作者：吴丹君律师 张振君律师助理

2021年4月，中国人民银行正式发布《金融数据安全数据生命周期安全规范》（JR/T 0223-2021）（以下简称“《规范》”）。该标准在根据《金融数据安全数据安全分级指南》（JR/T 0197-2020）（以下简称“《数据安全分级指南》”）及《个人金融信息保护技术规范》（JR/T 0171-2020）相关要求进行金融数据安全级别分级的基础上，结合金融数据特点，梳理金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、存储、使用、删除及销毁全周期的金融数据安全管理框架，该标准适用于指导金融业机构开展电子数据安全防护工作，并为第三方测评机构等单位开展数据安全检查与评估工作提供参考。

个人金融信息保护是金融数据生命周期安全管理工作的重要组成部分。2021年3月，因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范等四项违法违规行为，中国银保监会消费者权益保护局对中信银行处以450万元罚款。处罚信息提及中信银行“未经客户本人授权查询并向第三方提供其个人银行账户交易信息”。[1]据悉，2020年5月，脱口秀演员“池子”（本名：王越池）曾发布微博称，中信银行上海虹口支行未获本人授权，将其个人账户流水提供给上海笑果文化传媒有限公司。这一事件再次将个人金融信息保护问题暴露在公众面前。

[1]中国银保监会消费者权益保护局：《中国银行保险监督管理委员会行政处罚信息公开表（银保监罚决字〔2021〕5号）》(2021-03-19)[2021-04-21].http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=971766&itemId=4113.

问：应当对所有个人金融信息采取同样的保护措施吗？

答：对数据实施分级管理，能够进一步明确数据保护对象，有助于金融业机构合理分配数据保护资源和成本，对个人金融信息实施数据生命全周期保护亦是如此。

《个人金融信息保护技术规范》“4.2个人金融信息类别”细化《网络安全法》第二十一条的“数据分类”管理要求，根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，并设置相应安全技术要求与安全管理要求。

《数据安全分级指南》根据金融业机构数据安全性遭到破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级至1级。其中，个人金融信息中的C3类信息一般被划分为4级，C2类信息一般被划分为3级，而C1类信息一般被划分为2级。

需注意，两种或两种以上的低敏感程度类别信息经过汇聚融合等活动后可能会导致敏感程度上升，个人金融信息的安全级别亦会产生变动，需提升相应的安全保障手段。因此，《规范》7.4.7要求，汇聚融合前应根据汇聚融合后可能产生的数据内容、所用于的目的、范围等开展数据安全影响评估，并采取适当的技术保护措施。

问：个人金融信息的采集有何特殊要求？

答：《规范》7.1对金融业机构从外部机构及个人金融信息主体处采集数据的安全要求进行了详细规定。由于个人金融信息主体（以下简称“信息主体”）的“同意”是数据采集的主要合法性基础，《规范》特别强调，《规范》采集的个人金融信息应与提供的金融产品或服务直接相关，并与合同协议条款、隐私政策中约定采集的内容保持一致，不应超范围采集数据。从外部机构采集个人金融信息时亦需注意外部机构将该数据提供给金融业机构时是否已获得信息主体的同意或者符合相应法律要求，以确保数据来源的合法性。

此外，《规范》还要求金融业机构从个人金融信息主体处采集信息时，APP、WEB等客户端相关业务完成后不应留存3级及以上数据，并及时对缓存进行清理。结合《个人金融信息保护技术规范》，3级及以上的个人金融信息一般包括C3类信息与C2类信息：

问：传输不同安全级别的个人金融信息的安全要求有何不同？

答：《规范》7.2根据不同的传输形式和不同的传输对象对金融数据的传输作出了不同的安全要求，《个人金融信息保护技术规范》6.1.2亦对个人金融信息的传输提出一定要求：

当金融业机构因金融产品或服务的需要，将个人金融信息提供给第三方机构时，不仅需满足以上与传输相关的安全要求，还需注意不得超出信息主体的授权范围向第三方机构提供个人金融信息，并不得将信息主体授权或者同意其将个人金融信息用于对外提供等作为与信息主体建立业务关系的先决条件，但该业务关系的性质决定需预先做出相关授权或者同意的除外。

《规范》7.4.10对金融业机构委托处理数据行为的安全要求做出了明确规定，其中针对个人金融信息，《规范》特别提出应事先对个人金融信息采用数据脱敏等方式防止个人金融信息泄露（因业务确需，以及国家及行业主管部门另有规定的除外），并进行个人金融信息安全影响评估，以采取相应的有效保护措施。

问：如何设置合理的数据访问制度？

答：数据访问是数据使用的基本方式，实践中也出现了多例因未设置合理数据访问制度而招致行政处罚的案例。比如2019年12月30日，中国银保监会江苏监管局对南京银行股份有限公司大厂支行的“员工违规代保管客户重要资料”等行为处以罚款30万元的行政处罚。

《规范》指出，金融业机构应综合考虑主体角色、信用等级、业务需要、时效性等因素，按最小化原则确定2级及以上数据的访问权限规则，并提出了数项制度建设要求：

问：如何防范工作人员的数据泄露风险？

答：在实践中，金融业机构工作人员私自访问、保存并违法对外提供个人金融信息是导致数据安全事件的一大原因。比如舟银保监罚决字〔2020〕5号行政处罚决定显示，中国银保监会舟山监管分局于2020年4月14日因银行人员王旭亮对岱山农商银行违规泄露客户信息负有主要责任而根据《银行业监督管理法》第四十八条对其处以“禁止从事银行业工作3年”的行政处罚；2020年1月15日，中国人民银行西安分行对兴业银行股份有限公司西安分行的“未及时停用已离职工作人员用户”等三项违法行为作出罚款38.5万元的行政处罚。

金融业机构可按照员工管理的不同阶段，采取相应管理手段降低数据泄露风险：