信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”，作者/王志超/張堯。

《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）是一部針對公民個人信息保護的專門法律，與《民法典》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《電子商務(wù)法》、《消費者權(quán)益保護法》等法律共同組成一張公民個人信息保護網(wǎng)。

《個人信息保護法》的正式施行，標(biāo)志著違規(guī)采集個人信息的行為將受到嚴(yán)格監(jiān)管，而金融行業(yè)更是監(jiān)管的重中之重。金融機構(gòu)在個人金融信息保護方面應(yīng)采取哪些措施？《個人信息保護法》規(guī)定的“告知-同意”對金融行業(yè)的影響又有哪些？金融機構(gòu)應(yīng)如何開展《個人信息保護法》實施后的合規(guī)審計工作？本文將從金融行業(yè)面臨的挑戰(zhàn)、《個人信息保護法》重點內(nèi)容和金融機構(gòu)應(yīng)對機制三個方面進行解讀。

01

金融行業(yè)面臨的挑戰(zhàn)

《個人信息保護法》的施行，明確了金融數(shù)字化發(fā)展應(yīng)當(dāng)遵循的基本準(zhǔn)則和行為規(guī)范。個人金融信息是金融機構(gòu)日常業(yè)務(wù)工作中積累的一項重要基礎(chǔ)數(shù)據(jù)，也是金融機構(gòu)客戶個人隱私的重要內(nèi)容。個人金融信息在金融業(yè)務(wù)的收集、傳輸、存儲、使用、刪除和銷毀的數(shù)據(jù)生命周期過程中面臨著諸多挑戰(zhàn)，個人敏感數(shù)據(jù)泄露事件時有發(fā)生，保護個人敏感數(shù)據(jù)是《個人信息保護法》重點保護的領(lǐng)域之一。

《個人信息保護法》的貫徹落實在金融行業(yè)主要面臨以下挑戰(zhàn)：

1）個人信息收集時明確同意要求

個人信息保護法中規(guī)定個人信息處理者在處理敏感個人信息等五種情形時，應(yīng)當(dāng)取得個人的單獨同意。“單獨同意”并不是單純的同意，而是一種更高標(biāo)準(zhǔn)的“同意”，必須是個人在充分知情的情況下作出的行為，并且要賦予個人撤回同意的權(quán)利。單獨同意的標(biāo)準(zhǔn)目前還未明確規(guī)定，金融機構(gòu)應(yīng)該如何做才能滿足“單獨同意”的要求呢？在實踐中原有的通過隱私政策概括性地履行告知義務(wù)，并要求用戶點擊同意進行一攬子授權(quán)，是無法保障用戶的知情權(quán)和決定權(quán)的，這點對于金融機構(gòu)而言無疑是一個新的挑戰(zhàn)。

2）自動化決策使用保障透明規(guī)則

利用大數(shù)據(jù)分析消費者的個人特征用于商業(yè)營銷，選擇性提供產(chǎn)品或服務(wù)已成為當(dāng)前商業(yè)活動的普遍現(xiàn)象，生活中自動化決策的應(yīng)用范圍已非常廣泛，營銷平臺、各類APP等均使用自動化決策引擎提供精準(zhǔn)推銷。但隨之出現(xiàn)的是“大數(shù)據(jù)殺熟”等事件，因此個人信息保護法中明確規(guī)定利用個人信息進行自動化決策引導(dǎo)要保證決策的透明度，不得“差別待遇”。那么如何制定出保證決策透明度的規(guī)則，以及如何能做到“說明清楚”，已成為金融機構(gòu)面臨的又一挑戰(zhàn)。

