您的位置:和记娱乐主页 > 金融要闻 >

简析金融行业新标准《个人金融信息技术规范

发布时间:2020-07-07 09:54 发布人:和记娱乐来源:h88平台官网

     

  2020年2月13日,中国人民银行发布实施金融行业标准《个人金融信息技术规范》(JR/T 01712020)(以下简称“《个人金融信息规范》”)。《个人金融信息规范》是金融行业推荐性标准,系在《信息安全技术个人信息安全规范》(GB/T 352732017)等国家标准基础上,就个人金融信息的作出的细化,就个人金融信息全生命周期提出安全技术和安全管理方面的要求。尽管该行业标准不具备强制执行效力,但仍值得金融业机构在实践中参照执行。[1]以下简要归纳整理该标准的主要内容:

  《个人金融信息规范》适用于提供金融产品和服务的金融业机构,具体指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。[2]

  根据《个人金融信息规范》,个人金融信息是指通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人某些情况的信息。[3]

  个人金融信息按照其程度从高到低分为C3、C2、C1三个类别[4],以下为简要整理的类别、范围和以上行业标准针对不同类别设定的要求[5]:

  我们金融业机构对照该行业标准,对业务中涉及的个人金融信息分级分类,参照该行业标准执行收集、处理、委托处理等个人金融信息全生命周期的安全要求。同时还需注意,《个人金融信息规范》第4.2条提示,同一信息在不同服务场景中可能属于不同类别,还应根据具体服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的。

  委托第三方处理相应个人金融信息时,应对委托行为进行个人金融信息安全影响评估,确保受委托方具备足够的数据安全能力,评估其个人金融信息的能力是否达到国家、行业主管部门与金融业机构的要求。因此未达到相应要求的第三方机构,不予以使用。

  管理制度就第三方机构的范围(或)、委托处理的信息的范围(或要求)、第三方机构应满足的条件、与第三方机构的合同条款条件应包含的主要内容、对第三方机构进行监督检查等等作出。

  另,《个人金融信息规范》就第三方机构处理个人金融信息提出以下要求,我们金融业机构纳入管理第三方机构的内部制度中,并将这些要求整合融入与第三方机构的业务合同中:

  a)第三方机构应金融业机构的要求处理个人金融信息,因特殊原因第三方机构未能按要求处理个人金融信息,或无法提供足够的信息安全、发生安全事件,应及时告知并配合金融业机构进行信息安全评估,并采取措施补救以个人金融信息的安全,必要时终止处理个人金融信息;

  此外,《个人金融信息规范》第7.3条关于访问控制的,对于确立内部工作流程和制度有借鉴意义,金融业机构可借鉴整合入内部数据访问、流转制度和流程中。

  除了以上管理制度涉及的对第三方机构管理要求可纳入合同,《个人金融信息规范》还明确要求具备以下条款:

  b)就C2类别信息中的支付账号等信息因清分清算、差错处理需要留存的情形,约定第三方机构的保密义务、责任;

  c)对可能访问个人金融信息的第三方机构及其人员,金融业机构要求第三方机构确立个人金融信息的安全要求,与其人员签署保密协议,并有权对协议履行情况进行监督;

  d)约定金融业机构有权定期对第三方机构落实个人金融信息措施进行确认,包括开展外部信息安全评估、现场检查。

  汇聚融合的数据不应超出收集个人金融信息声明的使用范围,因业务需要超范围使用的,应再次取得个人金融信息主体的同意。就融合后的数据,根据类别及使用目的,开展个人金融信息安全影响评估,采取有效技术措施。

  《个人金融信息规范》第6.1.5条对“删除”的定义是:采取技术手段,在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问,与《信息安全技术个人信息安全规范》(GB/T 352732017)一致。相应地,个人金融信息主体要求删除其个人金融信息时,金融业机构应按依法律法规或行业主管部门以及与个人金融信息主体的约定予以响应。

  《个人金融信息规范》第7.1.2条,个人金融信息的存储应满足国家法律法规与行业主管部门,并符合个人金融信息主体授权使用的目的所必需的最短时间要求,超过该期限后,应对收集的个人金融信息进行删除(或匿名化处理)。

  《个人金融信息规范》第7.2.1g),金融业机构应在合同中约定外包服务机构、外部合作机构不得留存C3、C2类别信息,因此可看出第三方机构在约定情形下,需要该等信息。此外,《个人金融信息规范》第7.1.3c),在金融业机构解除与第三方机构的委托关系或终止外部服务后,第三方机构按金融业机构的要求其处理的个人金融信息,因此金融业机构可与第三方机构在合同中约定清楚届时需要的信息范围以及相关具体义务。

