摘要
金融数据天然具有保密、资质等方面的要求,同时还需满足一般法意义上的数据合规义务。依据数据相关法律法规及金融行业规定及标准,明晰了金融数据合规的应为、可为及可不为。金融数据全面合规由基础性面向、主要性面向及辅助性面向合规构成,其中,基础性面向的合规要点包括保密要求、资质要求、关键信息基础设施安全,重要性面向的合规要点包括个人金融信息保护和重要数据安全,辅助性面向的合规要点包括采取技术措施、全流程管理、开展教育培训、加强风险监测等。纵观金融数据合规体系,个人金融信息保护及重要数据安全是重中之重。
关键词:金融数据; 合规; 个人金融数据保护; 重要数据安全
0引言
依托信息技术的发展,众多金融基础业务、核心流程、行业间往来等均运行在信息网络与系统之上,金融业机构生产运行过程中产生海量金融数据,并逐步资产化。随着数据生产要素地位的确立及大数据、人工智能等技术的应用,金融数据的重要性更加凸显。深挖数据价值、释放数据潜能的同时,金融数据泄露、滥用、窃取、篡改等安全风险及事件与日俱增,影响范围也逐步从单个机构扩大至行业间、行业外,甚至影响国家安全与金融秩序[1]。近年来,立法方面,《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护示》)等数据安全基础性法律不断出台,数据安全与个人信息保护制度趋于完善;监管方面,相关主管部门从个人金融信息保护、金融数据出境安全、APP违法违规治理等方面,对金融科技产业数据合规问题进行穿透监管;消费者方面,全社会对个人信息保护的关注度与日俱增,消费者在享有金融产品和服务的过程中,越来越关注自身的金融信息安全,力求保障个人合法权益[2]。金融数据重要性凸显,数据法网愈发严密,责任体系日臻完善,金融数据合规管理体系亟需建立健全。
合规管理体系的构建首先应当明晰金融数据合规的基本概念,熟识其主要特点,在此基础上,梳理出金融数据合规的主要依据,即由数据安全领域一般规范及金融行业数据安全管理规定构成的规则体系。合规要点建构在规则体系之上,是金融数据合规的具象化,为金融数据合规实践提供指引。
1概述
1.1 基本概念
金融业本质上是一种信息技术产业,与数据紧密相连[3]。根据中国人民银行发布的行业标准,金融数据是金融机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据,具体包括个人及单位等客户数据、账户信息等业务数据、技术管理等经营管理数据、数据报送等监管数据4类,每个类别可再进行二类、三类、四类的划分,4类金融数据共302个[4]。金融数据重要性高、数量大、类型复杂,其安全合规管理尤其重要。金融数据合规管理是指金融机构及其员工的经营管理行为符合相关法律、行政法规、部门规章、规范性文件等要求,避免引发刑事责任、监管处罚、经济或声誉损失以及其他负面影响的合规风险。
1.2 主要特点
从效力上看,金融数据合规具有强制性。金融机构数据合规的法律依据是明显具有公法性质的《中华人民共和国网络安全法》(以下简称《网络安全法》)、《数据安全法》、《个人信息保护法》,极具国家强制力。金融业机构合规管理以相关法律的强制性规定为准绳,是要求金融业机构必须为某些行为的义务性规范及不得为某些行为的禁止性规范,不具有可选择性。
从内容上看,金融数据合规具有全面性。金融数据合规涉及重要数据、个人金融信息、数据分类分级、数据出境等多个方面,涉及采集、传输、存储、使用、销毁等多个环节,各个方面与环节共同形成金融数据合规体系。
从效果上看,金融数据合规同时具有预防与救济的双重作用。事前预防体现在建立健全完善的合规体系,提前识别合规风险并有效化解,从而将风险控制在金融业机构内部;事后救济体现在一旦面临国家权力机关的调查,合规管理是获得监管激励或刑法激励的重要方式,金融业机构可以此争取宽大处理,从而最大限度地避免或减少合规风险。
2规则体系
规则体系是金融数据治理的起点与基准。金融数据合规的规则体系主要由数据安全领域的一般法,和金融行业数据安全管理规定构成。
