反洗钱工作中"了解您的客户"（Know Your Custom，KYC）至关重要，因此金融机构会在日常工作中与大量的客户发生业务关系，并在业务关系中收集大量客户的个人数据进行KYC。但在“最严数据隐私条例”的欧盟《一般数据保护条例》（GDPR）出台之后，各国开始主动或是被动均开始加强对个人数据的保护。

就我国而言，《网络安全法》、《信息安全技术个人信息安全规范》、《数据安全管理办法（征求意见稿）》等法规已相继出台，近日《个人金融信息保护技术规范》（JR/T0171-2020）（以下简称“《技术规范》”），《技术规范》于2020年2月13日开始正式实施。鉴于我国互联网金融在近年来的强劲增长趋势，对于金融机构所收集信息进行规制已势在必行。

笔者曾撰文对欧盟的反洗钱数据合规进行介绍分析（详见《如何平衡“反洗钱合规”与“数据合规”》），我们可以发现，在适用性上，本次的《技术规范》与欧盟之规定也有很多相似之处。

一、《技术规范》适用性非常广泛

该《技术规范》是由中国人民银行提出，但在起草单位中，我们可以发现，银行、清算中心、支付公司、保险公司、证券公司、第三方机构均在标准起草单位之列，即可以理解该《技术规范》是比较充分考虑到了实际业务中的实际情况并做以规定的，具有操作性与参考价值。

从效力位阶上，《技术规范》为金融行业标准，并非国家强制性标准。但虽然该《技术规范》规范“适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考”，在实践中，如果相关机构业务流程不符合该行业标准的，虽暂没有直接的罚则，但很可能会受到监管部门的约谈和检查，因此金融行业机构应对该标准提起足够的重视。

从适用主体上，《技术规范》采用了概括式的定义，以产品和服务类型作为界定标准，将提供金融产品和服务的“金融业机构”均纳入适用范围。其中金融业机构不仅包括了由国家金融管理部门监督管理的持牌金融机构，也包括了涉及个人金融信息处理的相关机构。由于我国除了持牌金融机构外，还有大量的“类金融”机构（如融资租赁、商业保理、典当行等），将该等机构及其他不好进行分类的机构均纳入适用范畴也证明了该份《技术规范》的出台目的，即要求所有从事金融相关业务、处理个人金融信息的机构均需要遵守个人数据保护相关标准的规制。

二、《技术规范》针对的是个人金融信息的管理

《技术规范》所针对的是自然人的个人金融信息，系金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反应个人某些情况的信息，其中特别提出了支付敏感信息<i>这一概念。该等信息范围与反洗钱所要求的收集客户身份信息基本重叠，即意味着金融业机构对于履行反洗钱义务所收集到的全部个人金融信息均应当按照《技术规范》的规定进行处理。

就管理客体而言，《技术规范》与欧盟GDPR的规定较为类似，均关注自然人的个人数据，GDPR作为个人数据保护的一般性规定，其项下的个人数据（personal data）是指与一个已识别或可识别的自然人（数据主体）有关的任何信息，因此GDPR项下的个人数据可以涵盖个人金融信息。

三、《技术规范》主要的规范核心

《技术规范》规定金融业机构遵循安全基本原则，即“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则。对比欧盟反洗钱指令及GDPR的规定，二者在内核上基本一致，反洗钱义务主体为反洗钱义务处理收集个人数据时，应当保证数据收集及处理目的特定、明确、合法，遵循最小化原则，且应当向客户履行告知义务。

四、《技术规范》的主要要求

《技术规范》对于个人金融信息在收集、传输、存储、使用、删除、销毁等个人金融信息生命周期的安全防护提出了要求，可以说覆盖了个人金融信息的处置全流程。

1、数据收集

《技术规范》规定应根据信息类别（C1、C2、C3[ii]）确定个人金融信息收集方案，并提出7项具体的技术要求，C3为最为重要的用户鉴别信息，包括用户的银行卡数据、账户密码相关数据、生物识别信息等。此处应当注意的是，金融业机构应当妥善对该等信息进行分类，且应当关注同一信息在不同场景中应置于不同类别之中，及不同信息之间组合、关联、分析后产生的新的高敏感程度信息。

在收集要求方面要求较多，其中需要特别指出的是，《技术规范》指出收集个人金融信息不得以默示、捆绑、隐瞒等方式，且收集的信息应与金融产品和服务直接相关，该等要求与欧盟反洗钱指令和GDPR的要求基本一致。并且，《技术规范》规定“不应当委托或授权无金融业相关资质的机构收集C3、C2类别信息”，这一表述指向性并不明确，“金融业相关资质”是否仅指持牌金融机构、何主体来认定是否具备“金融业相关资质”均需在实践中边走边看，笔者认为结合该规范出台意义及实践操作，类金融机构也亦被归类为具有“金融业相关资质”的机构。

此外，《技术规范》规定了9种收集使用个人信息无需征得主体的授权同意的情形，包括但不限于与履行国家法律法规及行业主管部门有关规定义务相关的情形；与国安、国防安全相关的情形；与公共安全、公共卫生、重大公共利益直接相关的情形等难以界定的情形也加入例外之中，总体上例外情况大部分原则且无具体指引，机构在处理具体情况时务必要注意尺度。

2、数据的委托处理

对于个人金融信息的使用方面，《技术规范》针对信息展示、共享与转让、公开披露、加工处理等均提出了具体要求，主要意在保护个人金融信息安全，并避免有意或无意泄露个人金融信息。

