解读《个人金融信息技术保护规范》
近年来,随着大数据产业的蓬勃发展,“金融+科技”的商业模式持续获得市场青睐。金融机构基于身份认证、反欺诈等不同需求,也促使了大数据技术在金融业务中的应用。随着金融与信息科技的不断融合,个人信息在新的金融产业链中的应用场景和流转范围逐步突破传统认知,如何在金融业新业态下保护消费者的个人信息引发立法和执法部门的关注。2019年,监管部门不仅出台一系列的政策新规,还从不同维度开展多项治理活动。其中,过去一年中对于“套路贷”、非法催收等不法行为的专项查处活动,使得个人信息保护成为金融业产业链的合规重点问题。
此前中国人民银行(以下简称“央行”)和我国其他的金融行业监管机构已经在不同的文件中提出过对个人金融信息保护的要求,相关文件可参考下表:
在上述背景下,央行和全国金融标准化技术委员会(以下简称“金标委”)于2月13日发布了《个人金融信息保护技术规范》(以下简称“《规范》”)。《规范》主要从安全技术和安全管理两个维度,对收集、传输、使用、存储、共享、删除、销毁等各环节中的个人金融信息保护提出细致的要求,结合金融行业监管的特色,亦不乏对以《网络安全法》为基础的个人信息保护法律法规体系的创新和有益探索。
从效力上看,《规范》属于推荐性行业标准,本质上属于对本行业企业在个人金融信息保护方面的建议。但在实践中,我们不排除《规范》会成为监管机构在监督检查或开展执法活动时的重要参考依据,因此,《规范》对有关企业仍然具有比较强的指导意义。
本文就将简要分析《规范》中的亮点,并以精选问答的形式探讨其对相关领域的企业可能产生的影响。
问题一:我的企业处理什么类型的信息需要参考《规范》的要求?
为了对个人金融信息的全生命周期环节建立安全防护规范,《规范》界定了两大核心概念:“金融业机构”与“个人金融信息”。根据《规范》的规定:
“金融业机构”包括两类机构,一类是由国家金融管理部门监督管理的持牌金融机构,另一类是涉及个人金融信息处理的相关机构;[1]
“个人金融信息”系指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。[2]
就主体范围而言,结合金融行业的实践,我们理解,“金融业机构”在现实中除了(1)传统的持牌金融机构,还可能包括(2)为持牌金融机构业务提供基础支持服务而需要处理个人金融信息的企业,例如提供身份验证服务的电信服务商、信息技术提供商、风控服务解决方案提供商、市场营销服务提供商等。相较于对主体的概念界定,《规范》适用于“提供金融产品和服务的金融业机构”,这一适用范围似乎并未明确涵盖前述第(2)类机构(例如,涉及个人金融信息处理的云服务提供商)[3]。
就企业合规而言,考虑到《规范》对“金融业机构”、“个人金融信息传输的接收方”(第6.1.2条e项)、“第三方机构(包含外包服务机构与外部合作机构)(第6.1.4.4条)”等主体也设置了相应的合规义务,且从《规范》全面保护“个人金融信息”的编制目的出发,我们建议落入“金融业机构”的企业均应参考《规范》开展合规工作,对企业运营过程中涉及个人金融信息处理的环节进行对照自查,并在商业可行的范围内参照落实。
就客体范围而言,《规范》中“个人金融信息”的概念与《实施办法》中“个人金融信息(即金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息)”的概念较为相似,范围较为宽泛。虽然《规范》第4.1条并未明确广泛地列举“个人常用设备信息(如IMEI、MAC地址、IDFA、软件列表等)”、“个人上网记录(如网站浏览记录、软件使用记录、点击记录等)”和“个人位置信息(如行踪轨迹、精准定位信息等)”等《个人信息安全规范》附录所明确列举的个人信息,但是《规范》仍然可以通过该条g项的“在提供金融产品与服务过程中获取、保存的其他个人信息”进行兜底规范,甚至可以基于前述个人信息的识别性将其视为C2类别的个人金融信息(即其他能够识别出特定主体的信息)。
考虑到通过移动设备提供金融产品与服务已成大势所趋,设备信息与行为信息在客户身份识别、市场营销、反欺诈与风险控制等领域的使用亦日渐普及,因而在根据《规范》落实合规工作的过程中,金融业机构应当及时梳理提供产品与服务中涉及处理的所有个人信息,而不应仅仅限于《规范》明确列举的信息类型,并参照《规范》第4.2条对该等信息进行分级分类,继而相应落实合规要求。
问题二:我的企业如何遵照《规范》开展整体合规,大致有那些步骤?