就一般法而言,其基础架构由网络空间治理和数据保护三驾马车《网络安全法》《数据安全法》《个人信息保护法》。其中,《网络安全法》是落实国家总体安全观的重要举措,立法宗旨是保障网络安全、保护人民群众合法权益;《数据安全法》是数据安全领域的基础性法律,主要目的是规范数据处理活动、保障数据安全并促进数据开发利用;《个人信息保护法》是保护公民个人信息的专门性法律,立法目的是保护个人信息权益、规范个人信息处理活动促进个人信息合理利用。法律之下,网信等部门获得法律授权,得以通过部门规章、规范性文件等方式,不断细化具体内容,逐步覆盖数据活动的方方面面。日前,国家互联网信息办公室已公布《数据出境安全评估办法(征求意见稿)》、《网络数据安全管理条例(征求意见稿)》等文件,并正在起草《个人信息出境标准合同规定》《人脸识别技术应用安全管理暂行规定》等配套规定。
行业规定可分为4种。一是鉴于金融行业的特性,部分规定在一般法之外提出行业数据合规管理的要求,如《中华人民共和国中国人民银行法》《中华人民共和国商业银行法》(以下简称《商业银行法》)》、《中华人民共和国反洗钱法》(以下简称《反洗钱法》)、《个人存款账户实名制规定》的保密规定、反洗钱义务等。二是部分规定早在一般法出台之前就已明确,如2011年中国人民银行印发的《关于银行业金融机构做好个人金融信息保护工作的通知》,这些规定与现有要求不存在冲突与抵触,可继续适用。三是顺应一般法实施的潮流,相关主管部门制定规范性文件以提升数据安全管理能力,如《中国银保监会监管数据安全管理办法(试行)》《个人金融信息(数据)保护试行办法》(未公开)。四是为配合上述文件的实施,中国人民银行为加强所监管单位的数据安全合规管理,规范机构数据处理活动,自2020年2月起先后发布了《个人金融信息保护技术规范》《金融数据安全 数据生命周期安全规范》《金融业数据能力建设指引》《金融数据安全 数据生命周期安全规范》等行业标准。从效力上看,这些行业标准以推荐为主,不具有强制力,但从功能上看,可为金融机构数据合规管理提供具体的指引和参考,金融机构可选择适用[5]。
综上,金融数据合规的规则体系,以《数据安全法》等一般法为主,以《商业银行法》等金融行业规定为补充,形成金融数据双线合规体系。
3合规要点
各合规要点在金融数据合规体系中所发挥作用的环节、方式、主次存在差异,从差异性出发,可将合规要点分为基础性、主要性、辅助性3个面向。基础性面向源自其作用范围的普遍性,如保密、资质及关键信息基础设施保护,影响金融数据合规的各个环节和方面;主要性面向直接决定金融业机构数据管理是否合规及合规风险大小,由个人金融信息保护及重要数据安全两个重要方面构成;辅助性面向是金融数据合规有效性的保障,是金融数据合规管理体系不可分割的一部分,具体包括技术措施、全流程管理、教育培训、风险监测与应对等方面。
3.1 基础性面向
如上所述,保密要求、资质要求、关键信息基础设施保护并非直接指向数据,但相关要求构成了合规基础,贯穿整个金融数据合规体系,如若缺失,即便在技术、制度、运营方面达到了其他数据管理要求,也仍是非合规的。
3.1.1 保密要求
因金融数据与个人切身利益、国家经济运行息息相关,具有高隐私性和高敏感性,相较于其他行业,金融数据具有天然的保密要求和传统。在大数据时代到来之前,我国就已形成了对金融数据的一系列保护规则和制度。例如,1995年实施的《商业银行法》规定商业银行应当遵循为存款人保密的原则,2006年颁布的《反洗钱法》规定金融机构对客户身份资料和交易信息负有保密义务,2002年通过的《金融统计管理规定》规定公布金融统计资料须履行备案及批准等相关手续[6]。
3.1.2 资质要求
与保密要求类似,许可或备案等经营资质也是金融行业的天然要求。作为金融数据合规的压舱石,金融机构向消费者提供支付、征信、信贷等金融性质服务时,持有相应经营资质则是数据合规的应有之义。以征信为例,2020年12月26日,中国人民银行等金融管理部门联合约谈蚂蚁集团,对其征信业务提了整改要求,即“依法持牌、合法合规经营个人征信业务,保护个人数据隐私”。为此,从事征信业务的金融机构应严格遵守《征信业管理条例》《征信业务管理办法》,从事个人征信业务的,应取得中国人民银行个人征信机构许可;从事企业征信业务的,应办理企业征信机构备案;从事信用评级业务的,应办理信用评级机构备案[7]。
3.1.3 关键信息基础设施运行安全
作为数据的载体,关键信息基础设施(以下简称“关基”)运行安全直接决定关基运营者所收集和存储数据的安全和利用。根据《网络安全法》第三十一条,金融属于“重要行业”,是一旦运行中断或者数据泄露,可能会对国家安全、国计民生、公共利益产生严重危害的关基。金融行业等关基保护的基本原则是基础性保护与重点保护相结合,其中,基础性保护即网络安全等级保护制度(以下简称“等保”),重点保护则在等保基础上进行增强式保护。
