《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”)是一部針對公民個人信息保護的專門法律,與《民法典》、《網絡安全法》、《數據安全法》、《電子商務法》、《消費者權益保護法》等法律共同組成一張公民個人信息保護網。
《個人信息保護法》的正式施行,標志著違規采集個人信息的行為將受到嚴格監管,而金融行業更是監管的重中之重。金融機構在個人金融信息保護方面應采取哪些措施?《個人信息保護法》規定的“告知-同意”對金融行業的影響又有哪些?金融機構應如何開展《個人信息保護法》實施后的合規審計工作?本文將從金融行業面臨的挑戰、《個人信息保護法》重點內容和金融機構應對機制三個方面進行解讀。
01
金融行業面臨的挑戰
《個人信息保護法》的施行,明確了金融數字化發展應當遵循的基本準則和行為規范。個人金融信息是金融機構日常業務工作中積累的一項重要基礎數據,也是金融機構客戶個人隱私的重要內容。個人金融信息在金融業務的收集、傳輸、存儲、使用、刪除和銷毀的數據生命周期過程中面臨著諸多挑戰,個人敏感數據泄露事件時有發生,保護個人敏感數據是《個人信息保護法》重點保護的領域之一。
《個人信息保護法》的貫徹落實在金融行業主要面臨以下挑戰:
1)個人信息收集時明確同意要求
個人信息保護法中規定個人信息處理者在處理敏感個人信息等五種情形時,應當取得個人的單獨同意。“單獨同意”并不是單純的同意,而是一種更高標準的“同意”,必須是個人在充分知情的情況下作出的行為,并且要賦予個人撤回同意的權利。單獨同意的標準目前還未明確規定,金融機構應該如何做才能滿足“單獨同意”的要求呢?在實踐中原有的通過隱私政策概括性地履行告知義務,并要求用戶點擊同意進行一攬子授權,是無法保障用戶的知情權和決定權的,這點對于金融機構而言無疑是一個新的挑戰。
2)自動化決策使用保障透明規則
利用大數據分析消費者的個人特征用于商業營銷,選擇性提供產品或服務已成為當前商業活動的普遍現象,生活中自動化決策的應用范圍已非常廣泛,營銷平臺、各類APP等均使用自動化決策引擎提供精準推銷。但隨之出現的是“大數據殺熟”等事件,因此個人信息保護法中明確規定利用個人信息進行自動化決策引導要保證決策的透明度,不得“差別待遇”。那么如何制定出保證決策透明度的規則,以及如何能做到“說明清楚”,已成為金融機構面臨的又一挑戰。
3)個人金融信息管理規范性增強
伴隨著金融科技的應用,數據已成為驅動金融行業創新發展的重要生產元素。個人金融信息是個人信息在金融領域圍繞賬戶信息、金融交易信息等方面的擴展與細化。2020年中國人民銀行發布的《個人金融信息保護技術規范》明確了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求,我國的個人信息保護法在懲罰力度上比歐盟《通用數據保護條例》(GDPR)更為嚴格。因此,金融行業需盡快梳理出各系統、各業務中對于個人金融信息是如何存儲和使用的。然而金融機構多種的系統、紛雜的業務和不同人員權限的梳理工作對于任何一個金融機構來說,都是一個巨大的挑戰。
02
《個人信息保護法》的重點要求
針對金融行業面臨的挑戰及關注點,以下分別從總體框架、適用范圍、個人信息保護法的核心要點、強化個人自主權的單獨同意等方面對個人信息保護法的重點內容進行分析與解讀。
1)總體框架
主要內容
2)適用范圍
從個人信息保護法的適用范圍來說,采用的是屬地原則為主,屬人原則為輔的方式,即明確了在中華人民共和國境內處理自然人個人信息的活動,適用個人信息保護法。同時規定,在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,如果符合以下三種情形之一的,也應適用個人信息保護法:(1)以向境內自然人提供產品或者服務為目的;(2)分析、評估境內自然人的行為;(3)法律、行政法規規定的其他情形。
3)個人信息保護法的核心要點
個人信息保護法在一般規定中明確了處理個人信息的基本條件。除部分規定情形外,個人信息保護法在第二章明確規定了“取得個人同意”是個人信息處理者處理個人信息的基本條件。個人信息保護法充分參考和借鑒了有關國際組織、國家和地區的做法,確立了以“告知-同意”為核心的個人信息處理規則。相比于《網絡安全法》,個人信息保護法對于告知義務規定得更為詳細、明確。個人信息保護法中明確了六大場景下的個人信息處理規定,包括:共同處理、委托處理、轉移個人信息、共享個人信息、自動化決策和公共場所采集。對于金融機構來說,應重點關注在不同場景下如何具體落實“告知-同意”的規則。
在告知原則方面,應該做到顯著,便于發現和閱讀,告知用語應通俗易懂、清晰準確,還應當根據情景優化告知的展現形式;當處理個人信息的目的、處理方式和種類發生變化時需突出顯示并重新取得個人同意;而且針對特殊群體,還應提供除文本外的圖片、語音或視頻等適合其理解的方式對告知內容進行闡述。
