近日，中国银联技术管理委员会发布《开放银行数据保护与合规实践案例报告》，指出开放银行的主旨和核心在于数据和服务的开放共享，是商业银行数字化转型的重要组成部分。

该报告作为2021年发布的《开放银行数据保护与合规研究报告》续篇，收集了9家商业银行10个具有典型意义并取得积极成效的开放银行数据保护实践案例，据现状提出政策、标准、技术研究的完善建议，进一步有效推进开放银行生态建设。

其中，为了更好的发挥开放银行落地案例的指引作用，该报告基于2021年报告以及报告发布之后的重点法规进行了更新，对数据报告策略和合规要求进行了总体性回顾和系统梳理。

开放银行数据保护合规要求总体原则

该报告指出，开放银行的数据处理基本原则指的是数据处理者在数据生命周期的各阶段进行各种数据处理时均应遵循的根本准则，是指导监管机构制定规范、进行管理以及开放银行进行具体数据处理行为的纲领。根据《民法典》《个人信息保护法》《数据安全法》《网络安全法》等法律规范，开放银行数据处理者需遵循合法性，公开明示，知情同意，最小够用，数据安全与可问责性，准确性六大原则。

2022年12月，原中国银行保险监督管理委员会发布《银行保险机构消费者权益保护管理办法》，明确银行保险机构处理消费者个人信息，应当坚持合法、正当、必要、诚信原则，切实保护消费者信息安全权，整体上符合上述六大原则。

数据收集合规

信息收集指获得信息的控制权的行为。根据《个人信息保护法》《个人金融信息技术保护规范》《网上银行系统信息安全通用规范》等法律法规，信息收集者应制定并公开收集规则，保证个人信息主体对收集的知情和同意，对特殊信息的收集采取特殊收集方式、遵守特殊规定。

具体来说，首先，在收集规则方面，在规则中明确收集目的，方式及范围，收集需合理且限于实现目的的最小范围，一般情况下，最小范围指“直接关联、最低频率和最小数量”。

其次，在获得信息主体同意方面，应以信息主体能理解的语言告知其收集者的身份、联系方式、收集目的、收集方式等内容。对于个人敏感信息，除上述告知内容外，还应当向个人告知收集敏感信息的必要性，并获得个人的单独同意。对于不满14周岁的自然人信息，除应取得其监护人同意，还应制定专门的个人信息处理规则。

再次，在收集方式方面，一般原则是收集个人信息应采用对个人权益影响最小的方式，并保证收集个人信息过程的安全性。特殊信息的收集则应遵守特别规定，例如对于C3类别信息，要使用加密等技术措施保证数据的保密性，防止其被未授权的第三方获取。最后，在停止收集方面，在用户不再使用某服务，或当个人信息控制者停止运营其产品或服务时应当停止收集。

数据使用合规

根据《个人金融信息技术保护规范》，数据使用是指对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。根据《个人金融信息技术保护规范》等要求，数据使用前要对数据进行甄别，征得个人信息主体同意，对数据进行脱敏处理，以共享形式使用数据的数据控制者还应建立相应安全制度体系。

具体来说，在数据使用前，应先对数据是否能够进行使用进行甄别，剔除如动态口令等敏感级别较高的信息。在使用个人金融信息时，要征得个人金融信息主体明示同意，履行告知义务，并且采用去标识化等手段对数据进行脱敏处理，不使用未经处理的原始数据。此外，进行数据使用的个人金融信息控制者应建立安全制度体系，如个人金融信息控制者向第三方共享个人金融信息的，应对第三方对数据的使用情况、数据保护能力等进行审查与评估。对于委托处理，即金融业机构因金融产品或服务的需要，将收集的个人金融信息委托给第三方机构（包含外包服务机构与外部合作机构）处理时，需注意委托行为不应超出已征得个人金融信息主体授权同意的范围，并准确记录和保存委托处理个人金融信息的情况。对于C3以及C2类别信息中的用户鉴别辅助信息，不应委托给第三方机构进行处理。对第三方机构进行监督的方式包括但不限于签署合同规定第三方的责任和义务，对第三方展开安全检查、评估和审计，对第三方嵌入或接入的自动化工具（如代码、脚本、接口、算法模型、软件开发工具包等）开展技术检测等。

