“抗疫”不忘数据合规:《个人金融信息保护技术规范》评析
一、
背景:数据监管趋严形势下的行业规范
在2019年,以四部门在全国范围组织开展App违法违规收集使用个人信息专项治理活动为代表,数据监管部门执法活动日趋活跃和严格。金融领域个人信息违法违规行政和刑事执法案例也呈爆发式增长趋势,在此背景下,中国人民银行近日发布了金融行业推荐性标准《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称“《技术规范》”),并于2020年2月13日施行。
金融业机构掌握和处理的个人金融信息绝大多数属于个人敏感信息,该等信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,导致相关的民事、行政、刑事风险,甚至可能会带来系统性金融风险。可以预见,《技术规范》的出台对于加强个人金融信息的安全管理,指导相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,具有重要意义。
二、
适用:金融持牌机构和数据处理机构
《技术规范》适用于提供金融产品和服务的金融业机构,不仅包括了由国家金融管理部门监督管理的持牌金融机构,也包括了涉及个人金融信息处理的相关机构。即金融产业链的相关机构均可能落入《技术规范》规制范围,例如金融支付、网络借贷、基金、保险、信托等从业机构。
个人金融信息是在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的个人信息,属于金融业机构在提供金融产品和服务的过程中累积的重要基础数据。《技术规范》不仅对账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、信贷信息等信息可能包括的信息类型进行了详细列举,还将由这些原始数据处理、分析所形成的,例如特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息,能够反映特定个人情况的信息也纳入了个人金融信息范畴之内。
此外,与《信息安全技术 个人信息安全规范》(GB/T 25273-2017,以下简称“《个人信息安全规范》”)中将“个人敏感信息”进行单独定义并提出增强性保护要求相类似的是,《技术规范》中对个人金融信息中涉及支付主体隐私和身份识别的重要信息单独定义为“支付敏感信息”,类别包括但不限于银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息。由于支付敏感信息的敏感性更高,《技术规范》中对其的处理和使用也有着一些特殊规定[1]。
三、
关系:与个人信息安全规范和等保2.0一脉相承
《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012》结合金融行业特点及信息系统安全建设需要,对金融行业的信息安全体系架构采用分区分域设计,对不同等级的应用系统进行具体要求。
于2018年5月1日实施的现行版本的《个人信息安全规范》是一部关于我国个人信息保护的技术标准,规定了个人信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求。此外,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019,以下简称“《网络安全等级保护基本要求》”)作为等保2.0体系下的重要标准之一,对网络安全等级保护对象的安全通用要求和安全扩展要求提出了具体保护要求。而此次《技术规范》的一些细化要求参考了前述标准和指引的要求,从安全技术和安全管理两个维度出发,规定了个人金融信息在数据处理的全生命周期各环节的安全防护要求,可以视为是金融监管领域在《个人信息安全规范》、《网络安全等级保护基本要求》基础上对个人金融信息的保护提出的增强性要求。
四、
特点:明确了数据收集的明示授权和数据出境要求
如前所述,《技术规范》对个人金融信息保护提出了一系列规范性要求,考虑到《技术规范》与《个人信息安全规范》从行文体系上较为类似且内容多有重合,以下仅从《技术规范》与《个人信息安全规范》对比的角度,介绍《技术规范》与《个人信息安全规范》有所区别或侧重的部分,重复或类似的部分将不在本文阐述。
安全技术要求
收集环节
除要求确保数据信息来源的可追溯性要求及获得个人金融信息主体对隐私政策的明示同意之外,《技术规范》还要求通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施。
传输环节
相比《个人信息安全规范》的要求,相关条文更加注重个人金融信息传输过程中的参与方(包括数据接收方)而不仅仅是传输方对于信息保密性、完整性和可用性的保证。例如,传输个人金融信息前,通信双方应通过有效技术手段进行身份鉴别和认证;个人金融信息传输的接收方应对接收就得信息进行完整性校验。
存储环节
《技术规范》规定在停止运营时,除依据国家法律法规与行业主管部门有关规定要求,对存储的个人金融信息进行妥善处理之外,还可以移交国家与行业主管部门指定的机构继续保存。
信息使用(展示)环节
《技术规范》对提供业务办理与查询功能的应用软件以及应用软件的后台管理与业务支撑系统分别提出展示的技术要求,尤其是对于涉及其他个人金融信息主体的信息时,除特殊情形外,宜进行屏蔽展示。
共享和转让环节
除对安全影响评估、签署数据保护责任承诺、访问控制、审计等方面进行规定外,《技术规范》对支付账号及其等效信息在此环节中的脱敏技术进行了限定,通常应使用支付标记化技术。
