2020年2月13日��,中國人民銀行發布實施金融行業標準《個人金融信息保護技術規範》(JR/T 0171——2020)(以下簡稱“《個人金融信息保護規範》”)。《個人金融信息保護規範》是金融行業推薦性標準���,係在《信息安全技術 個人信息安全規範》(GB/T 35273——2017)dengguojiabiaozhunjichushang�,jiugerenjinrongxinxidebaohuzuochudexihuaguiding��,jiugerenjinrongxinxiquanshengmingzhouqitichuanquanjishuheanquanguanlifangmiandeyaoqiu。jinguangaixingyebiaozhunbujubeiqiangzhizhixingxiaoli���,danrengzhidejinrongyejigouzaishijianzhongcanzhaozhixing。[i]以下簡要歸納整理該標準的主要內容:
一��、適用主體範圍
《個人金融信息保護規範》適shi用yong於yu提ti供gong金jin融rong產chan品pin和he服fu務wu的de金jin融rong業ye機ji構gou�,具ju體ti指zhi由you國guo家jia金jin融rong管guan理li部bu門men監jian督du管guan理li的de持chi牌pai金jin融rong機ji構gou�����,以yi及ji涉she及ji個ge人ren金jin融rong信xin息xi處chu理li的de相xiang關guan機ji構gou。[ii]
二�����、哪些個人金融信息受到規範
根據《個人金融信息保護規範》���,個人金融信息是指通過提供金融產品和服務或者其他渠道獲取����、加工和保存的個人信息�,包括賬戶信息�����、鑒別信息�����、金融交易信息��、個人身份信息�、財產信息���、借貸信息和其他反映特定個人某些情況的信息。[iii]
個人金融信息按照其敏感程度從高到低分為C3��、C2�、C1三個類別[iv]��,以下為簡要整理的類別���、範圍和以上行業標準針對不同類別設定的要求[v]:
類別 | 範圍 | 要求 |
C3:主要為用戶鑒別信息 | 銀行卡磁道數據(或芯片等效信息)�����、卡片驗證碼����、卡片有效期���、 銀行卡密碼����、網絡支付交易密碼 賬戶(包括但不限於支付賬號����、證券賬戶�、保險賬戶)登錄密碼���、交易密碼���、查詢密碼 用於用戶鑒別的個人生物識別信息 | 不應共享���、轉讓 不應公開披露 不應委托或授權無金融業相關資質的機構收集 應采取彈窗等技術措施引導個人查閱隱私政策�����,獲得明示同意後收集信息 通過受理終端�����、客戶端軟件�����、瀏覽器等方式收集�,應使用加密等技術保證數據保密性����,防止未經授權方獲取 通過公網傳輸時�,應使用加密通道或數據加密方式傳輸����,其中支付敏感信息應符合行業技術標準和行業主管部門規定 通過受理終端����、客戶端應用軟件與瀏覽器等方式引導輸入或設置銀行卡密碼�、支付密碼時應通過展示屏蔽等防止密碼明文顯示 不應委托第三方機構(含外包服務機構與外部合作機構)處理 境內存儲��、處理�����、分析���,向境外提供應符合有關規定方能進行 委托處理的信息應采用去標識化等方式進行脫敏處理 對委托行為進行安全影響評估 監督第三方機構 加密存儲 不留存非本機構的C3類別信息(確需留存���,應取得個人金融信息主體同意+賬戶管理機構授權) 留存C3類別信息的物理設備或介質移入/出機房受控區域應經審批授權 除銀行卡有效期外���,不應明文展示 |
C2:主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息 | 支付賬號及其等效信息����,包括身份證��、護照����、手機號等 賬戶登錄的用戶名 用戶鑒別輔助信息�����,如動態口令�、短信驗證碼��、密碼提示問題答案��、動態聲紋密碼����、(若與賬號結合可直接完成用戶鑒別��,則屬於C3類別) 直接反映信息主體金融狀況的信息��,如個人財產信息(包括網絡支付賬號餘額)��、借貸信息 用於金融產品和服務的關鍵信息����,如交易指令���、交易流水�、證券委托�����、保險理賠等 因KYC����、主管部門存證�、保全等需要收集的信息主體照片��、影像信息 其他可識別主體信息:如家庭地址 | 不應委托或授權無金融業相關資質的機構收集 應采取彈窗等技術措施引導個人查閱隱私政策�,獲得明示同意後收集信息 通過公網傳輸時����,應使用加密通道或數據加密方式傳輸 用戶鑒別輔助信息����,不應共享���、轉讓���,不應公開披露�����,不應委托第三方機構(含外包服務機構與外部合作機構)處理 對委托行為進行安全影響評估 監督第三方機構 境內存儲��、處理�����、分析����,向境外提供應符合有關規定方能進行 委托處理的信息應采用去標識化等方式進行脫敏處理 留存C2類別信息的物理設備或介質移入/出機房受控區域應經審批授權 |