一是践行等保义务。《网络安全法》第二十一条明确了网络运营者的等保义务,根据此条,金融业机构应当在制度、技术等方面落实安全保护责任。首先,制定内部安全管理制度和操作规程,形成覆盖全面、流程规范的管理体系;其次,采取防范攻击、侵入等危害网络安全行为的技术措施,及时监测发现网络运行风险,准确规范记录网络安全事件;再次,分类管理数据,严控个人金融信息使用范围,对重要金融数据进行备份和加密管理。二是履行等保之外关基的重点保护义务。《网络安全法》第三十四条明确了关基的重点保护义务,根据此条,金融业机构还应当在组织机构、教育培训、技术措施方面强化网络安全。组织机构方面,设置专门的安全管理机构,审查安全负责人和关键岗位人员;教育培训方面,对从业人员定期开展网络安全教育、培训、考核;技术措施方面,容灾备份重要系统和数据库,制定并定期演练网络安全事件应急预案。
3.2 主要性面向
个人信息金融信息与个人资产状况高度相关,一旦泄露可能会对个人财产安全构成威胁,金融行业的重要数据被称为市场晴雨表,反映了市场运行状况。个人金融信息保护与重要金融数据安全是金融数据合规管理的重中之重,二者共同构成了金融数据合规主要性面向。
3.2.1 个人金融信息保护
(1)个人信息与个人金融信息
2011年,《关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称《通知》)首次使用了“个人金融信息”这一概念。根据《通知》,个人金融信息是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息,包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息及其他个人信息。后续,《中国人民银行金融消费者权益保护实施办法》对消费者金融信息的界定、《个人金融信息保护技术规范》(JR/T 0171—2020)、《金融数据安全 数据安全分级指南数据》(JR/T 0197—2020)等标准对个人金融信息的描述,与《通知》大同小异,且与2021年11月1日生效的《个人信息保护法》一致。
(2)个人金融信息保护
个人金融信息保护的逻辑与规则展开以《个人信息保护法》为主,以金融行业相关文件为辅[9]。一是遵守个人金融信息处理的规则,按照合法、必要、正当原则,收集个人金融信息应取得个人同意,使用个人金融信息应与收集目的直接相关。需要指出的是,金融机构负有账户实名制、反洗钱等法定职责,为履行法定职责或法定义务所必需时,可在未取得个人同意的情况下处理个人金融信息。二是响应信息主体的请求权。个人金融信息主体依法享有查阅、复制、可携、更正、删除、解释说明的权利,银行业金融机构应当及时、便捷响应信息主体的上述请求权。三是确保个人金融信息安全的义务,综合采取管理和技术措施,包括但不限于制定内部管理制度和操作规程,采取去标识化等安全技术措施,合理确定个人信息处理的操作权限,进行合规审计、个人信息保护影响评估等。四是个人金融信息本地化存储及出境安全评估。个人金融信息应当在本地存储,因业务需要确需向境外提供的应当经过安全评估。安全评估的目的在于评估个人金融信息出境对国家安全及个人权益造成的风险是否可控,其基本流程为自评估、申报安全评估及收到评估结果。安全评估之外,金融业机构还应取得个人金融信息主体的单独同意,并履行告知义务,同时保障境外接收方处理个人金融信息的活动达到《个人信息保护法》规定的个人信息保护标准。
此外,中国人民银行于2020年2月13日发布了推荐性行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)。该标准在《个人信息保护法》基础上,从技术及管理两方面细化了个人信息安全保护要求。相比于《个人信息保护法》,该标准根据金融行业的特性,做出了更为细致更为完善的规定,如在个人信息收集方面,规定了资质与密码方面的要求,即不应委托或授权无金融业相关资质的机构收集相关信息,用户输入银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示等。对于金融机构而言,一方面应完全遵守《个人信息保护》所规定的义务,在此基础上可结合自身情况,选择适用行标对个人金融信息的安全保护要求。
3.2.2 重要数据安全
(1)重要数据目录管理