就整体架构而言,《规范》在参考《个人信息安全规范》的基础上,先行对“个人金融信息”的范围和类别进行了梳理,继而从“安全技术要求”和“安全管理要求”两个维度详细地阐述了金融业机构在处理个人金融信息时需要遵循的规则。相应地,这一架构也在一定程度上为金融业机构开展内部合规提供了基本的思路和策略。
【企业建议】企业在根据《规范》开展合规工作时,应率先进行个人金融信息的统计与整理。具体而言:
企业既需要从静态的数据类型与内容出发,识别自身日常经营过程中所涉及的个人金融信息,按照《规范》中“C1、C2、C3”的级别进行数据等级划分,并尽可能使之与企业内部既存的数据资产分级得以衔接和协调;
企业也需要从动态的数据生命周期出发,进一步识别个人金融信息的“收集、传输、存储、使用、删除、销毁”等环节,为后续合规奠定事实基础。值得企业注意的是,在进行动态统计与整理时,企业不仅应该关注个人金融信息在内部的流转,更要关注该等信息在企业内部与外部第三方之间的流转,以避免遭遇来自外部的传递式风险。
另一方面,企业需要从技术安全和管理安全两个角度,同步开展安全合规,并需要关注《规范》“增强版”的合规要求,例如:
《规范》结合个人信息保护与金融行业的特点,创新性地对“个人金融信息销毁”(第6.1.6条)、“汇聚融合”(第6.1.4.6条)与“开发测试”(第6.1.4.7条)等新环节提出了要求;
《规范》在现有规则的基础上,针对个人金融信息的保护拟制了更为严格的要求,例如严格限制C2与C3类别信息的收集渠道(第6.1.1条),禁止C2类别信息中的用户鉴别服务信息与C3类别信息的共享与转让(第7.1.3条),要求建立个人金融信息保护制度体系,并明确列举应当制定的管理规定和开展的管理活动(第7.2.1条)等。
因此,在这一过程中,企业将需要着重关注《规范》所拟定的合规要求与既存合规义务的衔接,尤其是网络安全体系下的《网络安全法》、《个人信息安全规范》与《网络安全等级保护基本要求》等关于个人信息保护和网络运行安全的规定,以及金融监管体系下的央行17号文、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》与《中国人民银行金融消费者权益保护实施办法》等关于个人金融信息保护的相关要求。
问题三:个人金融信息的分级分类和相关要求有哪些?
【新增规定】《规范》首次在普遍意义上明确了个人金融信息的分类分级体系。据报道,《规范》早前版本为《支付信息保护技术规范》,其中将支付信息按敏感程度从低到高分为四级;而正式出台的《规范》则在一定程度上简化了分级体系,将个人金融信息按敏感程度从高到低分为C3、C2、C1三类。其中:
C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害;
C2类别信息主要为可识别特定用户身份与金融状况的个人金融信息,及用于金融产品和服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害;
C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。
【企业建议】事实上,《规范》也承认上述“静态”的定级规则需要结合实际情况进行具体判断:一方面,“同一信息”在不同的服务场景中可能处于不同的类别;另一方面,低敏感程度类别的信息经过组合、关联和分析后可能产生高敏感程度的信息(例如,C2类别的用户鉴别辅助信息与账号结合使用可直接完成用户鉴别的,则属于C3类别信息)。因此,如前文所述,企业应当从静态的数据类型与内容出发和动态的数据生命周期两个维度开展个人金融信息的梳理,以免有所遗漏。
【业务影响】鉴于在《规范》的分级体系下,C3类和C2类由于敏感程度较高,金融业机构在处理C3和C2类别信息时,需要承担相较于处理C1类别信息更为严格的合规要求。换言之,位于产业链不同环节的金融业机构将可能需要根据《规范》的要求调整、优化自身的商业模式(尤其是基于“委托处理”模式为金融业机构提供服务的企业,具体详见对问题五的分析和建议)。
问题四:我的企业主要从事To B型业务,什么情形下的处理个人金融信息无需征得用户授权同意?
