作者简介:李日辉,华南某汽车金融企业高级IT项目经理(安全合规与风险),曾供职于国际知名银行、保险等企业,从事信息安全相关工作超过10年。

2020 年 2 月 13 日,中国人民银行发布《个人金融信息保护技术规范》(JR/T 0171—— 2020)(以下简称“《金融信息规范》”),据笔者了解,该规范是国内首部针对金融信息数据保护的专业性推荐法规。

同年 3 月 6 日,由国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术 个人信息安全规范》GB/T 35273-2020,将于 2020 年10月1日实施。

《个人金融信息保护规范》是金融行业推荐性标准,是在《信息安全技术 个人信息安全规范》等国家标准基础上,就个人金融信息全生命周期提出安全技术和安全管理方面的要求。

虽说是推荐性标准,但是对于金融行业来说(无论是银行机构还是非银机构)都具有很大的参考与借鉴意义,类似于行业的最佳实践,如果说在此之前国内对于个人金融信息的数据安全管理没有标准,那现在有了就是它。

本文从非银行金融机构(以下简称“机构”)的角度出发,简单谈谈该法规对本行业的影响,及其在数据保护工作的重点及方法。下文评论只涉及个人观点和建议,若表达有误或存在侵权行为(部分数据来自网络),请联系笔者删除,谢谢。

个人金融信息分级制度

该分级制度是《金融信息规范》中的重要规定,也将是金融业机构推行合规工作必须的重点环节。《金融信息规范》中把个人金融信息分为三级:C1C2C3,分级内容及各级别要求如下:

➢ C1:机构内部的信息资产

  1. 账户开立时间、开户机构;

  2. 基于账户信息产生的支付标记信息;

  3. C2 和 C3 类别信息中未包含的其他个人金融信息;

◆ 相关要求

  1. 应采取弹窗等技术措施引导个人查阅隐私政策,获得明示同意后收集信息;

  2. 境内存储、处理、缝隙,向境外提供应符合有关规定方能进行;

  3. 委托处理的信息应采用去标识化等方式进行脱敏处理;

  4. 对委托行为进行安全影响评估;

  5. 监督第三方机构。

➢ C2:可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息

  1. 支付账户及其等效信息,如支付账号、证件类别标识与证件信息(身份证、 护照)、手机号码;

  2. 账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名;

  3. 账户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声 纹密码;若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于 C3 类别信息;直接反映个人金融信息主题金融状态的信息,如个人财产信息(包括网络支付账号余额)、借贷信息;

  4. 用于金融产品与服务的关键信息,如交易信息(交易指令、交易流水、证券委托、保险理赔)等,用于履行了解客户(KYC)要求,以及按行业主管部门存证、保金等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息;其他能够识别出特定主体的信息,如家庭地址等。

◆ 相关要求

  1. 不应委托或授权无金融相关资质的机构收集 C2、C3 类别信息;

  2. 加密传输;

  3. 支付账号及其等效信息共享和转让时使用支付标记化技术进行脱敏处理;

  4. 物理设备或介质及其存放区域进行保护;

  5. 对于用户鉴别辅助信息;

  6. 不应委托给第三方机构进行处理;

  7. 不应共享、转让;

  8. 不应公开披露;

  9. 外包服务机构与外部合作机构原则上不应留存。

➢ C3:用户鉴别信息

  1. 银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN 和 CVN2)、卡片有效期、银行卡密码、网络支付交易密码;

  2. 账户(包括但不选与支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;

  3. 用于用户鉴别的个人生物识别信息。

◆ 相关要求

  1. 外包服务机构与外部合作机构原则上不应留存;

  2. 收集、存储时应加密;

  3. 安全传输技术控制措施应符合行业要求;

  4. 不应留存非本机构的 C3(确有必要的,应获取信息主体+账户管理机构授权);

  5. 受理终端、个人终端、及客户终端应用软件不应存储 C3;

  6. 不应共享、转让;

  7. 不应委托给第三方机构进行处理;

  8. 原则上不应明文展示;

