《个人金融信息保护技术规范》核心要点解读
2020/2/28 11:55:28

近日,全国金融标准化技术委员会(简称“金标委”)发布了《个人金融信息保护技术规范》JR/T0171-2020(以下简称“《规范》”),《规范》引用及参考了以往与个人金融信息有关的多部法律规定及标准,大的框架与以往法规及标准基本上一脉相承。

《规范》最大的特点是,根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,从安全技术和安全管理两个方面,对个人金融信息生命周期各环节保护提出了规范性要求。

个人金融信息的定义决定了《规范》适用的主体及范畴,虽然《规范》是推荐性标准,但是鉴于金融业务在经济中的基础设施地位以及《规范》对金融业机构的定义,《规范》下的个人金融信息定义及覆盖的范畴比以往任何一部规定都广。而且,不仅是金融机构需要适用这个标准,与金融机构合作处理信息的第三方机构亦应参考。

鉴于此,作者从金融信息法律规制的演进着手,对《规范》关于个人金融信息的分类及使用规制两个维度进行梳理,对个人金融信息的核心合规要点进行提炼作为合规实践的参考。

一、个人金融信息的法律规制演进

(注:下列详细法条或标准的详细内容请在文章末尾处查看)

2009年2月28日,《刑法修正案(七)》在《刑法》第二百五十三条增加“出售、非法提供公民个人信息罪、非法获取公民个人信息罪”,金融机构及其工作人员是其中明确列出的特定主体。

2011年5月1日,中国人民银行实施《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称“《通知》”),以部门规范性文件的形式对金融行业的个人信息保护进行规。此《通知》可以说是国内关于个人信息保护行政立法的先驱,不仅早于工信部2012年3月15日实施的《规范互联网信息服务市场秩序若干规定》,也更是早于《全国人大常委会关于加强网络信息保护的决定》。

2012年3月15日,央视315晚会曝光了有关商业银行员工向不法分子出售客户个人金融信息,并导致大量客户总计3000余万元存款被盗的事件。12天之后,中国人民银行实施《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》,从制度、技术及员工教育三个维度要求金融机构强化对个人金融信息的保护力度。

2016年6月6日,中国人民银行、中国银行业监督管理委员会实施《银行卡清算机构管理办法》,其中涉及到个人金融信息的条款明确规定:银行卡清算机构和境外机构为处理银行卡跨境交易且经当事人授权,向境外发卡机构或收单机构传输境内收集的相关个人金融信息的,应当通过业务规则及协议等有效措施,要求境外发卡机构或收单机构为所获得的个人金融信息保密。

同年7月1日,中国支付清算协会实施《个人信息保护技术指引》,指导其协会成员规范处理个人信息,其中包括个人金融交易信息。

同年12月14日,中国人民银行实施《中国人民银行金融消费者权益保护实施办法》,其中对个人金融信息进行定义,并从金融消费者权益保护角度对金融消费者的个人金融信息处理进行立法。

2019年12月27日,中国人民银行发出《中国人民银行金融消费者权益保护实施办法(征求意见稿)》,拟将《中国人民银行金融消费者权益保护实施办法》(2016)从部门规范性文件上升为部门规章,并将个人金融信息更新为消费者金融信息,更新各细项规定。

2020年2月13日,中国人民银行实施《个人金融信息保护技术规范》(以下简称“《规范》”),从安全技术和安全管理两个方面,对个人金融信息全生命周期保护提出了规范性要求。

《规范》首先定义了金融业机构,《规范》规定:“本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。”。换言之,《规范》以金融产品和服务为导向,既适用于直接向公众提供金融产品和服务的金融机构,也适用于与金融机构开展商业合作个人金融信息的非金融机构。

有些公司虽然不属于金融行业,但是只要与金融机构进行商业合作,涉及为金融机构提供数据收集、数据传输、数据存储、数据使用、数据加工、数据分析、数据删除等数据处理的任一环节的服务,《规范》同样可能成为这些公司从事个人金融信息处理业务的重要标准。

因此,如前所述,《规范》不仅仅值得金融机构关注,与金融机构合作的非金融机构同样应在其合规体系中落实此标准。

二、个人金融信息内容及分类

(一)个人金融信息内容

《规范》主要以列举式的方式明确规定个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他七个模块的内容,具体如下图:

(二)个人金融信息类别

根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,《规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。《规范》对个人金融信息的分类是《规范》的核心特点,金融机构及非金融机构的合规就围绕此内容展开。

注:个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生髙敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。

三、个人金融信息处理规范合规要点

《规范》在个人金融信息生命周期各环节对C3、C2、C1三类信息进行差异化规范,主要从技术、管理层面对C3、C2类别信息的处理制定较为严格的规范,保障个人金融信息安全。

其中,最为严苛的是明确规范:不应委托或授权无金融业相关资质的机构收集C3、C2类别信息;C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。

鉴于此,作者提炼《规范》中关于个人金融信息生命周期各环节中关于C3、C2类信息的主要规范内容如下:

《规范》体系完整,规范细化,在流程上覆盖个人金融信息全生命周期,对金融机构合作的上下游合作伙伴也进行间接规制,这是个人金融信息监管趋势收紧的一个重要里程碑事件。下附《规范》全文思维导图:

《规范》实施后,金融业机构不仅需要在信息生命周期各环节对个人金融信息进行分类管理,而且,需要从技术和管理维度,在人员管理、制度管理、流程管理等颗粒度中进一步细化个人金融信息保护规范在各场景下的落实,这对很多企业来说是一个巨大的挑战……当然,这对于合规运行的企业来说,也更是机遇!

附:个人金融信息法律规制主要内容:

注:本文为作者个人观点,不代表任何第三方立场,仅为学习、研究、交流之目的使用,亦不作为任何决策参考之依据。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消