需要关注的是，《技术规范》对于处理个人金融信息的第三方机构进行了规制，明确C3、C2类别中的用户鉴别辅助信息不得委托第三方机构处理，对于其他数据也应按照标准要求尽可能确保数据安全。我们理解，类似于反洗钱要求原则，金融业机构应当对其委托的第三方机构进行管控。

3、数据流动与共享

《技术规范》规定，除法律法规与行业主管部门另有规定或者开展金融业务所必须的数据共享与转让，金融业机构原则上不应共享、转让个人金融信息，确实需要共享、转让的，应当充分重视信息安全风险并进行安全影响评估后采取有效措施保护个人金融信息主体权益，且《技术规范》明确规定C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让。

(1)集团内部的信息共享

根据《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》（银发【2017】235号）的规定，出于反洗钱和反恐怖融资需要，集团（公司）内部可以信息共享。不过《技术规范》并没有对集团内部信息的流转做出更为宽松的规定，即意味着即使是集团内部，在对个人金融信息进行共享传输时仍应当符合《技术规范》的普遍要求。

(2)跨境信息共享

《技术规范》规定，在中国境内收集和产生的个人金融信息，原则上应在境内存储、处理和分析。因业务需要跨境传输的，应当符合国家法律法规及行业主管部门有关规定，获得主体明示同意，开展个人信息出境安全评估，且通过与境外机构签署协议的方式，明确并监督对方有效履行个人金融信息保密、数据删除、案件协查等义务。此处将总公司、母公司、子公司、分公司等集团内部机构与关联机构一视同仁，未做区分需要予以关注。

反观欧盟规定，GDPR及欧盟反洗钱指令就个人数据的跨境传输提供了多种可能情形，包括但不限于转移目的国或国际组织须经欧盟委员会认定达到充分保护水平、跨境数据传输满足充分保障措施要求（如公司约束规则）、公共利益需要（如基于反洗钱合规的需要）等等。不过，目前《技术规范》并未就个人金融信息的跨境传输设置例外情况（比如因反洗钱合规的需要、同一控制人下的关联公司可以免除该等要求）。

4、数据保存与删除、销毁

《技术规范》并未明确规定数据保存的期限，仅规定储存时间应满足国家法律法规与行业主管部门有关规定，且符合该等规定所述的最短时间要求。就信息删除而言，规定了两种删除情形：一是超过前述所言的期限后，应对收集的个人金融信息进行删除或匿名化处理；二是，个人金融信息主体要求删除个人金融信息。需要注意的是，对于第二类情形，应当根据法律法规、行业主管部门规定及合同约定予以处理。例如，根据《反洗钱法》规定，反洗钱义务主体具有反洗钱义务项下的数据保存义务，应当至少在业务关系结束后保存5年（未明确规定最长期限），我们理解，稳妥起见，该等法定要求应在与客户间的合同文件中予以落实。

此外，本次《技术规范》中对销毁管理提出了要求，销毁程序要求有明确的处理流程、并最终达到不可恢复的结果。

5、安全策略与评估要求

对包括反洗钱合规在内的合规工作而言，相关义务主体应当建立完整的合规制度，并围绕着“以风险为本”的原则进行合规工作。

《技术规范》中同样对于金融业机构建立个人金融信息保护安全制度体系，规范工作流程提出了明确要求，并也提出了“应在不影响履行反洗钱等法定义务的前提下，制定本机构人员个人金融信息调取权限与使用范围，并制定专门的授权审批流程”、“建立个人金融信息保护组织架构”、“定期开展内外部个人金融信息保护培训与意识教育活动，并保留相关记录”。

我们理解，金融业机构应当在内部流程中将反洗钱要求、个人金融信息保护技术规范、自身业务情况进行结合，以制定符合内部业务及管理流程的安全策略与合规制度，并进行定期培训。并且，与反洗钱要求类似的，《技术规范》中还要求对“系统组件日志”进行定期审计，“每年至少开展一次对涉及收集、存储、传输、使用个人金融信息的信息系统进行安全检查或安全评估”、“每年至少开展一次支付信息安全合规评估，对评估过程中发现的问题及时采取补救措施并形成报告存档备查”，因此，金融业机构应尽可能借助内部、外部法律咨询等顾问的力量，以更好的满足《技术规范》要求。

综上分析：

随着公民对个人数据及隐私权的日益重视，各国均陆续制定更为细致、严格的个人数据保护规范，而反洗钱工作的开展不可避免地涉及个人数据的收集与处理。如何解决反洗钱与个人数据保护的冲突，需要金融业机构更好地关注相关法规及标准的要求。纵观中国与欧盟的反洗钱及个人数据保护规定，能够明确的是，企业不能以履行反洗钱义务为保护伞，肆意收集及处理个人数据。尤其是涉及个人数据的跨境传输时，企业更应当采用审慎的态度予以处理。

作者简介：

唐梦沅 资深律师 北京市中伦律师事务所北京办公室

盛于兰 律师 北京市中伦律师事务所北京办公室

穆耸 合伙人 北京市中伦律师事务所北京办公室

参考文献：

<i>支付敏感信息即支付信息中涉及支付主体隐私和身份识别的重要信息。

[ii]参见《技术规范》第4.2条个人金融信息类别

（注：本文已获作者授权发布。文中所述仅代表作者个人观点。）