汇业评论 | 《个人金融信息保护技术规范》解读:全生命周期的技术与管理二元合规控制
2020年2月20日,全国金融标准化技术委员会发布了《个人金融信息保护技术规范》(JR/T 0171-2020)(下称“规范”)。《规范》针对前期监管执法中发现的金融业个人信息违法违规情形,从安全技术要求和安全管理要求两个维度,详细规定了金融业机构在收集、使用、提供等全生命周期的个人金融信息合规要点,对金融业及金融科技行业数据合规影响较大。
在此之前,人民银行、网信办、公安部启动多轮个人信息专项执法活动,披露了大批金融APP在个人信息收集、使用等环节的违法违规典型案例。值得注意的,尽管《规范》属于推荐性行业标准,但根据经验,仍然会作为监管执法活动的重要参考性文件,具有重要的行业指导意义。
结合前期监管执法尺度、近期立法趋势及行业最佳实践,汇业律师事务所黄春林律师团队详细解读《规范》的主要合规要点如下:
一、近期个人金融信息立法及标准制定概览
2019年下半年以来,人民银行、金标委及各地金融业监管机构先后发布了一系列规定及标准,其中均有涉及个人金融信息保护有关的章节或条款,具体如下:
二、 首次明确个人金融信息分类分级机制
《规范》进一步细化了《网络安全法》关于数据分级管理的要求,在《金融数据安全 数据安全分级指南(征求意见稿)》等文件基础上,根据敏感程度不同,将个人金融信息分为C3\C2\C1,并设置了相适应的技术与管理合规要求。
三、《规范》再次重申个人金融信息全生命周期合规
2019年11月,中国互联网金融协会发布《关于增强个人信息保护意识依法开展业务的通知》,明确规定应当建立健全收集、处理、使用、对外提供等全生命周期的个人信息保护制度。汇业黄春林律师介绍,本《规范》从结构上在参照等保2.0的体例,从技术与管理二元要求两条线,再次详细规定了个人金融信息全生命周期合规的基本规范。具体的:
1. 关于个人金融信息收集合规
首先,《规范》借鉴《个人金融信息(数据)保护试行办法(征)》相关条文,明确收集个人金融信息(C2/C3)的主体必须为金融业持牌机构(例如小贷公司、消金公司、征信机构等),而将其他非持牌的导流、助贷、金科公司排除在外。因此,金融机构应当加强第三方合作机构的资质审查,避免与非持牌机构机构开展涉及用户个人金融信息层面的业务合作(例如风控、催收等)。
其次,收集行为应当遵从《网络安全法》、《中国人民银行金融消费者权益保护实施办法(征)》、《个人信息安全规范》等规定的合法(含渠道合法)、正当、必要、最小化等原则。
最后,关于收集的告知同意规则,原则上与《个人信息安全规范》、《个人信息告知同意指南(征)》等要求一致,金融机构应当尽量避免去年APP违法违规采集个人信息专项执法活动中暴露出来的金融APP违规情形。其中,《个人信息告知同意指南(征)》在附录中,倡导规定了互联网金融场景(包括网络借贷、助贷、金融线上业务)下的个人信息告知同意合规颗粒,包括告知内容、告知形式、同意方式以及告知同意适当性等。
2. 个人金融信息存储合规
相较于其他领域,个人金融信息的存储合规要求相对较高。具体合规要求包括但不限于:
(1) 未取得信息主体及账户机构的双重同意,严格禁止留存非本机构的C3类别信息;
(2) 应当隔离存储标识化信息及去标识化信息;
(3) KYC信息、交易信息等应当严格按照国家关于银行、保险、支付、征信等单行规定的存储要求,包括但不限于存储范围、方式,以及最小或最长期限要求等;
(4) 开发测试存储环境应当与生产存储环境有效隔离;
(5) 应当建立明确的个人金融信息销毁策略和管理制度、流程指引等;
