个人金融信息保护 – 作者:Mooooo

一、当数据成为生产要素

2019年10月31日，中国共产党第19届中央委员会第四次全体会议通过的《推进国家治理体系和治理能力现代化若干重大问题的决定》中明确指出：健全劳动、资本、土地、知识、技术、管理、数据等生产要素，由市场评价贡献，按贡献决定报酬的机制。其后印发的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》也有多条关于数据的表述，这些文件的出台，无一不在向我们证明，数据作为一种一种生产要素，正在国民经济发展中发挥越来越重要的作用。

一方面，法律法规高度关注个人信息保护。一是修改完善了很多法律，如2016修改的《民法通则》第五章第一百一十一条，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖提供或公开他人个人信息。二是很多新法律也将要颁布实施，如要在今年出台的《个人信息保护法》和《数据安全法》等。

另一方面，个人金融信息保护面临严峻挑战。一是生物特征滥用误用风险不容忽视，刷脸支付，指纹支付等生物特征支付手段大兴其道，生物特性采集场景多且杂。二是数据集中泄露风险问题突出，如人脸、声纹等本身就对外暴露的生物特征，一旦泄露，因为其特性，无法追回。三是敏感信息获取手段不断翻新，对于各种信息的采集技术不断进化，市面上持有这类技术的公司也越来越多，监管范围越来越大。四是公众信息安全意识有待增强，为了五毛钱的棒棒糖参加各种扫码活动，出卖自己的信息。

在此背景下，2020年2月13日，中国人民银行正式发布《个人金融信息保护技术规范》，规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。

二、个人金融信息保护技术规范适用范围

《个人金融信息保护技术规范》适用于提供金融产品和服务的金融业机构，具体指由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。其中，以持牌金融机构为主要监管对象，同时考虑到实践中普遍存在的技术服务商、合作伙伴、委托处理等问题，要求这些技术服务商在处理个人信息时遵循本标准，避免来自外界的风险。

三、个人金融信息保护分级分类标准

个人金融信息是指金融业机构通过提供金融产品或服务，或者从其他渠道获取加工和保存的个人信息。主要包括账户信息鉴别信息，金融交易信息，个人身份信息，财产信息。借贷信息以及其他反应个人某些情况的信息。《个人金融信息保护技术规范》根据敏感程度，将数据从高到低分为C3、C2、C1三级。

四、个人金融信息保护基本原则

1. 权责一致原则

采取技术和其他必要的措施保障个人信息的安全，对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。

2. 目的明确原则

具有合法、正当、明确、必要的个人信息处理目的。

3. 选择同意原则

向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。

4. 最小必要原则

只处理满足个人信息主体授权统一的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息。

5. 公开透明原则

以明确、易懂、合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。

6. 确保安全原则

具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。

7. 主体参与原则

向个人信息主体提供能够查询、改正、删除其个人信息，以及撤回同意、注销账户、投诉等方法。

五、个人金融信息保护重点要求

六、总结

从企业治理层面来说，经营者既需要增强企业在数据合规方面的认知，加强企业的刑事敏感度，行政敏感度和民事敏感度，同时也要全面提升企业的数据治理水平，将数据作为核心生产力，建立与之适应的数据管理结构。

来源：freebuf.com 2020-07-30 17:02:14 by: Mooooo