【新增规定】在《个人信息安全规范》征得授权同意收集、使用个人信息的例外情况的基础上,值得注意的是《规范》结合金融行业的业务实践定制了“用于维护所提供的金融产品或服务的安全稳定运行所必须的,例如识别、处置金融产品或服务中的欺诈或被盗用等”进行的个人金融信息收集使用无需征得个人金融信息主体授权同意的情形[4]。
【业务影响】实践中,不排除存在个人金融信息主体主观意志上不愿意授权金融业机构在反欺诈、身份验证等场景下采集并使用其个人金融信息,从而导致企业无法按照正常业务的合规逻辑规避可能的业务风险。因此,此次新增的例外情形能够在一定程度上增强企业基于客户身份识别、反欺诈等业务办理所必需却难以获得用户授权同意收集使用信息时的合规依据支持。
值得注意的是,尽管《规范》在一定程度上体现出金融行业监管者在个人金融信息保护上的监管态度与思路,但是考虑到《规范》属于金融行业推荐性标准,其中的例外规定并不必然能够突破《网络安全法》等强制性法律法规规定中的原则性要求。
【企业建议】为此,金融业机构可提前考虑结合《规范》中的相关规定:
梳理与新增例外情况相关的业务,对于确实难以征得客户授权同意的,需规划和完善面对公众和监管者的应对话术和宣传策略;
由于个人金融信息的对外共享并未增加如采集使用类似的例外情形,同时也为了避免个人信息非法买卖的风险,在未获得用户授权同意的前提下,金融业企业仍然需谨慎与第三方共享与客户反欺诈或反黑产相关的黑名单信息等;
仍需注意个人金融信息采集使用的必要性和正当性,对于个人金融信息的采集类型和频率应当与办理金融业务的风险大小相匹配,且应为实现目的最小范围。
问题五:我的企业在个人金融信息委托处理上需要注意什么?
《规范》在委托处理个人金融信息的实践上,提出了较为严格的合规要求,除个人信息保护中常见的合同约定各方权责义务、要求被委托者不得超范围使用、准确记录等要求以外,还进一步提出了更多的技术要求,主要包括:
1.对数据委托收集的主体限制
【新增规定】《规范》要求金融业机构不应委托或授权无金融业相关资质的机构收集C3、C2类别信息[5]。
【业务影响】考虑到《规范》对于C3、C2类别信息的定义十分宽泛且目前有关“金融业相关资质”的定义未有明确规定,该新增规定可能导致许多非持牌机构在金融信息的收集环节上需要有所调整,例如可能不再能在业务前端代表金融业企业采集客户KYC、借贷等相关信息。[6]
【企业建议】建议非持牌机构视具体情况调整业务模式,采取替代方案以避免基于金融机构客户的委托对个人金融信息进行直接采集或使用。例如,非持牌机构是否可以考虑发展面向终端消费者(To C)的相关业务。
2.对委托处理数据的限制
【新增规定】对于个人金融信息的委托处理而言,《规范》相对《个人信息安全规范》新增的要求主要包括:
1)C3类和C2类中的用户鉴别辅助信息,不应委托给第三方处理(第6.1.4.4.条b项);
2)应对委托处理的信息采用去标识化(不应仅使用加密技术)进行脱敏处理(第6.1.4.4.条c项);
3)应对外部嵌入或介入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测,并对第三方的收集个人金融信息行为开展审计,发现超出约定行为及时切断接入(第6.1.4.4.条f项)。
【业务影响】
首先,对于某些金融业企业的外部合作机构而言,其产品和服务的提供可能必须基于明文的C3类和/或C2类中的用户鉴别辅助信息,如目前接受银行等金融机构委托进行身份核验等的助贷企业,可能必须以客户身份三要素(如姓名、身份证号和手机号码)的获取为业务开展的基础,依据目前的要求,非持牌机构可能难以再获得明文的上述个人金融信息,因此业务模式可能面临重新调整的需要。
