举一纲而万目张——金融数据的分类分级与全生命周期保护
///
作为金融行业数据合规系列文章的开篇,本文将首先解决“谁需要金融数据合规”与“哪些金融数据要合规”这两个问题,进而讨论如何搭建金融数据的分类分级框架,并在此基础上梳理金融数据进行全生命周期保护的合规要点。
作者:李瑞 贾申 钟俊鹏 罗仪涵
作为宏观经济平稳运行的重要一环,金融行业的重要性毋庸置疑。在数字化经济蓬勃发展的今天,金融行业担负着优化已有运营系统与产品服务,高效发挥资金融通、资源配置作用,繁荣实体经济的任务和使命,是国民经济发展和社会稳定的重要一环。近年来,除传统金融机构以外,金融行业也涌现了新型金融服务机构、金融科技公司等新参与者。而各类金融机构有一个共同特点,那就是掌握大量数据。因此,伴随着网络和数据合规成为当下监管重点,数据合规也成为了金融行业的一项核心关注。
为呼应金融行业在网络和数据方面日渐增长的合规要求,我们将结合法律要求和实践经验,撰写系列文章介绍金融行业的数据合规要点,提供数据保护方面的合规建议。本系列开篇将首先从澄清金融数据合规的义务主体及数据对象出发,讨论如何搭建金融数据的分类分级框架,并在此基础上梳理对金融数据进行全生命周期保护的要点。
一.
金融数据合规的义务主体与对象
金融数据合规,首先要回答“谁需要合规”与“哪些金融数据要合规”这两个问题。一种常见的错误理解是:只有银保监会、证监会监管的银行、证券公司、期货公司等持牌金融机构承担金融数据合规义务;而金融数据仅指用户端的交易信息、账户信息与机构端的业务信息、交易信息。这种存在偏差的理解不仅会导致一些新型金融服务机构忽视了其业务所涉金融数据也应适用同样或者类似的监管合规要求;还导致一些传统持牌金融机构可能会将行业主管部门不时下发的监管指导意见等同于全部的数据合规要求,无法充分识别金融数据的范围,从而无法准确把握来自网信办、工信部、公安部等其他涉及网络与数据安全行政部门的数据合规约束边界。
《金融数据安全 数据安全分级指南》(以下简称“金融数据分级指南”)中对金融数据进行了明确定义,“金融数据”是指“金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据”[1]。《金融数据安全 数据安全评估规范(征求意见稿)》(以下简称“金融数据评估规范”)中也沿用了上述定义。[2]上述定义中的义务主体为金融业机构,而《个人金融信息保护技术规范》(以下简称“个金技术规范”)中将“金融业机构”定义为“由国家金融管理部门监督管理的持牌金融机构以及涉及个人金融信息处理的相关机构”[3],将“个人金融信息”定义为“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”[4]。
综合上述定义,可以看出,金融数据合规的义务主体不仅仅指银行、信托、金融租赁、货币经纪、融资租赁等传统持牌金融机构,还包括其他提供金融产品/服务从而涉及个人金融信息处理的新型金融业机构,例如金融服务机构、金融科技公司等。另一方面,从个人金融信息和金融数据的定义也可以看出,个人金融信息仅是金融数据的一部分,金融数据的范围涵盖金融业机构的内部运营与外部业务产生的所有数据,包含个人信息、组织经营信息、公共信息等多个维度。
故而,金融数据合规不仅义务主体面广,而且业务场景繁多、数据种类复杂。在当前《个人保护法》(“个保法”)、《数据安全法》(“数安法”)和《网络安全法》(“网安法”)“三驾马车”引领的数据合规体系下,金融业机构需要遵循个人信息保护、数据及网络安全领域的基础性法律义务,此外还需参考中国人民银行或全国金融标准化技术委员会发布的行业标准,遵循“就高从严”的原则开展金融数据合规工作。
二.
