“同意”与“安全”:个人金融信息合规的必由之路


2019-11-28 10:08来源:移动支付网    作者:吴丹君律师团队

作者:吴丹君律师张振君律师助理

2019年11月19日,据央视新闻报道,江苏淮安警方近日依法打击了7家涉嫌非法缓存公民个人信息的公司。其中拉卡拉支付旗下的考拉征信服务有限公司(下称“考拉征信”)涉嫌非法提供身份证返照查询9800多万次,获利3800万元,其法人、董事长等涉案人员已被抓获。[1]而自2019年9月以来,包括摩羯科技、聚信立多家知名大数据风控公司相继卷入调查风波,金融大数据合规路径的重要性日益凸显。

目前对金融大数据的规制主要从个人信息保护入手,因此下文将从个人金融信息合规的角度探讨金融大数据合规路径。根据《中国人民银行金融消费者权益保护实施办法》(以下简称“《实施办法》”)第二十七条,个人金融信息是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。

《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。其第四十二条要求,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

《网络安全法》首次在法律层面上确立个人信息保护的合法、正当、必要原则,“同意”与“安全”是目前个人信息保护的核心要求。个人金融数据属于个人信息,亦应遵循合法、正当、必要原则,在个人金融信息生命全周期中贯彻“同意”与“安全”要求。

一、符合同意要求

在个人金融信息的收集环节上,需取得个人信息主体的同意,不得收集与金融机构提供的服务无关的个人金融信息。比如《实施办法》第二十八条要求收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息。金融机构不得将个人信息主体授权或者同意其将个人金融信息用于营销、对外提供等作为与个人信息主体建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。金融机构亦不得非法存储个人金融信息,比如前述考拉征信即因涉嫌非法缓存公民个人信息而被调查。因此金融机构在与政府数据或征信机构对接时,若为节约查询成本而缓存个人金融信息,极可能为后续的数据合规埋下隐患。

金融机构从合作数据提供商处获取个人金融信息的,需关注数据提供商的数据来源和数据获取方式的合法性。《信息安全技术个人信息安全规范》(GB/T 35273-2017)5.3规定,间接获取个人信息需符合以下要求:1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。

在内部使用和对外提供环节中,金融机构不得超出个人信息主体的授权范围使用或向他人提供个人金融信息。金融机构通过格式条款取得个人金融信息书面使用授权或同意的,应在条款中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形,应在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。据媒体报道,正在内部征求意见的《个人金融信息(数据)保护试行办法(初稿)》第十八条规定,金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。[2]

二、符合安全要求

(一)存储与管理环节

在合法获取个人金融信息后,还需采取符合国家档案管理和电子数据管理规定的措施,妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改。金融机构可参考《中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知》(银保监发〔2018〕22号)的基本原则——全覆盖原则、匹配性原则、持续性原则及有效性原则构建内部个人金融信息存储与管理制度,保障个人金融信息的安全性。

首先,金融机构应建立个人金融信息数据库分级授权管理机制。根据个人金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限及程序。

其次,金融机构应严格落实国家网络安全和信息技术安全有关规定。采取有效措施确保个人金融信息安全,降低外部攻击风险。比如可考虑内部隔离措施,将个人金融信息分散存储,勿“将鸡蛋放在同一个篮子里”;还可根据实际情况对个人金融信息进行去标识化或匿名化处理。

再次,金融机构及其员工应对业务过程中知悉的个人金融信息予以保密,不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息。金融机构应加强员工培训,根据员工的岗位性质与员工签订保密协议,加强员工的个人金融信息保护意识和能力,防范内部泄露风险。

最后,金融机构应定期排查个人金融信息安全隐患。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。比如《实施办法》要求金融机构至少每半年排查一次个人金融信息安全隐患。

(二)内部使用与对外提供环节

首先,金融机构应建立个人金融信息使用管理制度。因监管、审计、数据分析等原因需使用个人金融信息数据的,应严格内部授权审批程序,采取有效技术措施,确保信息在内部使用及对外提供等流转环节的安全,防范信息泄露风险。

其次,在使用环节上,金融机构不得非法出售或将个人金融信息用于暴力催收等违法目的。近日,有信息披露广州诺涵科技公司即因存在贩卖个人信息、软暴力催收等行为被警方调查。[3]金融机构通过外包开展业务的,需充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标。金融机构与外包服务供应商签订服务协议时,需明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,确保个人金融信息安全。金融机构应要求外包服务供应商在外包业务终止后,及时销毁因外包业务而获得的个人金融信息。

再次,在对外提供个人金融信息时,除确保获得个人信息主体的同意外,金融机构还应采取技术措施尽可能降低个人信息的侵害风险。金融机构可以对个人金融信息采取去标识化或匿名化手段,根据实际需求提供经脱敏处理的数据。金融机构亦可考虑数据整合技术,以信用评分为例,金融机构可直接对外提供信用评分以替代具备可识别性的个人金融信息,从而降低对外传输信息的风险。

同时,个人金融信息的跨境传输亦受到严格限制。根据《网络安全法》第三十一条,国家对金融等重要行业和领域的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。属于关键信息基础设施的金融机构在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)以在中国境内储存、处理和分析在中国境内收集的个人金融信息为基本原则。《支付信息保护技术规范(送审稿)》亦规定,在中国境内开展金融业务或提供金融服务过程中收集和产生的支付信息,其存储、处理和分析应在中国境内进行。除法律法规及行业主管部门规定外,金融机构不得向境外提供支付信息。

三、结语

近期频频爆出因侵犯公民个人信息而遭警方调查的新闻,这反映出金融大数据合规存在较大漏洞的现状和监管日益加强的趋势。新兴科技为不断积累的金融大数据带来持续创新活力,但在尚不完善的法律制度背景下,对技术的利用极可能偏离正常轨道。金融机构在个人金融信息的收集、存储、管理、使用、传输等各个环节中,都必须遵循合法、正当、必要原则,贯彻“同意”与“安全”要求,才能在保障合规的基础上充分享受金融科技带来的效益。

参考资料

[1][3] 界面新闻.警方抓获考拉征信董事长等20余人,地下征信黑产揭秘.(2019-11-20)[2019-11-27].http://tech.ifeng.com/c/7rkhsQqXGuu.

[2] 消金界.《个人金融信息(数据)保护试行办法》出炉,初稿已在征求意见中.(2019-10-09)[2019-11-27]. https://mp.weixin.qq.com/s/dxqrhPA2YOxg9AuU6b1EJA.

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606