查看原文
其他

既遵道而得路——个人金融信息保护的合规要点解读(上)

李瑞 钟俊鹏 等 中伦视界 2022-08-07


作者:李瑞 钟俊鹏 贾申 罗仪涵 姚远

本篇将重点结合《个人信息保护法》《金融消费者权益保护实施办法》《个人金融信息保护技术规范》介绍个人金融信息合规工作中的要点,并对如何进行个人金融信息资产梳理以及全生命周期保护提供建议。

///




在金融行业数据合规系列的开篇《举一纲而万目张——金融数据的分类分级与全生命周期保护》中,我们讨论了如何搭建金融数据的分类分级框架,并在此基础上梳理了对金融数据进行全生命周期保护的合规要点。本系列第二篇将主要聚焦金融数据合规中的个人金融信息保护。个人金融信息保护属于个人信息保护领域、消费者权益保护领域及金融监管领域共同关注的议题,可能涉及的监管部门包括央行、银保监会、证监会等金融行业主管部门,网信办、工信部等网络与数据安全主管部门以及市场监督管理局等消费者权益保护主管部门;触及的合规义务主体包括传统金融持牌机构以及各类金融科技公司;具有业务场景复杂、合规要求交错综合等特点,是金融数据合规工作中的难点和重中之重。


为了帮助金融业机构进一步落实《个人信息保护法》(“个保法”)、《金融消费者权益保护实施办法》(“金融消保实施办法”)等相关规定中的个人金融信息保护要求、提升个人金融信息全流程处理的规范性,本篇将重点结合《个人金融信息保护技术规范》(“个金技术规范”)[1]介绍个人金融信息合规工作中的要点,并对如何进行个人金融信息资产梳理以及全生命周期保护提供建议。


一、个人金融信息的资产梳理


1. 个人金融信息的定义


在展开个人金融信息保护工作之前,首先需要明确何为个人金融信息。根据个金技术规范第3.2条,“个人金融信息”是指“金融业机构[2]通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”,具体包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。据此,个人金融信息不等同于个保法所提及的金融账户信息,个人金融信息范围显然要更加广泛。另外,根据个保法第28条敏感个人信息的定义及示例[3],个人金融信息也并不完全落入敏感个人信息的范畴,而需结合相关信息泄露的影响做综合判断。


2. 个人金融信息的分类分级


金融业机构进行个人金融信息资产梳理的核心是建立完善的、动态可调的分类分级体系。个人金融信息的分类规则较为明确,参考个金技术规范,金融业机构可以从“账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他信息”将个人金融信息粗分为7大子类,再进一步根据自身组织经营情况向下细分。在明确个人金融信息的分类后,金融业机构应当搭建个人金融信息的分级框架。依据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,个金技术规范将个人金融信息按敏感程度从高到低分为为C3、C2、C1三个等级,并示例了具体的个人金融信息等级供参考(如下表1所示):


表格1 个人金融信息级判断规则

点击可查看大图


我们理解,上述分级标准有助于厘清个人金融信息与个保法下的敏感个人信息的关系:首先,个金技术规范对于C2、C3等级信息的描述与个保法下个人敏感信息“一旦泄露或者非法使用,容易导致自然人的财产安全受到危害的个人信息”的属性基本一致,因此,宜将C2、C3级信息归入敏感个人信息,提高其保护合规标准,在处理此类信息时还需要注意遵循单独同意、进行个人信息保护影响评估等特殊处理规则。其次,对于C1级信息,由于其一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,但这种影响是否达到个保法上侵害自然人的人格或危害人身、财产安全的程度从而构成个人敏感信息,则需结合具体场景下判定。


最后,金融业机构在进行个人金融信息资产梳理和等级判定时还应当注意:


鉴于《金融数据安全 数据安全分级指南》(“金融数据分级指南”)提供了与【个金】技术规范具有融合性的金融数据的分类分级框架,而个人金融信息又属于金融数据,并且金融数据分级指南中提供的分级框架下的2至4级与C1、C2、C3级信息存在一一对应的关系,因此我们建议,金融业机构可以在金融数据资产清单对应的金融数据等级中嵌入个人金融信息模块,将个人金融信息融合进金融数据分级框架中进行一体化统筹管理,从而减轻需要分别管理多个数据资产清单的工作压力;

