华商原创 ▎金融机构的“红宝书”来了！——解读《个人金融信息保护技术规范》系列解读之（一）

本次《个人金融信息保护技术规范》（以下简称《规范》）主要对个人金融信息的分类、收集、使用等信息的生命周期环节作出了严格、详细的规定。本文分为八个部分：一、发布背景二、法律效力三、适用范围四、个人金融信息的定义与分类五、个人金融信息全生命周期合规要求六、安全管理合规七、个人金融信息的脱敏指引八、对行业的影响

详述如下：

一、发布背景

自去年以来，个人金融信息保护法规制定的相关动作不断。去年上半年，《个人金融信息（数据）保护试行办法》被列入央行2019年工作计划。去年10月，央行向部分银行下发《个人金融信息（数据）保护试行办法》初稿，对金融机构与第三方之间征信业务活动等作出明确规定，加大了对违规采集、使用个人征信信息的惩处力度。为加强个人金融信息安全管理，指导各相关机构规范处理个人金融信息，最大程度保障个人金融信息主体合法权益，维护金融市场稳定，今年2月，中国人民银行印发了JR/T 0171-2020《个人金融信息保护技术规范》。此次发布的《规范》则规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对金融业机构的个人金融信息保护提出了规范性要求。可以说从细分领域的数据保护的趋势上看，行业标准先行，是目前我国数据法体系不断完善的主要特征之一。在个人金融信息保护上，出台此规范，也为后续国家层面立法提供了很好的参考标准，对于规范金融数据行业意义重大。 

二、法律效力

根据全国金融标准化技术委员会（以下简称“金标委”）的金融标准全文公开系统显示，《规范》为推荐性行业标准。根据《标准化法》第二条，我国标准可以分为国家标准、行业标准、地方标准、团体标准和企业标准。按照是否具有强制力，行业标准可以进一步划分为强制性标准、推荐性标准，而团体标准和企业标准则属于是市场主体自治标准，也不具有强制执行效力。我国采取“强制性标准必须执行，推荐性标准鼓励采用”的标准执行原则，即企业可以自愿选择是否实施推荐性标准，并不具有法律约束力。但根据国家标准化管理委员会对《标准化法》第二条的释义：“…但在有些情况下，推荐性标准的效力会发生转化，必须执行：（1）推荐性标准被相关法律、法规、规章引用，则该推荐性标准具有相应的强制约束力，应当按法律、法规、规章的相关规定予以实施…”，即一旦推荐性标准被法律法规等具有强制力的规范性文件所引用，该推荐性标准则会因此成为“强制性”标准。虽然《规范》为推荐性标准，目前并不具有法律约束力，但将来如果其被某些法律法规等具有强制力的规范性文件所引用，本标准则可能因此成为“强制性”标准。另外，根据《规范》“1.范围”中明确，“本标准适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考”，即如果相关部门对适用企业机构进行安全检查与评估工作时，发现企业机构对个人金融信息的保护不符合《规范》要求的，可要求该企业机构参照《规范》进行整改，严重的甚至可作出处罚决定。因此，建议凡是《规范》所适用的企业机构（尤其是头部企业）对《规范》的要求，应予以重视。 

三、适用范围

《规范》明确，“本标准适用于提供金融产品和服务的金融业机构”，对于“金融业机构”的定义，《规范》3.1条明确，金融业机构是指由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。因此，适用于《规范》的不仅仅持牌金融机构，非持牌的但涉及收集、处理个人金融信息的机构也适用于《规范》。即除了一般的银行、证券、基金、消金、小贷、征信、保险等持牌机构以外，还适用于收集、处理个人金融信息的助贷、P2P、贷后管理（如催收）等非持牌机构。 

四、个人金融信息的定义与分类

（一）个人金融信息的定义

早在2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》中，已经对个人金融信息作出明确的定义，个人金融信息，是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息（包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息）、在与个人建立业务关系过程中获取、保存的其他个人信息。随着金融行业与科技的发展，在2020年发布的《规范》中，对个人金融信息的定义更为广泛，具体范围主要增加了鉴别信息、个人生物识别信息。鉴别信息是指，用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、预付卡支付密码；个人金融信息主体登录密码、账户査询密码、交易密码；卡片验证码（CVN和CVN2）、 动态口令、短信验证码、密码提示问题答案等。个人生物识别信息除了一般比较常见的指纹、人脸以外，还包括虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。

