个人金融信息保护技术规范解读
前言:近年来,非法获取贩卖客户个人金融信息屡见不鲜,衍生“套路贷”、“非法催收”等不法行为,导致大量客户的合法权益得不到有效保护。互联网金融机构基于身份认证、授信、反欺诈等不同需求,促使了大数据技术在金融业务中的应用,犹如双刃剑存在滥用个人信息之嫌,如何保护客户的个人信息,明确责任方范围,规范企业行为,防范个人金融信息违法违规情形的发生成为监管部门当下的整治重点,在此背景下金融领域个人信息保护相关规范标准建章立制迫在眉睫,技术标准具备实操性。
全国金融标准化技术委员会于2018年发布了《支付信息保护技术规范(征求意见稿)》,2019年修订为《个人金融信息保护技术规范》再次征求意见,2020年初正式发布,几易其稿可谓一波三折,一经出台便惹人注目,被誉为金融行业的“35273”。(即GB/T 35273-2017《信息安全技术个人信息安全规范》)。2019年以来,一系列个人金融信息保护要求规定及标准的出台,昭示个人金融信息保护立法的快节奏。
个人金融信息保护相关监管要求
《个人金融信息保护技术规范》(以下简称《规范》)主要从安全技术和安全管理两个维度,以《网络安全法》和《信息安全技术个人信息安全规范》为基础,对收集、传输、使用、存储、共享、删除、销毁等个人金融信息生命周期中的保护措施提出了具体要求。《规范》的出台,加强个人金融信息安全管理,指导各金融机构规范处理个人金融信息,最大程度保障个人金融信息主体的合法权益。
一、个人金融信息分类
《规范》指出,个人金融信息(personal financial information)是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
相较于2016年的《中国人民银行金融消费者权益保护实施办法》的定义,新增了鉴别信息(密码、口令及密码提示问题答案等),银行卡磁道数据(或芯片等效信息)、个人生物识别信息(指纹、人脸、虹膜耳纹、掌纹、静脉、声纹等),将原“个人信用信息”修改为“借贷信息”(授信、信用卡和贷款的发放及还款、担保情况等)。
相较于GB/T 35273《信息安全技术个人信息安全规范》附录中明确列举的个人信息类型,将鉴别信息(口令)从个人财产信息单列出来1类,并进行了详细扩充。个人上网记录(如网站浏览记录、软件使用记录、点击记录等)、个人常用设备信息(如IMEI、MAC地址、IDFA、软件列表等)和个人位置信息(如行踪轨迹、精准定位信息等)等未在《规范》4.1中明确列举,但可从该款g项其他信息中进行规范“在提供金融产品与服务过程中获取、保存的其他个人信息”,按照4.2个人金融信息敏感程度分类归为“其他能够识别出特定主体的信息”C2类别的个人金融信息。
因此对于互联网金融企业来说,设备信息、用户上网行为信息、位置信息等在用户身份识别、识别打击黑产、营销活动、风控等领域依赖性较高,需要结合《规范》和《信息安全技术个人信息安全规范》从梳理业务产品中涉及静态的数据类型与内容出发,识别所涉及的所有个人金融信息,并对其进行分级分类,落实相应的合规要求。
根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,并对三类信息实施不同级别的保护。具体详见下表:
二、安全基本原则
金融业机构应遵循《信息安全技术个人信息安全规范》的要求,以“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的原则,设计并实施覆盖个人金融信息全生命周期的安全保护策略。
三、个人金融信息生命周期
个人金融信息的生命周期包括对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程,每个环节都要有相应的安全保护措施。
因此企业不仅应该从静态数据出发,也要动态地从个人金融信息全生命周期出发,对“收集、传输、存储、使用、删除、销毁等”各环节进行统计和梳理,个人信息类别也会在不同的使用场景中有所变化,例如很多较低敏感程度类别的信息在不同的应用场景中,经过组合、关联成为高敏感的信息,C2短信验证码+C2账户(手机号)组合便可用于用户鉴别,成为C3类别信息。此过程也需要更多关注内部、外部之间数据的流转,规范第三方合作中各项安全管理以及技术要求,为后续合规落实提供基础。
四、全生命周期技术要求
早在2019年11月,中国互联网金融协会发布《关于增强个人信息保护意识依法开展业务的通知》明确规定了全生命周期的个人信息保护制度。作为金融机构,需要做好各条线监管的合规要求,如《网络安全法》、《信息安全技术个人信息安全规范》、《信息安全技术网络安全等级保护基本要求》(等保2.0)等关于个人信息保护和网络运行安全的规定,以及金融监管体系下的央行17号文、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》与《中国人民银行金融消费者权益保护实施办法》等关于个人金融信息保护的相关要求。
下面从个人金融信息分类以及重点合规技术要求方面说明数据类别在个人金融信息各生命周期分级实施技术和管理要求:
1、收集环节,对于C3、C2类别的个人金融信息的要求如下:
依据《规范》的要求,企业不得委托或授权大数据公司、无个人征信牌照的征信公司收集C3、C2类别信息。将导流、助贷、大数据分析公司排除在外,加强第三方合作机构的资质审查,避免与非持牌机构机构开展涉及个人金融信息的业务合作(征信、催收)。另外,《规范》参考了《App违法违规收集使用个人信息行为认定方法》和《信息安全技术个人信息安全规范》关于用户授权同意的合规要求,app默认勾选隐私政策,登录注册即同意隐私政策的授权方式,都是不合规的。
2、传输、存储、使用(信息展示)、使用(公开披露)环节,对于C3、C2类别的个人金融信息的要求如下:
《规范》对个人金融信息的存储明确规定,金融机构不得留存非本机构的C3类别信息。如果确有必要留存非本机构的C3类别信息的需要获取个人金融信息主体、账户管理机构的双重授权。由于获取其他金融机构的C2/C3级别数据时,没有取得金融机构授权,投诉现象时有发生。人脸识别后不能留存在手机相册本地都需要按照本条规定在进行完交易后删除相应的信息。
3、使用(委托处理)、使用(加工处理)环节,对于C3、C2类别的个人金融信息的要求如下:
企业不仅应当要求第三方业务合规性和业务逻辑进行说明、承诺。同样也需要针对自动化工具开展技术检测,并对基于委托收集处理个人金融信息的行为进行审计。并进行全流程管控制度,包括接入前的合规和技术评估、定期审计和应急处理机制等。
4、规范明确要求金融机构与合作方签约时,约定针对敏感数据应仅使用不留存的数据安全条款。
5、个人金融信息脱敏
《规范》在个人金融信息的多个生命周期环节中,明确要求金融业机构适当采用脱敏技术,以提升个人金融信息的安全并降低泄露的风险。信息屏蔽规则请见《规范》附录。
1.收集:引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施
2.信息展示:对通过各类业务界面或后台管理和业务支撑系统展示的个人金融信息,应采取信息屏蔽等处理措施;
3.共享和转让:支付账号及其等效信息在共享和转让时应使用支付标记化技术(按照JR/T 0149-2016)进行脱敏处理;
4.委托处理:对委托处理的信息应采用去标识化等方式进行脱敏处理;
5.开发测试:开发环境、测试环境应使用虚构的或经过去标识化脱敏处理的个人金融信息;
6.安全制度体系建立与发布:建立个人金融信息脱敏管理规范和制度,应明确不同敏感级别个人金融信息脱敏规则、脱敏方法和脱敏数据的使用限制。
6、新增规定个人金融信息汇聚融合、开发测试、销毁
(1)数据的汇聚融合可能包括:同一公司内部不同业务线的数据共享;同一集团内不同关联企业间数据共享;与集团外第三方的数据共享。《规范》在金融领域首次提出对于个人金融信息汇聚融合的明确要求:
1)汇聚融合的数据不应超出收集时所声明的使用该范围。因业务需要确需超范围使用的,应再次征得个人金融信息主体明示同意;
2)应根据汇聚融合后的个人金融信息类别及使用目的,开展个人金融信息安全影响评估,并采取有效的技术保护措施。
(2)个人金融信息在开发测试过程中的具体技术要求如下:
开发环境、测试环境不应使用真实的个人金融信息,应使用虚构的或经过去标识化(不应仅使用加密技术)脱敏处理的个人金融信息,账号、卡号、协议号、支付指令等测试确需信息除外。
(3)《规范》对于个人金融信息生命周期增加了个人金融信息的销毁环节。分别对“删除”和“销毁”作出了明确的定义:
1)删除:在金融产品和服务所涉及的系统中去除个人金融信息的行为,使其保持不可被检索、访问的状态。此处定义与《信息安全技术个人信息安全规范》关于个人信息“删除”的定义保持一致。
2)销毁:存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行信息销毁,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用。
五、安全管理合规要求
《规范》结合《信息安全技术个人信息安全规范》、《互联网个人信息安全保护指南》等相关标准指引的要求,对企业内部个人金融信息的安全管理合规要求从安全制度体系设置、组织架构岗位设置、人员管理、访问控制、安全事件处置等方面明确相应的合规要求。结合金融行业的特殊性与重要性,应注意以下几点:
六、规范如何“谋而后动”
《规范》作为金融领域的“特别规范”,对于金融领域推动落实“35273”规范具备指导意义,按照惯例预判,金融领域各级监管蓄势待发,金融机构将立于个人信息保护聚焦点的风口浪尖。
中国人民银行于2019年第四季度发布《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知(银发〔2019〕237号)》,其中着重指出“各金融机构应严格按照《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)要求,采取有效措施加强客户端软件个人金融信息保护,中国互联网金融协会作为备案的主管行业协会”,要求金融机构处理金融业务的移动客户端,完成外部检测评估和申报备案工作,以技术合规为切入点强化个人金融信息保护的业务设施建设。
各金融机构尤其是非银行金融机构需要关切的是,除上述通知以外,比照2018年“146号文”专项模式,可以预期本年度各级监管的专项检查将加大对违规采集、使用个人金融信息的惩处力度。
兵马未动粮草先行,金融机构应借东风定制度促合力补短板,切实履行金融机构主体责任,加快推进落实个人信息保护安全技术和安全管理要求,有效保护个人金融信息主体合法权益,确保金融机构的稳健运营,防止诱发系统性金融风险。