若干低敏感程度信息经过组合、关联和分析后可能产生高敏感程度信息,例如账户登录的用户名和动态口令均为C2级别信息,但如果两者经过组合、关联后可完成用户鉴别和登录,则产生的信息属于C3级的用户鉴别信息。金融业机构在从事此类行为后,应注意对相关个人金融信息重新进行分级;

同一信息在不同的服务场景中可能处于不同的级别,应依据服务场景以及信息在该场景下的作用,对信息等级进行场景化识别。


二、个人金融信息生命周期式保护的技术要求


从收集、传输、存储、使用再到删除和销毁,个人金融信息的生命周期的各环节设置与个保法、《金融数据安全 数据生命周期安全规范》等规定基本一致。基于不同的个人金融信息级别,个金技术规范提供了相应的技术和管理要求的参考,金融业机构可以参照相关要求,设计并实施覆盖个人金融信息全生命周期的安全保护策略。篇幅所限,我们仅在下表2中归纳了主要环节中的典型合规义务:


表格2 个人金融信息生命周期保护技术及管理要求示例

点击可查看大图


此外,个金技术规范还特别关注支付敏感信息,并在部分环节中针对性地设置了特殊合规义务。根据个金技术规范,“支付敏感信息”是指“支付信息中涉及支付主体隐私和身份识别的重要信息,具体包括银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN 和CVN2)、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息。”由于其敏感性,支付敏感信息一般属于C3级别的个人金融信息,因此,除适用上述C3级别信息处理的一般合规要求外,处理支付敏感信息时还需履行以下的特殊合规义务:


表格3 C3级中支付敏感信息的特殊合规义务

点击可查看大图


三、结语


数字化时代,金融业机构全面提高个人金融信息的保护能力不仅仅是更严监管态势下的必然要求,更是实现数字化金融转型的关键之处。金融业机构应当以网络数据安全及个人信息保护等法律为根基,以行业主管部门的相关规定为枝干,以国家标准为叶,落实个人金融信息的分类分级,并建立涵盖个人金融信息收集、传输、存储、使用、删除、销毁等各个环节的全生命周期的内控合规制度。


下篇预告

在厘清了个人金融信息的定义、分类分级规则以及全流程的生命周期保护基本要求之后,本章下篇将重点针对金融业机构日常业务开展的若干重要业务场景,为金融业机构提供更为生动具体、更具操作性的框架性合规建议。


[注] 

[1] 根据我们的经验,个金技术规范虽然仅是推荐性标准,但是其内容为金融机构处理个人金融信息过程中涉及的安全核查及评估提供了详尽的规范指引,是金融监管实务中的重要参考依据。

[2] 金融业机构的具体定义,可以参见作者此前金融数据合规系列文章《举一纲而万目张——金融数据的分类分级与全生命周期保护》。具体而言,其不仅指传统的持牌金融机构,还包括其他提供金融产品/服务从而涉及个人金融信息处理的新型金融业机构。

[3] 根据个保法第28条,金融账户属于敏感个人信息。



 作者简介

李瑞  律师


北京办公室  合伙人

业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护

特色行业类别:文化娱乐产业

钟俊鹏  律师


北京办公室  

非权益合伙人

业务领域:跨境投资并购, 网络安全和数据保护, 反垄断和竞争法

特色行业类别:金融行业, 通讯与技术

贾申


北京办公室  顾问

业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁

罗仪涵


北京办公室  合规与政府监管部

姚远


北京办公室  合规与政府监管部


作者往期文章推荐

《举一纲而万目张——金融数据的分类分级与全生命周期保护》

《房地产领域典型场景中的个人信息保护合规要点分析》

《固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对》

《已到凌云仍虚心——互联网平台合规监管2021年度盘点》

《问渠那得清如许——企业交易场景下的数据合规要求进一步加强》

《观千剑而后识器——中美欧个人信息保护制度比较》

《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》

《沉舟侧畔千帆过:金融行业反垄断合规要点及趋势概览》

《大鹏一日同风起,扶摇直上九万里——中国反垄断2021年度盘点》

《会当凌绝顶——<反垄断法(修正草案)>要点速览》

《合规创造价值——新经济领域(拟)上市企业的若干合规要点分析》

《新形势下企业贸易风险防控之道——再议美国出口管制制裁与阻断办法》

《从史上最高罚单看企业反垄断合规的重要性》

《实操建议:社交电商业务模式避免落入传销陷阱》

《虑远谋深——对俄制裁中各行业法律风险和企业防火墙方案探讨》

《从监管问询看拟上市企业应关注的反垄断合规问题》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存