个人金融信息定义对比表：

 （二）个人金融信息的分类

2018年，金标委发布《支付信息保护技术规范》（送审稿），该规范开始落实《网络安全法》关于数据分级管理的要求，根据敏感程度对支付信息进行等级划分，按敏感程度从低到高分为C1、C2、C3、C4四个类别。本次《规范》，在《支付信息保护技术规范》（送审稿）的基础上，根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，并设置了相适应的技术与管理合规要求。

其中，请相关企业机构注意的是，以上的分类并不是一成不变的，同一信息在不同的服务场景中可能处于不同的类别，两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息，如用户鉴别辅助信息（动态口令、短信验证码等）与账号结合使用可直接完成用户鉴别的，则属于C3类别信息。因此，企业机构应依据服务场景以及该信息在其中的作用对信息的类别进行识别，并实施针对性的保护措施。 

五、个人金融信息全生命周期合规要求

《规范》与《信息技术安全 个人信息安全规范》一样，从信息的生命周期各环节提出合规要求。但不同的是，《规范》参照最新的等保2.0要求，将个人金融信息全生命周期合规要求划分为技术要求和管理要求两个维度。

《规范》对个人金融信息生命周期主要划分成六个环节，分别是个人金融信息的收集、传输、存储、使用、删除和销毁，其中使用环节便包括了对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。这与《信息技术安全个人信息安全规范》的划分标准也不尽相同，在《信息技术安全 个人信息安全规范》中，个人信息使用与个人信息的的委托处理、共享、转让、公开披露是分开不同章节进行论述。因此，要注意《规范》中对各个术语的定义及范围。以下便从个人金融信息各个生命周期环节的合规要求进行分析。

（一）个人金融信息收集合规要求

在信息收集主体资格方面，在2019年10月，央行发布了《个人金融信息(数据)保护试行办法(初稿)》，其中规定了除了依法设立的征信机构之外，未经人民银行批准，任何单位和个人不得从事个人金融信息的收集处理工作，以及对外提供个人征信业务。本次《规范》借鉴了《个人金融信息（数据）保护试行办法（征求意见稿）》，《规范》在安全技术要求6.1.1条a）款规定，收集个人金融信息（C2/C3）的主体必须为金融业持牌机构（例如持牌的小贷公司、消金公司、征信机构等），而将其他非持牌机构（例如导流、助贷、大数据分析公司）排除在外。因此，金融机构应当加强第三方合作机构的资质审查，如采用本规范，则应避免与非持牌机构机构开展涉及用户个人金融信息层面的业务合作（例如风控、催收等）。

在用户授权同意方面，《规范》参考了《App违法违规收集使用个人信息行为认定方法》和《信息技术安全 个人信息安全规范》关于用户授权同意的合规要求，《规定》6.1.1条c）款要求金融机构应当采取技术措施（如弹窗、明显位置URL链接等），引导用户查阅隐身政策，并获得其明示同意后再开展收集个人金融信息。在现实情况中，仍然有一部分金融类app或网站中仍然存在登陆/注册即代表同意隐私政策、默认勾选隐私政策的方式获取用户同意的方式。因此金融类APP应当避免以此种方式获取用户对个人金融信息收集的授权同意。

在收集的告知同意规则方面，原则上与《信息技术安全 个人信息安全规范》、《个人信息告知同意指南（征）》、《App违法违规收集使用个人信息行为认定方法》等要求一致，《规范》将“不应欺诈、诱骗，或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息”作为收集个人金融信息的基本规则之一，并要求金融业机构不应隐瞒金融产品或服务所具有的收集个人金融信息的功能。另外，《个人信息告知同意指南（征求意见稿）》的附录中，规定了互联网金融场景（包括网络借贷、助贷、金融线上业务）下的个人信息告知同意合规指引，包括告知内容、告知形式、同意方式以及告知同意适当性等，相关企业机构在进行合规整改时可参考该指南。

另外，《规范》还参考了2018年网信办发布的《金融信息服务管理规定》关于信息可溯源的规定，《规范》6.1.1条b）款规定，应确保收集信息来源的可追溯性。企业机构应在确保信息来源的可追溯性的同时，应当还确保信息源头的真实性，避免收集虚假、来源不明的信息。