3）個人金融信息管理規(guī)范性增強

伴隨著金融科技的應(yīng)用，數(shù)據(jù)已成為驅(qū)動金融行業(yè)創(chuàng)新發(fā)展的重要生產(chǎn)元素。個人金融信息是個人信息在金融領(lǐng)域圍繞賬戶信息、金融交易信息等方面的擴展與細化。2020年中國人民銀行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》明確了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護要求，我國的個人信息保護法在懲罰力度上比歐盟《通用數(shù)據(jù)保護條例》（GDPR）更為嚴(yán)格。因此，金融行業(yè)需盡快梳理出各系統(tǒng)、各業(yè)務(wù)中對于個人金融信息是如何存儲和使用的。然而金融機構(gòu)多種的系統(tǒng)、紛雜的業(yè)務(wù)和不同人員權(quán)限的梳理工作對于任何一個金融機構(gòu)來說，都是一個巨大的挑戰(zhàn)。

02

《個人信息保護法》的重點要求

針對金融行業(yè)面臨的挑戰(zhàn)及關(guān)注點，以下分別從總體框架、適用范圍、個人信息保護法的核心要點、強化個人自主權(quán)的單獨同意等方面對個人信息保護法的重點內(nèi)容進行分析與解讀。

1）總體框架

主要內(nèi)容

2）適用范圍

從個人信息保護法的適用范圍來說，采用的是屬地原則為主，屬人原則為輔的方式，即明確了在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用個人信息保護法。同時規(guī)定，在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，如果符合以下三種情形之一的，也應(yīng)適用個人信息保護法：（1）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（2）分析、評估境內(nèi)自然人的行為；（3）法律、行政法規(guī)規(guī)定的其他情形。

3）個人信息保護法的核心要點

個人信息保護法在一般規(guī)定中明確了處理個人信息的基本條件。除部分規(guī)定情形外，個人信息保護法在第二章明確規(guī)定了“取得個人同意”是個人信息處理者處理個人信息的基本條件。個人信息保護法充分參考和借鑒了有關(guān)國際組織、國家和地區(qū)的做法，確立了以“告知-同意”為核心的個人信息處理規(guī)則。相比于《網(wǎng)絡(luò)安全法》，個人信息保護法對于告知義務(wù)規(guī)定得更為詳細、明確。個人信息保護法中明確了六大場景下的個人信息處理規(guī)定，包括：共同處理、委托處理、轉(zhuǎn)移個人信息、共享個人信息、自動化決策和公共場所采集。對于金融機構(gòu)來說，應(yīng)重點關(guān)注在不同場景下如何具體落實“告知-同意”的規(guī)則。

在告知原則方面，應(yīng)該做到顯著，便于發(fā)現(xiàn)和閱讀，告知用語應(yīng)通俗易懂、清晰準(zhǔn)確，還應(yīng)當(dāng)根據(jù)情景優(yōu)化告知的展現(xiàn)形式；當(dāng)處理個人信息的目的、處理方式和種類發(fā)生變化時需突出顯示并重新取得個人同意；而且針對特殊群體，還應(yīng)提供除文本外的圖片、語音或視頻等適合其理解的方式對告知內(nèi)容進行闡述。

在同意原則方面，應(yīng)保證征得授權(quán)同意的授權(quán)范圍與所告知內(nèi)容一致，并且要做到區(qū)分產(chǎn)品及具體服務(wù)，采取對個人權(quán)益影響最小的方式；要做到主動展示授權(quán)同意的選項，以促進個人更好地理解并支持其做出選擇，并且在給出不同意時，僅影響當(dāng)前服務(wù)類型的正常使用。

4）強化個人自主權(quán)的單獨同意

個人信息保護法除了明確個人信息處理的一般規(guī)定外，個人信息保護法的第二章和第三章中還對于敏感個人信息和一些特殊場景規(guī)定了“單獨同意”的保護規(guī)則?？偨Y(jié)起來共涉及五種情形：

