作者:
北京国家金融科技认证中心 李宽、李振
2024年底,ISO/IEC联合发布了ISO/IEC 27562:2024《信息技术 安全技术 金融技术服务的隐私指南》(以下简称《指南》),分析了FinTech中所有可能涉及到的利益相关方,分析了可能涉及到个人信息应用的业务,还分析了新技术可能带来的影响。了解这一标准的内容,将有助于在金融行业全面贯彻实施国家和监管部门对个人信息保护的要求。
一、依据和覆盖范围
《指南》首先给出了金融科技(Fintech)的界定,即指的是在包括银行、支付和保险在内的所有金融服务功能中运用信息和通信技术(ICT),从这一界定看,可以认为《指南》涵盖了数字化转型。
《指南》认为,金融科技代表着金融服务行业的下一波创新浪潮。强大的认证技术、新兴的分布式技术(如区块链)、用于欺诈检测和反洗钱合规的分析技术正在改变数字金融服务。为了建立对金融科技服务和应用的信任和保护金融基础设施及客户,个人信息保护已经被置于首要位置。
从实际情况看,反洗钱(AML)规则要求收集、处理和使用个人数据,作为客户尽职调查(CDD)的一部分;欺诈检测需要交易监控、行为监控、内部数据共享(包括集团内部)、外部数据共享(包括与监管机构和其他金融机构)、相关外包方的数据共享以及跨境数据处理(特别是国际支付);而消费者则希望能够控制其信息的访问和使用。在面临这样复杂的情况下,《指南》根据ISO/IEC 29100:2024《信息技术 安全技术 隐私框架》、ISO/IEC 27701:2019《安全技术 ISO/IEC 27001和ISO/IEC 27002隐私信息管理的扩展 要求和指南》、ISO/IEC 29184:2020《信息技术 在线隐私声明和同意》中描述的隐私原则和框架,ISO/IEC 29134:2023《信息技术 安全技术 隐私影响评估指南》中规定的隐私影响评估,以及ISO 31000:2018《风险管理 指南》中给出的风险评估指南,识别了C2B之间以及B2B之间关系中所有相关的商业模式和角色,以及与金融科技服务相关的隐私风险和隐私要求,提供了一套针对每个利益相关者的隐私要求指南。
《指南》适用于金融科技服务环境中的各类组织,包括监管机构、金融机构、服务提供商和产品提供商。
二、业务模型和角色分析
1 通用业务模型
《指南》给出了一个通用的金融服务业务模型,如图1所示。
图1 《指南》给出的通用金融服务业务模型示意
其中,金融科技服务提供商包括所有向客户提供金融科技服务的实体,既包括银行也包括非银行金融机构。诸如支付网关、数字钱包、数字保险(我国称之为电子保单)、数字借贷、点对点(P2P)借贷、POS、支付银行、财富科技、基于API的银行即服务(BaaS)平台、个人理财、基于区块链的金融科技服务、股权众筹、项目融资、小额融资、房地产投资管理、信用评分、电子客户身份验证(e-KYC)等,都包括在金融服务的业务模型中。
2 作为个人身份信息控制者的服务提供商
金融科技服务提供商的角色划分为个人身份信息控制者和个人身份信息处理者。当服务提供商控制和决定个人身份信息的处理时,其被视为个人身份信息控制者/联合个人身份信息控制者。服务提供商需为其提供的金融科技服务确定个人身份信息处理的目的和手段,并根据法律、业务、合同和行业要求等不同条件,识别适当的隐私和安全控制措施。
作为个人身份信息控制者,服务提供商控制和决定个人身份信息的处理,并负责个人身份信息的保护。根据法律、业务、合同和行业要求,这些可能是个人身份信息控制者的共同义务。个人身份信息控制者应确保在实施金融科技服务期间,遵守ISO/IEC 29100中描述的隐私原则。
特别是,如果合法处理个人数据需要用户同意,那么作为服务提供商的个人身份信息控制者将进行同意管理——通过一个系统或流程,允许由客户决定他们是否愿意与服务提供商共享哪些个人身份信息数据。
3 作为个人身份信息处理者的服务提供商