C1:主要為機構內部信息資產��,主要為供內部使用的個人金融信息 | 賬戶開立時間���、開戶機構 基於賬戶信息產生的支付標記信息 C3�、C2類別信息不包括的其他個人金融信息 | 應采取彈窗等技術措施引導個人查閱隱私政策���,獲得明示同意後收集信息 境內存儲����、處理�、分析���,向境外提供應符合有關規定方能進行 委托處理的信息應采用去標識化等方式進行脫敏處理 對委托行為進行安全影響評估 監督第三方機構 |
我們建議金融業機構對照該行業標準��,對業務中涉及的個人金融信息分級分類�����, 參照該行業標準執行收集�、處理�����、委托處理等個人金融信息全生命周期的安全要求。同時還需注意���,《個人金融信息保護規範》第4.2條(tiao)提(ti)示(shi)����,同(tong)一(yi)信(xin)息(xi)在(zai)不(bu)同(tong)服(fu)務(wu)場(chang)景(jing)中(zhong)可(ke)能(neng)屬(shu)於(yu)不(bu)同(tong)類(lei)別(bie)�,還(hai)應(ying)根(gen)據(ju)具(ju)體(ti)服(fu)務(wu)場(chang)景(jing)以(yi)及(ji)該(gai)信(xin)息(xi)在(zai)其(qi)中(zhong)的(de)作(zuo)用(yong)對(dui)信(xin)息(xi)的(de)類(lei)別(bie)進(jin)行(xing)識(shi)別(bie)����,並(bing)實(shi)施(shi)針(zhen)對(dui)性(xing)的(de)保(bao)護(hu)。
三�����、與第三方機構合作的範圍
1. 可委托處理信息的第三方機構範圍:
weituodisanfangchulixiangyinggerenjinrongxinxishi���,yingduiweituoxingweijinxinggerenjinrongxinxianquanyingxiangpinggu��,quebaoshouweituofangjubeizugoudeshujuanquannengli����,pingguqigerenjinrongxinxidebaohunenglishifoudadaoguojia��、行業主管部門與金融業機構的要求。因此未達到相應要求的第三方機構�,不予以使用。
此外��,如以上第二部分歸納�,委托或授權有金融業相關資質的機構收集
C3和C2類別信息。
2. 不可委托第三方機構處理/維護信息的情形:
a) C3類別信息以及C2中的用戶鑒別輔助信息��,不應委托第三方機構處理����;
b) 個人金融信息未經采用去標識化等方式進行脫敏處理����,不得交由第三方機構處理�;
c) 存儲個人金融信息的數據庫不應交由外部機構運營維護。
四����、對第三方機構的監督和管理
1. 金融業機構建立第三方機構管理製度
管理製度就第三方機構的範圍(或限製)�����、委托處理的信息的範圍(或限製要求)���、第三方機構應滿足的條件�����、與第三方機構的合同條款條件應包含的主要內容����、對第三方機構進行監督檢查等等作出規定。
另�����,《個人金融信息保護規範》jiudisanfangjigouchuligerenjinrongxinxitichuyixiayaoqiu����,womenjianyijinrongyejigounaruguanlidisanfangjigoudeneibuzhiduzhong�����,bingjiangzhexieyaoqiuzhengherongruyudisanfangjigoudeyewuhetongzhong:
a) 第di三san方fang機ji構gou應ying金jin融rong業ye機ji構gou的de要yao求qiu處chu理li個ge人ren金jin融rong信xin息xi��,因yin特te殊shu原yuan因yin第di三san方fang機ji構gou未wei能neng按an要yao求qiu處chu理li個ge人ren金jin融rong信xin息xi�����,或huo無wu法fa提ti供gong足zu夠gou的de信xin息xi安an全quan保bao護hu����、發fa生sheng安an全quan事shi件jian�,應ying及ji時shi告gao知zhi並bing配pei合he金jin融rong業ye機ji構gou進jin行xing信xin息xi安an全quan評ping估gu����,並bing采cai取qu措cuo施shi補bu救jiu以yi保bao護hu個ge人ren金jin融rong信xin息xi的de安an全quan��,必bi要yao時shi終zhong止zhi處chu理li個ge人ren金jin融rong信xin息xi��;
b) 未經書麵授權�,第三方機構不得轉委托他人處理個人金融信息���;
c) 協助響應個人金融信息主體的請求���;