  9. 不应公开披露。

从以上的信息分级要求来看,对于个人信息的分类方式(个人信息、个人敏感信息)及辨识度提出了更加细化的规定,基本上符合金融服务的实际需求,机构可以借此通用标准指导日常的金融信息保护。

信息分级也是一切数据保护与合规工作的基础,有助于金融业机构 辨识不同数据的风险等级与合规难点,做到因人(数据)而异、因地(场景)制宜,把握合 规重点环节,合理节约合规成本。

分级带来的重大影响

其影响在于,以数据为中心,对金融业机构与第三方机构的合作方式划出了红线。《金融信息规范》中涉及第三方机构个人金融信息处理的主要条文如下:

  • 数据收集:不应委托或授权无金融业相关资质的机构收集 C3、C2 类别信息;

  • 数据共享、转让:C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、 转让;

  • 数据处理:C3 以及 C2 类别信息中的用户鉴别辅助信息,不应委托给第三方机构进 行处理;

  • 数据存储:外包服务机构与外部合作机构原则上不应留存 C2、C3 类别信息;不应将存储个人金融信息的数据库交由外部合作机构运维。

这些规定进一步明确了持牌金融机构与第三方机构在金融服务中开展(业务/技术)合作的标准、内容、范围和边界,特别是细化了个人金融信息在各个阶段的处理方式和责任主体, 对金融科技活动的各方参与主体具有重要的指导意义。

个人金融信息全生命周期的安全防护要求

(一) 收集

  1. 不应委托或授权无金融业相关资质的机构收集 C3、C2 类别信息。

  2. C3 类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。

  3. 《规范》中要求金融机构应当采取技术措施(如弹窗、明显位置 URL 链接等),引导用户查阅隐身政策,并获得其明示同意后再开展收集个人金融信息。

(二) 传输

  1. 通过公共网络传输时,C2、C3 类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全。

  2. C3 类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。

(三) 存储

  1. C3 类别信息应采用加密措施确保数据存储的保密性。

  2. 未取得信息主体与账户管理机构的授权,金融业从业机构不得留存非本机构的用户鉴别信息(C3 类)。

(四) 使用

  1. 信息展示:处于未登录状态时,不应展示与个人金融信息主体相关的 C3 类别信息;处于已登陆状态时,除银行卡有效期外的 C3 类别信息不应明文展示。

  2. 共享和转让:C2 类别中的支付账号及其等效信息在共享、转让时应当进行脱敏处理;C3 类别信息及 C2 类别中的用户鉴别辅助信息不应共享、转让。

  3. 公开披露:C3 类别信息及 C2 类别中的用户鉴别辅助信息不应公开披露;人生物识 别信息,包括 C3 类别信息中的用于用户鉴别的个人生物识别信息,一律不得公开披露。

  4. 委托处理:C3 类别及 C2 类别中的用户鉴别辅助信息,不应委托给第三方机构进行 处理;对委托行为,需要确保受委托者具备足够的数据安全能力,且提供了足够的 安全保护措施。

  5. 加工处理:可参照等保及相关标准,对个人金融信息的特殊保护应建立相关规范和 机制,并能够对个人金融信息加工处理操作记录,对个人金融信息滥用行为进行有效的识别、监控和预警。

  6. 汇聚融合:汇聚融合的数据不能超出在信息收集时对主体所声明的使用范围;开展个人金融信息安全影响评估,并采取有效的技术保护措施。

  7. 开发测试:开发环境、测试环境不应使用真实的个人金融信息,如果测试需要应进行脱敏,可使用数据脱敏软件或编写脱敏规则进行脱敏。

(五) 删除与销毁

  1. 个人金融信息删除与销毁的区别,区分删除与销毁的关键即在于个人金融信息能否被恢复。

  2. 金融机构在委托第三方处理个人金融信息时,在委托关系解除后,金融机构应当要 求受托方销毁所处理的个人金融信息。

安全运行技术要求重点内容

网络安全要求:承载与处理个人金融信息的信息系统应满足国家等级保护及金融行业等级保护的基本要求,并且存储个人金融信息的数据库应处于金融业机构可控网络内,设置有效的访问控制措施。