在信息收集范围方面，《规定》7.1.1条a）款规定，收集个人金融信息应遵循最小化要求，不应收集法律法规与行业主管部门有关规定明令禁止收集的个人金融信息，收集个人金融信息的目的应与实现和优化金融产品或服务、防范金融产品或服务的风险有直接关联。

在《信息安全技术 移动互联网应用（App）收集个人信息基本规范》征求意见稿的附录A中，对于网络支付、网络购物、金融借贷等行业所收集的最小必要信息的范围均有明确的指引，相关企业机构在进行合规整改时可参考该规范。

（二）个人金融信息传输合规

在个人金融信息传输合规要求方面，除了要求企业机构建立相应的个人金融信息传输安全策略和规程，釆用满足个人金融信息传输安全策略的安全控制措施以外，还特别强调以下几点：

1、《规范》6.1.2条b）款明确，传输个人金融信息前，发送与接收双方应通过有效技术手段进行身份鉴别和认证；2、《规范》6.1.2条c）款明确，通过公共网络传输时（如公共场所的wifi），传输C2、C3类别信息时必须使用加密通道或数据加密的方式进行传输；对于C3类别中的支付敏感信息，所采取的安全传输技术控制措施必须符合有关行业技术标准与行业主管部门有关规定要求；3、《规范》6.1.2条e）款明确，个人金融信息的接收方应对所接收信息的完整性进行校验，避免信息存在缺失的情况。 

（三）个人金融信息存储合规

相较于其他领域，个人金融信息的存储合规要求相对较高。《规范》中较为重要的有以下几点：1、《规范》对个人金融信息的存储吸收了“三重授权”原则，《规范》6.1.3条a）款明确，金融机构不得留存非本机构的C3类别信息。如果确有必要留存非本机构的C3类别信息的需要获取个人金融信息主体、账户管理机构的双重授权。之前某互联网公司便因为获取其他金融机构的C2/C3级别数据时，没有取得金融机构授权，被某银行投诉了。2、《规范》6.1.3条c）款（I）项明确，受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据（或芯片等效信息）、银行卡有效期、卡片验证码（CVN和CVN2）、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据、模板，仅可保存完成当前交易所必需的基本信息要素，并在完成交易后及时予以清除。这条规定所影响的范围很广，例如银行ATM机、POS、手机App等。例如银行ATM或其他自助终端可以人脸识别取款的，如果根据该规定，银行ATM或其他自助终端拍摄的人脸图片完成交易后不能留存在ATM机或自助终端；还有例如支持支付宝人脸识别付款自动贩卖机等机器，都需要按照本条规定在进行完交易后删除相应的信息。另外，目前很多App进行人脸识别后，所拍摄的身份证照片和人脸识别照片及视频都会留存在手机相册本地，按照本条规定，这些信息都需要在交易完成后被删除。3、《规范》6.1.3条c）款明确，C3级别的信息必须加密存储。目前基本所有的企业构都对各类密码进行加密存储，但是C3级别的信息中还包含了银行卡片有效期。4、《规范》6.1.3条g）款明确，机构停止运营时，应依据国家法律法规与行业主管部门有关规定要求，对所存储的个人金融信息进行妥善处置，或移交国家与行业主管部门指定的机构继续保存。根据《信息技术安全个人信息安全规范》等相关个人信息保护的指引，在机构停止运营后，相关的个人信息应当删除、匿名化处置，但是本《规范》中还多了一个选项，可以移交国家与行业主管部门指定的机构继续保存。5、根据《数据安全管理办法(征求意见稿)》、《关键信息基础设施安全保护条例（征求意见稿）》等相关法律法规的要求，个人金融数据作为重要数据，原则上不得出境，如需出境则需要接受相关部门的安全评估。《中国人民银行金融消费者权益保护实施办法（征求意见稿）》中明确，在中国境内收集的消费者金融信息应当在境内存储。《规范》与《中国人民银行金融消费者权益保护实施办法（征求意见稿）》要求保持一致。