数据传输合规

数据传输指按照一定的规程，通过一条或者多条数据链路，将数据从数据源传输到数据终端。根据《个人信息保护法》《个人金融信息技术保护规范》《信息安全技术数据安全能力成熟度模型》等要求，对于境内数据传输，金融机构使用公共网络传输C2、C3类信息时应使用加密通道或数据加密的方式进行传输，作为网络运营者的金融机构应对网络进行可用性管理，保证网络稳定运行。向境外传输数据则需要满足更高的合规要求，例如需要向个人信息主体披露境外接收方的情况并获得单独同意，向网信部门申报数据出境安全评估和网络安全审查，或者按照网信部门的规定进行个人信息保护认证，或者根据《个人信息出境标准合同办法》与境外接收方订立合同等。

对于数据跨境传输，个人金融信息如果确需向境外提供的应当获得个人金融信息主体明示同意，开展个人金融信息出境安全评估等。

2021年12月，国家互联网信息办公室等发布《网络安全审查办法（2021）》（《审查办法》），规定了应当向网络安全审查办公室申报网络安全审查的情形，申报网络安全审查应提交的材料，审查中重点评估的风险因素等。2022年7月，国家互联网信息办公室发布《数据出境安全评估办法》（《评估办法》），规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。《评估办法》提出了数据出境安全评估的具体要求，规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外，还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。

2022年6月，全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》，在2022年12月发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》，为个人信息保护认证制度提供了法律依据，明确了适格的申请认证主体，认证申请的具体要求，个人信息主体的权利以及相关方的责任义务等。

2022年11月，国家市场监督管理总局，国家互联网信息办公室发布《个人信息保护认证实施规则》，指出认证采取“技术验证+现场审核+获证后监督”模式。

2023年2月，国家网信办发布《个人信息出境标准合同办法》（《合同办法》），自2023年6月1日起施行，适用于个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向中华人民共和国境外提供个人信息的情形。《合同办法》对订立标准合同的个人信息处理者的主体要求、个人信息保护影响评估、标准合同的格式和条款、标准合同生效后的备案、标准合同的补充或重新订立、网信办及其工作人员的职责等进行了规定。此外，《合同办法》还公布了《个人信息出境标准合同》，对标准合同的内容和具体条款进行明确，除签订合同的双方主体信息外，还包括相关概念的定义、个人信息处理者的义务、境外接受方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利、救济、合同解除、违约责任以及其他共九条内容。《合同办法》明确，个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲突。

数据存储合规

数据存储指银行在提供金融产品和服务、开展经营管理等活动中，将数据进行持久化保存的过程，包括但不限于云存储服务、网络存储设备等载体存储数据。根据《个人信息保护法》《网络安全法》《信息安全技术个人信息安全规范》等法律法规，数据储存首先应保证数据安全，满足所储存数据的“保密性、完整性、可用性”。此外，个人金融信息存储还应满足“本地化”存储要求，数据分类分级存储要求，存储期限最小化要求和去标识化后存储要求。

对于金融行业的云计算数据，还提出了云计算数据中心物理隔离，云服务商以资源控制范围定责原则（由金融机构先承担网络安全等责任，如相关云服务商对云计算环境安全有责任的，金融机构可追偿），对金融行业关键信息基础设施重要系统和数据库进行容灾备份的监管要求。

（本文摘编自中国银联技术管理委员会2023年5月发布的《开放银行数据保护与合规实践案例报告》）

点击下载《开放银行数据保护与合规实践案例报告》