电子邮件 网上办公

邀兵请将  

娄鹤、于赓琦:《个人金融信息保护技术规范》解读一 | 合规体系梳理

发布日期:2020-02-23

2020年2月20日,全国金融标准化技术委员会(以下简称“金标委”)公示了推荐性行业标准《个人金融信息保护技术规范》(以下简称“《金融信息规范》”),该标准由中国人民银行于2020年2月13日发布并于当日实施。在金融行业日益加强个人数据保护的大背景下,《金融信息规范》构成了个人金融信息保护规范体系中的重要一环,有利于最大程度保障个人金融信息主体的合法权益,维护金融市场的稳定。

《金融信息规范》在结构和内容上,大量借鉴了《中国人民银行金融消费者权益保护实施办法》、《信息安全技术 个人信息安全规范》(以下简称“《个人信息规范》”)、《支付信息保护技术规范(送审稿)》(以下简称“《支付信息规范》”)等一系列部门规章、国家标准、行业标准等文件。一方面以数据流为思路,理顺了个人金融信息全生命周期的安全防护要求;另一方面,站在行业的视角,将个人金融信息由高到低分级,从安全技术和安全管理两个方面,提出了新的规范性要求。

通过梳理及比较《金融信息规范》和相关立法,我们认为,《金融信息规范》即是金融领域的《个人信息规范》。以下结合《金融信息规范》与相关规章、技术标准的相互关系,及其在个人金融信息保护规范体系中的地位做一简要分析。


01
PART

与其他金融行业规范的关系

首先应特别注意,不同于其他金融行业规范文件金融信息规范》约束的主体不局限于传统意义上的持牌金融机构,而是包括两大类:(1由国家金融管理部门监督管理的持牌金融机构;(2涉及个人金融信息处理的相关机构。这意味着,在业务过程中涉及到个人金融信息的各类机构和组织,都应当结合《金融信息规范》进行管理

以银行业金融机构为例,《银行业金融机构外包风险管理指引》、《中国人民银行金融消费者权益保护实施办法》、《银行业金融机构数据治理指引》等文件中均有关于个人金融信息保护的规定,然而其表述不同(“客户信息”、“个人信息”、“个人金融信息”等)、内容侧重不同(消费者个人信息保护、银行自身数据管理体系建设及数据变现等),规制的严格程度也有所不同,需要从业者进行全面研究,综合整理出全方位的金融机构合规框架。


02
PART

与《个人信息规范》的关系

金融信息规范》在对个人金融信息的安全技术要求方面,遵循了收集、传输、存储、使用、删除、销毁的“信息流”逻辑,与《个人信息规范》的规范逻辑相类似,篇幅上却有所不如。因此,对于金融信息规范》中未规定的部分,应当可以参考《个人信息规范》并结合行业实际进行把握;而另一方面,作为个人金融信息保护标准,金融信息规范》规制严格程度整体高于《个人信息规范》,在实践中应当优先适用


03
PART

与《支付信息规范》的关系

《金融信息规范》中的一大亮眼便是对于个人金融信息的分级管理,其根据个人金融信息的重要程度(主要根据信息泄露造成的后果)将其从高到低分为C3、C2、C1三个等级,并提出不同强度的规范要求。但事实上,这并非是此种分级制度第一次出现。2018年由金标委发布的《支付信息规范》中便存在类似的规定。两规定中“信息分级制度”的对比整理如下表:

 

通过上表,我们能很明显的看出《金融信息规范》与《支付信息规范》的承继关系。在分级基础相似的前提下,《金融信息规范》一方面结合行业新技术、新问题,把新型的金融信息纳入了保护范围(如:动态声纹密码、生物识别信息等),另一方面不局限于保护可直接识别用户个人的信息,而是对外延进行了扩展,增加了对可与其他信息结合、识别用户个人的信息种类的规制,这方面又体现出了对《个人信息规范》及欧盟一般数据保护条例(GDPR)的借鉴。

《金融信息规范》的重要性毋庸置疑,其对于从业机构也提出了新的要求,即如何结合自身业务实际,消化并吸收不同规范、技术标准文件的要求,实现满足新监管要求的数据合规体系落地。我们会在接下来的系列文章中进一步讨论《金融信息规范》中的重要内容并提供合规建议。



实习律师于赓琦对本文亦有贡献。

或许您还想看

【律师视点】娄鹤:等保2.0之云租户合规注意事项

律师,北京德和衡(上海)律师事务所高级联席合伙人、CISO(注册信息安全管理人员)。执业领域:公司合规、企业境内外融资、网络安全及数据合规。上海市科技创业导师,上海漕河泾开发区科技创业中心创业导师,曾任上海市律师协会证券和期货业务委员会委员、上海市律师协会互联网业务委员会委员。

联系方式

电话:13816316298

邮箱:louhe@deheng.com

于赓琦,北京德和衡(上海)律师事务所律师助理。专长领域:数据合规、公司法律顾问、争议解决。于赓琦本科毕业于武汉大学法学院,服务客户领域包括:金融科技、互联网、设备制造、大数据分析、建筑设计等。

电话:13585519103

质控人:辛小天  互联网与TMT业务中心总监

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

金融科技合规应用专业委员会

团队其他成员

  杜越       曲莹莹       黄梦奇       周杨    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计