个人身份信息处理者代表个人身份信息控制者或根据个人身份信息控制者的指令处理个人身份信息。在每项金融科技服务中,个人身份信息处理者的角色可能有所不同。例如,提供和维护贷款申请的个人身份信息控制者可以委托一个组织作为其个人身份信息处理者,负责处理申请贷款个人的数字身份验证和凭据。
4 作为个人身份信息主体的客户
在大多数情况下,每位客户都被视为个人身份信息的主体,因为金融科技服务要求其客户提供个人身份信息以进行身份验证,从而享受以用户为中心的金融服务。客户指的是金融科技服务的所有用户,包括个人、商户、账单方和其他支付接受者,企业、政府,以及非营利机构。
5 作为个人身份信息控制者的金融机构
金融机构是指从事存款、贷款、投资、货币兑换等金融和货币交易业务的实体。金融机构涵盖了金融服务行业内的广泛业务运营,包括银行、信托公司、保险公司、经纪公司和投资交易商。
6 监管部门
监管部门在开发和执行用于监测和监督金融科技活动的法律框架时,要提供全面的书面文件,并确保金融、消费者保护、反垄断、监管、网络安全、数据保护和人权机构均已知悉。该政策宜以最佳实践和相关国际标准为指导。
此外,监管机构要提供数据保护政策的书面文件,并实施适当且协调一致的执法力度,针对金融行业和跨境数据传输进行监管,以确保提供同等且充分的保护水平。
三、金融服务适用的总体原则
在向客户提供金融科技服务时,组织应遵循源自ISO/IEC 29100的隐私原则,即:一是同意与选择;二是目的合法性与明确性;三是采集限制;四是数据最小化;五是使用、保留与披露限制;六是准确性和质量;七是开放性、透明度和访问权限;八是个人参与和访问;九是问责制;十是信息安全;十一是隐私合规性。
四、对不同角色的隐私风险
1 普遍隐私威胁
(1)普遍隐私威胁的七大类
一是可链接性:即使恶意行为者没有主体身份的信息,他们也能在两个或多个活动、身份和信息之间建立关联。
二是可识别性:恶意行为者能够在身份与行为或一组数据之间建立关联。
三是不可否认性:个人身份信息主体无法否认已执行某行为,而其他方既无法确认也无法反驳该行为。
四是可探测性:恶意行为者能够探测到个人身份信息主体,并辨识出关于该主体的某项感兴趣的内容是否存在。
五是信息泄露:恶意行为者能够披露数据内容或控制数据内容的发布。
六是不知情:个人身份信息主体不知道自己的个人身份信息正在被收集和处理。
七是不合规:个人数据处理不符合相关法律和/或政策的要求。
(2)金融科技服务提供商面临的普遍隐私风险
金融科技服务提供商面临的风险在于,他们需要收集和存储的信息量超过了必要或安全的限度。普遍的隐私风险如下:
一是金融科技服务能够利用基于Web的服务模型和应用程序编程接口(API)。API会增加暴露风险,并引发漏洞,从而导致潜在的数据泄露、欺诈或滥用。这种漏洞使攻击者能够访问个人身份信息和敏感数据,或执行其他恶意行为,如数据外泄、账户接管(ATO)和服务中断。
二是随着对更快计算和更高成本效益的需求增长,云计算在金融科技服务领域得到了广泛接受和实施。云服务按需提供,可根据客户需求进行扩展,并通过互联网交付,从而实现了本地和全球市场的拓展。虽然使用云服务能以合理的成本结构提供下一代计算性能水平,但这种设置由于工作负载外包、跨境处理和数据存储而引入了新的威胁。这带来了潜在的法律和地缘政治风险。此外,虚拟机(VM)之间的意外通信可能导致不可预测的新兴漏洞。
三是区块链技术能用于金融业务,具有去中心化账本/数据存储实现的“不可变性”特征,并能消除单点故障。在使用区块链技术时确保隐私几乎是不可能的。在实施被遗忘权(即个人身份信息主体的权利)时,应给予特别关注。
(3)隐私泄露可能给组织带来的影响
一是声誉/商誉受损;
二是战略优势丧失给竞争对手;
三是违反合同义务;
四是不符合所有适用的法律或法规;
五是因个人索赔导致的经济损失;