WEB 应用和客户端软件安全要求:涉及 C2、C3 类别信息的Web应用应具有防篡改和防web攻击的措施,并具备对处理个人金融信息的系统组件进行实时监测的能力;要求处理个人金融信息相关的Web应用系统与组件上线前应进行安全评估。

安全管理要求重点内容

《规范》的安全管理要求共 5 大类,从安全准则、安全策略、访问控制、安全监控和风 险评估、安全事件处置五方面进行了安全管理要求。重点包括对个人金融信息收集、存储、

使用的安全管理要求,另外在个人金融信息安全管理的制度、组织、人员、访问控制、安全事件的也有相应的安全管理要求。除相对传统的安全管理外,比较特殊的管理准则包括:

(一) 收集

1) 收集渠道:柜面、信息系统、金融自助设备、受理终端、客户端应 用软件等渠道。

2) 向个人金融信息主体明示收集与使用个人金融信息的目的、方式、范围和规则等, 获得个人金融信息主体的授权同意。

(二) 存储

1) 满足国家法律法规与行业主管部门有关规定要求。

2) 并符合个人金融信息主体授权使用的目的所必需的最短时间要求。

3) 超过期限后,应对收集的个人金融信息进行删除或匿名化处理。

(三) 使用

1) 原则上不应共享、转让、公开披露其收集的个人金融信息。

2) C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、转让、公开披露。

3) 境内收集的个人金融信息应在境内存储、处理和分析。

个人金融信息与个人信息、个人隐私之间的关系

个人金融信息是个人信息在金融产品和服务中的细化,两者之间是特殊和一般的关系。个人信息在 2018 年5月开始实施的国家标准 GB/T 35273-2017《信息安全技术 个人信息安全规范》中有明确定义,只要是能够识别自然人身份或者反映自然人特定活动的信息都划为个人信息的范畴,包括个人基本信息、个人生物识别信息、财产信息、征信信息、交易信息、 行踪轨迹信息、住宿信息、健康生理信息等。

可见个人信息范围较为广泛,对比两者包含的信息范畴,存在大量的信息重叠,如个人身份信息、财产信息、征信信息以及交易信息,这些信息在金融活动中非常重要。

个人金融信息与个人隐私有非常密切的关系。隐私权是一种基本人格权,同肖像权、姓名权一样是公民拥有的基本人格权利。

2017 年 6 月 1 日正式实施的《网络安全法》中就明 确规定任何个人和组织在使用网络时不得侵犯他人隐私。个人金融信息中的财产信息、交易信息、征信信息以及账户信息直接关系到消费者的人格权利和财产权利,个人金融信息一旦泄露直接威胁到信息主体的财产安全。

法规颁布对非银行金融机构的数据合规影响及应对方法

从金融企业内部管理看,一是关于个人金融信息保护相关制度分散在各类管理制度中,未形成系统化的管理框架,使得制度不能完全实现对个人金融信息采集、使用、共享等环节 的约束。

二是没有组建专门的个人信息管理机构,导致各部门在个人信息保护领域杂乱无章,缺乏统一管控。个人金融信息在金融企业内部以及金融企业之间流转和共享已经成为常态,数据共享可 以节约成本,提高金融机构服务水平,对科学发展有着积极的促进作用。

但因其信息系统管理水平和应对网络攻击能力未能同步,其信息安全管控能力不足,存在信息泄露、篡改、滥用的风险。对于一些金融科技企业或助贷机构,其或将面临业务规范和转型的问题,以往大量收集、存储敏感的个人金融信息,与金融机构联合开展贷款风控、贷后催收的业务模式将难以存续。

古语有云:“兵马未动粮草先行”,孙子兵法:“法者,曲制、官道、主用也。(始计第一)”

任何一场战役,必须先制定好战略与策略,信息资产保护也是一场战役-无硝烟的战役,个人金融信息保护的战略与策略都一一体现在各类管理制度和管理架构中。有了完善合理的制度(策略),才能知道我们应该做些什么、怎么做;有了全面的管理架构,才能使机构内各职能有效高效地运作。

而站在非银行金融机构的角度,尽快适应新监管要求,完善自身风控能力,并确立新型、合规的第三方合作模式,将成为下一阶段合规工作的重点。

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。