金融数据的分类分级要求
在对复杂多样的金融数据资产进行识别、梳理、管理与保护时,基础性的分类分级是金融业机构建立完善的金融数据生命周期保护框架的基础,也是有的放矢地实施数据安全管理的前提。
金融数据分类分级适用的规范
全国信息安全标准化技术委员会发布的《网络安全标准实践指南——网络数据分类分级指引》(以下简称“数据分类分级指引”)对所有数据的分类分级提供了指导,在此之前,对金融数据的分类分级早已有相关标准与实践。如何理解金融数据在规则适用上与其他数据的关系,以及金融数据自身分类分级标准间的关系,直接关系到金融业机构数据合规工作的开展。
我们认为,金融数据只是数据的一种基于行业的特殊分类,其已有的一些分类分级规则是根据行业特性提出了更具针对性的管理与保护要求。金融数据分类分级的思路也是在“先分类,再分级”下,进行更完备且适当的管理与保护;此外,数据分类分级指引中也明确表示数据分类时应优先遵循行业的数据分类要求[5],并且给出了数据分类分级指引与金融行业数据分类分级规则的对应关系[6]。因此,发布在后的数据分类分级指引并未否定金融行业已有的金融数据分类分级规则。
从对数据进行管理与保护的终极目的出发,金融业机构应当在把握数据分类分级指引的基本原则与流程的基础上,结合自身业务实践,在对数据资产进行尽可能全面的梳理后,按照以下原则开展分类分级工作:
(1)在金融数据分类上,金融业机构应优先遵循金融数据的分类要求,在此基础上再从组织经营维度结合自身数据管理和使用需要对金融数据进行分类;
(2)在金融数据分级上,我们理解数据分类分级指引与金融数据分级指南、个金技术规范等规则之间的不同分级体系在实践中可能带来一些困难,对此,我们认为金融业机构可以以金融数据分级指南为分级的基础,在涉及证券期货数据/个人金融信息等金融数据的分级时就高从严地适用更有针对性的《证券期货数据分类分级指引》或个金技术规范。
金融数据分类分级的方法与流程
基于对自身数据资产的整体盘点,金融业机构可以先将金融数据分为客户类、业务类、经营管理类和监管类的一级子类,在这一过程中,金融业机构可以对其所涉及的信息类别与信息量有一个较为科学准确的把握;然后根据信息主体或金融服务场景的不同再进行二级子类、三级子类下的细分(如作为一级子类的业务数据可再细分为账户信息、法定数字货币钱包信息、合约协议、金融监管和服务、交易信息等二级子类[7])。对此,业内已有一些提供数据云安全/管理解决方案的机构可以帮助企业在云上进行自动化、日常性的数据分类,金融业机构也可优化自身已有的数据管理系统对其金融数据类别进行整理。
在对数据资产进行梳理分类后,金融业机构应明确数据定级的颗粒度及关键要素,为便于参考,我们在下表1中[8]对比了数据分类分级指引、金融数据分级指南与个金技术规范在金融数据分级上的具体对应关系:
表格1:关于金融数据分级相关规范的标准对比
我们建议金融业机构可以自行或咨询外部律师,制定一份数据分级的“内部判定表”。为之后细化数据安全保护流程之考虑,我们建议该表以金融数据分级指南的数据定级为主要参考(如下表2所示)[9],此外,在涉及5级数据、证券期货数据以及个人金融信息时,还要考虑数据分类分级指引、《证券数据分类分级指引》、以及个金技术规范的特殊要求。比如,对银行等金融业机构而言,不仅金融账户属于个人敏感信息,在业务过程中收集的生物识别信息、特定身份信息(身份证、社保卡等)、行踪轨迹(app定位)信息、14岁以下(含)未成年个人信息、身份鉴别信息(登录、支付密码、交易密码、银行卡有效期、口令等),都属于个人敏感信息,定级时不应低于4级(C3级)。
表格2:金融数据安全定级规则参考表
在搭建好金融数据分类分级的框架并备好数据分类分级清单后,由于金融数据的类别、级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,还需要对金融数据分类分级进行定期审核并及时调整。
三.
金融数据生命周期保护的要点
数据分类分级的终极意义在于实现更好的数据安全保护。基于金融数据分级指南,《金融数据安全 数据生命周期安全规范》(“周期安全规范”)通过规定金融数据生命周期安全原则、防护要求、组织保障要求及信息系统运维保障要求,搭建了覆盖金融数据全生命周期的安全保护框架,进一步细化了安全保护的颗粒度。
搭建金融数据生命周期保护的框架
首先,应当理解“数据生命周期”的概念。“金融数据生命周期”是指金融业机构在开展业务和进行经营管理的过程中,对金融数据进行采集、传输、存储、使用、删除、销毁的整个过程。[10]
其次,金融业机构可以从上述六大数据生命周期环节中细化金融数据的安全保护要求,将其作为数据生命周期安全框架的核心。须另外提示,在如下表3所示[11]的各环节中的具体场景可能与个保法等列示的数据处理场景存在内涵和外延上的差异,这需要金融业机构在具体操作中进一步把握、咨询专业律师。
表格3:六大金融数据生命周期环节
最后,在以上诸多场景中,金融业机构应当进一步从数据安全组织保障(组织结构、制度体系、内外部人员机构管理)和信息系统运维保障(边界管控、访问控制、安全监测与审计、检查评估、应急事件相应及处置)两大方面,构筑内部数据合规管理体系与安全保护机制。
金融数据的安全保护技术要求
基于金融数据分级指南的定级,周期安全规范规定了不同数据级下的安全保护技术要求。因此,以金融数据分级指南(或上文“内部判定表”)为基础进行分级对照的金融业机构,就可以基于其分级对金融数据的采集、传输、储存、使用、删除、销毁进行以下生命周期式的安全防护。篇幅所限,我们仅在下表4[12]中总结了周期安全规范中的一些典型要求,以此提示不同分级下的合规义务差别,帮助金融业机构感受合规的颗粒度:
表格4:各金融数据生命周期环节中不同级别数据的合规义务示例
金融数据的安全保护组织要求
承前所述,信息系统运维与数据安全组织构成金融数据生命周期保护的两大保障。与科技、互联网等公司强依赖于在线系统处理数据安全及保护有所不同,金融业机构工作人员的违规行为某种程度上更容易且频繁地危害金融数据安全,产生侵权后果。在实践中,金融业机构工作人员私自访问、保存并违法对外提供个人金融信息是导致数据安全事件的一大原因。在规范适用上,无论是《证券期货数据分类分级指引》,还是金融数据分级指南、个金技术规范,都强调了良好的组织保障与完善的管理制度对金融数据保护的重要性。对此,周期安全规范细化了管理体系的组织架构与职责定位,如下表5所示[13],并要求金融业机构在不同管理层级上梳理管理流程,拟定管理制度,细化管理要点,实现数据安全的保护闭环。
表格5:数据安全保护管理体系
简言之,传统强监管的金融业机构虽然已面临诸多法律法规的约束,但在管理日益精细化、系统化、科技化的今天,传统金融业机构更需要主动作为,在行业内标准、规范的基础上,整理并搭建好金融数据系统性管理的思路与框架,将具有更细颗粒度的管理方案纳入日常运营管理中。
四.
总结
虽然金融领域既有的标准、规范已对金融数据合规提出了诸多要求,但金融业机构的金融数据合规应当乘上“三驾马车”,在对数据合规的全局性理解下,从技术应用与管理组织两个层面推进自身系统化的建设。本系列文章选择以金融数据的分类分级与生命周期保护为开篇话题,正是认为金融业机构,尤其是传统金融持牌机构,应该从根本上改变区块式看待金融数据合规的看法:在技术应用层面,需要针对金融数据的收集、传输、存储、使用、删除、销毁等各个环节,根据不同的数据分类分级策略,构建新一代动态金融数据安全风险监测、评估与保护体系,实现差异化管理;在管理组织层面,金融业机构需要将内部管理体系与数据分类分级相结合,从管理制度、防护措施、岗位职责等多方面依托数据分类分级进行针对性编制,强化管理体系落地执行性。
下篇预告
在本系列第二篇文章中,将重点对金融业机构的个人金融信息保护义务进行分析,结合金融业机构的典型业务场景,从技术应用与管理组织两个层面继续为金融业机构提供更切实的金融数据合规建议。
[注]
[1] 见《金融数据安全 数据安全分级指南》第3.10条。
[2] 见《金融数据安全 数据安全评估规范(征求意见稿)》第3.1条
[3] 见《个人金融信息保护技术规范》第3.1条。
[4] 见《个人金融信息保护技术规范》第3.2条。
[5] 见数据分类分级指引第5.1条。
[6] 具体可参见数据分类分级指引附录C3,C4.
[7] 具体可参见金融数据分级指南附录A。
[8] 图表总结自数据分类分级指引附录C4。
[9] 图表总结自金融数据分级指南第5.3.2条。
[10] 见《金融数据安全 数据生命周期安全规范》第5.1条。
[11] 图表来自周期安全规范第5.1条。
[12] 图表总结自周期安全规范第7.1条-第7.6条。
[13] 图表总结自周期安全规范第8.1条。
作者简介
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业
贾申
北京办公室 顾问
业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
钟俊鹏 律师
北京办公室
非权益合伙人
业务领域:跨境投资并购, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
罗仪涵
北京办公室 合规与政府监管部
作者往期文章推荐
《房地产领域典型场景中的个人信息保护合规要点分析》
《固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对》
《已到凌云仍虚心——互联网平台合规监管2021年度盘点》
《问渠那得清如许——企业交易场景下的数据合规要求进一步加强》
《观千剑而后识器——中美欧个人信息保护制度比较》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《沉舟侧畔千帆过:金融行业反垄断合规要点及趋势概览》
《大鹏一日同风起,扶摇直上九万里——中国反垄断2021年度盘点》
《会当凌绝顶——<反垄断法(修正草案)>要点速览》
《合规创造价值——新经济领域(拟)上市企业的若干合规要点分析》
《新形势下企业贸易风险防控之道——再议美国出口管制制裁与阻断办法》
《从史上最高罚单看企业反垄断合规的重要性》
《实操建议:社交电商业务模式避免落入传销陷阱》
《虑远谋深——对俄制裁中各行业法律风险和企业防火墙方案探讨》
《从监管问询看拟上市企业应关注的反垄断合规问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。