六是因项目/系统重新设计导致的经济损失;
七是因项目/系统失败导致的经济损失;
八是因项目启动后安全措施改造导致的经济损失。
建议识别金融科技服务的可能隐私风险及其对个人身份信息主体的潜在影响。此外,还建议识别风险管理以及对个人造成的不利隐私影响后果,这些后果将对组织产生重大影响。
2 作为个人身份信息控制者的服务提供商面临的隐私风险
隐私风险被定义为服务提供商可能失去对个人信息的控制。金融科技服务面临的隐私风险包括:对所有收集到的数据未经授权的访问、泄露、丢失、篡改、伪造、破坏或未经授权的披露。
一般来说,隐私风险包括:因数据泄露、运营方数据暴露、缺乏违规响应、个人数据处理不当、隐私政策缺乏透明度、条款和条件不明确、收集不必要数据、个人数据共享、个人数据错误或过时、通过不安全渠道传输数据等原因,而导致的任何意外或非法的个人数据销毁、丢失、篡改、未经授权的披露或访问。
(1)组织针对个人身份信息面临的典型风险
一是非法访问个人身份信息:例如,①未经授权的人员看到了个人信息,尽管此人并未使用这些信息。②个人信息被复制并保存到另一个位置,但未进一步使用。③个人信息被过度传播并超出了个人信息主体的控制范围(例如,在互联网上意外传播照片,失去对社交网络上发布信息的控制)。④个人信息被用于计划之外和/或以不公平方式(例如,商业目的、身份盗窃、对数据主体不利的)使用或⑤与个人身份信息主体相关的其他信息相关联(例如,居住地址与实时地理位置数据的关联)。
二是篡改个人身份信息:例如,个人身份信息被修改为无效数据,无法正确使用,且处理修改后的个人信息可能导致错误、故障或不再提供预期服务(例如,妨碍重要步骤的顺利进行)。
三是丢失个人身份信息:例如,在处理过程中个人信息从个人数据中丢失,导致错误、故障或提供与预期不同的服务(例如,医疗记录中不再报告某些过敏情况,纳税申报表中包含的一些信息已消失,导致无法计算税额)。这些丢失的个人身份信息还可能破坏预期服务(例如,减缓或阻断行政或商业流程,因医疗记录丢失而无法提供护理,数据主体无法行使其权利等)。
(2)作为个人信息控制者的服务提供商需要考虑的隐私风险
一是违反前述的金融服务适用的总体原则;
二是数据泄露,无意或故意向未经授权方泄露信息;
三是因安全措施不当导致的数据披露和修改;
四是尽职调查不足,缺乏主动行动;
五是数据泄露响应不足;
六是平台/技术不可靠或存在漏洞,导致或促成损失、不便或其他危害的平台/技术不可靠或存在漏洞;
七是在金融科技中使用自动化算法评分可能导致歧视;
八是无根据地在不同司法管辖区之间转移个人身份信息;
九是未履行对客户的法律、监管和业务义务,例如没有在特定时间段内向客户发出个人信息泄露通知;
十是通过金融科技服务的开放应用程序编程接口(API)感染恶意软件,导致数据泄露或数据不可用;
十一是日志记录和监控不足,使攻击者能够进一步渗透系统、保持持久性并篡改、提取或销毁数据;
十二是IT系统故障(由黑客攻击、勒索软件攻击等引起);
十三是未经同意的自动化决策;
十四是未经授权的用户画像导致自动决策;
十五是基于人工智能的黑盒、非透明自动化决策;
十六是使用薄弱的客户身份验证;
十七是当去标识化的数据集与其他外部信息相关联时,其变成了可定位个人身份信息的数据;
十八是因API安全性不足导致的数据泄露。
3 作为个人身份信息处理者的服务提供商面临的隐私风险
作为个人身份信息处理者,服务提供商应考虑以下隐私风险:
一是违反前述的金融服务适用的总体原则;
二是与个人信息控制者之间的隐私相关合同违约;
三是数据泄露,无意或故意向未经授权的第三方泄露信息;
四是因不当安全措施(如账户劫持、不安全的API和恶意内部人员)导致的数据披露和篡改;
五是尽职调查不足,缺乏主动行动;
六是数据泄露响应不足。
4 作为个人身份信息主体的客户面临的隐私风险
作为个人身份信息主体,客户要考虑以下隐私风险:
一是客户无法访问、更改或删除与其相关的数据;
二是无法行使客户的个体参与和访问权利;
三是尽职调查不足,缺乏主动行动;
四是物质损害;
五是经济损失;
六是精神损害;
七是身份盗窃或欺诈;
八是财务损失;
九是名誉损害;
十是客户面临的内部人员风险,如分享侵入性信息和未经授权地与分支机构分享信息;
十一是敏感个人身份信息泄露;
十二是身份信息泄露和个人信息被破坏;
十三是脱敏后的数据集再识别;
十四是对个人的排斥或歧视;
十五是泄露种族或民族血统、政治见解、宗教信仰或哲学信仰、或工会会员身份等特征;
十六是对个人进行跟踪或监视;
十七是系统性且广泛的用户画像;
十八是个人被拒绝服务;
十九是无论金融科技用户是否是金融科技实体的实际客户或潜在客户,都处理其个人信息;
二十是在客户不熟悉请求同意的常用通知方式的情况下,对如何以及收集或使用哪些客户数据缺乏认识或理解。
5 作为个人信息控制者的金融机构面临的隐私风险
作为个人身份信息控制者,金融机构要考虑以下隐私风险:
一是违反前述的金融服务适用的总体原则;
二是向第三方不当扩散个人身份信息;
三是缺乏或未充分记录向第三方披露个人身份信息的记录;
四是无法律依据向第三方不当转移个人身份信息;
五是因身份验证不足导致的数据泄露;
六是API安全不足导致的数据泄露。
五、参与者隐私控制
1 概述
明确界定和理解金融业务流程是制定安全数据流和限制用户范围的关键任务。未知、不受信任或意外数据用户的参与可能会引发在线风险。数据在整个流程中都可能被拦截,宜实施鲁棒的加密技术和适当的密钥管理,以确保数据仅对授权方而言是可理解的。
各实体或第三方之间通过互连、自动检索、提取和处理带来了很大的便利,也导致金融科技领域面临隐私风险。处理应具备强大的集成隐私框架,支持同意与选择、收集限制和数据最小化。
由于金融交易和客户的隐私需要高度的数据保护,使用基于属性的访问控制是一种保护方式。ISO/IEC 27551为基于属性的不可互联实体身份验证提供了框架并建立了要求。
正确实施金融级API和生成个人身份信息主体的唯一标识符(即令牌),有助于减少实际个人信息的暴露和数据泄露的风险。
另一个普遍的隐私问题是移动应用程序要求的权限过多。金融科技应用应透明,并充分向个人身份信息主体解释为何需要访问手机摄像头进行生物特征活跃性检测和欺诈检测,以满足KYC(了解你的客户)要求。此外,还应提供权限透明度。
移动金融服务高度依赖于移动设备和网络的使用。应解决分布式网络系统带来的网络风险,如监控通信和黑客攻击云存储。
尽管应用新技术的初衷是带来好处,但也可能带来意想不到的网络风险。这些挑战通常归因于新系统的技术漏洞、业务流程设计的不确定性以及治理的高度复杂性。
2 作为个人信息控制者的服务提供商适用的隐私控制
(1)控制之一:确保遵守数据保护法规的政策
服务提供商应制定适当的政策,采取适宜的内部措施,以确保遵守个人数据保护法规,并在相关情况下尊重消费者的个人数据隐私权。验证是否已建立机制来保护人们的个人和金融信息,以及验证是否已建立适当的安全机制来确保金融交易受到保护都包括在其中。
(2)控制之二:权限与同意请求
一是权限提供控制。即在适用情况下,服务提供商应实施措施,确保针对金融产品服务预期目的而收集、存储和使用个人数据的权限请求清晰易懂。
二是同意提供控制。在适用情况下,服务提供商应实施措施,确保收集、存储和使用个人数据的权限请求清晰明确,为特定目的所需的技术权限已明确规定,且与对该特定目的通知的记录捆绑在一起。
组织应实施措施,确保在相关时点和语境下,获得关于其数据的知情同意。
为确保更高的可信度,应提供电子同意所需的通知,控制使用一致的词汇,且以一致的形式记录。与同意通知的交互应记录为通知的证明,并向个人提供同意收据作为同意的证据。