1）向第三方提供個人信息；

2）公開處理個人信息；

3）在公共場所安裝圖像采集、個人身份識別設(shè)備，用于維護公共安全之外的其他目的；

4）處理敏感個人信息；

5）向境外提供個人信息。

“單獨同意”強化了個人的自主權(quán)，“單獨同意”要求個人信息處理者將需要“單獨同意”的場景與其他場景區(qū)分開來，做到“單獨場景-單獨告知-獲取同意”，避免一攬子授權(quán)的方式，以及過度索權(quán)、隨意收集等違法違規(guī)情形。還需通過增強告知或即時提示等方式，單獨向個人信息主體告知處理個人信息的目的、方式和范圍，以及存儲時間、安全措施等規(guī)則。

對于金融機構(gòu)來說，在辦理業(yè)務(wù)時應(yīng)注意在收集個人身份證號、手機號、人臉識別信息時設(shè)置單獨同意。個人信息保護法對收集敏感個人信息限定更嚴(yán)、告知事項更多。除一般規(guī)定外，還應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性及對個人權(quán)益的影響。處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護人的同意；應(yīng)當(dāng)制定專門的個人信息處理規(guī)則。作為金融機構(gòu)，應(yīng)進一步完善業(yè)務(wù)場景的識別和隱私政策的修訂。

5）自動化決策的合法合規(guī)要求

個人信息保護法針對“大數(shù)據(jù)殺熟”進行了嚴(yán)格的規(guī)范，個人信息保護法第二章中明確規(guī)定：個人信息處理者利用個人信息進行自動化決策，應(yīng)當(dāng)保證決策的透明和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。“自動化決策”方式已普遍應(yīng)用到金融機構(gòu)向客戶推送信息和開展?fàn)I銷等場景中，包括人們熟悉的“人工智能”、“客戶畫像”等概念。但從個人信息保護法合規(guī)的角度分析，金融機構(gòu)應(yīng)在收集個人信息時，明確信息是用于大數(shù)據(jù)營銷和大數(shù)據(jù)畫像的用途，在得到“告知-同意”的前提下開展信息收集工作。

從合規(guī)角度分析，金融機構(gòu)還應(yīng)當(dāng)同時提供客戶拒絕的方式，讓用戶可關(guān)閉個性化推薦選項。同時使用技術(shù)手段避免信息被過度收集，防止用戶數(shù)據(jù)被泄露到其他平臺，避免超出約定范圍的使用。如建設(shè)統(tǒng)一客戶關(guān)系管理系統(tǒng)，統(tǒng)一管理用戶金融信息，將金融賬戶、手機號、身份證號等通過加密方式存儲和使用。下游系統(tǒng)通過對接客戶關(guān)系管理系統(tǒng)，識別用戶ID等字段后向客戶推送營銷信息，避免下游系統(tǒng)再次抓取和存儲用戶敏感信息，防止個人信息泄露。

除此之外，為保障自動化決策的合規(guī)，還應(yīng)制定自動化決策的規(guī)則，并定期進行修訂，保證決策的透明度，對依據(jù)自動化決策做出的差別待遇進行合理化解釋并保存記錄，不得對交易價格等實行不合理的差別待遇，保證公平公正。

6）開展合規(guī)審計和影響評估策略

個人信息保護法在第五章個人信息處理者的義務(wù)中，明確指出應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計，以及需開展個人信息保護影響評估的具體情形和評估內(nèi)容。

結(jié)合行業(yè)特點，金融機構(gòu)實施個人信息保護審計可依據(jù)人民銀行《個人金融信息保護技術(shù)規(guī)范》中有關(guān)個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全要求，從安全技術(shù)和安全管理兩個維度對個人金融信息保護實施審計。

金融機構(gòu)在開展個人信息影響評估時，應(yīng)先對待評估的業(yè)務(wù)、產(chǎn)品或某項具體合作等進?調(diào)研，形成數(shù)據(jù)清單及數(shù)據(jù)映射圖表，并梳理出待評估的個?信息處理活動。評估過程中，一方面，分析個人信息處理活動對個?權(quán)益可能造成的影響及其程度；另一方面，分析現(xiàn)有的安全保護措施是否有效，以及可能會導(dǎo)致安全事件發(fā)?的可能性程度。綜合兩??結(jié)果，得出個?信息處理活動的風(fēng)險等級，并提出相應(yīng)的改進建議，形成評估報告。

