并在商業可行的范圍內參照落實����。
就客體范圍而言�,《規范》中“個人金融信息”的概念與《實施辦法》中“個人金融信息(即金融機構通過開展業務或者其他渠道獲取、加工和保存的個人信息)”的概念較為相似����,范圍較為寬泛。雖然《規范》第4.1條并未明確廣泛地列舉“個人常用設備信息(如IMEI��、MAC地址����、IDFA、軟件列表等)”����、“個人上網記錄(如網站瀏覽記錄����、軟件使用記錄、點擊記錄等)”和“個人位置信息(如行蹤軌跡�、精準定位信息等)”等《個人信息安全規范》附錄所明確列舉的個人信息���,但是《規范》仍然可以通過該條g項的“在提供金融產品與服務過程中獲取�、保存的其他個人信息”進行兜底規范���,甚至可以基于前述個人信息的識別性將其視為C2類別的個人金融信息(即其他能夠識別出特定主體的信息)�����。
考慮到通過移動設備提供金融產品與服務已成大勢所趨����,設備信息與行為信息在客戶身份識別����、市場營銷、反欺詐與風險控制等領域的使用亦日漸普及����,因而在根據《規范》落實合規工作的過程中,金融業機構應當及時梳理提供產品與服務中涉及處理的所有個人信息,而不應僅僅限于《規范》明確列舉的信息類型,并參照《規范》第4.2條對該等信息進行分級分類�,繼而相應落實合規要求��。
問題二:我的企業如何遵照《規范》開展整體合規,大致有那些步驟?
就整體架構而言����,《規范》在參考《個人信息安全規范》的基礎上�,先行對“個人金融信息”的范圍和類別進行了梳理��,繼而從“安全技術要求”和“安全管理要求”兩個維度詳細地闡述了金融業機構在處理個人金融信息時需要遵循的規則�����。相應地,這一架構也在一定程度上為金融業機構開展內部合規提供了基本的思路和策略。
【企業建議】企業在根據《規范》開展合規工作時,應率先進行個人金融信息的統計與整理。具體而言:
另一方面,企業需要從技術安全和管理安全兩個角度���,同步開展安全合規,并需要關注《規范》“增強版”的合規要求,例如:
因此����,在這一過程中����,企業將需要著重關注《規范》所擬定的合規要求與既存合規義務的銜接���,尤其是網絡安全體系下的《網絡安全法》��、《個人信息安全規范》與《網絡安全等級保護基本要求》等關于個人信息保護和網絡運行安全的規定��,以及金融監管體系下的央行17號文、《中國人民銀行關于金融機構進一步做好客戶個人金融信息保護工作的通知》與《中國人民銀行金融消費者權益保護實施辦法》等關于個人金融信息保護的相關要求。
問題三:個人金融信息的分級分類和相關要求有哪些�?
【新增規定】《規范》首次在普遍意義上明確了個人金融信息的分類分級體系����。據報道���,《規范》早前版本為《支付信息保護技術規范》��,其中將支付信息按敏感程度從低到高分為四級;而正式出臺的《規范》則在一定程度上簡化了分級體系����,將個人金融信息按敏感程度從高到低分為C3��、C2、C1三類�����。其中:
【企業建議】事實上���,《規范》也承認上述“靜態”的定級規則需要結合實際情況進行具體判斷:一方面,“同一信息”在不同的服務場景中可能處于不同的類別�;另一方面��,低敏感程度類別的信息經過組合、關聯和分析后可能產生高敏感程度的信息(例如支付標記化系統架構����,C2類別的用戶鑒別輔助信息與賬號結合使用可直接完成用戶鑒別的���,則屬于C3類別信息)��。因此,如前文所述,企業應當從靜態的數據類型與內容出發和動態的數據生命周期兩個維度開展個人金融信息的梳理�����,以免有所遺漏��。
【業務影響】鑒于在《規范》的分級體系下,C3類和C2類由于敏感程度較高���,金融業機構在處理C3和C2類別信息時,需要承擔相較于處理C1類別信息更為嚴格的合規要求�����。換言之����,位于產業鏈不同環節的金融業機構將可能需要根據《規范》的要求調整、優化自身的商業模式(尤其是基于“委托處理”模式為金融業機構提供服務的企業�,具體詳見對問題五的分析和建議)�。
問題四:我的企業主要從事To B型業務�����,什么情形下的處理個人金融信息無需征得用戶授權同意��?