其次,严格按照《规范》规定来看,金融企业客户在选择业务和服务的外包方时,将可能不再仅要求对于产品和服务的合规性和业务逻辑进行说明、承诺,还可能需要进一步地针对自动化工具开展技术检测,并对基于委托收集个人金融信息的行为进行审计。
【企业建议】
对于个人金融信息的被委托方而言,为避免不同合作方的反复检测和自证,同时合理考虑委托处理环节的脱敏处理要求,建议:
1)考虑采用本地化部署和交付等方式为金融企业客户提供相关产品或服务,通过由客户自行掌握相关服务系统的方式,避免SaaS服务模式下处理禁止委托处理的信息、或者针对被委托处理信息的频繁、多方技术检测成本;
2)有必要时,自行开发面向金融企业客户的技术工具,用于客户全方位了解和掌握相关服务系统运行情况和安全保障状况;
3)如有可能,尽早考虑新的系统架构模式,确保去标识化处理后映射信息仅在客户本地保留,被委托方系统仅对去标识化后不可回溯个人金融信息主体的数据进行处理、分析,进而为客户提供数据分析能力和算法模型构建能力。
对于个人金融信息的委托方而言,为了避免向第三方委托处理禁止性信息、保证数据委托处理的合规性,建议:
1)提高自身的技术研发能力,尤其对于禁止委托处理的信息(如用户鉴别用途的个人生物识别信息),尽量使用自身技术予以处理以满足业务经营的需要;
2)建立对于自动化工具应用的全流程管控制度,包括接入前的合规和技术评估、定期审计和应急处理机制等。
问题六:什么时候需要应用去标识化和屏蔽技术?
【新增规定】
纵观对金融业机构处理个人金融信息的合规要求,“安全防护”可谓是《规范》的核心要求,无论是技术要求还是管理要求,都无不体现着监管机构对个人金融信息的安全追求,包括但不限于加密技术在个人金融信息存储与传输环节的应用,身份鉴别和认证技术在个人金融信息使用与传输环节的应用,监控与审计技术在个人金融信息共享、转让和委托处理环节的应用等。
其中,“屏蔽”、“匿名化”与“去标识化”等脱敏技术的应用,将可能是对企业合规处理和有效利用个人金融信息最为关键的技术之一。《个人信息安全规范》目前主要对“去标识化技术”的使用进行了概括性的规定。[7]相较而言,《规范》则在个人金融信息的多个生命周期环节中,明确要求金融业机构适当采用脱敏技术,以提升个人金融信息的安全并降低泄露的风险。例如:
收集:引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施(第6.1.1条);
信息展示:对通过各类业务界面或后台管理和业务支撑系统展示的个人金融信息,应采取信息屏蔽等处理措施(第6.1.4.1条);
共享和转让:支付账号及其等效信息在共享和转让时应使用支付标记化技术(按照JR/T 0149-2016)进行脱敏处理(第6.1.4.2条);
委托处理:对委托处理的信息应采用去标识化等方式进行脱敏处理(第6.1.4.4条);
开发测试:开发环境、测试环境应使用虚构的或经过去标识化脱敏处理的个人金融信息(第6.1.4.7条);
安全制度体系建立与发布:建立个人金融信息脱敏管理规范和制度,应明确不同敏感级别个人金融信息脱敏规则、脱敏方法和脱敏数据的使用限制(第7.2.1条)。
从有效利用的角度看,我们也注意到,《规范》针对经脱敏的个人金融信息可能也给予了一定的技术空间。例如,共享、转让经去标识化处理(不应仅使用加密技术)的个人金融信息,且确保数据接收方无法重新识别个人金融信息主体的,将可无需向个人金融信息主体告知共享、转让的相关信息,亦无需事先征得个人金融信息主体明示同意(第7.1.3条),这一操作即允许金融业机构在对个人金融信息进行“有针对性的匿名化处理”后,适当地降低合规负担。
【企业建议】
金融业机构在根据《规范》落实合规工作时,可以考虑综合参考《规范》附录A“信息屏蔽”、《支付标记化技术规范(JR/T 0149-2016)》以及《个人信息去标识化指南》等技术指引,进行与相关个人金融信息敏感级别相符的脱敏处理。
