首页 > 专栏推荐

《个人金融信息(数据)保护试行办法》下数据合规“三大法宝”

专栏推荐 王源 零壹财经 2019-10-10 阅读:7192

关键词:金融行业数据合规信息安全三大法宝

防止使用采集源头被非法收集行为“污染”的数据。“毒树”之果不可食。
2019年4月16日,中国人民银行在其官方网站发布了《中国人民银行2019年规章制定工作计划》,将《个人金融信息(数据)保护试行办法》(“《办法》”)列入制定计划之中,是中国金融领域落实《网络安全法》确立的网络信息安全和网络运行安全两大制度的最高位阶部门规章。

在《办法》即将公开征求意见之际,我们从六个方面总结了个人信息保护的重点普遍性问题,建议金融企业密切关注如下金融数据合规问题:

1.个人金融信息的范围。

个人金融信息的范围可以对标《信息安全技术 个人信息安全规范(征求意见稿)》(2019年6月21日)(“《标准》”)中的个人财产信息,包括但不限于“银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息”。个人财产信息属于个人敏感信息,需要特殊保护。同时,个人金融信息不应仅限于财产信息,还应当包括可以识别个人身份特征的为使用金融业务所必须的个人信息,例如身份证信息等。建议密切关注《办法》对个人金融信息范围的界定。

2.收集个人金融信息需要征得个人明示同意。

《网络安全法》确立了收集个人信息应当经过被收集者同意的原则。国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》(“《数据办法》”)目前的版本中亦要求网络用户明确同意个人信息收集使用规则。《标准》规定收集一般个人信息需要征得个人授权同意(我们理解包括明示同意和默示同意两种情形),对于金融信息中属于敏感信息的财产信息,应当征得明示同意。因此,建议关注《办法》是否会规定收集个人金融信息需要征得个人明示同意以及如何保障数据生命周期各个环节(收集、处理、共享、使用等)个人知情同意权。

3.金融数据的来源。

人工智能金融业+主要依靠大数据进行算法优化,数据是网络时代的新生产资料。保护个人金融信息安全的同时应促进行业发展。 一方面需要规范从合法渠道收集数据并加以利用的行为,一方面需要防止使用采集源头被非法收集行为“污染”的数据。“毒树”之果不可食。

4.个人金融信息共享评估。

2018年6月发布的《信息安全技术 个人信息安全影响评估指南(征求意见稿)》建立了个人信息安全评估框架。目前,仅在《儿童个人信息网络保护规定》有对外委托第三方处理儿童信息必须进行安全评估的规定。儿童信息和个人金融信息一样,属于敏感信息,大众期待更多保护。因此,需要关注《办法》是否会要求向第三方对外提供个人金融信息之前必须经过安全评估。借鉴《数据办法》的规定,还涉及到与上下游共享信息企业如何签署数据保护合同以及定期审查共享企业数据合规状况。

5.个人金融信息本地化存储。

《网络安全法》及一系列生效和未生效的配套规章、规范性文件和标准逐步明确重要数据跨境传输的评估制度和个人信息跨境传输的同意(有可能还需要申报)制度,除此之外,关键信息基础设施和第三级以上网络的运维数据也应当留存境内,不能境外远程维护。鉴于金融信息的敏感性和重要性,要求个人金融数据留存中国境内、经评估后才可以向境外传输无可厚非。对于跨境经营的金融机构,如果需要向境外的关联公司提供金融数据,最妥当的处理方式为取得个人的明示同意和进行风险评估。与欧盟GDPR不同,中国法律目前没有明确豁免或者宽限关联公司内的跨境传输,《信息安全技术 数据出境安全评估指南(征求意见稿)》目前的版本仍然明确适用于“集团数据”。

6.委托分包商处理个人金融信息。

金融行业尤其是银行业非核心业务以项目外包或者人力服务方式委托分包商提供服务非常普遍,中国人民银行在这方面已有诸多规定。《数据办法》明确规定对接入平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。如果监督督促不当,在一定情形下需要承担责任。政府的监管思路和治理路径相互借鉴,应关注人民银行如何从个人金融信息保护角度,规定金融企业对分包商或者服务提供商的监督义务。

综上,从制度构建角度,建议业界关注《办法》将如何在现有的个人信息保护制度框架内对个人金融信息保护做出规定。 从金融企业合规角度,建议关注:(1)在个人金融信息收集等环节如何取得个人明示同意;(2)在什么情形下需要进行个人金融信息安全评估;和(3)通过合同以及定期检查机制确保上下游客户、合作伙伴、分包商数据合规,避免因为第三方原因被迫承担责任。

 (上述并非法律意见)

作者简介:

王源,律师,在中国为高科技、电信、传媒领域公司提供法律咨询近 15 年。曾担任思科公司大中华区董事长办公室主任和资深法律顾问,日本恩梯梯数据公司中国区总法律顾问,曾就职于中国、美国和英国的律师事务所。王源律师毕业于北京大学和美国威廉玛丽大学。
 


零壹智库推出“金融毛细血管系列策划”,通过系列文章、系列视频、系列报告、系列研讨会和专著,系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。
 

上一篇>共享充电宝是个下沉金融流量的好场景吗?

下一篇>A股四季度怎么走?估值、业绩、资金和市场情绪4方面剖析



相关文章


用户评论

游客

自律公约

所有评论

主编精选

more

专题推荐

more

第四届中国零售金融发展峰会(共15篇)


资讯排行

  • 48h
  • 7天



耗时 154ms