(6) 应当在境内存储个人金融信息,这点与《中国人民银行金融消费者权益保护实施办法(征)》相关内容一致;等等。
3. 个人金融信息委托处理合规
委托外包机构处理是金融业生态的常见场景,也是本次《规范》重点规制的内容。除应当遵守一般个人信息委托处理合规要求及《银行业金融机构外包风险管理指引》外,《规范》还明确:
(1) 不得委托第三方机构处理C3、C3类信息;
(2) 应当对可以委托处理的信息进行去标识化处理;
(3) 委托前开展DPIA,确保外包机构的数据安全能力,并应当对第三方开展动态安全检查、审计;
(4) 应当加强第三方SDK、API接口的实质技术审查和审计;等等。
4.个人金融信息融合合规
个人信息融合合规是《个人信息安全规范》修订过程中重点关注的内容。本《规范》也专门加入了相关内容,及汇聚融合应当获得用户的明示同意,并开展DPIA。这对《金融控股公司监督管理试行办法(征)》等规定的联合授信场景或个人金融信息在集团内部融合共享的合规影响较大。
5. 个人金融信息展示合规
首先,《规范》要求通过设备界面或纸张展示个人金融信息的,或者在开发测试环境中,应当采取去标识化处理(例如信息屏蔽、截词等)后的信息,其中附录中还详细列举了信息屏蔽的具体方式;其次,《规范》还详细规定了登录和非登录状态下的不同个人金融信息的明文和非明文展示要求;最后,严格禁止展示个人生物识别信息(例如人脸、指纹等)。
除上述生命周期外,《规范》还详细规定了传输、使用、处理、共享、转让、删除等生命周期的合规要求。
四、借鉴等保2.0建立技术与管理二元合规机制
《规范》借鉴了等保2.0(尤其是《信息安全技术-网络安全等级保护基本要求》)的合规控制路径,采取技术要求与管理要求并行的二元合规机制。
其中,安全技术要求包括两大控制项:按照生命周期的详细技术要求,以及网页端和移动端应用软件的安全运行技术要求。
汇业黄春林律师介绍,在管理要求控制项下,沿袭《金融科技(FinTech)发展规划(2019-2021年)》等相关文件的合规控制路径,除全生命周期的一般安全准则外,《规范》还详细规定了金融业机构应当建立个人金融信息保护制度体系,建立合规的组织架构、岗位设置及人员职责,加强员工全职业生命周期管理,限定外部人员访问控制,定期安全检查与审计机制,制定并执行应急预案,等等。
五、行业影响
第一,在去年高强度监管执法的大背景下,金融业机构(尤其是支付、信托、小贷、消金、融租、保理等)应当自行或委托律师事务所尽快依据《规范》等文件开展数据合规专项审计,调研业务场景及数据路线图,完善数据分级分类机制,建立全业务生命周期的数据合规体系,最大化避免、隔离刑事法律风险;其他金融科技公司也应当参照《规范》等文件要求,开展存量业务合规审计。
第二,《规范》对金融业机构与金融科技公司(包括大数据公司)合作模式影响较大。实际业务合作中,应当加强合作金融科技公司的事前DPIA、资质审查和事后业务监管、审计,在合同文件层面坐实“外包”而不是“委托”,在技术层面充分利用堡垒机等技术实现数据不出塔、不落库。未来金融机构自建金融科技子公司也将更加普遍。
第三,与之前整体监管趋势一致,《规范》对导流、助贷等模式影响较大。尤其是在导流模式下,从合规性角度考虑,SDK模式相对于API模式将更加符合监管合规要求。
第四,金融场景(例如互金、支付、保险等)中使用个人生物识别信息(人脸、虹膜、声纹、笔迹等)的合规标准将更高。
第五,金融业机构应当参照《规范》等文件要求,全面梳理个人金融信息保护有关的内部岗位设置、人员管理机制等。
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师。
作者往期文章推荐: