风正一帆悬:金融数据合规2022年度回顾与展望
///
本文回顾2022年金融领域的网络安全与数据保护工作,分享我们对相关政策法律、监管动态与业内实践的观察与理解,也借此展望2023年金融数据治理的新气象与新篇章。
作者:钟俊鹏 李瑞 贾申 姚远
导
言
新故相继,日生不滞。2022年,网络安全、数据安全与个人信息保护“三位一体”的数据合规监管在金融领域全面铺开,成为金融监管与治理的重要一环。这一年,金融业数字化转型持续推进,金融科技应用与创新不断加速,但伴随而来的个人信息侵权乱象、数据安全缺位与科技伦理风险问题也不容忽视。在此背景下,中国人民银行、银保监会、证监会(以下统称“一行两会”或“金融行业主管部门”)领导并推动了个人信息保护专项整治、个人征信业务整改过渡,也逐步强化了监管数据治理与数据安全防护工作。基于金融行业对国计民生的重要性,新的一年,我们预期金融数据监管工作仍将以“安全”“稳定”与“合规”为主线稳步开展。
值此新年之际,我们将回顾2022年金融领域的网络安全与数据保护工作,分享我们对相关政策法律、监管动态与业内实践的观察与理解,也借此展望2023年金融数据治理的新气象与新篇章。
1
规则体系筑基建道:制度框架完善构建,细则同步深化落地
2022年,金融领域数据保护相关的法律与标准体系在一行两会与全国金融标准化技术委员会(“金标委”)的带领下不断完善,在基础性制度不断夯实的同时,不少规则也在朝着深化与细化的方向发展。在一行两会的规章体系之外,国家互联网信息办公室(“国家网信办”)牵头引领的数据立法活动、全国信息安全标准化技术委员会(“信安标委”)等组织的标准制定工作持续活跃,出台了一系列与“三法”配套的制度细则,这些通用领域的数据保护规则亦与金融领域数据保护工作息息相关。我们将2022年度内正式生效或发布的相关主要政策、法律、法规与标准整理如下表[1]:
*本表格中,属于金融领域的政策文件、法律法规或标准我们以白色单元格显示,通用领域的法律法规或标准则以灰色单元格显示。
1.1 顶层设计立柱架梁,制度基石不断夯实
金融业机构数字化转型按下加速键,顶层设计强调转型发展中兼顾安全治理,稳中求进。2022年开年,中国人民银行印发《金融科技发展规划(2022-2025年)》(《发展规划》),作为高屋建瓴的顶层设计强调加强金融科技伦理建设,在推动数据有序共享的同时加强数据安全保护。此后,银保监会亦印发《关于银行业保险业数字化转型的指导意见》,要求银行保险机构在提升数据建设能力方面应健全数据治理体系、增强数据管理能力、加强数据质量控制、提高数据应用能力,并将算法模型管理、网络安全防护、数据安全和隐私保护作为风险防范的重要方面。
金融数据治理写入银行金融业“基本法”,法律地位进一步提升。2022年11月,《中华人民共和国银行业监督管理法》发布修订草案征求意见稿,新增条款中对于数据治理、信息科技外包、跨境监管合作中的金融数据出境做出原则性规定,进一步提升金融数据治理与保护工作的站位。
个人金融信息保护制度基石落定。金融领域的个人信息保护历来被纳入金融消费者保护体系之中。银保监会于2022年12月26日正式发布《银行保险机构消费者权益保护管理办法》,[2]在此前中国人民银行《金融消费者权益保护实施办法》的基础上扩大适用机构主体范围、强化机构内部个人信息保护制度建设要求、设置信息安全权专章,并纳入互联网金融的相关数据保护规则,二者共同构建了消费者个人金融信息保护的制度基石。
1.2 重要制度渐次落地,合规路径逐渐明晰
数据跨境传输制度方面,《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》《个人信息保护认证规则》及《个人信息跨境处理活动安全认证规范》[3]等系列法规、标准推动了中国数据跨境传输三条基础路径渐次落地,也为金融领域的数据跨境流通提供了可赖依循的传输机制。
重要数据识别与保护方面,尽管目前金融行业重要数据目录尚未出台,2022年3月《信息安全技术 重要数据识别规则(征求意见稿)》细化了重要数据识别的19项因素,其中亦包括部分与金融活动、经济运行、监管数据、金融统计相关的识别要素,为金融重要数据识别提供了原则性指导。
关键信息基础设施(“CII”)防护方面,《网络安全审查办法》修订稿于2022年2月正式生效,关键信息基础设施运营者(“CIIO”)采购审查制度进一步完善,首个CII国家标准《信息安全技术 关键信息基础设施安全保护要求》亦于10月正式发布。金融领域是国家CII制度所关注的重要行业与核心领域之一,上述制度为金融机构类CIIO的网络及数据保护与供应链安全保驾护航。
1.3 监管版图日臻完善,数据合规全方位纳入金融监管体系
2022年出台的多部金融监管新规均纳入了数据保护相关内容。一方面,新近出台的互联网贷款、信用卡业务、保险产品及销售、理财公司治理、证券期货与基金等各细分业务领域规则中均设置了消费者个人信息保护、第三方数据合作、信息系统安全、敏感业务数据保护等专款专条。另一方面,征信管理、反洗钱、反电信网络诈骗、金融统计、营销宣传、金融基础设施等其他金融监管制度也新增内容以与数据保护制度有效衔接。
1.4 标准供给持续提升,部署前沿与细分领域
自2020-2021年《个人金融信息保护技术规范》《金融数据安全 数据分级指南》等多项标准[4]发布以来,金融数据安全行业标准体系的框架已基本建立。2022年,金融标准化工作在数据治理与保护方面继续向前沿与细分领域不断纵深。10月9日发布的《金融领域科技伦理指引》面向金融数据伦理治理议题,关注数据安全、算法公平和数据流量滥用等热点问题。《证券期货业数据安全管理与保护指引》《信息安全技术 网络支付服务数据安全要求》也针对证券期货、网络支付等行业提出更为细化具体的合规要求。[5]
2
数据执法多管齐下:多维度监管以期实现“当下改”与“长久立”的两相结合
作为强监管领域,金融领域的数据执法工作向来频次高、范围广。随着金融数据安全相关法律、指导性标准的丰富完善,相关执法活动也更为有的放矢,监管维度与方向更为明晰。
2.1 金融APP个人信息保护治理
自2019年以来,APP相关的个人信息保护治理工作主要由国家及各地工信部门与网信部门牵头,国家计算机病毒应急处理中心(CVERC)亦同时对APP个人信息合规问题进行常态化监测。根据我们的统计,在国家工信部、网信办以及各地通信管理局2022年度内共计15批次通报、CVERC共计11批次监测通报中,共有68款金融APP因存在侵犯个人信息问题而被点名。按照具体业务类型进行区分,出现个人信息侵权问题而被点名的金融APP中,投资理财、网络支付与手机银行类APP占比较高:
点击可查看大图
从通报的违法违规事由来看,未经用户同意或误导用户同意收集个人信息、未明确告知用户收集目的及方式、范围等“违规收集或使用个人信息”[6]行为是金融APP侵权的重灾区,在被通报的68款APP中有50款均涉及此类问题,占到了总数的73.5%。此外,“强制、频繁、过度索取权限”“未提供便捷有效的个人信息更正、删除及账号注销功能”也是经常被查处的金融APP个人信息侵权行为。另一方面,2022年内,据我们观察,并未发生金融领域APP因未及时整改到位而遭下架的情形,较2019-2021年有所改善。具体通报事由分布见我们整理的以下表格:
点击可查看大图
2.2 金融行业主管部门监管处罚
2022年内,一行两会在执法监管方面对金融网络与数据安全的关注不断加强。根据我们的统计,一行两会对所辖机构存在的数据合规、信息系统安全等问题共开出454张单位罚单,同时有超过380位相关责任人涉及承担警告、罚款甚至限期禁业在内的法律责任。[7]
归纳上述金融业机构的违法违规事由,我们将金融领域数据执法活动划分为消费者个人金融信息保护、金融统计与监管数据报送及质量合规[8]、个人信用信息保护及征信合规、数据安全管理及信息系统安全防护[9]四个维度,各维度所涉案例及责任人的具体数量分布如下:
点击可查看大图
消费者个人信息保护全面深化,专项整治工作稳步推进
根据我们的统计,2022年,有11家机构因涉及消费者个人信息保护违规而收到百万级罚单。[10]未经授权同意查询或未按约定用途使用个人信息、消费者信息授权格式条款不合规仍是金融领域消费者个人信息保护方面的典型问题。[11]此外,亦有多家机构因未落实消费者个人信息分级授权审批程序和使用管理制度,或未通过有效内部控制措施纠正员工侵犯个人信息行为而遭到处罚,机构个人信息保护内控建设成为需要关注的合规重点。
专项整改方面,银保监会于2022年8月3日业内下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(《整治通知》),组织各银行保险机构全面摸排经营管理中存在的消费者个人信息处理相关情况,剑指侵害个人信息权益7大乱象,重点关注个人信息生命周期全流程处理过程中的22项违法行为,自8月至年底分三阶段逐步推进。
数据质量与报送监管持续从严,大规模与集中性执法再敲警钟
监管与统计数据的治理水平和质量控制是金融领域数据合规工作的重中之重,也是评价金融业机构数字能力的基础性指标,其核心关注点包括数据的真实性、完整性、准确性、一致性以及数据报送的及时性。2022年,数据质量与报送监管方面的处罚案例依旧数量最为集中、罚款总额最高。除常态化执法以外,银保监会于上半年内进行两批次集中性执法,3月因监管标准化数据质量问题对21家银行机构处罚合计8760万元,4月继而通报45家银行保险机构存在监管信息系统数据错报、漏报、瞒报等突出问题。
个人征信业务处于整改过渡期,信用信息保护监管依旧密集
2021年是征信业务的合规大年,互联网平台与金融业机构个人信息全面“断直连”,《征信业务管理办法》的发布明确个人征信持牌要求、强化信用信息保护合规要求。相较而言,2022年全年仍处于个人征信业务持牌整改的过渡期内,但相关执法活动依然密集,银行、消费金融公司等金融业机构信用信息采集、提供与查询不合规、不良信息异议超期响应、信用信息系统及数据库安全管理是征信业务数据合规方面的执法重点。
系统防护与数据安全走向纵深,证券信息技术风险防治逐步压实
金融领域在信息系统建设与数据安全防护方面起步较早,但在互联网金融与“三法”时代也逐步迎来新的挑战。网络信息系统突发事件、敏感数据泄露风险、信息科技与数据外包管理是2022年内金融数据安全执法的重要方面。其中,证券基金行业的执法较之往年尤为活跃。5月,证监会针对业内上半年网络安全事故频发的现象下发《机构监管情况通报》,直指证券基金机构五大信息安全问题,明确将按照“穿透式监管、全链条问责”原则加大督查力度,[12]并在7月对某证券公司及相关责任人开出券业首张网络安全“双罚”罚单。
3
业内实践协同发力:行业自律与认证机制推动金融数据安全多元共治
在金融行业主管部门的执法活动之外,金融服务认证机构、行业自律性组织等亦是金融领域数据治理工作的重要主体,在监管机构的指导下,推动着业内相关制度的落地与深化。
3.1 个人金融信息保护能力认证推出
2022年11月21日,北京国家金融科技认证中心(“NFTC”)公布首批通过“个人金融信息保护能力认证”的5家支付机构与商业银行。该项认证为NFTC在中国人民银行的牵头与倡导下正式启动的国家级、自愿性认证,也是国内首个基于行业特点的个人信息保护认证,以《信息安全技术个人信息安全规范》《个人金融信息保护技术规范》等标准及相关法律法规为认证依据,旨在提升机构个人金融信息全生命周期保护水平。同时,NFTC将就此项认证积极引入互认机制,是否可能与网信办推动的个人信息保护认证进一步衔接值得期待。
3.2 中国互联网协会金融APP备案工作持续开展
自2019年中国人民银行发布《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》以来,金融APP的实名备案自律管理职责由中国互联网金融协会(“NIFA”)承担,该备案也已成为金融数据治理的常态化工作之一。备案检测以行业标准《移动金融客户端应用软件安全管理规范》为主要技术依托,个人信息保护及数据安全是该标准的重要内容,对金融APP在数据全生命周期处理各环节均提出安全要求。
2022年,NIFA共公布第20至第29批备案名单,共计完成473款金融APP备案[13],从批次和备案数量上较2021年完成千余款APP备案有所回落,备案工作相对进入稳定期。
4
2023年展望与前瞻:行稳致远,积厚成势
4.1 金融数据要素流通成主线,相关制度供给步伐加快
2022年12月,中共中央国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(《二十条》),进一步强调建立数据产权制度、规范数据流通规则、构建数据交易制度体系。作为国家数据基础制度与战略的主线之一,数据要素流通同样属于金融领域顶层设计的重要部分。中国人民银行在《发展规划》中将数据共享和权属判定机制、跨主体数据安全共享隐私计算平台作为当下金融科技的重点任务。2022年1月印发的《金融标准化“十四五”发展规划》也指出金融标准化工作将关注数据要素流通,完善金融数据资源产权、交易流通方面的标准规范。我们期待2023年在释放金融数据要素潜能、推动数据有序共享方面将迎来更多的政策与制度支持。
4.2 数据合规制度“三大件”:金融数据跨境传输、重要数据识别与CII认定细则待落地
作为数据密集型领域,金融领域的数据流通较之其他行业更为频繁活跃。对于跨国金融业机构及开展跨境业务的本地机构而言,跨境支付、境内外业务系统间数据流转、全球客户一体化维护等场景下均可能涉及个人信息或重要数据出境需求。随着《数据出境安全评估办法》规定的整改期限将至,金融业机构面临的数据出境合规压力日益增长。另一方面,我国在反洗钱、审计监管方面探索建立了相应的跨境监管合作框架与响应机制,但是在此之外,其他方面的跨境金融监管调查数据传输规则目前尚有细化空间。
《二十条》明确提出我国将积极参与数据跨境国际规则制定、推动多边协商,同时将跨境支付作为需探索安全规范数据跨境流动方式的典型场景之一。在此背景下,我们期待在2023年能够看到针对金融数据出境合规方案的更多规则,为跨境支付结算、反洗钱及跨境金融监管的数据传输提供更为清晰的操作指引。
伴随着重要数据及CII相关立法与标准制定工作不断提上议程,我们预计,在金融行业主管部门推动下,金融领域重要数据目录及识别规则、金融类CII认定规则也有望在2023年得到明确。
4.3 多项整改行动期限将至,个人金融信息保护与助贷征信合规“大考”答案将揭晓
银保监会侵害个人信息权益乱象专项整治工作已于2022年年末迎来收尾阶段。根据《整治通知》,自查不力、隐瞒不报的机构将被严肃追责并予以处罚。此次全面摸排后,我们相信2023年将涌现一批个人金融信息保护典型执法案例和执法新动作,银行保险机构个人信息保护工作的合规思路也将更为清晰。除此之外,个人征信业务持牌整改期限将于2023年中截止,金融业机构与互联网平台个人信用信息“断直连”模式下助贷业务数据源及风控输出的合规路径最终落脚何处、机构外部数据接入是否有可能的模式创新也值得期待。
4.4 金融标准化工作持续推进,关注“三法”衔接,完善互联网金融数据治理规则
目前包括《个人金融信息保护技术规范》在内的多项金融数据安全基础性标准均制定于《数据安全法》与《个人信息保护法》到来之前,尽管整体而言能够贴合当下数据保护的实践水平,但在规则细节上仍有部分内容尚未匹配最新要求,如未包含单独同意、未成年人个人信息保护等重要处理规则。另外,《金融标准化“十四五”发展规划》也提出要进一步推动个人金融信息保护标准体系、金融网络安全与数据安全保护标准体系的健全与完善,关注互联网平台金融业务消费者保护。据此,我们预计,2023年,相关金融行业标准有望进一步与“三法”有效衔接与适配,互联网金融相关的个人信息保护规则亦有望进一步明晰。
[注]
[1] 如同一法规、标准在2022年度内既公布了征求意见稿也出台了正式稿,或存在发布多个版本情形的,我们仅在表格中展示正式稿或最新稿,如《银行保险机构消费者权益保护管理办法》《银行保险监管统计管理办法》《个人信息跨境处理活动安全认证规范V2.0》等。
[2] 银保监会于2022年5月19日发布《银行保险机构消费者权益保护管理办法(征求意见稿)》,至2022年12月26日正式出台,共历时7个月。
[3] 《个人信息跨境处理活动安全认证规范》于2022年6月24日发布,但是《个人信息跨境处理活动安全认证规范V2.0》正式于2022年12月16日发布,最新的V2.0版本已经替代了第一版。
[4] 相关标准还包括《金融数据安全 数据生命周期安全规范》《金融业数据能力建设指引》《金融数据安全 数据安全评估规范(征求意见稿)》《金融数据跨境安全要求(征求意见稿)》等。
[5] 我们在正文中主要选取了与金融领域特别相关的标准文件。除以上列举之外,亦有部分通用领域的信息安全技术标准也对金融领域的数据安全与个人信息保护工作具有一定影响。例如,《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求》对网络支付、投资理财、网络借贷、手机银行类APP所收集的必要个人信息范围进行了进一步明确;人脸支付场景下的个人信息保护要求则需要具体参照《信息安全技术 人脸识别数据安全要求》。
[6] 由于通报事由中并未具体解释“违规收集或使用个人信息”的具体内涵,我们将未遵循“告知—同意”原则类的通报事由均归入此事由,具体包括:未经用户同意APP私自收集获取个人信息;以不正当方式误导用户同意收集个人信息;未明确告知用户收集使用个人信息的目的、方式、范围(包括启用某权限未说明目的),或概况授权、模糊授权范围;不同意提供非必要性信息(包括启用非必要权限)就无法正常使用等;未获取用户单独同意即收集个人敏感信息。
[7] 我们在执法数据统计过程中,未将反洗钱相关的客户尽职调查、客户身份资料及交易记录保存方面的行政处罚纳入数据合规执法的统计范围。此外,由于部分案例中存在不止一个维度的处罚事由,因此各维度的单位罚单加总数量会大于正文中提及的单位罚单总数。
[8] “金融统计与监管数据报送与质量合规”维度的常见处罚事由包括虚报统计数据、报送数据不真实、EAST数据存在偏差或漏报、非现场统计数据差错、财务数据不真实、数据治理有效性缺失、违反金融统计管理规定、虚报、瞒报金融统计资料、未按规定报送投诉数据等。
[9] “数据安全管理及信息系统安全防护”维度的常见处罚事由包括因敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件、过失泄露信息、信息安全和员工行为管理严重违反审慎经营规则、网络安全事件变更管理不完善、应急处置不及时等。
[10] 其中,有4家机构罚款数额达到千万级。需要注意的是,上述被罚机构的处罚事由中除消费者个人信息保护违规事由以外,同时还包括其他违法行为类型,因此该罚款并不仅针对消费者个人信息保护违规情节而作出。此外,个人征信相关违法事由不包括在本维度的统计范畴中。
[11] 中国人民银行相关处罚公示中较为常见的事由还包括“违反个人金融信息保护规定”“侵害消费者金融信息依法得到保护的权利”“侵犯金融消费者个人信息安全”等较为概括的表述,但并未注明具体处罚的侵犯消费者个人金融信息行为情节。
[12] 《机构监管情况通报》所列五大问题包括:一、个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节。二、是主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构。三、运维人员操作规范性不足,未能建立有效的权限管理及复核机制。四、监管通报指出,当前移动APP开发管理存在短板,已成为信息系统安全事件易发领域。五、安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。
[13] 根据我们的统计,2021年NIFA公布第6至第19批备案名单,共备案1386款金融APP。
作者简介
钟俊鹏 律师
北京办公室
非权益合伙人
业务领域:跨境投资并购, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业, 通讯与技术
贾申
北京办公室 顾问
业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
姚远
北京办公室 合规与政府监管部
* 章嘉琦、张柠、于千城对本文亦有贡献
作者往期文章推荐
《“氢”风徐来,水波已兴——中国氢能行业全产业链优惠政策概览》
《星垂平野阔,月涌大江流:“二十条”指引下的中国网络与数据立法》
《数据出境合规解读系列文章(四):出海“新马泰”企业的个人数据回流合规机制》
《数据出境合规解读系列文章(三):数据跨境传输协议应明确哪些权利义务?》
《数据出境合规解读系列文章(二):哪些数据受到出境监管?》
《企业数据出境合规系列解读(一):盘点常见数据出境风险场景》
《切磋琢磨成宝器——个人金融信息保护的合规要点解读(下)》
《既遵道而得路——个人金融信息保护的合规要点解读(上)》
《举一纲而万目张——金融数据的分类分级与全生命周期保护》
《房地产领域典型场景中的个人信息保护合规要点分析》
《固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对》
《已到凌云仍虚心——互联网平台合规监管2021年度盘点》
《久违春风添暖意——中国反垄断2022年度盘点》
《欲渡黄河冰塞川——2022年美国出口管制动态回顾与展望》
《乘风下长川——医药健康行业反垄断合规实务及应对(三):经营者集中》
《挂席拾海月——医药健康行业反垄断合规实务及应对(二):成品药、医疗器械与知识产权》
《坐看云起时——医药健康行业反垄断合规实务及应对(一):原料药》
《一张图读懂美国出口管制新规》
《合规速评丨解读<中央企业合规管理办法>八大亮点》
《行愈笃知益明——跨境电商合规运营实务问题八问八答》
《见微方能知著——受CFIUS审查影响而终止的中资交易简报(2008-2021)》
《<反垄断法(修正案)>配套新规解读系列:禁止垄断协议规定(征求意见稿)合规启示》
《<反垄断法(修正案)>配套新规解读系列:禁止滥用知识产权排除、限制竞争行为规定(征求意见稿)亮点简析》
《<反垄断法(修正案)>配套新规解读系列:经营者集中申报标准规定与审查规定(征求意见稿)亮点简析》
《长风破浪会有时——<反垄断法(修正案)>会给企业合规带来哪些变化?》
《沉舟侧畔千帆过:金融行业反垄断合规要点及趋势概览》
《大鹏一日同风起,扶摇直上九万里——中国反垄断2021年度盘点》
《新形势下企业贸易风险防控之道——再议美国出口管制制裁与阻断办法》
《实操建议:社交电商业务模式避免落入传销陷阱》
《虑远谋深——对俄制裁中各行业法律风险和企业防火墙方案探讨》
《从监管问询看拟上市企业应关注的反垄断合规问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。