（四）个人金融信息使用合规

1、信息展示合规

《规范》参考了《信息安全技术 个人信息安全规范》中关于信息展示的合规要求，但不同的是，《规范》针对个人金融信息的展示合规作出了非常详细的规定。《规范》6.1.1条明确，用户通过客户端应用软件、浏览器等终端输入密码时，采取展示屏蔽措施，防止密码明文显示。6.1.4.1条中明确，要求通过设备界面或纸张展示个人金融信息的，或者在开发测试环境中，应当采取去标识化处理（例如信息屏蔽、截词等）后的信息，其中附录中还详细列举了信息屏蔽的具体方式；《规范》还详细规定了登录和非登录状态下的不同个人金融信息的明文和非明文展示要求，例如处于未登录状态时，不应展示与个人金融信息主体相关的C3类别信息；处于已登陆状态时，除银行卡有效期外的C3类别信息不应明文展示。如果对于银行卡号、手机号码、证件类识别标识或其他识别标识信息用户需要完整展示的，应进行用户身份验证。《规范》还对应用软件的后台管理与业务支撑系统对个人金融信息展示的具体技术要求作出了明确具体的规定。

2、共享和转让合规

《规范》参考了《信息安全技术 个人信息安全规范》关于个人信息共享、转让的有关要求，如规定在共享和转让前，应取得信息主体的明示同意，告知其相关的规则和信息，应开展个人金融信息安全影响评估，并与其签署数据保护责任承诺，准确记录和保存个人金融信息共享和转让情况，采取有效技术防护措施等等。但是，《规范》针对个人金融信息的特殊性和重要性，作出了一些特殊的规定，如6.1.4.2条c）款规定，支付账号及其等效信息在共享和转让时，除法律法规和行业主管部门另有规定外，应按照《中国金融移动支付 支付标记化技术规范》使用支付标记化技术进行脱敏处理，如无法使用支付标记化技术时，应进行加密。另外，7.1.3条a）款规定，C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让。

3、公开披露合规

关于个人金融信息公开披露方面的合规要求，《规范》与《信息安全技术 个人信息安全规范》基本保持一致。但《规范》针对个人金融信息的公开披露合规，还要求，C3类别信息及C2类别中的用户鉴别辅助信息不应公开披露（《规范》7.1.3条b）款）。

4、委托处理

委托外包机构处理是金融行业中非常常见的场景，但同时也导致个人金融信息泄露或违规处理导致的暴力催收问题逐渐增多，监管机构对于银行等金融机构与大数据公司合作的监管也日趋严格。

《个人金融信息（数据）保护试行办法》中规定，除了依法设立的征信机构之外，未经人民银行批准，任何单位和个人不得从事个人金融信息的收集处理工作；

北京银保监局印发《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》中也明确，针对北京地区银行与金融科技公司合作类业务，要依法审慎开展合作类业务，规定银行开展合作类业务不得突破自身经营范围，不得借助外部合作规避监管规定。

本次《规范》也参照以上相关文件的要邱，相比于《信息安全技术个人信息安全规范》关于个人信息委托处理的规定，《规范》还明确：

（1）《规范》6.1.4.4条b）款规定，不得委托第三方机构处理C3以及C2类别信息中的用户鉴别辅助信息；（2）《规范》6.1.4.4条c）款规定，对可以委托处理的信息，不应仅使用加密技术，还应当对其进行去标识化处理；

5、开发测试合规

本次《规范》，特意对企业机构在开发测试相关软硬件时作出具体的合规要求，包括：（1）应对开发测试环境与生产环境进行有效隔离。（2）开发环境、测试环境不应使用真实的个人金融信息，应使用虚构的或经过去标识化（不应仅使 用加密技术）脱敏处理的个人金融信息，账号、卡号、协议号、支付指令等信息。

（五）个人金融信息删除与销毁

1、个人金融信息删除与销毁的区别相比于《信息安全技术 个人信息安全规范》，《规范》对于个人金融信息生命周期增加了个人金融信息的销毁环节。《规范》中分别对“删除”和“销毁”作出了明确的定义：

（1）“删除”是指，在金融产品和服务所涉及的系统中去除个人金融信息的行为，使其保持不可被检索、访问的状态。此处定义与《信息安全技术 个人信息安全规范》关于个人信息“删除”的定义保持一致。

（2）“销毁”是指，对个人金融信息进行清除，使其不可恢复的过程。例如，我们在电脑中将文件从回收站中彻底删除后，并不代表文件已被“销毁”，因为，删除后的文件数据仍然会存在硬盘中，只要通过文件恢复等技术手段便可以将删除后的文件进行恢复。因此，信息的删除并不等于销毁。