实践中,某些金融技术服务提供商由于不具备“金融业资质或牌照”,因而可能将缺乏在个人金融信息采集端的合作机会,而即便是以委托处理作为切入点,前述的技术服务提供商可能仍需承担极为繁重的合规义务。那么,在上述第7.1.3条的指引下,合规承担能力相对有限的技术服务提供商可能需要考虑以技术能力输出为原则,在去标识化、匿名化技术的帮助下协助金融业机构开展数据分析与模型构建。即便这种模式可以成立,金融业机构与技术服务提供商也仍需解决一个现实性的前提问题:如何采用技术手段确保脱敏处理的充分性,并以有效的形式呈现这种充分性。
问题七:我的企业是否可以不删除个人金融信息?
对于超过必要期限处理的个人金融数据而言,《规范》针对不同的场景提出了“删除”和“销毁”两种处理方式。
1.删除个人金融数据的要求
【新增规定】
依据《规范》的要求,当属于以下两种情况之一时,金融业机构可以采取技术手段,仅在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问的状态(换言之,无需进行彻底的物理删除):
1)个人金融信息主体的处理超出授权使用目的所必需的最短时限;
2)响应个人金融信息主体要求删除其个人金融信息的请求。[8]
【业务影响】
尽管目前《网络安全法》未对个人信息的“删除”予以明确定义,本次《规范》在“删除”的定义上与《个人信息安全规范》的口径基本保持一致,对于需要多次重复使用同一个人金融信息和/或其衍生信息的金融业机构而言,进一步增强了长期留存数据的合法依据支持,降低了重复采集和汇总分析个人信息的成本。从技术角度看,这一界定也能够避免在大型业务数据库中彻底物理删除特定数据字段对数据库结构造成的影响,在一定程度上为企业降低技术维护成本。
【企业建议】
对于金融业企业尤其是开展多项金融业务的集团公司而言,为了避免各业务条线重复采集、处理数据可能产生的成本,建议:
1)梳理各业务条线需要重复使用的个人金融数据和衍生信息情况,并予以统一存储和管理;
2)对于超出授权使用目的所必需最短时限的上述信息移至冷库,当新的业务触发用户的重新授权同意时,予以再次调用。
2.个人金融数据的留存和销毁要求
【新增规定】
《规范》对个人金融信息的销毁同样采取了较为严格的口径,尤其针对金融业机构委托、外包或与第三方合作开展个人金融信息处理的情况:
1)因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(含外包服务机构与外部合作机构)处理的,“在委托关系解除时(或外包服务终止后),受委托者应按照金融业机构的要求销毁其处理的个人金融信息”(第7.1.3条c项);
2)金融业机构应建立外包服务机构与外部合作机构管理制度,其中包含“通过协议或合同的方式,约束外包服务机构与外部服务机构不应留存C2、C3类别信息”(第7.2.1条g项)。
【业务影响】如严格按照《规范》要求分析,作为金融机构的服务商/外部合作机构,将可能难以留存C2、C3类别信息,考虑到C2和C3类别可能包含关键的个人金融信息类型,将可能对业务实践和数据留存情况提出较大的合规性挑战。
【企业建议】
对于进行身份核验、反欺诈等业务的技术服务提供商而言,可能需要考虑以本地化部署方式提供相关产品、服务系统,以实现个人金融信息不出金融机构的前提下的算法、模型等技术能力输出。此外,对于无法采用本地化部署提供的产品、服务而言,在可行且必要时,公司应考虑通过技术积累、算法积累等方式逐渐摆脱对个人金融信息及其衍生数据的留存依赖,以尽可能适应《规范》下的严格要求。
问题八:我的企业中不同业务线的数据能否打通,是否能够在行业内将个人金融信息打通?
