“抗疫”不忘数据合规:《个人金融信息保护技术规范》评析
在2019年,以四部门在全国范围组织开展App违法违规收集使用个人信息专项治理活动为代表,数据监管部门执法活动日趋活跃和严格。金融领域个人信息违法违规行政和刑事执法案例也呈爆发式增长趋势,在此背景下,中国人民银行近日发布了金融行业推荐性标准《个人金融信息保护技术规范》(JR/T 0171-2020)(以下简称“
金融业机构掌握和处理的个人金融信息绝大多数属于个人敏感信息,该等信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,导致相关的民事、行政、刑事风险,甚至可能会带来系统性金融风险。可以预见,《技术规范》的出台对于加强个人金融信息的安全管理,指导相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,具有重要意义。
《技术规范》适用于提供金融产品和服务的金融业机构,不仅包括了由国家金融管理部门监督管理的持牌金融机构,也包括了涉及个人金融信息处理的相关机构。即金融产业链的相关机构均可能落入《技术规范》规制范围,例如金融支付、网络借贷、基金、保险、信托等从业机构。
个人金融信息是在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的个人信息,属于金融业机构在提供金融产品和服务的过程中累积的重要基础数据。《技术规范》不仅对账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、信贷信息等信息可能包括的信息类型进行了详细列举,还将由这些原始数据处理、分析所形成的,例如特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息,能够反映特定个人情况的信息也纳入了个人金融信息范畴之内。
《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012》结合金融行业特点及信息系统安全建设需要,对金融行业的信息安全体系架构采用分区分域设计,对不同等级的应用系统进行具体要求。
如前所述,《技术规范》对个人金融信息保护提出了一系列规范性要求,考虑到《技术规范》与《个人信息安全规范》从行文体系上较为类似且内容多有重合,以下仅从《技术规范》与《个人信息安全规范》对比的角度,介绍《技术规范》与《个人信息安全规范》有所区别或侧重的部分,重复或类似的部分将不在本文阐述。
除要求确保数据信息来源的可追溯性要求及获得个人金融信息主体对隐私政策的明示同意之外,《技术规范》还要求通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施。
相比《个人信息安全规范》的要求,相关条文更加注重个人金融信息传输过程中的参与方(包括数据接收方)而不仅仅是传输方对于信息保密性、完整性和可用性的保证。例如,传输个人金融信息前,通信双方应通过有效技术手段进行身份鉴别和认证;个人金融信息传输的接收方应对接收就得信息进行完整性校验。
《技术规范》规定在停止运营时,除依据国家法律法规与行业主管部门有关规定要求,对存储的个人金融信息进行妥善处理之外,还可以移交国家与行业主管部门指定的机构继续保存。
《技术规范》对提供业务办理与查询功能的应用软件以及应用软件的后台管理与业务支撑系统分别提出展示的技术要求,尤其是对于涉及其他个人金融信息主体的信息时,除特殊情形外,宜进行屏蔽展示。
除对安全影响评估、签署数据保护责任承诺、访问控制、审计等方面进行规定外,《技术规范》对支付账号及其等效信息在此环节中的脱敏技术进行了限定,通常应使用支付标记化技术。
《技术规范》要求对委托处理的信息应采用去标识化(不应仅使用加密技术)等方式进行脱敏处理。
除要求建立销毁管理制度、保留有关记录等对个人信息销毁的常规性处理要求外,《技术规范》还要求存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行信息销毁,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他方式加以利用。
除上述信息处理环节之外,《技术规范》还对公开披露、加工处理、汇聚融合、删除等环节进行相应规定,除此之外,针对安全运行技术要求,承载和处理个人金融信息的信息系统、应用软件、密码产品等应符合全国信息安全标准化技术委员会、全国金融标准化技术委员会及其他主管部门的标准、规范。
(1)就安全管理要求的安全准则部分,《技术规范》与《个人信息安全规范》类似,对个人金融信息的收集、存储、使用的基本原则、具体要求均进行相应规定。特别地,需关注《技术规范》中对于明示授权和数据出境的相关规定:
关于明示授权。鉴于个人金融信息的敏感性,《技术规范》对收集个人金融信息要求取得信息主体的明示同意。这点与《个人信息安全规范》的要求存在区别,其仅规定收集一般个人信息需要征得个人授权同意(包括明示同意和默示同意两种情形),而对于个人金融信息中属于敏感信息的信息(例如财产信息),应当征得明示同意。
关于数据出境。《技术规范》对于个人金融的本地化存储和出境问题进行了规定,该等规定内容基本沿袭和呼应了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《金融消费者权益保护实施办法》、《个人信息出境安全评估办法(征求意见稿)》等规定关于金融数据出境的相关要求。即在中国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构关联机构提供个人金融信息,需满足如下要求:符合国家法律法规及行业主管部门有关规定;取得信息主体明示同意;开展出境安全评估;与境外机构签订协议、现场核查并履行相应监管职责。
