“场景为基,风险为尺”——《个人金融信息保护技术规范》亮点解读
吴丹君律师团队移动支付网2020/2/27 14:34:11

作者:吴丹君律师 张振君律师助理

2020年2月13日,中国人民银行正式下发《个人金融信息保护技术规范》(JR/T0171-2020)(以下简称“《规范》”),适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。《规范》3.1将金融业机构定义为由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。这一定义意味着,涉及收集、传输、存储、使用、共享和转让等个人金融信息全生命周期中某一环节的相关非持牌机构亦在《规范》的规制范围之中。

《规范》参考《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)的制度设计,从安全技术和安全管理两个维度出发,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,对个人金融信息保护提出规范性要求,在个人金融信息保护和监管工作中具有重要的参考作用。其中,体现风险管理思想的“个人金融信息安全影响评估”的多次出现是《规范》的一大亮点。

一、个人金融信息的内容与类别

根据《规范》3.2,个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,主要包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。这一定义在《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行金融消费者权益保护实施办法》等文件的基础上,进一步丰富其内涵,新增“鉴别信息”大类,并在“个人身份信息”大类下新增“个人生物识别信息”。此外,《规范》还将原有的“信用信息”修改为“借贷信息”。《规范》在“4.1个人金融信息内容”中对上述定义中的7个大类所包含的具体信息进行了列举。

《规范》“4.2个人金融信息类别”细化《网络安全法》第二十一条的“数据分类”管理要求,根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,并设置相应的安全技术要求与安全管理要求。

需注意的是,《规范》4.2指出,两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。这说明,《规范》引入了基于具体场景的风险管理思想,制定者已经认识到,个人金融信息的可识别性与敏感程度并不是一个静态的固定结果,而是一个受到多重因素影响的动态判定过程。因此,金融业机构对某一个人金融信息类别的判断并不是“一劳永逸”的,而需根据个人金融信息所处的具体场景进行综合风险评估,“个人金融信息安全影响评估”即是应对个人金融信息这一特性的重要方式。

二、个人金融信息安全影响评估

根据《规范》3.10,个人金融信息安全影响评估是指针对个人金融信息处理活动,检验其合法合规程度,判断其对个人金融信息主体合法权益造成损害的各种风险,以及评估用于保护个人金融信息主体的各项措施有效性的过程。这一定义改写自《信息安全技术个人信息安全规范》(GB/T35273-2017)3.8对“个人信息安全影响评估”的界定。

在收集、传输、存储、使用、共享和转让等不同场景中,个人金融信息面临着不同风险。《规范》7.4.2针对个人金融信息全生命周期提出安全检查和评估要求,范围包括金融业机构及其合作的第三方机构(包含外包服务机构与外部合作机构)。

首先,在内部制度建设上,金融业机构需制定个人金融信息安全影响评估制度,并对涉及收集、存储、传输、使用个人金融信息的信息系统进行每年至少一次的安全检查或安全评估工作。

其次,在对外合作中,金融业机构需根据《规范》6.1.4.2、6.1.4.3、6.1.4.4及其评估制度在个人金融信息共享与转让、公开披露、委托处理过程中,执行个人金融信息安全影响评估活动,并将评估报告归档保存。该评估可由金融业机构自行组织开展,亦可委托外部安全评估机构执行。

再次,《规范》特别指出,对于个人金融信息中的支付信息部分,应采取自行评估或委托外部机构进行检查评估,金融业机构及与其合作的第三方机构应每年至少开展一次支付信息安全合规评估,对评估过程中发现的问题及时釆取补救措施并形成报告存档备查。

最后,在个人金融信息泄露事件出现并造成一定经济损失(或社会影响)时,金融业机构应及时委托外部安全评估机构重新进行相关安全评估与检查活动,并将结果报送行业主管部门。

个人金融信息安全影响评估可在相应场景中具体地评估个人金融信息处理行为风险,根据风险等级采取相应程度的技术手段和管理措施,从而将个人金融信息风险限制在可控范围内,《规范》在个人金融信息的使用、传输、公平披露、技术开发、内部制度建设等多个环节设置了评估要求,体现了一种贯穿信息全生命周期的动态风险控制思想。

三、对个人金融信息特定类别的特殊要求

金融业机构在设计个人金融信息安全影响评估制度及具体落实相应评估工作时,需注意《规范》对于个人金融信息特定类别的特殊要求:

①不应委托或授权无金融业相关资质的机构收集C3、C2类别信息;

②通过公共网络传输时,C2、C3类别信息应使用加密通道或数据加密的方式进行传输;对于C3类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求;

③C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理;

④C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让;

⑤C3类别信息以及C2类别信息中的用户鉴别辅助信息不应公开披露;

⑥应通过协议或合同的方式,约束外包服务机构与外部合作机构不应留存C2、C3类别信息;对于C2类别信息中的支付账号等信息,若因清分清算、差错处理等业务需要确需留存,金融业机构应明确外包服务机构与外部合作机构的保密义务与保密责任,并应根据安全要求落实安全控制措施,并将有关资料留档备查;

⑦存储或处理个人金融信息的相关物理设备或介质应在获得审批授权后方可移入或移出机房受控区域,留存有C2、C3类别信息的物理设备或介质移入或移出区域应具有同等的安全保障措施。

前已述及,个人金融信息的可识别性和敏感程度的判定并非绝对,忽略敏感程度的变化易引发特定类别信息未及时适用特殊要求的不合规情况。因此,金融业机构对C2、C3等特定类别的个人金融信息的分类不可过于机械,应置于具体服务场景中进行考量。

首先,在收集使用个人金融信息前,需明确行为的具体目的。换言之,金融业机构应事先界定相应的服务场景,比如2020年1月20日发布的《信息安全技术个人信息告知同意指南(征求意见稿)》附录F提及的包括网络借贷、助贷、金融线上业务在内的“互联网金融”场景。

其次,在此具体场景中评估所涉个人金融信息在其中的作用、可能遭受未经授权的查看或未经授权的变更后所产生的影响和危害,按照敏感程度对个人金融信息的类别进行识别。比如在《规范》6.1.4.6的“汇聚融合”场景中,通过数据挖掘等技术可能在组合、关联和分析数个低敏感程度数据后产生具有高敏感程度的信息,因此,应对汇聚融合后的个人金融信息进行重新识别以确定类别。

最后,对在具体服务场景中敏感程度发生变化的个人金融信息实施针对性的保护措施。比如《规范》6.1.2指出,应根据个人金融信息的不同类别,釆用技术手段保证个人金融信息的安全传输;低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提升相应的安全传输保障手段。

个人金融信息安全影响评估的及时开展,能有效避免因忽视个人金融信息敏感程度的变化而未及时采取相应安全保障措施导致的不合规情况,有利于保障金融业机构日常运营的平稳进行。

四、结语

无论是将个人金融信息划分为C3、C2、C1等不同类别,还是将个人信息划分为一般个人信息与个人敏感信息,这一划分标准都是综合性的,需结合信息收集的具体场景和信息利用的主体、能力、目的以及利用方式等多方面因素进行判断。同时,这一标准也是动态的,同种个人信息在不同场景下,其泄露或不当使用的危害性可能大不相同。因此,包括金融业机构在内的个人信息控制者应重视“个人信息安全影响评估”,在具体场景基础上以风险为标准,综合考量多元因素落实个人信息保护措施,有助于实质上提升个人信息保护水平。

【参考文献】

[1]江帆,常宇豪.个人信息保护中“知情同意”适用的困境与出路[J].经济法论坛,2018,21(02):46-64.

[2]姬蕾蕾.个人信息保护立法路径比较研究[J].图书馆建设,2017(09):19-25.

[3]范为.大数据时代个人信息保护的路径重构——初探欧美改革法案中的场景与风险理念[J].网络信息法学研究,2017(01):248-286+393-394.

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消