金融数据的合规要求包括一般规则和特殊规则,一般规则是指《民法典》《刑法》《网络安全法》《数据安全法》《个人信息保护法》《个人信息安全规范》等普遍适用于数据合规的一般性规定;特殊规则是银行、保险、证券业等金融行业领域中与金融数据保护相关的部委规章和规范性文件,以及《金融数据安全分级指南》《金融数据安全
数据生命周期安全规范》《个人金融信息保护技术规范》等指导金融机构开展金融数据安全防护工作的行业标准。 对于金融业机构而言,开展金融数据分类分级是履行合规责任的必然要求。《网络安全法》第二十一条规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,采取数据分类、重要数据备份等措施;《数据安全法》也明确规定,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。金融数据的分类分级机制能够识别保护数据对象的风险性、重要性,针对不同的类型、级别的金融数据采取不同的安全管控措施,是金融业机构建立健全金融数据全生命周期保护体系的基础。
如前所述,考虑到金融数据类型的丰富性,各金融业机构具体的业务产品或服务各不相同,金融数据的分类分级工作是一项系统性工程,需要在满足国家法律法规、金融行业主管部门监管政策的前提下,结合金融业机构自身数据安全管理策略、实际业务情况、风险承受能力等数据管理需要,自主确定在内部适用的数据分类分级机制。目前,我国法律法规尚未出台专门的金融数据分类分级相关规定,但金融行业监管部门已出台多部在金融行业领域数据分类分级的行业标准,对于金融业机构开展分类分级工作具有很强的实践指导意义,具体如下:(1)中国证券监督管理委员会于2018年9月27日发布并实施了《证券期货业数据分类分级指引》,详细规定了证券期货业数据分类分级的原则、要点、方法,以及分类分级中的关键问题处理方法,适用于证券期货行业机构、相关专项业务服务机构及技术服务机构。同时,给出了证券期货业数据的分类分级的基本流程(见图17):(2)中国人民银行于2020年2月13日发布并实施了《个人金融信息保护技术规范》,详细规定了针对自然人的个人金融信息类别标准,即根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低划分为三个类别;C3类别信息主要为用户鉴别信息,包括账户登录密码、银行卡磁道数据(或芯片等效信息)等;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,包括账户登录用户名、个人财产信息等;C1类别信息主要为机构内部的信息资产,主要供金融业机构内部使用的个人金融信息,包括账户开立时间、基于账户信息产生的支付标记信息等。该规范同时强调,同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,这就意味着,前述三个类别下的具体信息类型并不是绝对的,金融业机构需结合自身服务场景的实际情况进行“量体裁衣”。(3)《金融数据安全分级指南》从数据安全管理的角度,给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。主要考虑影响对象(国家安全、公众权益、个人隐私、企业合法权益等)、影响程度(严重损害、一般损害、轻微损害、无损害),将金融数据安全级别从高到低划分为五级,具体如表9所示: | | |
| |
| | | 重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用 |
| | |
| | | 数据通常主要用于金融业大型或特大型机构、金融交易过程中核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用 |
| | |
| | | 数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用 |
| | |
| | | 数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据 |
| | | |
构建数据分类分级管理体系后,切实做好保障数据安全工作,还需具体落实在数据的采集、传输、存储、使用、删除和销毁等生命周期管理的各环节。随着数据生命周期的推进,数据对应的资产价值、敏感程度、业务需求也随之发生变化,则应采取相匹配的数据安全措施,在管控成本与数据法定要求之间寻求适度平衡。金融数据的生命周期管控也不例外,金融行业更具有资源高效有序流动和风控合规要求高的双重特点,完善的数据生命周期保护措施有助于金融机构合理分配资源和成本,提高金融业机构的数据安全管理水平。(见图18)