d) 委托/外包關係解除時��,按金融業機構要求銷毀其所處理的個人金融信息���,按約承擔保密責任����;
e) 準確記錄和保存委托處理個人金融信息的情況。
此外��,《個人金融信息保護規範》第7.3條關於訪問控製的規定�,對於確立內部工作流程和製度有借鑒意義�����,金融業機構可借鑒整合入內部數據訪問���、流轉製度和流程中。
2. 通過合同約束合作的第三方機構
除了以上管理製度涉及的對第三方機構管理要求可納入合同��,《個人金融信息保護規範》還明確要求具備以下條款:
a) 第三方機構不得留存C3����、C2類別信息[vi]��;
a) 就C2類別信息中的支付賬號等信息因清分清算����、差錯處理需要留存的情形��,約定第三方機構的保密義務���、責任����;
b) 對(dui)可(ke)能(neng)訪(fang)問(wen)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)的(de)第(di)三(san)方(fang)機(ji)構(gou)及(ji)其(qi)人(ren)員(yuan)����,金(jin)融(rong)業(ye)機(ji)構(gou)要(yao)求(qiu)第(di)三(san)方(fang)機(ji)構(gou)確(que)立(li)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)保(bao)護(hu)的(de)安(an)全(quan)要(yao)求(qiu)���,與(yu)其(qi)人(ren)員(yuan)簽(qian)署(shu)保(bao)密(mi)協(xie)議(yi)�����,並(bing)有(you)權(quan)對(dui)協(xie)議(yi)履(lv)行(xing)情(qing)況(kuang)進(jin)行(xing)監(jian)督(du)�;
約定金融業機構有權定期對第三方機構落實個人金融信息措施進行確認�����,包括開展外部信息安全評估��、現場檢查。
五�����、個人金融數據的彙聚融合
彙(hui)聚(ju)融(rong)合(he)的(de)數(shu)據(ju)不(bu)應(ying)超(chao)出(chu)收(shou)集(ji)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)聲(sheng)明(ming)的(de)使(shi)用(yong)範(fan)圍(wei)����,因(yin)業(ye)務(wu)需(xu)要(yao)超(chao)範(fan)圍(wei)使(shi)用(yong)的(de)��,應(ying)再(zai)次(ci)取(qu)得(de)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)主(zhu)體(ti)的(de)同(tong)意(yi)。就(jiu)融(rong)合(he)後(hou)的(de)數(shu)據(ju)�,根(gen)據(ju)類(lei)別(bie)及(ji)使(shi)用(yong)目(mu)的(de)��,開(kai)展(zhan)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)安(an)全(quan)影(ying)響(xiang)評(ping)估(gu)�����,采(cai)取(qu)有(you)效(xiao)技(ji)術(shu)保(bao)護(hu)措(cuo)施(shi)。
六�、個人金融信息的刪除和銷毀
1. 刪除
《個人金融信息保護規範》第6.1.5條對“刪除”的定義是:采取技術手段����,在金融產品和服務所涉及的係統中去除個人金融信息�,使其保持不可被檢索和訪問����,與《信息安全技術 個人信息安全規範》(GB/T 35273——2017)一(yi)致(zhi)。相(xiang)應(ying)地(di)�����,個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)主(zhu)體(ti)要(yao)求(qiu)刪(shan)除(chu)其(qi)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)時(shi)�,金(jin)融(rong)業(ye)機(ji)構(gou)應(ying)按(an)依(yi)法(fa)律(lv)法(fa)規(gui)或(huo)行(xing)業(ye)主(zhu)管(guan)部(bu)門(men)規(gui)定(ding)以(yi)及(ji)與(yu)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)主(zhu)體(ti)的(de)約(yue)定(ding)予(yu)以(yi)響(xiang)應(ying)。
