个人金融信息是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。为加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,2020年2月,全国金融标准化技术委员会发布了《个人金融信息保护技术规范》(JR/T 0171-2020)(下称“规范”)。
《规范》作为监管执法活动的重要参考性文件,具有重要的行业指导意义。SCA安全通信联盟注意到,企业要在《规范》的指引下合规使用数据,尤其要注意以下三点。
一、个人金融数据保护类别,根据《规范》分类需从整体可识别性及服务场景判定
《规范》第4.2条将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别,依次为C3、C2、C1,其中C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址等,C1主要为开户时间、支付标记信息等。但个人信息的可识别性和敏感程度的判定本身并非绝对确定,同一信息在不同的组合下或在不同的服务场景中,其可识别度或敏感程度并不同。例如,C2类别的用户鉴别辅助信息与账号结合使用可直接完成用户鉴别的,则属于C3类别信息。因此,个人金融数据分类应从整体可识别性及服务场景判定其等级。
此外《规范》进一步细化了《网络安全法》关于数据分级管理的要求,并在《金融数据安全 数据安全分级指南(征求意见稿)》等文件基础上,根据敏感程度不同,设置了相适应的技术与管理合规要求。例如:要求金融业机构不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。
因此,判定个人金融数据的保护类别,对于某些金融业企业的外部合作机构而言,其业务模式可能有重新调整的需要。金融机构应当加强第三方合作机构的资质审查,避免与非持牌机构开展涉及用户个人金融信息层面的业务合作(例如风控、催收等)。如目前接受银行等金融机构委托进行身份核验等的助贷企业,可能必须以客户身份三要素(如姓名、身份证号和手机号码)的获取为业务开展的基础,但依据目前的要求,非持牌机构将不再有权获得上述个人金融信息。
二、企业数据合规,《规范》重申个人金融信息全生命周期合规
结构上,《规范》在参照等保2.0的体例,从技术与管理二元要求两条线上,详细规定了个人金融信息全生命周期合规的基本规范。针对前期监管执法中发现的金融业个人信息违法违规情形,《规范》从安全技术要求和安全管理要求两个维度,详细规定了金融业机构在收集、使用、提供等全生命周期的个人金融信息合规要点。
例如,《规范》要求金融业机构不应隐瞒金融产品或服务所具有的收集个人金融信息的功能,并将“不应欺诈、诱骗,或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息”作为收集个人金融信息的基本规则之一。在个人金融信息的储存方面,《规范》要求,受理终端、个人终端及客户端应用软件均不应储存银行卡账户、CVN、密码等敏感信息,完成交易时需要予以清除。其次,存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)进行销毁处理;如需继续使用,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用等。最后,《规范》还详细规定了传输、使用、处理、共享、转让、删除等生命周期的合规要求。
关于《规范》的安全技术要求,主要包括两大控制项:按照生命周期的详细技术要求,以及网页端和移动端应用软件的安全运行技术要求。另外,鉴于企业可能忽视内部管理规范的科学性,《规范》还详细规定了金融业机构应当建立个人金融信息保护制度体系,建立合规的组织架构、岗位设置及人员职责,加强员工全职业生命周期管理,限定外部人员访问控制,定期安全检查与审计机制,制定并执行应急预案等。
由此可见,《规范》在要求金融业机构做好个人金融数据保护方面设计相当严密,日后在处置金融业机构数据违法行为时,《规范》就是很好的参考法。打击违反个人金融数据安全的行为必将更加有法可依。
三、关于委托处理
大数据发展备受关心的就是信息委托处理的问题,对此,《规范》对金融业机构提出要求:金融机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时要承担信息安全的责任,限制C3及部分C2类别信息的委托处理(无资质机构将不能收集《规范》中的C3、C2信息)。另外还要对委托行为进行个人金融信息保护安全影响评估,对受委托者进行安全检查和评估,对外部的工具进行技术检测。
《规范》的下发,更加利好持牌机构在数字化转型中遇到的数据收集问题,非持牌机构数据收集的边界受限,促使其回归到基础的商户服务中。严格按照《规范》说明,金融企业客户在选择业务和服务的外包方时,可能不仅要求对于产品和服务的合规性和业务逻辑进行说明、承诺,还需要进一步地针对自动化工具开展技术检测,并对基于委托收集个人金融信息的行为进行审计。在《规范》之下,信用卡代还相关业务将会进一步被遏制。
写在最后:
受2020年黑天鹅事件2019-nCoV新型冠状病毒的影响,人们的外出活动受到限制,线下需求通过线上来满足成为了一个趋势,个人产生的数据必将更多。为应对疫情,商务部、国家卫生健康委联合印发的《零售、餐饮企业在新型冠状病毒流行期间经营服务防控指南》,提倡刷卡支付、各种移动支付方式结算,支付行业数据收集能力和分析能力会进一步增强。可见,支付行业正在经历一个转型的过程,从单纯的支付服务,向多样的数字化服务转型。SCA相信,《规范》的发布必将促进全社会对金融数据的安全应用,强化金融机构对消费者的安全保护,为金融创新奠定坚实的发展基础。
本文限于篇章,仅有三点拙见,还请参阅指导。此外,希望每位数据从业者都应认真学习《规范》,金融业机构能在《规范》的指引下更加合规。
PS:本文出自SCA安全通信联盟,转载请注明出处。