【新增规定】
2015年,《国务院关于印发促进大数据发展行动纲要的通知》(国发,〔2015〕50号)发布,首次提出“推动跨领域、跨行业的数据融合和协同创新”。至此,推动不同领域的数据融合应用(特别是大数据融合应用)受到政府高度重视。本次《规范》是在金融领域首次提出对于个人金融信息汇聚融合的明确要求(第6.1.4.6条):
1)汇聚融合的数据不应超出收集时所声明的使用该范围。因业务需要确需超范围使用的,应再次征得个人金融信息主体明示同意;
2)应根据汇聚融合后的个人金融信息类别及使用目的,开展个人金融信息安全影响评估,并采取有效的技术保护措施。
【业务影响】
随着普惠金融和大数据产业的发展,打破数据孤岛、实现产业链的数据汇聚融合成了业务办理、打击网络黑产以及发挥数据商业化价值的必然要求。例如,对于银行信用信息缺失或者资质较差的弱势群体而言,金融业企业可能需要从除了央行征信以外的自身各业务条线、以及其他第三方渠道尽可能获取其信用相关信息,并最终形成个人征信画像以实现业务风控目的。
本次《规范》的要求体现了行业监管部门对于数据汇聚融合作为热点问题的重视,未来针对该问题预计会出现更加深入和完善的规定。企业在汇总分析个人金融信息之前可能需要从合法、正当和必要性方面梳理存在的问题,并设计与业务开展相匹配的数据汇聚融合模式。
【企业建议】
从广义而言,数据的汇聚融合可能包括:(1)同一公司内部不同业务线的数据共享;(2)同一集团内不同关联企业间数据共享;(3)与集团外第三方的数据共享。企业数据汇聚融合是需要技术部门、法律合规部门与产品部门通力协作、集团内部关联公司达成共识、商业逻辑和合规框架并存的大工程,需要公司领导统一思想、大力支持才能完成。针对数据融合的常见问题,建议金融业机构采取以下几方面措施:
1)原始数据溯源及合规:以普遍适用的法定义务合规性为评估起点、结合所处行业的监管要求对数据的收集、使用、存储和共享等全生命周期的对存量数据的产生/收集过程和利用方式的合法合规性进行评估;
2)数据分级分类:数据分级分类是评估数据的安全性和合规性的重要方法,也为数据融合项目中应用原始数据范围的确定提供了参考;
3)数据承接主体选择:,通过设立数据中台作为大数据资产层、设立独立的科技子公司等形式承接来自各关联企业的数据;
4)商业模式搭建:基于对数据融合与集团原有业务的关联性、数据价值的商业化利用和技术能力等因素考虑,选择C(控制者)-P(处理者)、C(控制者)-C(控制者)模式,甚至更为复杂的C(控制者)-P(处理者)+C(控制者)等模式等开展数据汇聚融合;
5)保证多主体对于数据融合变现的利益:约定参与各方对于数据融合变现的利益,以维系整个商业模式的良好平稳运转。
有关数据汇聚融合的具体分析,可参见“《数”年快乐——万字长文说“数据融合”》一文。
问题九:我的企业业务场景中可能存在跨境的情况,个人金融信息的跨境传输应该怎么办?
