既遵道而得路——个人金融信息保护的合规要点解读(上)
既遵道而得路——个人金融信息保护的合规要点解读(上)
在金融行业数据合规系列的开篇《举一纲而万目张金融数据的分类分级与全生命周期保护》中,我们讨论了如何搭建金融数据的分类分级框架,并在此基础上梳理了对金融数据进行全生命周期保护的合规要点。本系列第二篇将主要聚焦金融数据合规中的个人金融信息保护。个人金融信息保护属于个人信息保护领域、消费者权益保护领域及金融监管领域共同关注的议题,可能涉及的监管部门包括央行、银保监会、证监会等金融行业主管部门,网信办、工信部等网络与数据安全主管部门以及市场监督管理局等消费者权益保护主管部门;触及的合规义务主体包括传统金融持牌机构以及各类金融科技公司;具有业务场景复杂、合规要求交错综合等特点,是金融数据合规工作中的难点和重中之重。
为了帮助金融业机构进一步落实《个人信息保护法》(“个保法”)、《金融消费者权益保护实施办法》(“金融消保实施办法”)等相关规定中的个人金融信息保护要求、提升个人金融信息全流程处理的规范性,本篇将重点结合《个人金融信息保护技术规范》(“个金技术规范”)[1]介绍个人金融信息合规工作中的要点,并对如何进行个人金融信息资产梳理以及全生命周期保护提供建议。
一、个人金融信息的资产梳理
1. 个人金融信息的定义
在展开个人金融信息保护工作之前,首先需要明确何为个人金融信息。根据个金技术规范第3.2条,“个人金融信息”是指“金融业机构[2]通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”,具体包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。据此,个人金融信息不等同于个保法所提及的金融账户信息,个人金融信息范围显然要更加广泛。另外,根据个保法第28条敏感个人信息的定义及示例[3],个人金融信息也并不完全落入敏感个人信息的范畴,而需结合相关信息泄露的影响做综合判断。
2. 个人金融信息的分类分级
金融业机构进行个人金融信息资产梳理的核心是建立完善的、动态可调的分类分级体系。个人金融信息的分类规则较为明确,参考个金技术规范,金融业机构可以从“账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他信息”将个人金融信息粗分为7大子类,再进一步根据自身组织经营情况向下细分。在明确个人金融信息的分类后,金融业机构应当搭建个人金融信息的分级框架。依据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,个金技术规范将个人金融信息按敏感程度从高到低分为为C3、C2、C1三个等级,并示例了具体的个人金融信息等级供参考(如下表1所示):
表格1 个人金融信息级判断规则
点击可查看大图
我们理解,上述分级标准有助于厘清个人金融信息与个保法下的敏感个人信息的关系:首先,个金技术规范对于C2、C3等级信息的描述与个保法下个人敏感信息“一旦泄露或者非法使用,容易导致自然人的财产安全受到危害的个人信息”的属性基本一致,因此,宜将C2、C3级信息归入敏感个人信息,提高其保护合规标准,在处理此类信息时还需要注意遵循单独同意、进行个人信息保护影响评估等特殊处理规则。其次,对于C1级信息,由于其一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,但这种影响是否达到个保法上侵害自然人的人格或危害人身、财产安全的程度从而构成个人敏感信息,则需结合具体场景下判定。
最后,金融业机构在进行个人金融信息资产梳理和等级判定时还应当注意:
鉴于《金融数据安全 数据安全分级指南》(“金融数据分级指南”)提供了与【个金】技术规范具有融合性的金融数据的分类分级框架,而个人金融信息又属于金融数据,并且金融数据分级指南中提供的分级框架下的2至4级与C1、C2、C3级信息存在一一对应的关系,因此我们建议,金融业机构可以在金融数据资产清单对应的金融数据等级中嵌入个人金融信息模块,将个人金融信息融合进金融数据分级框架中进行一体化统筹管理,从而减轻需要分别管理多个数据资产清单的工作压力;
若干低敏感程度信息经过组合、关联和分析后可能产生高敏感程度信息,例如账户登录的用户名和动态口令均为C2级别信息,但如果两者经过组合、关联后可完成用户鉴别和登录,则产生的信息属于C3级的用户鉴别信息。金融业机构在从事此类行为后,应注意对相关个人金融信息重新进行分级;
同一信息在不同的服务场景中可能处于不同的级别,应依据服务场景以及信息在该场景下的作用,对信息等级进行场景化识别。
二、个人金融信息生命周期式保护的技术要求
从收集、传输、存储、使用再到删除和销毁,个人金融信息的生命周期的各环节设置与个保法、《金融数据安全 数据生命周期安全规范》等规定基本一致。基于不同的个人金融信息级别,个金技术规范提供了相应的技术和管理要求的参考,金融业机构可以参照相关要求,设计并实施覆盖个人金融信息全生命周期的安全保护策略。篇幅所限,我们仅在下表2中归纳了主要环节中的典型合规义务:
表格2 个人金融信息生命周期保护技术及管理要求示例
点击可查看大图
此外,个金技术规范还特别关注支付敏感信息,并在部分环节中针对性地设置了特殊合规义务。根据个金技术规范,“支付敏感信息”是指“支付信息中涉及支付主体隐私和身份识别的重要信息,具体包括银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN 和CVN2)、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息。”由于其敏感性,支付敏感信息一般属于C3级别的个人金融信息,因此,除适用上述C3级别信息处理的一般合规要求外,处理支付敏感信息时还需履行以下的特殊合规义务:
表格3 C3级中支付敏感信息的特殊合规义务
点击可查看大图
三、结语
数字化时代,金融业机构全面提高个人金融信息的保护能力不仅仅是更严监管态势下的必然要求,更是实现数字化金融转型的关键之处。金融业机构应当以网络数据安全及个人信息保护等法律为根基,以行业主管部门的相关规定为枝干,以国家标准为叶,落实个人金融信息的分类分级,并建立涵盖个人金融信息收集、传输、存储、使用、删除、销毁等各个环节的全生命周期的内控合规制度。
下篇预告
在厘清了个人金融信息的定义、分类分级规则以及全流程的生命周期保护基本要求之后,本章下篇将重点针对金融业机构日常业务开展的若干重要业务场景,为金融业机构提供更为生动具体、更具操作性的框架性合规建议。
[注]