作者:宁宣凤吴涵等
来源:金杜研究院
摄影:彭敏(九卦金融圈专栏作家、广州农商行网络金融事业部副总经理)
导读
近日,全国金融标准化技术委员会(简称“金标委”)发布了《个人金融信息保护技术规范》(以下简称《规范》)。据悉,《规范》已经通过全国金融标准化技术委员会审查,向各金融业机构发布。
《规范》将个人金融信息按照敏感程度分为三大类,由高到低,依次为C3、C2、C1,其中C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址等,C1主要为开户时间、支付标记信息等。
据透露,《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。同时,要求金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息,也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。
问题一:我的企业处理什么类型的信息需要参考《规范》的要求?
为了对个人金融信息的全生命周期环节建立安全防护规范,《规范》界定了两大核心概念:“金融业机构”与“个人金融信息”。根据《规范》的规定:
“金融业机构”包括两类机构,一类是由国家金融管理部门监督管理的持牌金融机构,另一类是涉及个人金融信息处理的相关机构;[1]“个人金融信息”系指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。[2]
就主体范围而言,结合金融行业的实践,我们理解,“金融业机构”在现实中除了(1)传统的持牌金融机构,还可能包括(2)为持牌金融机构业务提供基础支持服务而需要处理个人金融信息的企业,例如提供身份验证服务的电信服务商、信息技术提供商、风控服务解决方案提供商、市场营销服务提供商等。相较于对主体的概念界定,《规范》适用于“提供金融产品和服务的金融业机构”,这一适用范围似乎并未明确涵盖前述第(2)类机构(例如,涉及个人金融信息处理的云服务提供商)[3]。
就企业合规而言,考虑到《规范》对“金融业机构”、“个人金融信息传输的接收方”(第6.1.2条e项)、“第三方机构(包含外包服务机构与外部合作机构)(第6.1.4.4条)”等主体也设置了相应的合规义务,且从《规范》全面保护“个人金融信息”的编制目的出发,我们建议落入“金融业机构”的企业均应参考《规范》开展合规工作,对企业运营过程中涉及个人金融信息处理的环节进行对照自查,并在商业可行的范围内参照落实。
就客体范围而言,《规范》中“个人金融信息”的概念与《实施办法》中“个人金融信息(即金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息)”的概念较为相似,范围较为宽泛。虽然《规范》第4.1条并未明确广泛地列举“个人常用设备信息(如IMEI、MAC地址、IDFA、软件列表等)”、“个人上网记录(如网站浏览记录、软件使用记录、点击记录等)”和“个人位置信息(如行踪轨迹、精准定位信息等)”等《个人信息安全规范》附录所明确列举的个人信息,但是《规范》仍然可以通过该条g项的“在提供金融产品与服务过程中获取、保存的其他个人信息”进行兜底规范,甚至可以基于前述个人信息的识别性将其视为C2类别的个人金融信息(即其他能够识别出特定主体的信息)。
考虑到通过移动设备提供金融产品与服务已成大势所趋,设备信息与行为信息在客户身份识别、市场营销、反欺诈与风险控制等领域的使用亦日渐普及,因而在根据《规范》落实合规工作的过程中,金融业机构应当及时梳理提供产品与服务中涉及处理的所有个人信息,而不应仅仅限于《规范》明确列举的信息类型,并参照《规范》第4.2条对该等信息进行分级分类,继而相应落实合规要求。
问题二:我的企业如何遵照《规范》开展整体合规,大致有那些步骤?
就整体架构而言,《规范》在参考《个人信息安全规范》的基础上,先行对“个人金融信息”的范围和类别进行了梳理,继而从“安全技术要求”和“安全管理要求”两个维度详细地阐述了金融业机构在处理个人金融信息时需要遵循的规则。相应地,这一架构也在一定程度上为金融业机构开展内部合规提供了基本的思路和策略。
企业在根据《规范》开展合规工作时,应率先进行个人金融信息的统计与整理。具体而言:
企业既需要从静态的数据类型与内容出发,识别自身日常经营过程中所涉及的个人金融信息,按照《规范》中“C1、C2、C3”的级别进行数据等级划分,并尽可能使之与企业内部既存的数据资产分级得以衔接和协调;企业也需要从动态的数据生命周期出发,进一步识别个人金融信息的“收集、传输、存储、使用、删除、销毁”等环节,为后续合规奠定事实基础。值得企业注意的是,在进行动态统计与整理时,企业不仅应该