委托处理环节
《技术规范》要求对委托处理的信息应采用去标识化(不应仅使用加密技术)等方式进行脱敏处理。
销毁环节
除要求建立销毁管理制度、保留有关记录等对个人信息销毁的常规性处理要求外,《技术规范》还要求存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行信息销毁,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他方式加以利用。
除上述信息处理环节之外,《技术规范》还对公开披露、加工处理、汇聚融合、删除等环节进行相应规定,除此之外,针对安全运行技术要求,承载和处理个人金融信息的信息系统、应用软件、密码产品等应符合全国信息安全标准化技术委员会、全国金融标准化技术委员会及其他主管部门的标准、规范。
2
安全管理要求
(1)就安全管理要求的安全准则部分,《技术规范》与《个人信息安全规范》类似,对个人金融信息的收集、存储、使用的基本原则、具体要求均进行相应规定。特别地,需关注《技术规范》中对于明示授权和数据出境的相关规定:
关于明示授权。鉴于个人金融信息的敏感性,《技术规范》对收集个人金融信息要求取得信息主体的明示同意。这点与《个人信息安全规范》的要求存在区别,其仅规定收集一般个人信息需要征得个人授权同意(包括明示同意和默示同意两种情形),而对于个人金融信息中属于敏感信息的信息(例如财产信息),应当征得明示同意。
关于数据出境。《技术规范》对于个人金融的本地化存储和出境问题进行了规定,该等规定内容基本沿袭和呼应了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《金融消费者权益保护实施办法》、《个人信息出境安全评估办法(征求意见稿)》等规定关于金融数据出境的相关要求。即在中国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构关联机构提供个人金融信息,需满足如下要求:符合国家法律法规及行业主管部门有关规定;取得信息主体明示同意;开展出境安全评估;与境外机构签订协议、现场核查并履行相应监管职责。
(2)就安全管理要求的安全策略部分,明确金融业机构建立个人金融信息保护制度体系、加强访问控制和人员管理。其中,就建立个人金融信息保护管理规定、建立分级授权管理机制、开展个人金融信息分类分级管理等要求,与《中国人民银行金融消费者权益保护实施办法》(征求意见稿)、《个人金融信息(数据)保护试行办法》(征求意见稿)中的相应要求一脉相承。除此之外,《技术规范》还提出以下额外的制度要求:
建立个人金融信息脱敏(如屏蔽、去标识、匿名化等)管理规范和制度;
建立个人金融信息安全影响评估制度;
建立外包服务机构与外部合作机构管理制度;
建立个人金融信息安全检查及监督机制等。
就安全管理要求的安全监测与风险评估部分,与《个人信息安全规范》要求类似,《技术规范》要求匹配相应的监控与审计措施、建立安全事件处置的全流程管控措施,此外,对于安全检查和评估环节,《技术规范》除对个人金融信息安全影响评估制度的建立和执行进行相应要求之外,还要求金融业机构以及与其合作的第三方机构针对个人金融信息中的支付信息每年至少开展一次支付信息安全合规评估。
五、
措施:个人金融信息的分类保护
个人金融信息的分类
关于《技术规范》的前身,最初的公开版本为《支付信息保护技术规范》(送审稿),在该版本中支付信息被按照敏感程度从高到低分为四个类别。
《技术规范》则根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别。具体类别及对应信息列举情况如下:
信息类别
信息界定标准
信息列举
C3类
主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。
• 银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码;
• 账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;
• 用于用户鉴别的个人生物识别信息。
C2类
主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害。
• 支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。
• 账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。
• 用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码(若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息)。
• 直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息。
• 用户金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。
• 用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。
• 其他能够识别特定主体的信息,如家庭地址等。
C1类
主要为机构内部的信息资产,主要提供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定影响。
• 账户开立时间、开户机构。
• 基于账户信息产生的支付标记信息。