【新增规定】
对比《网络安全法》中关键信息基础设施的运营者对个人信息和重要数据进行本地化存储的规定,《规范》对于金融业机构个人金融信息本地化政策的要求更为严格。相比之下,《规范》更清晰地参考了央行17号文[9]和《实施办法》[10]中的意见,要求所有金融业机构“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息”都应在境内存储、处理和分析。[11]
跨境合规义务方面,《规范》在《网络安全法》拟制的“业务需要+用户授权同意+安全评估”基本模式基础上,额外增加了应与境外接收方通过签订协议[12]、现场核查等方式,明确并监督接收方的若干职责义务,体现了与《个人信息出境安全评估办法(征求意见稿)》相似的监管思路[13]。
【业务影响】
如前所述,落入“金融业机构”的企业都需要参考《规范》开展合规工作。
由于央行17号文和《实施办法》早在数年前就已先后强调了金融机构应当在我国境内存储个人金融信息或消费者金融信息,《规范》中本地化的要求对传统的持牌金融机构业务产生的变动不会很大。我们理解,《规范》的这一规定可能需引起金融业企业的服务提供商的注意,即使基于自身业务被认定为关键信息基础设施运营者的可能性较小(如市场营销服务企业、归因数据分析企业等),但由于涉及个人金融信息的处理,可能也会被要求遵守本地化存储的要求。
除应根据《网安法》的要求进行个人信息出境安全评估外,上述金融业机构还需要注意与境外的接收方机构签订个人金融信息跨境传输协议,明确约定境外机构的义务。此外,在条件允许的情况下,还应当采取现场核查等方式,监督境外机构对其职责义务的履行情况。
【企业建议】
1)为金融机构提供服务的企业,涉及处理个人金融信息的服务器应尽量进行本地化部署;如因业务需要确需使用境外服务而引发数据跨境传输(例如,使用境外SaaS平台完成数据分析),则可能需要考虑遵守个人金融信息跨境传输的要求;
2)金融业机构需梳理个人金融信息跨境的场景,并根据梳理结果与境外接收机构签署协议。在该类协议的内容方面,除明确接收方的保密、数据删除、案件协查等义务外,建议进一步参考《评估办法》中的有关要求,明确个人信息出境的目的、类型、保存时限等事项。
[1]《规范》第3.1条。
[2]《规范》第3.2条。具体而言,《规范》中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反应特定个人某些情况的信息。
[3]这一适用范围可能较此前相关规范性文件中所提及的适用主体更为宽泛。
例如,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称“央行17号文”)的主要适用主体为“银行业金融机构”,《中国人民银行金融消费者权益保护实施办法》(以下简称“《实施办法》”)的主要规制主体为“金融机构(包括在中华人民共和国境内依法设立的为金融消费者提供金融产品和服务的银行业金融机构,提供跨市场、跨行业交叉性金融产品和服务的其他金融机构以及非银行支付机构)”。
[4]《规范》第7.1.1条d项。
[5]《规范》第6.1.1.条a项。
[6]搜狐新闻,“央行发布个人金融信息保护技术规范,无资质不得收集KYC等信息”,https://www.sohu.com/a/374602685_676454(发表于2020年2月20日)。
[7]《个人信息安全规范》第6.2条,即收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
[8]《规范》第6.1.5条b项。
[9]央行17号文第六点,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。
[10]《实施办法》第三十三条第一款,在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。
[11]《规范》第7.1.3条d项。
[12]国家互联网信息办公室2019年6月发布的《个人信息出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)要求网络运营者就个人信息出境与境外接收者之间签订的合同或者其他有法律效力的文件应当约定境外接收者有配合用户权利响应、目的限制等义务。
[13]《规范》第7.1.3条d项。《规范》中列举的应当明确的境外机构(接收方)的职责义务包括保密、数据删除、案件协查等。
[14]《评估办法》第十三条,网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:
(一)个人信息出境的目的、类型、保存时限。
(二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。
(三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
(四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
(五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。
(六)双方约定的其他内容。
此外,《评估办法》第十四条至第十六条还规定了合同中应当明确的跨境传输双方的其他义务。
本文作者:
宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
李沅珊主办律师 黎辉辉律师 汪汉鸿律师助理
粤公网安备 44030602000994号