同意请求应避免使用过于法律化、技术化或专业化的语言或术语。同意应自主提供,并保留通知记录,同时提供同意收据,作为提供同意的数字证据。
三是定期通知/同意控制。应实施定期通知和同意,以便客户能够容易地行使选择权,因为许多客户的账户存续时间较长,他们在开户阶段所同意的内容可能已被遗忘或不再相关。有关同意和通知的良好实践,请参见ISO/IEC 29184。
(3)控制之三:合法目的
服务提供商应采取有效措施,确保数据仅用于合法目的,包括反洗钱和欺诈检测,并且以符合客户利益的方式使用。例如,能够通过合法目的测试来实现这一点,即测试将数据的使用限制在与消费者兼容、一致和有益的范围内,同时允许金融机构使用去标识化数据来开发和创新产品服务;或者通过信托责任要求来实现,该要求规定数据收集和处理企业必须始终维护数据主体的利益,并且不得以损害数据主体利益的方式行事。
(4)控制之四:认证机制
服务提供商应为含有保密数据的服务或高价值交易使用强认证机制。强认证用于:
一是使服务提供商更易用、更安全;
二是保护消费者免受欺诈、滥用和其他身份相关问题。
(5)控制之五:自动化决策
服务提供商应采取措施,一是确保不会未经同意就做出自动化决策;二是确保未经授权不得创建用户画像,从而避免产生自动化决策;三是应向个人身份信息主体告知自动化决策情况,并应实施人工监督,特别是在采用机器学习算法时。
(6)控制之六:去标识化方法控制
服务提供商在设计创新产品服务时,应实施适当的策略并采用有效措施,使用强去标识化技术,将已标识数据转换为去标识化数据集。
组织能够使用ISO/IEC 20889中描述的数据去标识化隐私增强技术。
(7)控制之七:风险治理和管理部署
服务提供商应进行恰当的风险治理和管理部署,遵守有针对性的风险管理和运营可靠性要求,包括与技术相关的风险和外包,并具备处理信息技术相关风险等事项的特定能力。
服务提供商应按ISO/IEC 29134进行隐私影响评估,并将其纳入风险管理,以识别可能的隐私风险及其对个人身份信息主体的潜在影响。
(8)控制之八:防止算法歧视
服务提供商应采取措施,将反歧视规则应用于算法,在开发、测试和部署期间遵循适当的程序、控制和保障措施,对算法系统进行定期外部审计,并向消费者提供不受自动处理结果限制的权利以及请求人工干预的权利。
(9)控制之九:加密
服务提供商应建立并实施加密策略,以保护存储和传输敏感数据(如用户名、密码、信用卡号和敏感文档)。此外,服务提供商应根据预期用途,生成和使用用于加密的密钥且做好安全管理以避免泄露,不得将密钥以明文形式存储,或在直接写入应用系统程序中。
(10)控制之十:跨司法管辖区个人身份信息传输
服务提供商应及时告知客户跨司法管辖区传输个人信息的依据以及这方面的任何预期变更,以便客户可以反对这些变更或终止合同。
(11)控制之十一:恶意软件感染
服务提供商应通过适当控制措施(包括安全补丁、限制访问可疑网站、日志记录和数据备份)来预防、检测和应对恶意软件感染。
(12)控制之十二:就数据泄露报告监管机构
服务提供商应建立机制,以便向监管机构通知任何数据泄露及受影响的客户。
(13)控制之十三:安全日志记录和监控政策
服务提供商应制定安全日志记录和监控政策,并实施诸如在一定时间内保留所需日志并定期审查等流程,以支持对潜在或已发生的安全事件的取证调查。
例如,每当银行员工查询消费者账户余额时,服务提供商应在银行系统中记录简短的理由,并定期对其进行审计。
(14)控制之十四:恢复流程
服务提供商应建立恢复流程,以便针对由IT系统故障(如黑客攻击、勒索软件攻击等)引起的故障进行恢复。
(15)控制之十五:备份策略
在制定备份策略时,服务提供商应考虑哪些关键数据和系统需要保护、完整备份和增量备份的频率、保留期限以及在一定时间内保留备份记录和备份数据。
(16)控制之十六:数据可溯源和可追溯
服务提供商应把控个人/敏感数据的生命周期,以确保其未被篡改或遭受数据泄露等事件。