《数据安全法》确定了重要数据目录管理的原则。具体而言,国家有关部门肩负重要数据目录制定及保护两项职责;数据处理者根据已制定的目录确定其处理的数据中是否存在重要数据,并采取相应的保护措施。特别需要指出的是,为便于金融业机构等数据处理者准确识别重要数据,重要数据目录应当明确、具体。
(2)重要数据识别
《金融数据安全 数据安全分级指南》(JR/T 0197—2020)明确了金融数据中的重要数据概念及目录。根据这一标准,重要数据的概念包含两个要素。其一,从范围上看,重要数据不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关;其二,从后果看,重要数据的危害后果指向国家安全、社会公共利益、个人合法权益。该标准中对重要数据的界定与《网络数据安全管理条例(征求意见稿)》基本一致。重要数据的目录方面,上述《网络数据安全管理条例(征求意见稿)》并未明确,而标准中列举了4类重要数据,分别是反映经济或社会特征的宏观特征数据、覆盖多省市金融消费者真实交易信息的衍生特征数据、行业监管机构在履职过程中未公开的受控数据、关基网络安全缺陷信息等。金融业机构可参考这一目录判断、识别本机构重要数据。
但是,该标准同时指出,重要数据不包括企业生产经营管理信息及个人信息。这一规定简单地将个人信息排除在重要数据范围之外,存在问题。首先,重要数据与个人信息存在交叉,但不具有直接的排斥关系。国家网信办等五部门出台的《汽车数据安全管理若干规定(试行)》也明确指出,“包含人脸信息、车牌信息等的车外视频、图像数据”以及“涉及个人信息主体超过10万人的个人信息”属于重要数据。其次,正如《个人金融信息保护技术规范》(JR/T 0171—2020)所描述,个人金融信息一旦泄漏,将直接侵害金融消费者的合法权益,影响金融业机构的正常运营,甚至会带来系统性的金融风险。这一定义从个人金融信息泄漏造成的危害后果角度,说明部分个人金融信息可被认定为重要数据。
(3)重要数据保护
重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能会危害国家安全、公共利益,故而,需要对重要数据予以特别保护。金融业机构在识别其处理的数据中存在重要数据后,需践行以下合规要点。
一是识别其重要数据后的15个工作日内向设区的市级网信部门备案,备案内容包括金融业机构的基本信息,处理重要数据的目的、规模、方式等。二是明确数据安全管理机构和负责人。需要说明的是,《网络安全法》同样赋予了关基运营者管理机构和负责人的设置义务,据此,金融业机构若已根据关基要求设置了专门的安全管理机构和负责人,则不必再履行本条规定,从而避免重复设置。三是定期开展数据处理活动的风险评估,并将风险评估报告报送有关主管部门。风险评估报告由三部分构成,分别是重要数据基本情况、数据处理活动、数据安全风险及应急措施。四是数据出境安全评估。关基运营者在境内收集和产生重要数据向境外提供的原则和规则同个人信息, 金融业机构可参照个人金融信息开展重要数据的安全评估。
此外,有关金融数据出境,金融行业根据行业特点细化了金融数据跨境流动规则。一方面,行业规则较一般规则更严密。如《个人金融信息保护技术规范》(JR/T 0171—2020)规定,应对境外机构进行现场核查,监督境外机构履行个人金融信息保密、删除、案件协查等职责义务。这些规则比一般法确立的规则更为严苛,金融机构若完全遵守,必将受到更多的限制或付出更大的成本。另一方面,过于严格的行业规则可导致无效。《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021)规定,5级数据应仅在我国境内存储,未规定例外情况及配套措施。如上所述,重要数据定级应在5级以上,那么根据此条规定,金融数据中的重要数据在任何情况下均不允许出境,这一结论与《数据安全法》及《数据出境安全评估办法(征求意见稿)》不符,可实施性存疑。
3.3 辅助性面向
基础性面向、主要性面向是金融数据合规较为基础、重要的合规义务,但并未涵盖全面合规。上述合规义务之外,采取技术措施、形成全流程管理制度、开展教育培训、加强风险监测等要求也在《数据安全法》等中得以明确,并在《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021)等中进一步细化,这些要求是金融数据全面合规的重要组成部分。
3.3.1 采取技术措施和其他必要措施