7）法律責(zé)任

個人信息保護法對于個人信息處理者的法律責(zé)任總的來說可總結(jié)為“責(zé)任分類，從嚴(yán)處罰”。根據(jù)責(zé)任行為違反的法律性質(zhì)，分為行政責(zé)任、民事責(zé)任和刑事責(zé)任。

在行政處罰方面，加大了處罰力度，從嚴(yán)處罰。個人信息保護法規(guī)定，違法行為情節(jié)嚴(yán)重的，將面臨責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額的百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者營業(yè)執(zhí)照。相比較歐盟的通用數(shù)據(jù)保護條例（GDPR）規(guī)定的營業(yè)額的百分之四更加嚴(yán)格。

在民事責(zé)任方面，個人信息保護法明確提出，個人信息處理者不能證明自己沒有過錯的，其應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。說明個人信息保護法對于侵害個人信息權(quán)益的處理活動，適用過錯推定原則。建議金融企業(yè)在與第三方合作前，開展個人信息合規(guī)審查，并在合作中留存好相應(yīng)的處理記錄以備查。如合作協(xié)議、數(shù)據(jù)處理日志、用戶授權(quán)文件等。金融企業(yè)應(yīng)該建立個人信息收集清單、第三方信息共享清單的“雙清單”，實現(xiàn)服務(wù)能力的“四提升”。

在刑事責(zé)任方面，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

03

金融行業(yè)的應(yīng)對建議與機制

金融行業(yè)在落實個人信息保護法時，應(yīng)結(jié)合金融行業(yè)特點和自身情況，采取有效的機制和措施落實相關(guān)要求，并建立持續(xù)的改進機制。

1）加強個人信息保護法和個人金融信息法規(guī)的學(xué)習(xí)，全面落實合規(guī)要求

應(yīng)加強對個人信息保護法和個人金融信息法規(guī)的學(xué)習(xí)，通過培訓(xùn)進一步理解法律的基本原則和個人金融信息保護的要點，全面落實合規(guī)要求。同時，進一步提升員工個人金融信息保護的安全意識，為個人金融信息保護打下堅實基礎(chǔ)。

2）制定個人金融信息保護組織架構(gòu)，落實個人金融信息保護職責(zé)

應(yīng)建立健全個人金融信息保護組織架構(gòu)，明確金融機構(gòu)各層級內(nèi)設(shè)部門與相關(guān)崗位個人金融信息保護職責(zé)與總體要求，明確主要負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任，明確個人金融信息管理牽頭部門，并提供必要的資源，落實個人金融信息保護職責(zé)。

3）健全個人金融信息保護管理制度，夯實個人金融信息保護基礎(chǔ)

應(yīng)根據(jù)個人信息保護法要求，結(jié)合金融機構(gòu)管控現(xiàn)狀，健全個人金融信息保護管理制度，夯實個人金融信息保護基礎(chǔ)。通過制定個人金融信息保護管理制度，明確個人金融信息保護的崗位設(shè)置與工作職責(zé)，制定專門的個人金融信息處理規(guī)則。形成“方針策略-辦法規(guī)定-規(guī)程細則”從上而下結(jié)構(gòu)化的個人金融信息制度體系管控模式，有效指導(dǎo)和全面落實個人金融信息保護的各項管控要求。

4）實施個人金融信息數(shù)據(jù)分類分級，落實差異化安全保護機制

《個人金融信息保護技術(shù)規(guī)范》中的個人金融信息主要包括：賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息等七大類。

個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別，其中C3信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會對個人金融信息主體的信息安全與財產(chǎn)安全造成嚴(yán)重危害；C2信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更,可能會對個人金融信息主體的信息安全與財產(chǎn)安全造成一定影響；C1信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更,可能會對個人金融信息主體的信息安全與財產(chǎn)安全造成一定影響，金融機構(gòu)在進行個人金融信息分類分級時，可參考下列框架實施有效分類分級。

