个⼈⾦融信息保护技术规范解读
2020年2⽉20⽇,全国⾦融标准化技术委员会(以下简称“⾦标委”)公⽰了推荐性⾏业标准《个⼈⾦融信息保护技术规范》(以下简称“《⾦融信息规范》”),该标准由中国⼈民银⾏于2020年2⽉13⽇发布并于当⽇实施。
个⼈⾦融信息分级制度
个⼈⾦融信息分级制度是《⾦融信息规范》中的重要规定,也将是⾦融业机构推⾏合规⼯作所绕不开的重点环节。《⾦融信息规范》中个⼈⾦融信息分级制度的分级内容及各级别额外要求如下表:
⼀、为什么要信息分级?—— 信息分级是合规的基础
从体系上来看,《⾦融信息规范》中个⼈⾦融信息分级的要求,与基于个⼈⾦融信息⽣命周期的安全技术要求与管理要求(以下称为“合规要求”)是融合统⼀的。
⼀⽅⾯,《个⼈信息规范》作为⼀项通⽤标准,对于个⼈信息的分类⽅式(个⼈信息、个⼈敏感信息)及辨识度,不能满⾜⾦融服务的实际需求。⾦融业机构需要更细化的信息分级,指导⽇常的⾦融信息保护。
个人敏感信息另⼀⽅⾯,信息分级也是⼀切数据保护与合规⼯作的基础,有助于⾦融业机构辨识不同数据的风险等级与合规难点,做到因⼈(数据)⽽异、因地(场景)制宜,把握合规重点环节,节约合规成本
⼆、如何分级?—— 信息分级依据的⼏种标准1、⼀般标准
《⾦融信息规范》主要是根据数据泄露事件发⽣后的严重性(后果)进⾏分级。具体到条⽂中,从C1到C3级别,其分级依据分别表述为:该类信息⼀旦遭到未经授权的査看或变更,可能会对个⼈⾦融信息主体的信息安全与财产安全造
成“⼀定影响”、“⼀定危害”、“严重危害”。
作为每个级别包含的个⼈⾦融信息类型,《⾦融信息规范》采取了“概述+不完全列举”的⽅式,罗列了若⼲具体的信息类型。那么,这是不是意味着企业应当按部就班地按照各级别列举的信息类型执⾏呢?我们理解,不应僵化地执⾏,还需要综合考虑各项条件,以多种标准灵活地判断某类数据的分级状况。
2、场景化的标准
《⾦融信息规范》中明确,同⼀信息在不同服务场景中可能处于不同的级别,则应依据服务场景以及该信息在其中的作⽤对信息的级别进⾏识别,实施针对性的保护。
例如,低敏感程度级别的个⼈⾦融信息因参与⾝份鉴别等关键活动导致敏感程度上升的,如经组合后构成交易授权完整要素的情况,则应提升相应的安全保障⼿段。
3、动态化的标准
《⾦融信息规范》对个⼈⾦融信息的分级并不是固定的,⽽是会在特定条件下产⽣⼀定差异和转化,具体如下:
3.1 同⼀级别内不同信息类型的差别处理
即使是同⼀级别中的不同信息类型,《⾦融信息规范》对其的合规要求也有所不同。以“⽤户鉴别辅助信息”为例,其包括动态⼝令、短信验证码、密码提⽰问题答案、动态声纹密码等。分类上虽然属于C2类别,但与其他C2类相⽐,存在以下特殊合规要求:
不应委托给第三⽅机构进⾏处理(同于C3)
不应共享、转让(同于C3)
不应公开披露(同于C3)
同样,较为特殊的信息类型还包括C2中的“⽀付账号及其等效信息”(共享、转让时应使⽤⽀付标记化技术进⾏脱敏处理)、C3中的“个⼈⽣物识别信息”(不应公开披露)等。
3.2 同⼀信息类型在特定场景下的级别变化
《⾦融信息规范》规定,两种或两种以上的低敏感程度级别信息经过组合、关联和分析后可能产⽣髙敏感程度的信息,应采取针对性的保护措施。
⽐如:某⼿机⼚商推出了具有动态声纹加密功能的⼿机,⽽动态声纹密码属于C2类别中的⽤户鉴别辅助信息。如果这类信息与账户结合使⽤可直接完成⽤户鉴别,则属于C3类别信息。
上述灵活的信息级别分类模式,⼀⽅⾯的确更加科学、严谨,另⼀⽅⾯也给企业的风控合规部门提出了新的挑战。⼀味的“抄作业”已经不可取了,如何将合规性要求,结合⾃⾝业务实际,转化为有效的内控措施;如何将个⼈⾦融信息的分级标准与企业⾃⾝在数据管理中沿⽤的数据分级、分类标准有机地统⼀起来,将成为⾦融业机构合规⼯作的重点和难点。
三、分级带来的重⼤影响?—— 与第三⽅机构合作风险
个⼈⾦融信息分级制度的⼀⼤影响,在于以数据为中⼼,对⾦融业机构与第三⽅机构的合作⽅式划出了红线。
《⾦融信息规范》中涉及第三⽅机构个⼈⾦融信息处理的主要条⽂如下:
数据收集:不应委托或授权⽆⾦融业相关资质的机构收集C3、C2类别信息——6.1.1 a)
数据共享、转让:C3类别信息以及C2类别信息中的⽤户鉴别辅助信息不应共享、转让——7.1.3 a)
数据处理:C3以及C2类别信息中的⽤户鉴别辅助信息,不应委托给第三⽅机构进⾏处理——6.1.1.4 b)
数据存储:外包服务机构与外部合作机构原则上不应留存C2、C3类别信息.不应将存储个⼈⾦融信息的数据库交由外部合作机构运维。——7.2.1 g)
这些规定进⼀步明确了持牌⾦融机构与第三⽅机构在⾦融服务中开展(业务/技术)合作的标准、内容、范围和边界,特别是细化了个⼈⾦融信息在各个阶段的处理⽅式和责任主体,对⾦融科技活动的各⽅参与主体具有重要的指导意义。
对于⼀些⾦融科技企业或助贷机构,其或将⾯临业务规范和转型的问题,以往⼤量收集、存储敏感的个⼈⾦融信息,与⾦融机构联合开展贷款风控、贷后催收的业务模式将难以存续。
⽽站在持牌⾦融机构的⾓度,通过与⾦融科技公司合作、风控外包,不过问数据来源,只做“钱柜⼦”的粗放模式也不再适⽤。尽快适应新监管要求,完善⾃⾝风控能⼒,并确⽴新型、合规的第三⽅合作模式,将成为下⼀阶段合规⼯作的重点。
*本⽂原创作者:IRONMAN娄⼤壮,本⽂属于FreeBuf原创奖励计划,未经许可禁⽌转载