  境内存储要求在部门规范性文件《中国人民银行关于银行业金融机构做好个人金融信息工作的通知》和在目前执行的《中国人民银行金融消费者权益实施办法》中均有此:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有外,银行业金融机构不得向境外提供境内个人金融信息。

  因此,金融业机构需要通过合同等途径要求及采取措施确保接受委托的第三方机构将个人金融信息存储在境内并予以监督。

  根据《网络安全法》,金融行业信息系统属于关键信息基础设施,并且,关键基础设施领域业务产生和收集的重要数据和个人信息境内存储,因业务确需向境外提供的,应按照国家网信部门会同国务院有关部门的办法进行安全评估,法律行规另有的依照其。[7]

  与部门规范性文件《中国人民银行金融消费者权益实施办法》一致,《个人金融信息规范》仅允许因业务需要,向特定境外机构提供个人金融信息,即总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构。

  并且,该行业标准在数据出境的条件上与《中国人民银行金融消费者权益实施办法》基本一致:取得个人金融信息主体的同意、与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密义务,向境外提供前依据国家、行业制定的办法和标准开展个人金融信息出境安全评估,并作了扩展即监督境外关联机构数据删除、案件协查等义务。

  我们现阶段向境外机构提供个人金融信息时,金融业机构除了参照《个人金融信息规范》更新合同条款义务时,还需就《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等相关立法状态保持关注,适时调整合同条款。

  《个人金融信息规范》对涉及个人金融信息的人员的安全管理要求,提出了,金融业机构可参考纳入内部数据合规制度中[8]:

  a)录用员工前,进行必要的尽职调查,并与可访问个人金融信息的员工签署保密协议,或在劳动合同中设置保密条款;

  因此,金融业机构的人力资源部门与技术部门需要密切保持联动,在员工调岗或离职时,做好有关系统的访问、处理等权限分配或终止权限工作;有关员工的保密义务范围应涵盖履行职务过程中获取或接触到的个人金融信息,保密义务的期限延长,不限于履行前述职位期间。

  此外,《个人金融信息规范》第7.2.2详细描述了个人金融信息责任人和责任机构的职责,对于实践中各企业单位确立数据合规负责机构的职责,包括DPO的职责(JD),较有借鉴意义。

  以上简要归纳了《个人金融信息规范》对金融业机构较为重要、可借鉴参考的一些。实践中,金融业机构有必要结合《网络安全法》及其配套法律法规以及金融业领域部门规章、部门规范等,如《中国人民银行金融消费者权益实施办法》《银行业消费者权益工作》以及近期可能出台的其他,调整完善合规策略,开展内部、外部数据合规工作。值得一提的是,中国人民银行于2019年12月就《中国人民银行金融消费者权益实施办法(征求意见稿)》征求意见,该征求意见稿拟将该实施办法效力位阶提升至部门规章,为人民银行金融消费者权益工作提供更有效的依据、标准和制度遵循,预示着银行领域对于消费者权益(包括个人金融信息)执法将会强。

  [1]实践中,《信息安全技术个人信息安全规范》被有关执法部门作为执法的参考。有关规范如2020年2月4日《中央网络安全和信息化委员会办公室关于做好个人信息利用大数据支撑联防联控工作的通知》就个人信息收集的范围直接援引适用《信息安全技术个人信息安全规范》。因此,本文所述的银行业推荐性行业标准细化了个人金融信息全生命周期的安全技术和安全管理要求,也有被有关主管部门执法时予以参考的可能性。

  [4]《个人金融信息规范》第4.2条将个人金融信息进行分类。请注意,根据该规范,两种或两种以上的低程度类别信息经过组合、关联和分析后可能产生高程度的信息。

  霞律师主要从事公司法、收购与兼并、劳动合规及争议解决业务。李律师曾为大量国内外企业,包括外国企业、跨国公司,提供包括外商投资、公司治理、企业合并与分立、股权转让、企业日常运营、劳动及合规、重大商业合同审核与谈判、争议解决、外资退出中国在内的全方位法律服务;其亦曾办理中国企业境外直接投资项目。近年来,李律师还就数据合规和个人隐私保律事务进行研究,并为企业提供数据合规相关法律服务。李律师于2018年入选上海涉外律师人才库。

      和记娱乐,和记h88,h88平台官网

                                                                                                                  和记娱乐

 


 网站导航

 客户服务

工作时间:周一至周五 9:00-18:00

联系电话:
010-57414751
客服邮箱:
admin@baibaolicai.com