(17)控制之十七:自动决策的可解释和可分析
所谓自动决策就是在没有任何人工参与的情况下,通过自动手段做出决定的过程。服务提供商应运行可解释和可分析的自动决策,以帮助他们理解和解释机器学习模型做出的预测。
3 作为个人信息处理者的服务提供商适用的隐私控制
(1)基本控制
ISO/IEC 27002(最新版已经采标为GB/T 22081—2024《网络安全技术 信息安全控制》)和ISO/IEC 27701《安全技术 将隐私信息管理扩展到ISO/IEC 27001和ISO/IEC 27002 要求和指南》给出了个人信息处理者服务提供商(以下简称“服务提供商”)的基本控制指南。
(2)补充控制之一:合同协议
服务提供商应采取措施避免违反合同。这些措施应符合当地的法律法规要求,经个人信息控制者授权,以确保处理个人信息的合同涉及服务提供商在协助个人信息控制者履行义务方面的作用。
(3)补充控制之二:保密
服务提供商应采取措施,以避免意外或故意泄露信息,或将信息披露给未经授权的第三方。
(4)补充控制之三:不当数据披露
服务提供商应实施适当的安全措施,以防止因账户劫持、不安全的应用程序编程接口和恶意内部人员等风险导致的不当数据披露和修改,并确保数据的可用性。
例如,服务提供商应实施适当的安全措施,避免与催收机构或第三方贷款机构进行未经授权的数据共享。
(5)补充控制之四:风险评估
服务提供商应按照尽职要求实施适当的安全措施,以便根据风险评估采取足够的主动行动。
(6)补充控制之五:数据泄露管理
服务提供商应建立识别并记录个人信息泄露的流程。此外,服务提供商还应按照法律法规规章和规范性文件的要求,对通知相关方个人信息泄露(包括通知时间)和向监管部门披露相关事宜定职定责。
(7)补充控制之六:隐私影响评估(PIA)
服务提供商应使用ISO/IEC 29134中描述的隐私影响评估来识别隐私风险及其影响。
4 金融科技公司为客户提供个人信息主体隐私控制
(1)控制之一:个人信息主体权利
服务提供商应为客户提供机制,以便在请求时且无不当延误的情况下访问、更正和删除其个人信息。
服务提供商还应为客户提供机制,以便行使其个人参与和访问的权利。
(2)控制之二:尽职调查
服务提供商应为客户提供机制,通过尽职调查以采取主动行动防范攻击。
(3)控制之三:个人身份信息管理
服务提供商应为客户提供机制,以防止客户的敏感个人信息被未授权地暴露。
服务提供商还应为客户提供机制,以防止通过客户设备造成个人信息的损坏。
(4)控制之四:再识别与匿名化处理
金融科技公司应实施程序和机制,以防止从已去标识的数据集中再识别出个人身份,以及从匿名化的数据集中进行再识别。
(5)控制之五:反歧视
金融科技公司应实施程序和机制,以防止泄露个人身份信息的特征,如种族或民族血统、政治观点、宗教或哲学信仰,或工会成员身份。
(6)控制之六:反监控
金融科技公司应实施程序和机制,以防止从客户数据集中跟踪或监控个人。
(7)控制之七:系统性和广泛性画像
金融科技公司应实施程序和机制,以防止通过客户数据集形成进行系统性和广泛性的个人画像。
(8)控制之八:访问提示信息
应向客户提供与其金融科技服务和个人信息处理相关的清晰且易于访问的信息。在适当情况下,应在收集个人信息以及与其他个人信息控制者/处理者共享个人信息时提供这些信息。
(9)控制之九:登录后个人信息处理
只有在客户登录个人信息处理系统后,才能收集和处理客户的个人信息。
5 作为个人信息控制者的金融机构的隐私控制
(1)控制之一:处理限制
金融机构应限制个人信息的处理,仅处理为实现已确定目的而充分、相关且必要的个人信息。
(2)控制之二:个人身份信息披露限制
如适用,金融机构应记录向第三方披露个人身份信息的情况,包括披露了哪些个人信息、披露给了谁以及披露的时间。
(3)控制之三:个人身份信息转移管理