2、《规范》中对于个人金融信息的销毁环节合规要求，相关企业机构应注意以下几点：

（1）应建立个人金融信息销毁策略和管理制度，明确销毁对象、流程、方式和要求；

（2）应对个人金融信息存储介质销毁过程进行监督与控制；

（3）销毁过程应保留有关记录，记录至少应包括销毁内容、销毁方式与时冋、销毁人签字、监督人 签字等内容；

（4）存储个人金融信息的介质不再使用时，对存储个人金融信息的介质进行消磁、焚烧、粉碎等物理措施完全销毁介质，或者采取多次覆写等技术措施完全擦除个人金融信息。采取此类措施的目的均是希望个人金融信息在删除后处于不可恢复的状态。

（5）相关机构在委托第三方处理个人金融信息时，在委托关系解除后，相关机构应当要求受托方销毁所处理的个人金融信息。

（6）对于超出存储时限的个人金融信息仅需进行删除或匿名化处理，而无需销毁。 

六、安全管理合规

《规范》关于机构内部的个人金融信息安全管理要求主要也是参照了《信息安全技术 个人信息安全规范》、《互联网个人信息安全保护指南》等相关标准指引的要求，对安全制度体系设置、组织架构岗位设置、人员管理、访问控制、安全事件处置等方面明确相应的合规要求。结合金融行业的特殊性与重要性，相关企业机构应注意《规范》中的以下几点：

1、建立安全制度体系时，至少包括个人金融信息保护管理规定、日常管理及操作流程、外包服务机构与外部合作机构管理、内外部检查及监督机制、应急处理流程和预案等制度；2、建立外包服务机构与外部合作机构管理制度时，应对个人金融信息生命周期过程中相关的外包服务机构与外部合作机构进行审査与评估，应通过协议或合同的方式，约束外包服务机构与外部合作机构不应留存C2、C3类别信息；3、相关企业机构不应将存储个人金融信息的数据库交由外部合作机构运维；4、对存储或处理个人金融信息的系统或设备进行远程访问时，应通过专线、VPN等方式访问，个人金融信息不应在远程访问设备上留存；5、日志文件和匹配规则的数据应至少保存6个月，这点与《网络安全法》的规定保持一致； 

七、个人金融信息的脱敏指引

在个人金融信息处理过程中，脱敏技术被频繁运用，为免相关企业机构对信息脱敏标准产生疑惑，《规范》附录A中对个人金融信息脱敏合规方面作出了具体的指引，并列举了相关示例：

八、对行业的影响

第一，2019年国家对个人信息保护的强监管态度，尤其对从事金融业的相关机构展开了大规模检查，很多金融机构或类金融机构都没有达到监管的要求，遭受到行政处罚。

今年《规范》的发布，意味着监管将加大力度，打击违法违规使用个人金融信息的行为。因此，持牌与非持牌的金融业机构及涉及收集、使用个人金融信息的企业机构应尽快委托专业律师依据《规范》等文件开展数据合规专项整改，完善各金融场景中收集、使用个人金融信息的合规标准，全面梳理个人金融信息保护有关的内部岗位设置、人员管理机制，避免相关民事、行政、刑事法律风险。

第二，《规范》对金融业机构与金融科技公司（如大数据公司、贷前贷后管理企业等）、导流、助贷等合作模式影响较大。

例如，在现实中，很多中小银行因数据处理能力不足或降低成本，都会选择将贷前风控分析等业务外包给第三方数据公司进行处理，以提高自身的风控能力。因此，相关企业机构日后再进行以上合作时，应参照《规范》及相关规定，对合作模式作出合规整改。

需要进一步提示该规范对大数据风控公司的影响：

1、《规范》适用于持牌金融机构，以及涉及个人金融信息处理的非持牌机构。因此，相关处理个人金融信息的大数据风控公司，可能适用于本《规范》。

2、《规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，其中规定无金融业相关资质的机构无权收集C3、C2类别信息。因此金融机构如采用本《规范》，不得委托或授权非持牌的大数据公司收集C3、C2类别的个人金融信息。而C2类别信息中即包括了个人借贷信息，即个人信用信息。

（以上解读仅供学习参考，不代表本人及所在律师事务所的法律意见书。转载须经本人同意。）

王艺

华商律师事务所

高级合伙人

主要执业领域为数据合规，金融科技，争议解决