• C2和C3类别信息中未包含的其他个人金融信息。
需要说明的是,两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度信息,同一信息在不同的服务场景中可能处于不同的类型。因此,上述分类不应做僵化认定,应当在不同的服务场景中对数据类别做动态和综合性的判断,并实施针对性的保护措施。例如,《技术规范》规定应根据个人金融信息的不同类别,采用技术手段保证个人金融信息的安全传输;低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提升相应的安全传输保障手段。
2
特定类别个人金融信息的分类保护要求
《技术规范》在个人金融信息进行分类的基础上,对于C2和C3类别的个人金融信息提出了诸多特定保护要求,以下分别从安全技术要求和安全管理要求进行分别列举。
(1) 安全技术要求
类别 | 环节 | C2类别信息 | C3类别信息 |
生命周期技术要求 | 收集 | 不应委托或授权无金融业相关资质的机构收集。 | |
通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性。 | |||
传输 | 通过公共网络传输时,应使用加密通道或数据加密的方式进行传输。 | ||
对于该类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。 | |||
存储 | • 不应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等。若确有必要留存的,应取得个人金融信息主体及账户管理机构的授权。 • 应采用加密措施确保数据存储的保密性。 | ||
使用(信息展示) | * 提供业务办理与查询等功能的应用软件, • 处于未登陆状态时,不应展示。 • 处于已登陆状态时,除银行卡有效期外,不应明文展示。 * 应用软件的后台管理与业务支撑系统,除银行卡有效期外,不应明文展示。 | ||
委托处理 | 用户鉴别辅助信息,不应委托给第三方机构进行处理。 | 不应委托给第三方机构进行处理。 | |
加工处理 | 应采取必要的技术手段和管理措施,确保在信息清洗和转换过程中对信息进行保护,对C2和C3类别信息,应采取更加严格的保护措施。 | ||
安全运行技术要求 | Web应用安全要求 | • 应具备对网站页面篡改、网站页面源代码暴露、穷举登录尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。 • Web应用系统与组件上线前应进行安全评估。 • 应具备对系统组件进行实时监测的能力,有效识别和组织来自内外部的非法访问。 |
(2) 安全管理要求
类别 | C2类别信息 | C3类别信息 | |
安全准则 | 使用 | • 用户鉴别辅助信息不应共享、转让。 • 用户鉴别辅助信息不应公开披露。 | • 不应共享、转让。 • 不应公开披露。 |
安全策略 | 安全制度体系建立与发布 | 建立外包服务机构与外部合作机构管理制度,包括但不限于:应通过协议或合同的方式,约束外包服务机构与外部合作机构不应留存C2、C3类别信息。 | |
支付账号等信息,若因清分清算、差错处理等业务需要确需留存,金融业机构应明确其保密义务与保密责任,并应根据安全要求落实安全控制措施,并将有关资料留档备查。 | |||
访问控制 | N/A | 存储或处理个人金融信息的相关物理设备或介质应在获得审批授权后方可移入或移出机房受控区域,留存有C2、C3类别信息的物理设备或介质移入或移出区域应具有同等的安全保障措施。 |
由上述归纳可知,针对与外包服务机构和外部合作机构的合作,在《个人信息安全规范》等相关规定的基础要求(例如安全影响评估、对第三方的监督、审计)上,《技术规范》还从以下几个方面提出禁止性要求或额外规制:
特定类别的个人金融信息不应委托或授权无金融业相关资质的机构收集;
特定类别的个人金融信息不应共享和转让;
特定类别的个人金融信息不应委托给第三方机构进行处理;
对委托处理的信息应采用去标识化等方式进行脱敏处理。
因此,对于普遍采用人力外包等方式委托分包商提供非核心服务的金融行业来说,为避免合规风险,相关从业机构可能面临调整相关业务或合作模式的考验。
六、
结语
去年9月以来,公安部门加强对涉足互联网金融行业的大数据服务公司在网络安全及数据合规领域的执法力度,“净网2019”行动持续开展。我们判断,2020年,随着数据执法的进一步深化,金融等数据敏感行业将进一步完善行业内的网络安全和数据保护实施细则的立法和规范工作,建议相关金融业机构以《技术规范》、《个人信息安全规范》及等保2.0等相关规范和标准要求,开展内部网络安全自查、自律行动,切实落实个人信息尤其是个人金融信息的安全保护要求。
[注]
[1] 例如在受理终端、个人终端及客户端应用软件均不应存储支付敏感信息,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除;在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
陈瑊 律师
北京办公室 知识产权部
作者往期文章推荐:
《App数据收集划定红线:《App违法违规收集使用个人信息行为认定方法》解析》
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(下)》
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。