金融机构应确定并记录将客户的个人身份信息转移给其他个人信息控制者的相关依据。
六、针对参与方的隐私指南
1 隐私风险应对
在组织应对措施中,制定全面的数据隐私风险缓解策略至关重要,其精髓是精心规划和妥善实施。为全面有效实施策略,通过组织应对措施缓解数据隐私风险,包括进行安全和隐私方面的员工培训以及适当的数据使用,应考虑以下步骤:
一是识别和分类敏感信息资产;
二是实施信息可访问性监控以及身份和访问管理功能;
三是通过加密、标记化、去标识化等多种安全控制和技术保护信息,适用于动态数据和静态数据;
四是制定明确的数据处置政策;
五是通过实施适当的业务连续性和灾难恢复计划(BC/DR),并每年进行测试,为数据泄露(即安全或灾难事件)做好准备。
2 面向个人信息控制者的服务提供商的建议
个人信息控制者在遵从法律法规要求的前提下,适用下述隐私指南。
一是处理:服务提供商不得代表客户访问、使用或处理数据,除非为提供服务以及提供相关的技术支持、维护和改进所必需。
二是数据访问、修改和删除:客户在使用服务时上传个人数据的,个人信息主体可通过使用公共协议和工具登录服务来访问、修改或删除数据。修改和删除请求也可通过客户账户的欺诈专员、支持工单或其他书面通知提出。服务终止或到期时,以及客户提出书面请求时,服务提供商将删除其掌握或控制的所有客户个人数据。
三是合作与个人信息主体权利:服务提供商应根据隐私数据共享协议和服务,向客户提供合理且及时的协助,使客户能够响应个人信息主体行使任何权利(包括访问权、更正权、异议权、删除权,以及获得许可的数据移植权)的请求,以及与处理个人数据相关的来自个人信息主体、监管机构或第三方的任何其他函件、询问或投诉。
四是隐私影响评估:服务提供商应为客户提供合理协助,以支持数据保护影响评估,但仅限于与客户个人数据、隐私数据共享协议和服务相关,且客户无法以其他方式获取相关信息的情况。
五是保密性:期望服务提供商采取措施,确保其人员承担适当的保密合同义务,并且这些义务在合作终止后仍然有效。
六是安全性:服务提供商应确保处理个人数据时存在适当的技术和组织保障措施,包括聘用合格人员、物理数据中心访问控制、系统访问控制、数据访问控制、数据传输协议、系统日志和备份系统。
3 面向个人信息处理者的服务提供商的建议
应明确识别、记录和更新所有相关的法律、法规、规章、规范性文件和合同要求。服务提供商与分包商之间的合同应将隐私设计和隐私保护作为必备要求,包括向监管机构通知涉及个人信息的违规行为,向个人信息主体通知涉及个人信息的违规行为,以及在需要与相关个人信息保护机构进行事先咨询时,由服务提供商提供协助的保证。
4 面向个人信息主体的客户
客户应能够有意义地访问和控制其个人身份信息,包括从收集的数据或第三方生成的画像中挖掘的数据,以及关于如何获取这些信息的信息。同意应是有意义的、充分的,并且足够细致,以控制客户个人身份信息的不同可能用途。应使用客户的数据来增强他们的能力,而不是为排斥性做法或监视计划提供理由。客户应在相关时间和相关情况下能够对其个人信息做出决定。
消费者应了解必要的知识和技能,以理解其个人身份信息是如何被使用的,并充分行使在此领域的消费者权利。消费者应意识到其个人数据完整性和隐私面临的日益增加的风险。
5 面向个人信息控制者的金融机构
金融机构在使用任何基于人工智能的自动决策过程时,应采取措施确保客户的个人信息得到保护。
金融机构在金融科技项目或计划部署之前,应进行深入的隐私评估:
一是处理相关个人的需求;
二是包括性别分析,以确定性别并评估性别影响,以促进理解并绘制出不同性别受金融科技服务影响的方式;
三是解决金融科技实施所产生的意外后果。
金融机构应针对此评估过程中确定的风险制定减缓策略。
声明:本文来自BanTech智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
