2月20日，央行发布《个人金融信息保护技术规范》（以下简称“《规范》”）引起了年后金融支付行业极大的关注。从时机上来说，经历了2019年风吹雨打的金融行业和大数据行业都处于关键的转型时期；从政策连续上来说，这份文件正好与央行237号文上下承接。

无论从哪个角度上来看，这份《规范》的重要程度都是不言而喻的，甚至现在就可以把这份《规范》放进2020年央行最重要的规范文件候选名单中，而且排名不会低于前三。原因非常简单：这份规范或将重塑目前的金融支付生态。

全生命周期保护个人金融信息

《规范》抛去前言、引言、附录正文只有短短17页，又划分为7个章节，其中第四、六、七章占据了主要篇幅，也是《规范》的重点内容。

在第四章当中《规范》清晰明确的列出了个人金融信息的内容，并根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别：

这是央行第一次清晰、明确的对个人金融信息做出分类。移动支付网注意到，用户个人生物识别信息为C3类别，重要性排在最高，另外在个人信息的说明中并不包含个人地理位置信息，只包含家庭住址等。

《规范》在第六章当中，明确了数据全生命周期的各个环节，以及各个环节应做到的技术要求。简单来说，“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则适用于所有个人金融信息，而C3、C2类别的个人金融信息应受到额外保护。

可以说《规范》是目前出台最严谨、细致的数据管理条例，当然在某种意义上也是最严格的数据管理条例。从《规范》主要内容上来看，明确了金融支付机构在个人金融信息保护方面应尽的责任和义务。

银行卡检测中心相关负责人对移动支付网表示，《规范》让原本处于“模糊地带”的金融数据应用要求更为清晰，通过信息分级让产业方能更加聚焦关键敏感信息管理，给金融消费者的隐私保护提供了有力依据，也为金融数据分类治理提供了基础条件。

但是与GDPR或者《数据安全管理办法（征求意见稿）》相比，这份规范缺少了信息主体的权力部分，也就是用户拥有什么样子的权力以及机构企业面对行使权力的用户应当如何去做，这未免不是一个遗憾。

京师（深圳）律师事务所联合创始人、法律研究院院长王岩飞认为，规范内容兼顾个人金融信息保护和发展，有助于实现发展和风控相统一，顺应个人金融信息保护立法和建规的趋势出台，完善了个人金融信息保护的规制，对于金融机构和有关单位个人金融信息保护制度的建立具有实践性的指导意义。

王岩飞也指出《规范》同时也存在一些问题，需要在后续文件中继续完善，也要求有关机构在实践中要注重规避风险。比如在金融机构遇到收购、兼并、重组、破产等情况下，可能存在个人金融信息原始收集主体（金融机构）的民事主体消失，考虑到个人金融信息保护的重要性，仅仅简单以权利义务继承、转让的法律原则处理，不利于个人金融信息保护。

《规范》部分条款截图

《规范》仅说明在使用目的变更时，才应重新获得个人金融信息主体明示同意（或授权），不符合民事法律关系变更、消灭、权利义务转让等的基础法理。用户签订用户协议、隐私协议后，双方之间既有合同关系，根据《合同法》，合同主体、内容变更、权利义务转让不能仅仅以通知方式告知。

客户端数据安全或将被继续加强

随着支付的发展，中国移动支付已经全面进入移动终端时代，手机App成为了主要支付工具。在这么多年的发展中，智能手机和App的发展速度之快超越了监管的发展，因此出现了很多问题，比如木马链接、仿冒App等等。近几年App相关问题发展到了不容忽视的阶段。

在2019年，相关部门先后发布了《移动金融客户端应用软件安全管理规范》、《信息安全技术个人信息安全规范》、《加强移动金融客户端应用软件安全管理的通知》（237号文）等多个规范文件，并联合开展了App整治行动。

而此次《规范》的发布同样对客户端数据安全提出了要求，涉及到数据采集、储存、使用等多个方面，并明确规定了客户端应用软件及应用软件开发工具包应符合相关技术标准并在上线前进行安全评估。

某移动安全公司相关业务负责人表示，央行下发237号后，金融支付App备案工作已经开展，而《规范》的发布将继续加强客户端安全的重要性。《规范》专门针对软件开发包（SDK）做出了要求，或将有效帮助这个业内痛点问题进行改善。

《规范》当中与客户端应用软件直接相关的条款并没有那么多，但事实上，《规范》中的技术要求和安全准则几乎全部都适用于客户端应用软件，比如数据采集安全准则、去标识化等等要求。

这份《规范》是为了信息安全而生，而目前最广泛的信息载体就是客户端应用软件。银行卡检测中心相关责任人认为，目前机构、企业面对合规，要从总体安全观的角度入手，关注客户端应用软件安全的同时，重视信息安全体系建设的整体协同，全面加强数据治理能力建设。

所谓全面建设不仅仅是做好数据采集、存储、适用，而是要从客户端软件设计、建设开始做起，转变思维是重要的一步，但也不过是第一步。目前适用于客户端应用软件的规范、技术要求已经足够多，脚踏实地，仔细落实规范要求是机构、企业目前最应该做的事情。