《個人金融信息保護規範》第7.1.2條(tiao)規(gui)定(ding)�����,個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)的(de)存(cun)儲(chu)應(ying)滿(man)足(zu)國(guo)家(jia)法(fa)律(lv)法(fa)規(gui)與(yu)行(xing)業(ye)主(zhu)管(guan)部(bu)門(men)規(gui)定(ding)�����,並(bing)符(fu)合(he)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)主(zhu)體(ti)授(shou)權(quan)使(shi)用(yong)的(de)目(mu)的(de)所(suo)必(bi)需(xu)的(de)最(zui)短(duan)時(shi)間(jian)要(yao)求(qiu)�����,超(chao)過(guo)該(gai)期(qi)限(xian)後(hou)��,應(ying)對(dui)收(shou)集(ji)的(de)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)進(jin)行(xing)刪(shan)除(chu)(或匿名化處理)。
2. 銷毀
《個人金融信息保護規範》第7.2.1g)規定���,金融業機構應在合同中約定外包服務機構�、外部合作機構不得留存C3�、C2類別信息���,因此可看出第三方機構在約定情形下�����,需要銷毀該等信息。此外���,《個人金融信息保護規範》第7.1.3c)規gui定ding��,在zai金jin融rong業ye機ji構gou解jie除chu與yu第di三san方fang機ji構gou的de委wei托tuo關guan係xi或huo終zhong止zhi外wai部bu服fu務wu後hou�����,第di三san方fang機ji構gou按an金jin融rong業ye機ji構gou的de要yao求qiu銷xiao毀hui其qi處chu理li的de個ge人ren金jin融rong信xin息xi����,因yin此ci金jin融rong業ye機ji構gou可ke與yu第di三san方fang機ji構gou在zai合he同tong中zhong約yue定ding清qing楚chu屆jie時shi需xu要yao銷xiao毀hui的de信xin息xi範fan圍wei以yi及ji相xiang關guan具ju體ti義yi務wu。
七�、個人金融信息的出境
1. 在中國境內提供金融產品或服務過程中收集和產生的個人金融信息�,應在境內存儲����、處理和分析
境內存儲要求在部門規範性文件《中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》和在目前執行的《中國人民銀行金融消費者權益保護實施辦法》中均有此規定:在中國境內收集的個人金融信息的儲存�、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外���,銀行業金融機構不得向境外提供境內個人金融信息。
因此���,金融業機構需要通過合同等途徑要求及采取措施確保接受委托的第三方機構將個人金融信息存儲在境內並予以監督。
2. 特定情形下可向境外提供
根據《網絡安全法》����,金(jin)融(rong)行(xing)業(ye)信(xin)息(xi)係(xi)統(tong)屬(shu)於(yu)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)��,並(bing)且(qie)���,關(guan)鍵(jian)基(ji)礎(chu)設(she)施(shi)領(ling)域(yu)業(ye)務(wu)產(chan)生(sheng)和(he)收(shou)集(ji)的(de)重(zhong)要(yao)數(shu)據(ju)和(he)個(ge)人(ren)信(xin)息(xi)境(jing)內(nei)存(cun)儲(chu)����,因(yin)業(ye)務(wu)確(que)需(xu)向(xiang)境(jing)外(wai)提(ti)供(gong)的(de)���,應(ying)按(an)照(zhao)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)會(hui)同(tong)國(guo)務(wu)院(yuan)有(you)關(guan)部(bu)門(men)規(gui)定(ding)的(de)辦(ban)法(fa)進(jin)行(xing)安(an)全(quan)評(ping)估(gu)���,法(fa)律(lv)行(xing)政(zheng)法(fa)規(gui)另(ling)有(you)規(gui)定(ding)的(de)依(yi)照(zhao)其(qi)規(gui)定(ding)。[vii]
與部門規範性文件《中國人民銀行金融消費者權益保護實施辦法》一致�����,《個人金融信息保護規範》僅允許因業務需要����,向特定境外機構提供個人金融信息����,即總公司�、母公司或分公司�、子公司及其他為完成該業務所必需的關聯機構。
