中国银联发布《开放银行数据保护与合规研究报告》
移动支付网2021/12/29 10:48:01

近日,中国银联技术管理委员会发布《开放银行数据保护与合规研究报告》(下称“报告”)。报告梳理了开放银行场景中相关的数据合规性要求,探索发布一系列符合安全监管要求的开放银行数据处理策略和规则,促进开放银行生态建设,实现银行关键数据资产的安全共享与利用。

报告指出,开放银行指银行通过开放数据等形式与第三方机构合作,将银行服务嵌入各类生活场景的金融服务。

开放银行数据的4种主要使用场景

目前,在开放银行实践中,主要的数据使用场景大致可分为四类:

1、“政务+银行”,由政府主导开放电子政务数据资源,银行利用政务数据提升金融服务水平,提供普惠金融服务,推动数字政府的建设。例如,某银行与某地交警合作开发交通罚款缴费工具,提供认证、资金结算等服务。

2、“银行组织、联盟、协会或银行+银行”,在银行联盟、行业协会或银行之间开展数据合作。例如,多家银行将接口接入统一的开放银行平台,进行数据共享。

3、“企业+银行”,企业和银行之间进行数据合作,银行利用企业的社交、消费、生活等行为数据为金融服务提质增效;企业利用银行资金渠道拓展业务领域,双方相互促进各自业务发展。例如,某银行向停车场和地铁提供商户运营、账户管理、资金结算、网络融资等服务。除此之外,企业还可以将开放银行的服务纳入企业管理和商业运营。例如,某银行为企业提供员工工资结算、投资理财、网络融资等服务。

4、“社会服务+银行”,银行利用医疗、教育等社会服务行业进一步开放数据,将开放银行嵌入社会的各个领域,帮助行业从业者获得一站式的支付解决方案。例如,某银行与医院合作,为医院提供对公综合金融服务,提供包括身份认证、费用收缴、资金结算等多种服务。

在开放银行生态圈中,涉及作为数据主体的客户、银行、第三方、技术信息转接机构等各方参与者。

其中,银行是个人金融信息的控制者,是有权决定个人金融信息处理目的、方式等的机构;技术信息转接机构是指伴随着开放银行业务发展起来的管理类组织,主要负责制定统一的接口和安全规范、建设和更新服务目录,对开放银行参与方(银行、第三方)进行注册及管理,和对服务参与方身份验证、权限设定,及证书、密钥的管理。此外,技术信息转接机构也提供相应的测试服务以帮助接口和服务的落地。技术信息转接机构本身不参与具体银行业务或账户管理,仅负责数据和信息的传输。

开放银行的6个基本数据原则

报告也强调,开放银行的主旨和核心在于数据和服务的开放和共享。因此,报告介绍了开放银行的数据原则,数据收集、使用、传输、存储等过程的合规要求、注意事项、技术支持方案等。

开放银行的数据基本原则指的是数据处理者在数据生命周期的各阶段进行各种数据处理时均应遵循的根本准则,即合法性、公开明示、知情同意、最小够用、数据安全与可问责性、准确性六大原则。

其中,信息收集是个人金融信息生命周期的第一个环节,指获得信息的控制权的行为。

对第三方收集信息,要进行有效管理和控制,包括事前审核、事中监督、事后处理。

事前审核方面,对第三方设立恰当的准入门槛。报告建议,参考英国《开放银行标准》(The Opening Bank Standard)的做法。根据该标准,英国采用“白名单”的方式确定“开放银行”的参与机构。国内开放银行可考虑成立行业联盟,并由联盟确定第三方的评估标准和方式。对符合评估要求的第三方开放服务,并允许其收集信息。

其次,对已确定可以进入开放银行生态系统的第三方的具体应用场景,建议采用“多岗审核制”,在第三方通过开放银行的接口收集信息前,要求其提交收集的范围和目的,并由技术、法务、风险控制等部门对其安全性和必要性进行审核。除此之外,还建议继续使用与第三方签署承诺书或数据协议的方式,在承诺书或协议中要求第三方按照法律规定和协议收集数据并明确第三方违规的责任。

事中监督方面,报告建议建立线上管理系统,对第三方已获授权的收集范围进行管理和记录。可以要求第三方提供数据来源合法的证明文件、要求第三方定期披露信息收集的情况并进行追踪记录,发现超出法律规定和协议约定范围的及时采取措施。

其次,要求第三方遵守“三重授权原则”,即“用户授权”+“平台授权”+“用户授权”。开放银行直接收集用户数据时需获得用户授权,第三方开发者通过开放银行API接口间接收集用户数据的,还需获得开放银行授权并再次获得用户授权。授权协议应告知数据主体授权的对象具体为哪个平台/公司的何种服务、授权的起止时间、授权范围、授权可能产生的结果等信息。

最后,可通过一定的技术方案控制第三方可以获得的信息。建议对于敏感信息,采用强制性页面跳转,当数据主体在第三方合作者的平台上输入信息时,强制跳转到开放银行的界面,使第三方无法接触原始信息。

事后处理方面,报告建议对违规或违约收集信息的第三方进行降级处理,限制其与开放银行的合作。另外,可以考虑建立行业联盟,联盟成员可以分享违规或违约第三方的名单,提示其他银行对该第三方进行更严格的事前审核。

通过组织建设,支持开放银行数据共享、存储

同时,银行可以通过制度、组织机构建设,加大对数据共享、传输等阶段的支持。

进行数据共享的个人金融信息控制者,应建立安全制度体系,包括建立个人金融信息保护组织架构,制定个人金融信息安全影响评估制度,归档保存安全评估报告等。

在安全制度体系建立方面,首先,数据控制者应完善组织机构建设,成立专门的数据安全管理团队,指定明确的安全保护负责人,自上而下建立从领导层面至基层的管理组织架构,包括决策层、管理层,执行层和监督层;其次,完善技术手段,结合具体业务场景,建立围绕数据安全生命周期的安全防护体系,实现数据安全的自动化落实;最后提升人员数据安全管理能力,根据内部参与人员的角色,培养内部人员的安全意识、安全能力等。

数据存储方面,银行内部应由业务团队相关人员根据实际业务需求,负责执行存储媒体安全管理工作。该相关人员应当熟悉存储媒体安全管理的相关制度要求,并在技术上能够理解和熟悉不同存储环节的合规要求。

点击下载《开放银行数据保护与合规研究报告


展开全文
相关阅读
资讯查询取消