金融业机构在开展业务和进行经营管理的过程中,应采取必要技术措施,防止数据泄漏、损毁、丢失。数据传输时,使用加密通道或数据加密的方式传输,采用密码技术、入侵检测等防止数据传输中断、篡改、伪造、窃取;数据存储时,采取加密措施确保数据存储的保密性,采用磁盘、磁带、云存储服务、网络存储设备等载体存储数据,采取逻辑隔离的方式存储匿名化数据与个人金融信息;数据使用时,结合访问、导出、加工、展示、开发测试、汇聚融合、公开披露、转让、委托处理、共享等不同应用场景,配备与之相适应的加密、隔离、脱敏、评估等措施;数据删除时,彻底去除金融产品和服务所涉及系统及设备中的数据,使其不可被检索、不可被访问;数据销毁时,对数据库、服务器和终端中的剩余数据以及硬件存储介质等采取数据擦除或者物理销毁的方式,确保数据无法复原。
3.3.2 建立健全全流程数据安全管理制度
技术措施之外,金融业机构还应当建立制度体系,明确工作职责,规范工作流程,对金融数据进行采集、传输、存储、使用、删除、销毁等整个过程的管理[10],以使金融数据处理行为全面合规。相关制度至少包括:一是制定金融数据保护管理规定,明确本机构数据安全策略、方针、目标和原则;二是建立日常管理及操作流程,对采集、传输、存储、使用、删除、销毁等环节提出具体要求;三是明确数据调取权限与使用范围,根据“业务需要”和“最小权限”原则配置访问、使用权限,并实行专门的审批流程;四是严格外包服务机构及外部合作机构管理,审查和评估其能力是否达到相关要求,并通过协议约定其留存数据的范围,明确其义务与责任并进行监督。
3.3.3 组织开展数据安全教育培训
制定数据安全相关岗位的专项培训计划,按照培训计划定期开展数据安全意识、能力的教育与培训,确保相关人员全面、准确掌握最新政策和相关规程。培训周期为每年至少一次。培训内容包括但不限于上述国家法律法规、行业规章制度、技术标准,以及金融业机构内部制度与管理规程等。对培训结果进行评价、记录与归档。
3.3.4 加强风险监测,采取应急措施,及时告知并报告
开展数据处理活动首先应当加强风险监测,安全监测的手段包括但不限于操作分析、流量分析、异常行为监测、态势感知等。操作分析可追踪数据生命周期过程中的相关处理行为;流量分析可对数据处理关键节点进行监测,告警异常流量及异常行为;异常行为监测可发现日常数据泄漏、数据篡改、数据窃取、数据非法使用;态势感知可有效感知内部数据安全风险,并准确定位响应。其次,监测到数据安全风险时,要及时启动风险处理预案,消除安全隐患;发生数据安全事件时,要立即采取补救措施,防止危害扩大;再次,应及时告知用户并向有关主管部门报告。发生银保监会监管数据泄漏或非法使用、损毁或丢失等重大安全风险事项的,应于48 h内向归口管理部门报告。发生或者可能发生个人金融信息泄露、篡改、丢失的,要及时通知履行个人金融信息保护职责的部门和个人。
4 结语
本文在研究相关法律法规、标准文件的基础上,系统梳理了金融数据合规要求,对金融业机构开展数据合规建设具有指导意义。但同时应当看到,金融数据复杂多样,金融机构千差万别,金融数据合规工作还需结合自身业务及产品特点,方行之有效。
参考文献
[1] 潘润红.完善数据治理体系为金融科技良性可持续发展奠定基础[J]. 清华金融评论, 2021(2):41-43.
[2]湛炜标.强化金融数据安全制度与技术保障[J]. 中国金融, 2021(15):39-40.
[3]李伟.切实做好金融数据治理和信息保护工作[J]. 中国金融, 2021(20):15-17.
[4] 孙亚东, 蔚晨.金融机构数据安全治理实施路径思考[J]. 中国信用卡, 2021(11):59-61.
[5] 姚卓.金融数据治理体系建设[J]. 金融科技时代, 2020(9):33-35.
[6] 范思博.个人金融数据跨境流动的治理研究[J/OL]. 重庆大学学报(社会科学版): 1-17[2022-01-17].
[7] 中国评测.企业数据合规白皮书(2021)[R], 2021.
[8] 朱芸阳.个人金融信息保护的逻辑与规则展开[J]. 环球法律评论, 2021, 43(6):56-73.
[9] 张凯.金融数据治理的突出困境与创新策略[J]. 西南金融, 2021(9):15-27.
作者:张夕夜,中国信息通信研究院知识产权与创新发展中心研究员,主要从事企业合规治理及数据安全、个人信息保护等研究工作。
- 大模型与生成式人工智能将带来三大变革 – 2023年7月10日
- 《全球数字经济白皮书》发布 – 2023年7月5日
- 国际数据空间协会(IDSA)中国能力中心正式成立 – 2023年7月5日