【新增規定】在《個人信息安全規范》征得授權同意收集、使用個人信息的例外情況的基礎上����,值得注意的是《規范》結合金融行業的業務實踐定制了“用于維護所提供的金融產品或服務的安全穩定運行所必須的�,例如識別���、處置金融產品或服務中的欺詐或被盜用等”進行的個人金融信息收集使用無需征得個人金融信息主體授權同意的情形[4] ���。
【業務影響】實踐中�,不排除存在個人金融信息主體主觀意志上不愿意授權金融業機構在反欺詐、身份驗證等場景下采集并使用其個人金融信息���,從而導致企業無法按照正常業務的合規邏輯規避可能的業務風險。因此��,此次新增的例外情形能夠在一定程度上增強企業基于客戶身份識別�、反欺詐等業務辦理所必需卻難以獲得用戶授權同意收集使用信息時的合規依據支持。
值得注意的是�����,盡管《規范》在一定程度上體現出金融行業監管者在個人金融信息保護上的監管態度與思路�,但是考慮到《規范》屬于金融行業推薦性標準�,其中的例外規定并不必然能夠突破《網絡安全法》等強制性法律法規規定中的原則性要求。
【企業建議】為此,金融業機構可提前考慮結合《規范》中的相關規定:
問題五:我的企業在個人金融信息委托處理上需要注意什么?
?《規范》在委托處理個人金融信息的實踐上,提出了較為嚴格的合規要求���,除個人信息保護中常見的合同約定各方權責義務、要求被委托者不得超范圍使用、準確記錄等要求以外�,還進一步提出了更多的技術要求���,主要包括:
1.對數據委托收集的主體限制
【新增規定】《規范》要求金融業機構不應委托或授權無金融業相關資質的機構收集C3��、C2類別信息[5] 。
【業務影響】考慮到《規范》對于C3、C2類別信息的定義十分寬泛且目前有關“金融業相關資質”的定義未有明確規定����,該新增規定可能導致許多非持牌機構在金融信息的收集環節上需要有所調整����,例如可能不再能在業務前端代表金融業企業采集客戶KYC�����、借貸等相關信息���。 [6]
【企業建議】建議非持牌機構視具體情況調整業務模式��,采取替代方案以避免基于金融機構客戶的委托對個人金融信息進行直接采集或使用���。例如��,非持牌機構是否可以考慮發展面向終端消費者(To C)的相關業務。
2.對委托處理數據的限制
【新增規定】對于個人金融信息的委托處理而言�,《規范》相對《個人信息安全規范》新增的要求主要包括:
1)C3類和C2類中的用戶鑒別輔助信息,不應委托給第三方處理(第6.1.4.4.條b項);
2)應對委托處理的信息采用去標識化(不應僅使用加密技術)進行脫敏處理(第6.1.4.4.條c項);
3)應對外部嵌入或介入的自動化工具(如代碼���、腳本、接口、算法模型����、軟件開發工具包等)開展技術檢測��,并對第三方的收集個人金融信息行為開展審計,發現超出約定行為及時切斷接入(第6.1.4.4.條f項)。
【業務影響】
首先����,對于某些金融業企業的外部合作機構而言��,其產品和服務的提供可能必須基于明文的C3類和/或C2類中的用戶鑒別輔助信息,如目前接受銀行等金融機構委托進行身份核驗等的助貸企業,可能必須以客戶身份三要素(如姓名��、身份證號和手機號碼)的獲取為業務開展的基礎�����,依據目前的要求���,非持牌機構可能難以再獲得明文的上述個人金融信息�����,因此業務模式可能面臨重新調整的需要。
其次,嚴格按照《規范》規定來看���,金融企業客戶在選擇業務和服務的外包方時,將可能不再僅要求對于產品和服務的合規性和業務邏輯進行說明、承諾,還可能需要進一步地針對自動化工具開展技術檢測����,并對基于委托收集個人金融信息的行為進行審計����。
【企業建議】
對于個人金融信息的被委托方而言����,為避免不同合作方的反復檢測和自證�����,同時合理考慮委托處理環節的脫敏處理要求�����,建議:
1)考慮采用本地化部署和交付等方式為金融企業客戶提供相關產品或服務,通過由客戶自行掌握相關服務系統的方式�,避免SaaS服務模式下處理禁止委托處理的信息�����、或者針對被委托處理信息的頻繁、多方技術檢測成本���;
2)有必要時,自行開發面向金融企業客戶的技術工具�,用于客戶全方位了解和掌握相關服務系統運行情況和安全保障狀況��;
3)如有可能,盡早考慮新的系統架構模式�����,確保去標識化處理后映射信息僅在客戶本地保留,被委托方系統僅對去標識化后不可回溯個人金融信息主體的數據進行處理���、分析,進而為客戶提供數據分析能力和算法模型構建能力����。
對于個人金融信息的委托方而言,為了避免向第三方委托處理禁止性信息����、保證數據委托處理的合規性�����,建議:
1)提高自身的技術研發能力,尤其對于禁止委托處理的信息(如用戶鑒別用途的個人生物識別信息)�,盡量使用自身技術予以處理以滿足業務經營的需要�;
2)建立對于自動化工具應用的全流程管控制度����,包括接入前的合規和技術評估、定期審計和應急處理機制等��。
以下為《規范》原文:
