2020年2月20日,全国金融标准化技术委员会公布了《个人金融信息保护技术规范》(JR/T 0171——2020)(以下简称“《规范》”)。《规范》是中国人民银行发布的金融行业推荐性标准(并非强制性标准),是在《信息安全技术 个人信息安全规范》(GB/T 35273——2017,以下简称“《个人信息安全规范》”)等国家标准基础上对个人金融信息的保护作出的细化规定,基本遵循了《个人信息安全规范》关于收集、传输、存储、使用、删除、销毁等信息生命周期全部环节的基本要求。
《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式,本文主要就此进行研讨。
一、个人金融信息的范围
根据《规范》第4.1条,个人金融信息具体指以下信息:
|
账户信息 |
账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。 |
|
鉴别信息 |
用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡支付密码、个人金融信息主体登录密码、账户査询密码、交易密码;卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案等。 |
|
金融交易信息 |
个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。 |
|
个人身份信息 |
个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息; 个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。 |
|
财产信息 |
金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信息,包括但不限于个人收入状况,拥有的不动产状况,拥有的车辆状况、纳税额、公积金存缴金额等。 |
|
借贷信息 |
个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。 |
|
其他信息 |
对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息,以及在提供金融产品与服务过程中获取、保存的其他个人信息 |
二、个人金融信息分级管理机制
《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,即采用了分级管理机制:
|
级别 |
危害程度 |
主要类型 |
具体信息 |
|
C3 |
造成严重危害 |
用户鉴别信息 |
|
|
C2 |
造成一定危害 |
可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息 |
|
|
C1 |
造成一定影响 |
机构内部的信息资产 |
|
三、个人金融信息全生命周期中分级管理的特别规定
《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度,对个人金融信息提出了具体合规性要求,其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。
|
级别 |
特别规定 |
|
C3 |
|
|
C2 |
|
四、《规范》与其他标准性文件信息分级管理的衔接
数据分类分级管理是《中华人民共和国网络安全法》对网络运营者的基本要求之一。实践中企业也会采取一定方式按照数据重要性、敏感程度对数据采取分类分级的方式进行管理。目前已生效的法律法规和标准文件中除了将个人信息区分为“个人敏感信息”和“儿童个人信息”外,没有进一步分级的细化要求。2018年底金融标准化技术委员会公布的《支付信息保护技术规范》(送审稿)则采取了与本《规范》类似的信息分级机制。《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别,具体指:
- C4类别主要为于金融交易的用户鉴别与授权信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对支付等金融消费主体的个人信息安全与财产安全造成严重危害。例如,交易密码属于C4类信息
- C3类别主要为在金融业务中收集、存储的,可识别特定自然人身份与金融状况的个人金融信息,以及金融消费者用于支付等金融业务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对支付等金融消费主体的个人信息安全与财产安全造成一定危害。例如,支付账号、身份证号属于此类信息。
- C2类别信息主要为机构内部的信息资产,主要指供内部使用但不能对外公开的个人金融信息,以及与个人金融安全保护相关的信息系统安全功能数据。该类信息一旦遭到未授权查看或变更,可能会对支付等金融消费主体的个人信息安全与财产安全造成危害。例如,开户银行及时间,交易流水等属于C2类信息。
- C1类别信息是指机构在特定条件下可以对外公开或披露的个人金融信息,以及支付等金融服务机构有关信息。这类信息泄露不会对机构或他人造成任何影响,如金融机构名称、金融机构营业网点地址;支付机构名称、办公地址;商户名称等公开信息。
以上两种或两种以上的低类别信息经过组合、关联和分析后可能产生高敏感程度的信息。
通过以上条款可以看出,《支付信息保护技术规范》的C4、C3、C2类别信息与《规范》的C3、C2、C1类别信息在敏感度、重要性和泄露后的危害程度上基本一致,具体的信息类型也存在一定的相同和类似。
不过,《支付信息保护技术规范》尚未正式发布,考虑《规范》的规制主体是持牌金融机构,《支付信息保护技术规范》根据其内容可以推断其规制主体也将涵盖大部分持牌金融机构,因此未来正式发布的《支付信息保护技术规范》应该会在信息分级管理上与在先生效的文件保持一致。
当然,由于具体的信息类型在不同行业存在差异,这也是一直难以制定可以适用全行业的信息分级机制的重要原因。我们理解,采取《规范》这种信息分级方式会仅限于金融行业。对于一个持有多个不同金融领域牌照的金融集团,本《规范》可以直接适用。具体到银行、保险、证券、基金等细分行业,《规范》第4.2条对C3、C2、C1采取的是“包括但不限于”的举例式列举,因此即便未在本条明确列明的信息类型,公司也可以在细分行业根据信息的敏感度和泄露后的危害程度参照这一标准进行分类和分级管理。并且,从合规、审慎的角度,我们建议在C3、C2、C1的基础上按照从严、从高的标准建立符合各金融机构实际的信息分级机制。