在同意原則方面,應保證征得授權同意的授權范圍與所告知內容一致,并且要做到區分產品及具體服務,采取對個人權益影響最小的方式;要做到主動展示授權同意的選項,以促進個人更好地理解并支持其做出選擇,并且在給出不同意時,僅影響當前服務類型的正常使用。
4)強化個人自主權的單獨同意
個人信息保護法除了明確個人信息處理的一般規定外,個人信息保護法的第二章和第三章中還對于敏感個人信息和一些特殊場景規定了“單獨同意”的保護規則。總結起來共涉及五種情形:
1)向第三方提供個人信息;
2)公開處理個人信息;
3)在公共場所安裝圖像采集、個人身份識別設備,用于維護公共安全之外的其他目的;
4)處理敏感個人信息;
5)向境外提供個人信息。
“單獨同意”強化了個人的自主權,“單獨同意”要求個人信息處理者將需要“單獨同意”的場景與其他場景區分開來,做到“單獨場景-單獨告知-獲取同意”,避免一攬子授權的方式,以及過度索權、隨意收集等違法違規情形。還需通過增強告知或即時提示等方式,單獨向個人信息主體告知處理個人信息的目的、方式和范圍,以及存儲時間、安全措施等規則。
對于金融機構來說,在辦理業務時應注意在收集個人身份證號、手機號、人臉識別信息時設置單獨同意。個人信息保護法對收集敏感個人信息限定更嚴、告知事項更多。除一般規定外,還應當向個人告知處理敏感個人信息的必要性及對個人權益的影響。處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或其他監護人的同意;應當制定專門的個人信息處理規則。作為金融機構,應進一步完善業務場景的識別和隱私政策的修訂。
5)自動化決策的合法合規要求
個人信息保護法針對“大數據殺熟”進行了嚴格的規范,個人信息保護法第二章中明確規定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。“自動化決策”方式已普遍應用到金融機構向客戶推送信息和開展營銷等場景中,包括人們熟悉的“人工智能”、“客戶畫像”等概念。但從個人信息保護法合規的角度分析,金融機構應在收集個人信息時,明確信息是用于大數據營銷和大數據畫像的用途,在得到“告知-同意”的前提下開展信息收集工作。
從合規角度分析,金融機構還應當同時提供客戶拒絕的方式,讓用戶可關閉個性化推薦選項。同時使用技術手段避免信息被過度收集,防止用戶數據被泄露到其他平臺,避免超出約定范圍的使用。如建設統一客戶關系管理系統,統一管理用戶金融信息,將金融賬戶、手機號、身份證號等通過加密方式存儲和使用。下游系統通過對接客戶關系管理系統,識別用戶ID等字段后向客戶推送營銷信息,避免下游系統再次抓取和存儲用戶敏感信息,防止個人信息泄露。
除此之外,為保障自動化決策的合規,還應制定自動化決策的規則,并定期進行修訂,保證決策的透明度,對依據自動化決策做出的差別待遇進行合理化解釋并保存記錄,不得對交易價格等實行不合理的差別待遇,保證公平公正。
6)開展合規審計和影響評估策略
個人信息保護法在第五章個人信息處理者的義務中,明確指出應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計,以及需開展個人信息保護影響評估的具體情形和評估內容。
結合行業特點,金融機構實施個人信息保護審計可依據人民銀行《個人金融信息保護技術規范》中有關個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全要求,從安全技術和安全管理兩個維度對個人金融信息保護實施審計。
金融機構在開展個人信息影響評估時,應先對待評估的業務、產品或某項具體合作等進?調研,形成數據清單及數據映射圖表,并梳理出待評估的個?信息處理活動。評估過程中,一方面,分析個人信息處理活動對個?權益可能造成的影響及其程度;另一方面,分析現有的安全保護措施是否有效,以及可能會導致安全事件發?的可能性程度。綜合兩??結果,得出個?信息處理活動的風險等級,并提出相應的改進建議,形成評估報告。
7)法律責任
個人信息保護法對于個人信息處理者的法律責任總的來說可總結為“責任分類,從嚴處罰”。根據責任行為違反的法律性質,分為行政責任、民事責任和刑事責任。
在行政處罰方面,加大了處罰力度,從嚴處罰。個人信息保護法規定,違法行為情節嚴重的,將面臨責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額的百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、吊銷相關業務許可或者營業執照。相比較歐盟的通用數據保護條例(GDPR)規定的營業額的百分之四更加嚴格。
在民事責任方面,個人信息保護法明確提出,個人信息處理者不能證明自己沒有過錯的,其應當承擔損害賠償等侵權責任。說明個人信息保護法對于侵害個人信息權益的處理活動,適用過錯推定原則。建議金融企業在與第三方合作前,開展個人信息合規審查,并在合作中留存好相應的處理記錄以備查。如合作協議、數據處理日志、用戶授權文件等。金融企業應該建立個人信息收集清單、第三方信息共享清單的“雙清單”,實現服務能力的“四提升”。