合规难度明升暗降

2019年，金融大数据行业发生了大规模“地震”，魔蝎数据、新颜科技、聚信立、天翼征信、公信宝、同盾科技子公司、51信用卡、考拉征信等诸多公司被纳入调查行列。随后，各大银行、支付机构开始了浩浩荡荡的自查自审工作，工作重点在于是否采用了来路不正规的数据源。

可以说，自2019年下半年开始，数据安全就成为了合规的重要风向，但是如何做到合规让很多机构、企业陷入了迷思，甚至于上述很多企业在被调查之后很长一段时间都不知道自己踩到了什么红线。

从《规范》全文来看，数据合规是一件非常复杂的事情。技术上，数据采集、传输、储存、使用、共享、转让、加工、汇融、开发测试、删除销毁都有严格的要求，需要一定的技术手段；管理上，业务设置、岗位设置、组织架构、制度建设也都有相应的要求，具体可参考《规范》第七章的内容。

这就要求机构、企业不仅仅要做到业务合规、产品合规，还要做到管理合规、制度合规，才能算是合规。合规的难度看上去提升了不少。

但银行卡检测中心相关负责人对移动支付网表示，《规范》的正式出台给金融业提供了个人金融信息保护的安全基线，一定程度上能够促进金融业产品和服务提供商合规成本的降低。重要的是严格按照《规范》落实相关义务，转变过去孤立的系统合规思维，建立整体性的数据治理意识。

2020年注定是个合规备案年，金融支付机构要完成等保2.0备案、金融App备案等工作，现在又多了《规范》的合规要求，但事实上细细一品，等保2.0备案、金融App备案与《规范》相辅相成，并不矛盾，在工作量上并没有给机构、企业过多的负担。

银行卡检测中心相关负责人认为，既要将《规范》作为行业要求指导数据合规工作开展，也要在我国法律法规的总体框架下加深对个人金融信息保护条款的理解，避免出现违规采集、使用、处理、存储个人金融信息违反《网络安全法》，甚至触犯《刑法》导致机构和高管都将为此承担法律责任。

中小型机构的情况应受到关注

从条款来看，《规范》对于非持牌机构以及金融大数据公司非常的不友好，根据《规范》，非持牌机构或将失去独立开展业务的能力。这不由得让人担心，是否会出现马太效应。马太效应（Matthew Effect）是指强者愈强、弱者愈弱的现象，反映的社会现象是两极分化，富的更富，穷的更穷。

以支付市场为例，目前中国移动支付市场属于两超一强的情况，支付宝和微信支付难分上下，银联云闪付迎头赶上，三家机构占据了中国移动支付90%以上的市场份额，剩下的一百多家企业喝汤都有点喝不饱。

《规范》实施之后，中小型支付机构因为技术实力的原因，在他们面前只有两条路：1、花大价钱，建立自己的合规、风控体系；2、由外界引进合规、风控体系。第一条路很明显难度巨大，而且建立了不一定能用；第二条路，由于数据行业的地震，以及《规范》的实施，中小型机构不免会丧失一部分议价能力，被大型机构割韭菜。

在金融行业也会出现类似情况。数据时代数据为王，有足够多的数据就可以产出足够好的方案、产品。但是有足够多数据的机构就那么几家，在无力自食其力的情况下，中小型机构难以避免自生自灭或者被割韭菜二选一的局面。

而随着2019年监管政策陆续出台以及市场风云变化，无论是支付行业、金融行业还是大数据行业中的中小型企业都相继面临着转型的问题，目前更是进入了转型前的关键时期。互联网金融、聚合支付等行业更是进入了下半场。

不可否认，中国的金融支付行业到了必须要下重手整治的阶段。互联网金融信马由缰的发展带来了714高炮、个人信息倒卖、暴力催收、撸口子、电信网络诈骗等等严重的社会问题。在支付行业也有盗刷、信息倒卖、资金二清、信息二清种种问题。

《规范》的出台能从根本上改善上述情况，重塑中国的金融支付市场，但是出现行业寡头必然是所有人都不能接受的情况。中小型机构甚至金融大数据企业如何在生态重塑的过程中找准自己的行业定位、完成浴火重生应当是行业关注的重点，这或许会决定未来中国金融支付市场生态是什么样子。

大步向前，永不停止

由于疫情的影响，目前中国大部分企业都还没有进入全面运转状态，《规范》的出台好像给所有业内人士提了个醒：生活还将继续，不要停止脚步。关于《规范》的解读、看法必然会越来越多，《规范》对于行业的影响也会慢慢显露。

可以预见，在接下来的几年内，《规范》都将被反复提起，因为合规从来不是一蹴而就。非持牌机构会如何转型、大数据企业能否继续生存、中小型机构又将如何找到自己的定位，这些问题都会由时间给我们答案。

在这段时间内，移动支付网会和业内所有人一起大步向前，永不停止，看2020年金融支付行业会发展成什么样子。欢迎读者对《规范》进行讨论，如有错误请留言斧正。

点击下载《个人金融信息保护技术规范》