並且���,該行業標準在數據出境的條件上與《中國人民銀行金融消費者權益保護實施辦法》基本一致:取得個人金融信息主體的明示同意��、與境外機構通過簽訂協議�、現場核查等方式�����,明確並監督境外機構有效履行個人金融信息保密義務���,向境外提供前依據國家���、行業製定的辦法和標準開展個人金融信息出境安全評估�����,並作了擴展即監督境外關聯機構數據刪除��、案件協查等義務。
我們建議現階段向境外機構提供個人金融信息時�,金融業機構除了參照《個人金融信息保護規範》更新合同條款義務時����,還需就《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》等相關立法狀態保持關注�����,適時調整合同條款。
八�、員工管理
《個人金融信息保護規範》對涉及個人金融信息的人員的安全管理要求�,提出了指引�����,金融業機構可參考納入內部數據合規製度中[viii]:
a) 錄用員工前�,進行必要的盡職調查��,並與可訪問個人金融信息的員工簽署保密協議��,或在勞動合同中設置保密條款�;
b) 定期開展培訓�����,保留記錄�����;
c) 有關員工調崗時�,立即調整個人金融信息訪問�、使用等權限設置��;
d) 與有關員工終止勞動關係時���,立即終止並回收對個人金融信息的訪問權限��;
e) 崗位設置方麵��,係統開發人員����、測試人員與運維人員之間不應相互兼任崗位�;
f) 至少每年一次定期或在隱私政策發生重大變化時培訓����、考核個人金融信息處理崗位上的相關人員��;
g) 員工的保密期限不限於履行個人金融信息相關崗位期間。
因此�,金融業機構的人力資源部門與技術部門需要密切保持聯動�����,在員工調崗或離職時���,做好有關係統的訪問�、處理等權限分配或終止權限工作���;有關員工的保密義務範圍應涵蓋履行職務過程中獲取或接觸到的個人金融信息��,保密義務的期限延長�����,不限於履行前述職位期間。
此外���,《個人金融信息保護規範》第7.2.2詳細描述了個人金融信息保護責任人和責任機構的職責�,對於實踐中各企業單位確立數據合規負責機構的職責�����,包括DPO的職責(JD)���,較有借鑒意義。
以上簡要歸納了《個人金融信息保護規範》對金融業機構較為重要�����、可借鑒參考的一些規定。實踐中���,金融業機構有必要結合《網絡安全法》及其配套法律法規以及金融業領域部門規章�����、部門規範等�����,如《中國人民銀行金融消費者權益保護實施辦法》《銀行業消費者權益保護工作指引》以及近期可能出台的其他規定���,調整完善合規策略����,開展內部���、外部數據合規工作。值得一提的是�,中國人民銀行於2019年12月就《中國人民銀行金融消費者權益保護實施辦法(征求意見稿)》征求意見�����,該征求意見稿擬將該實施辦法效力位階提升至部門規章�,為人民銀行金融消費者權益保護工作提供更有效的依據����、標準和製度遵循�����,預示著銀行領域對於消費者權益保護(包括個人金融信息保護)執法將會強。
[i] 實踐中�����,《信息安全技術 個人信息安全規範》被有關執法部門作為執法的參考。有關規範如2020年2月4日《中央網絡安全和信息化委員會辦公室關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》就個人信息收集的範圍直接援引適用《信息安全技術 個人信息安全規範》。因(yin)此(ci)�,本(ben)文(wen)所(suo)述(shu)的(de)銀(yin)行(xing)業(ye)推(tui)薦(jian)性(xing)行(xing)業(ye)標(biao)準(zhun)細(xi)化(hua)了(le)個(ge)人(ren)金(jin)融(rong)信(xin)息(xi)全(quan)生(sheng)命(ming)周(zhou)期(qi)的(de)安(an)全(quan)技(ji)術(shu)和(he)安(an)全(quan)管(guan)理(li)要(yao)求(qiu)�,也(ye)有(you)被(bei)有(you)關(guan)主(zhu)管(guan)部(bu)門(men)執(zhi)法(fa)時(shi)予(yu)以(yi)參(can)考(kao)的(de)可(ke)能(neng)性(xing)。
[ii] 《個人金融信息保護規範》第3.1條。
[iii] 《個人金融信息保護規範》第3.2條。
[iv] 《個人金融信息保護規範》第4.2條將個人金融信息進行分類。請注意���,根據該規範�����,兩種或兩種以上的低敏感程度類別信息經過組合��、關聯和分析後可能產生高敏感程度的信息。
[v] 詳情參見《個人金融信息保護規範》第6.1條。
[vi] 《個人金融信息保護規範》第7.2.1g)條。
[vii] 參見《網絡安全法》第三十一條���、第三十一條。
[viii] 《個人金融信息保護規範》第7.2.3條。