《个人金融信息保护技术规范》以及中国人民银行于2021年4月8日发布的《金融数据安全 数据生命周期安全规范》等金融行业标准系统规定了采集、传输、存储、使用、删除和销毁等金融数据生命周期环节的合规要求。总体而言,金融数据生命周期环节的合规要求与《网络安全法》《数据安全法》《个人信息保护法》等法律规定基本一致,比如,收集个人金融信息应遵循合法、正当、必要的原则;存储时间应为业务必需的最短时间;原则上不应转让、共享个人金融信息,确需共享、转让的,应向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型,并事先征得个人金融信息主体明示同意等。其中,主要的特殊合规要求具体如下:①从外部机构采集数据。应通过合同等方式,明确双方在数据安全方面的责任及义务,确保外部机构数据的合法合规性和真实性;制定数据供应方约束机制,并事前开展数据安全影响评估;通过系统批量采集的数据应采用消息认证码、数字签名等密码技术确保采集过程数据的完整性;对数据采集设备或系统的真实性进行验证;采集的企业客户数据应与提供的金融产品或服务直接相关,不应超范围采集等。②向个人信息主体采集数据。采集的个人金融信息应与提供的金融产品或服务直接相关,并与合同、隐私政策等约定采集的内容保持一致,不应超范围采集数据;金融业机构在停止其提供的金融产品或服务时,立即停止数据收集活动及数据分析应用活动等。 采取措施加强数据传输过程中的网络和数据安全;金融数据传输涉及金融业机构内部数据传输、金融业机构与外部机构或客户的数据传输两种形式,不同传输形式和不同传输对象应采用不同的数据传输技术方式等。 将数据分域分级存储;依据最小够用原则存储数据;不应因存储形式或存储时效的改变而降低安全保护强度等。 数据使用不应超出数据采集时所声明的目的和范围,不应存在数据非授权访问、窃取、泄露、篡改、损毁等安全风险;C3以及C2类别个人金融信息中的用户鉴别辅助信息不应共享转让、公开披露等。 用户主动提出删除其数据的情形,应对其相应信息进行删除;超过保存期限的数据应执行数据删除或匿名化处理;对于多个不同保存期限的数据,保存期限选择最长期限为该数据集合的保存期等。 采用不可恢复的方式对存储介质进行销毁;存储介质如需使用,通过技术手段安全地擦除数据,确保介质中的数据不可再被恢复或以其他形式被利用;定时验证数据删除结果等。 目前,最新版的《外商投资准入特别管理措施(负面清单)》(2020年版)取消了证券公司、证券投资基金管理公司、期货公司、寿险公司外资股比限制,至此已完全不再体现金融业的外商投资准入管理措施,大量外资背景的金融业机构以及其附属的金融科技公司涌入,其在中国境内运营过程中收集、产生的金融数据出境问题凸显出来。同时,中国境内金融业机构在境外提供金融服务,也面临着利用中国境内信息基础设施处理金融数据再回传至境外的出境问题。
《网络安全法》《数据安全法》《个人信息保护法》等均规定了个人信息、重要数据出境的一般性合规要求,比如,通过国家网信部门组织的安全评估、按照国家网信部门制定的标准合同与境外接收方订立合同、按照国家网信部门的规定经专业机构进行个人信息保护认证、遵守法律或法规规定的其他条件等。金融行业领域出台的部分法律法规、规范性文件还包括了针对金融数据出境情形的特别规定,相关金融业机构应遵守如下金融数据方面的特殊合规要求: 2011年1月21日,中国人民银行发布的17号文第六条规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。17号文原则上禁止银行业金融机构向境外提供个人金融信息,但对于可以向境外提供的例外情形未进行明确规定,仅笼统提及“除法律法规及中国人民银行另有规定”。 2011年5月12日,中国人民银行上海分行发布的《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(上海银发〔2011〕110号,以下简称110号文)指出,前述17号文规定的除法律法规及中国人民银行另有规定的情形是为客户办理业务所必需,且经客户书面授权或同意,境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的,可不认为违规。银行业金融机构应当保证其境外总行、母行或分行、子行为所获得的个人金融信息保密。110号文在遵循原则上禁止出境的前提下,细化了例外情形,但该等例外情形的要求仍非常严格,需同时满足业务需求、客户书面授权或同意、向前述境外具有特定直属关系的银行提供、境外接收信息的银行保密四个条件。 2020年2月13日,中国人民银行发布的行业标准《个人金融信息保护技术规范》明确删除了关于“不得向境外提供境内个人金融信息”的原则性表述,可以看出中国人民银行对于个人金融信息出境问题的监管态度有所松动,但例外情形的部分要求标准仍有所提升,强调需获得客户的“明示”同意,并添加了个人金融信息出境安全评估要求,确保境外接收信息机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求,以及监督境外机构有效履行保密、删除、案件协查等职责义务的规定。另外,该行业标准除了适用于银行业金融机构外,还适用于国家金融管理部门监督管理的持牌金融机构(证券公司、信托公司等)以及涉及个人金融信息处理的相关机构(金融科技公司等),相较于17号文、110号文,适用的对象范围更为宽泛。(2)证券业机构向境外提供与证券业务活动有关文件资料 对于为拟在境外上市或已经在境外上市的企业提供证券服务的证券公司、证券服务机构而言,还涉及是否适用证券业监管领域关于向境外提供与证券业务活动有关文件资料的相关规定。 根据中国证券监督管理委员会、国家保密局、国家档案局于2009年10月20日发布并实施的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》(中国证券监督管理委员会、国家保密局、国家档案局公告〔2009〕29号,以下简称29号文)第六条第二款规定,证券公司、证券服务机构整理的涉及国家秘密、国家安全或重大利益的工作底稿,未经有关主管部门批准,不得将其携带、寄运至境外或者通过信息技术等任何手段传递给境外机构或者个人。