在刑事責任方面,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
03
金融行業的應對建議與機制
金融行業在落實個人信息保護法時,應結合金融行業特點和自身情況,采取有效的機制和措施落實相關要求,并建立持續的改進機制。
1)加強個人信息保護法和個人金融信息法規的學習,全面落實合規要求
應加強對個人信息保護法和個人金融信息法規的學習,通過培訓進一步理解法律的基本原則和個人金融信息保護的要點,全面落實合規要求。同時,進一步提升員工個人金融信息保護的安全意識,為個人金融信息保護打下堅實基礎。
2)制定個人金融信息保護組織架構,落實個人金融信息保護職責
應建立健全個人金融信息保護組織架構,明確金融機構各層級內設部門與相關崗位個人金融信息保護職責與總體要求,明確主要負責人的領導責任,明確個人金融信息管理牽頭部門,并提供必要的資源,落實個人金融信息保護職責。
3)健全個人金融信息保護管理制度,夯實個人金融信息保護基礎
應根據個人信息保護法要求,結合金融機構管控現狀,健全個人金融信息保護管理制度,夯實個人金融信息保護基礎。通過制定個人金融信息保護管理制度,明確個人金融信息保護的崗位設置與工作職責,制定專門的個人金融信息處理規則。形成“方針策略-辦法規定-規程細則”從上而下結構化的個人金融信息制度體系管控模式,有效指導和全面落實個人金融信息保護的各項管控要求。
4)實施個人金融信息數據分類分級,落實差異化安全保護機制
《個人金融信息保護技術規范》中的個人金融信息主要包括:賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息等七大類。
個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別,其中C3信息一旦遭到未經授權的查看或未經授權的變更,會對個人金融信息主體的信息安全與財產安全造成嚴重危害;C2信息一旦遭到未經授權的查看或未經授權的變更,可能會對個人金融信息主體的信息安全與財產安全造成一定影響;C1信息一旦遭到未經授權的查看或未經授權的變更,可能會對個人金融信息主體的信息安全與財產安全造成一定影響,金融機構在進行個人金融信息分類分級時,可參考下列框架實施有效分類分級。
5)個人金融信息全生命周期保護,筑起全方位安全保護屏障
金融機構應建立個人金融信息全生命周期保護機制,對信息的收集、傳輸、存儲、使用、刪除及銷毀等各環節實施全面保護。制定保護策略、訪問控制等管理措施,部署管理系統、信息加密等技術措施,結合管理和技術要求,筑起全方位的安全保護屏障。
6)開展個人金融信息保護審計,持續完善個人金融信息保護體系
金融機構應在完善個人金融信息保護制度的基礎上,定期開展個人金融信息保護合規審計。審計內容包括但不限于:個人金融信息的安全策略、訪問控制、安全監測與風險評估、安全事件處置、安全管理要求、安全技術要求等方面,金融機構可參照此審計框架實施合規審計。
04
總結與展望
在各行各業數字化轉型的關鍵時期,我國《個人信息保護法》的出臺是大勢所趨,結合《網絡安全法》、《數據安全法》等相關法律的發展歷程,可以看出我國的法律建設逐步從宏觀布局向微觀實操邁進,并且始終強調“以人為本”的理念,切實保障個人信息安全,維護公民的個人合法權益。而且對個人信息安全違法者的處罰力度也在不斷增強。因此,金融機構在業務運營和日常管理中要加強數據安全合規建設,注重個人金融信息收集和處理的記錄存儲,以滿足舉證責任的要求。由于金融機構對個人金融信息的搜集、使用和處理是其開展業務的基礎,未來個人金融信息保護機制與信息系統全生命周期的全面融合將是金融機構重點關注的方向,為此,金融機構應通過不斷提升個人金融信息的管理和技術管控能力,在為客戶提供“安全、高效、專業”金融業務服務的同時,更需要為客戶建立起一道個人金融信息保護的“堅固城墻”。
作者簡介:
王志超,谷安天下金融審計負責人,10多年的信息安全、科技風險、科技審計、業務連續性、科技外包、數據治理、金融科技等咨詢及審計服務經驗,獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書,熟悉銀行業、保險業、證券業、大型央企的科技管理風險與應對措施,對科技外包、業務連續性、數據治理、大數據、人工智能、數字化轉型等領域均有著較為深入的研究,多次與銀行共同參與銀保監會組織的信息科技風險管理課題研究,并獲得不錯的獎項。
張堯,谷安天下咨詢經理,長期從事信息安全咨詢和信息科技風險審計等工作,擁有16年以上信息安全咨詢和信息科技風險審計經驗,獲得CISA、CDPSE、ITIL、ISO27001、PRINCE2、DevOps等證書,熟悉銀行業、保險業、證券業、大型央企的科技管理風險與應對措施,對個人信息保護、科技外包、業務連續性、數據治理、敏捷開發等領域均有著較為深入的研究。