(2)就安全管理要求的安全策略部分,明确金融业机构建立个人金融信息保护制度体系、加强访问控制和人员管理。其中,就建立个人金融信息保护管理规定、建立分级授权管理机制、开展个人金融信息分类分级管理等要求,与《中国人民银行金融消费者权益保护实施办法》(征求意见稿)、《个人金融信息(数据)保护试行办法》(征求意见稿)中的相应要求一脉相承。除此之外,《技术规范》还提出以下额外的制度要求:
就安全管理要求的安全监测与风险评估部分,与《个人信息安全规范》要求类似,《技术规范》要求匹配相应的监控与审计措施、建立安全事件处置的全流程管控措施,此外,对于安全检查和评估环节,《技术规范》除对个人金融信息安全影响评估制度的建立和执行进行相应要求之外,还要求金融业机构以及与其合作的第三方机构针对个人金融信息中的支付信息每年至少开展一次支付信息安全合规评估。
关于《技术规范》的前身,最初的公开版本为《支付信息保护技术规范》(送审稿),在该版本中支付信息被按照敏感程度从高到低分为四个类别。
《技术规范》则根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别。具体类别及对应信息列举情况如下:
主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。
•银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码;
•账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;
•用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码(若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息)。
• 直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息。
• 用户金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。
• 用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。
主要为机构内部的信息资产,主要提供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定影响。
需要说明的是,两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度信息,同一信息在不同的服务场景中可能处于不同的类型。因此,上述分类不应做僵化认定,应当在不同的服务场景中对数据类别做动态和综合性的判断,并实施针对性的保护措施。例如,《技术规范》规定应根据个人金融信息的不同类别,采用技术手段保证个人金融信息的安全传输;低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提升相应的安全传输保障手段。
《技术规范》在个人金融信息进行分类的基础上,对于C2和C3类别的个人金融信息提出了诸多特定保护要求,以下分别从安全技术要求和安全管理要求进行分别列举。
,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。
• 不应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等。若确有必要留存的,应取得个人金融信息主体及账户管理机构的授权。
应采取必要的技术手段和管理措施,确保在信息清洗和转换过程中对信息进行保护,
• 应具备对网站页面篡改、网站页面源代码暴露、穷举登录尝试、重放攻击、SQL注入、跨站脚本攻击、钓鱼、木马以及任意文件上传、下载等已知漏洞的防范能力。
建立外包服务机构与外部合作机构管理制度,包括但不限于:应通过协议或合同的方式,
,金融业机构应明确其保密义务与保密责任,并应根据安全要求落实安全控制措施,并将有关资料留档备查。
存储或处理个人金融信息的相关物理设备或介质应在获得审批授权后方可移入或移出机房受控区域,
留存有C2、C3类别信息的物理设备或介质移入或移出区域应具有同等的安全保障措施
由上述归纳可知,针对与外包服务机构和外部合作机构的合作,在《个人信息安全规范》等相关规定的基础要求(例如安全影响评估、对第三方的监督、审计)上,《技术规范》还从以下几个方面提出禁止性要求或额外规制:
因此,对于普遍采用人力外包等方式委托分包商提供非核心服务的金融行业来说,为避免合规风险,相关从业机构可能面临调整相关业务或合作模式的考验。
去年9月以来,公安部门加强对涉足互联网金融行业的大数据服务公司在网络安全及数据合规领域的执法力度,“净网2019”行动持续开展。我们判断,2020年,随着数据执法的进一步深化,金融等数据敏感行业将进一步完善行业内的网络安全和数据保护实施细则的立法和规范工作,建议相关金融业机构以《技术规范》、《个人信息安全规范》及等保2.0等相关规范和标准要求,开展内部网络安全自查、自律行动,切实落实个人信息尤其是个人金融信息的安全保护要求。
[1]例如在受理终端、个人终端及客户端应用软件均不应存储支付敏感信息,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除;在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。