但是,对于工作底稿中不涉及国家秘密、国家安全或者重大利益的内容是否适用该条第二款的规定以及批准的是哪个具体的主管部门,29号文未对此有明确规定。 《证券法》(2019年修订)第一百七十七条规定,国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制,实施跨境监督管理······未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。包含证券公司、证券服务机构在内的相关主体向境外提供与证券业务活动有关的文件和资料,也未进一步区分是否涉及国家秘密、国家安全或重大利益内容。而根据《数据安全法》关于重要数据出境的规定,证券工作底稿、证券业务活动中如果涉及重要数据,即使不构成国家秘密、国家安全或者重大利益,也需要依法实施数据出境评估。 随着2021年7月2日,网络安全审查办公室发布对“滴滴出行”实施网络安全审查的通告,数据出境的合法合规性问题已成为拟在境外上市企业或已在境外上市企业所绕不开的话题。2021年11月16日,国家网信办发布了《网络安全审查办法》(2021),将中国证券监督管理委员会纳入了国家网络安全审查工作机制成员单位。并规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,并将国外上市拟申报的IPO资料作为申报网络安全审查必须提交的材料。 基于上述规定,为拟在境外上市或已经在境外上市的企业提供证券服务的证券公司、证券服务机构收集的客户文件和资料,也属于金融数据的重要组成部分,基于谨慎考虑,无论是否涉及国家秘密、国家安全或重大利益,向境外提供该等文件和资料前,建议应优先考虑是否需征得中国证券监督管理委员会和国务院有关主管部门同意。 在经济全球一体化的大背景下,金融服务外包等产业加速向发展中国家转移,国内本轮大数据金融快速发展,金融业机构数字化转型的需求强烈,我国产生了一大批为金融业机构提供硬件支持、软件支持、系统运维或托管、数据服务等的技术专业机构,包括但不限于金融业机构或其所属集团设立的附属机构和独立于金融业机构的外部第三方供应商。
越来越多的金融业机构将包括金融数据的处理工作委托给该等服务提供商,以降低自身运营管理成本、分散金融风险,聚焦优势力量发展金融主业。国务院早在2014年发布的《关于促进服务外包产业加快发展的意见》中即指出,积极发展金融服务外包业务,鼓励金融机构将非核心业务外包。 在目前法律法规框架下,针对金融业机构委托外包服务供应商处理金融数据的合规要求主要体现在处理个人信息方面。《个人信息保护法》专门规定了个人信息处理者委托处理个人信息的一般规则,金融业机构作为委托方,应当与受托方约定处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。金融业主管部门出台的法律文件专门规定了委托处理个人金融数据的特殊合规要求,具体如下: 根据17号文第七条规定,银行业金融机构委托服务商进行个人金融信息处理的,应当遵守的主要义务包括:(1)充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标;(2)与外包服务供应商签订服务协议时,应当明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,确保个人金融信息安全;(3)要求外包服务供应商在外包业务终止后,及时销毁因外包业务而获得的个人金融信息。 根据《个人金融信息保护技术规范》关于委托处理的规定,金融业机构委托外包服务商进行个人金融信息处理的,应当遵守的主要义务包括:(1)C3类别信息的用户鉴别信息以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理;(2)对委托处理的信息应采用去标识化(不应仅使用加密技术)等方式进行脱敏处理,降低个人金融信息被泄露、误用、滥用的风险;(3)对委托行为进行个人金融信息安全影响评估,并确保外包服务供应商具备足够的数据安全能力,且提供了足够的安全保护措施;(4)对外包服务供应商进行安全检查和评估;(5)对外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测,确保其个人金融信息收集、使用行为符合约定要求。 需要注意的是,金融业机构委托外包服务供应商处理个人金融信息同时还涉及对外提供个人信息行为,根据《民法典》《网络安全法》《个人信息保护法》等关于对外提供个人信息的规定,对外提供个人信息应经过个人同意,其中,如对外提供经过处理无法识别特定个人且不能复原的除外。金融业机构通过网络向外包服务供应商传输客户的个人信息,应优先考虑获取个人信息主体授权同意的原则,面向个人信息主体的用户协议、隐私政策等协议文件设置客户授权同意条款,并要求外包服务供应商处理分析个人信息时,不得超出已征得客户授权同意的范围。比如,经公开检索,各个银行公布的信用卡领用协议就个人信息处理外包事宜设置的授权条款类似表述为“领用人(个人信息主体)同意银行向外包作业机构等合作机构提供相关信息”。
理事服务 | 会员服务
请联系:13810321968(微信同号)
商务合作 | 开白转载 | 媒体交流 | 文章投稿
请联系:13801263126 (微信同号)