5）個人金融信息全生命周期保護，筑起全方位安全保護屏障

金融機構(gòu)應(yīng)建立個人金融信息全生命周期保護機制，對信息的收集、傳輸、存儲、使用、刪除及銷毀等各環(huán)節(jié)實施全面保護。制定保護策略、訪問控制等管理措施，部署管理系統(tǒng)、信息加密等技術(shù)措施，結(jié)合管理和技術(shù)要求，筑起全方位的安全保護屏障。

6）開展個人金融信息保護審計，持續(xù)完善個人金融信息保護體系

金融機構(gòu)應(yīng)在完善個人金融信息保護制度的基礎(chǔ)上，定期開展個人金融信息保護合規(guī)審計。審計內(nèi)容包括但不限于：個人金融信息的安全策略、訪問控制、安全監(jiān)測與風(fēng)險評估、安全事件處置、安全管理要求、安全技術(shù)要求等方面，金融機構(gòu)可參照此審計框架實施合規(guī)審計。

04

總結(jié)與展望

在各行各業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵時期，我國《個人信息保護法》的出臺是大勢所趨，結(jié)合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)法律的發(fā)展歷程，可以看出我國的法律建設(shè)逐步從宏觀布局向微觀實操邁進，并且始終強調(diào)“以人為本”的理念，切實保障個人信息安全，維護公民的個人合法權(quán)益。而且對個人信息安全違法者的處罰力度也在不斷增強。因此，金融機構(gòu)在業(yè)務(wù)運營和日常管理中要加強數(shù)據(jù)安全合規(guī)建設(shè)，注重個人金融信息收集和處理的記錄存儲，以滿足舉證責(zé)任的要求。由于金融機構(gòu)對個人金融信息的搜集、使用和處理是其開展業(yè)務(wù)的基礎(chǔ)，未來個人金融信息保護機制與信息系統(tǒng)全生命周期的全面融合將是金融機構(gòu)重點關(guān)注的方向，為此，金融機構(gòu)應(yīng)通過不斷提升個人金融信息的管理和技術(shù)管控能力，在為客戶提供“安全、高效、專業(yè)”金融業(yè)務(wù)服務(wù)的同時，更需要為客戶建立起一道個人金融信息保護的“堅固城墻”。

作者簡介：

王志超，谷安天下金融審計負(fù)責(zé)人，10多年的信息安全、科技風(fēng)險、科技審計、業(yè)務(wù)連續(xù)性、科技外包、數(shù)據(jù)治理、金融科技等咨詢及審計服務(wù)經(jīng)驗，獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書，熟悉銀行業(yè)、保險業(yè)、證券業(yè)、大型央企的科技管理風(fēng)險與應(yīng)對措施，對科技外包、業(yè)務(wù)連續(xù)性、數(shù)據(jù)治理、大數(shù)據(jù)、人工智能、數(shù)字化轉(zhuǎn)型等領(lǐng)域均有著較為深入的研究，多次與銀行共同參與銀保監(jiān)會組織的信息科技風(fēng)險管理課題研究，并獲得不錯的獎項。

張堯，谷安天下咨詢經(jīng)理，長期從事信息安全咨詢和信息科技風(fēng)險審計等工作，擁有16年以上信息安全咨詢和信息科技風(fēng)險審計經(jīng)驗，獲得CISA、CDPSE、ITIL、ISO27001、PRINCE2、DevOps等證書，熟悉銀行業(yè)、保險業(yè)、證券業(yè)、大型央企的科技管理風(fēng)險與應(yīng)對措施，對個人信息保護、科技外包、業(yè)務(wù)連續(xù)性、數(shù)據(jù)治理、敏捷開發(fā)等領(lǐng)域均有著較為深入的研究。