一、当数据成为生产要素
2019年10月31日,中国共产党第19届中央委员会第四次全体会议通过的《推进国家治理体系和治理能力现代化若干重大问题的决定》中明确指出:健全劳动、资本、土地、知识、技术、管理、数据等生产要素,由市场评价贡献,按贡献决定报酬的机制。其后印发的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》也有多条关于数据的表述,这些文件的出台,无一不在向我们证明,数据作为一种一种生产要素,正在国民经济发展中发挥越来越重要的作用。
一方面,法律法规高度关注个人信息保护。一是修改完善了很多法律,如2016修改的《民法通则》第五章第一百一十一条,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖提供或公开他人个人信息。二是很多新法律也将要颁布实施,如要在今年出台的《个人信息保护法》和《数据安全法》等。
另一方面,个人金融信息保护面临严峻挑战。一是生物特征滥用误用风险不容忽视,刷脸支付,指纹支付等生物特征支付手段大兴其道,生物特性采集场景多且杂。二是数据集中泄露风险问题突出,如人脸、声纹等本身就对外暴露的生物特征,一旦泄露,因为其特性,无法追回。三是敏感信息获取手段不断翻新,对于各种信息的采集技术不断进化,市面上持有这类技术的公司也越来越多,监管范围越来越大。四是公众信息安全意识有待增强,为了五毛钱的棒棒糖参加各种扫码活动,出卖自己的信息。
在此背景下,2020年2月13日,中国人民银行正式发布《个人金融信息保护技术规范》,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
二、个人金融信息保护技术规范适用范围
《个人金融信息保护技术规范》适用于提供金融产品和服务的金融业机构,具体指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。其中,以持牌金融机构为主要监管对象,同时考虑到实践中普遍存在的技术服务商、合作伙伴、委托处理等问题,要求这些技术服务商在处理个人信息时遵循本标准,避免来自外界的风险。
三、个人金融信息保护分级分类标准
个人金融信息是指金融业机构通过提供金融产品或服务,或者从其他渠道获取加工和保存的个人信息。主要包括账户信息鉴别信息,金融交易信息,个人身份信息,财产信息。借贷信息以及其他反应个人某些情况的信息。《个人金融信息保护技术规范》根据敏感程度,将数据从高到低分为C3、C2、C1三级。
类别 |
定义 |
示例 |
C3 |
用户鉴别信息 |
磁道数据、卡片验证码(CVN和CVN2)、卡片有效期、卡密码、网络支付交易密码、账户登录密码、交易密码、查询密码、用于用户鉴别的个人生物识别信息。 |
C2 |
可识别特定个人金融信息主体身份与金融状况的信息,以及用于金融产品与服务的关键信息 |
支付账号、手机号、账户登录的用户名、用户鉴别辅助信息(动态口令、短信验证码、密码提示问题答案)、个人财产信息、交易指令、交易流水等。 |
C1 |
机构内部信息资产 |
账户开立时间、开户机构、支付标记信息。 |
四、个人金融信息保护基本原则
1. 权责一致原则
采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
2. 目的明确原则
具有合法、正当、明确、必要的个人信息处理目的。
3. 选择同意原则
向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
4. 最小必要原则
只处理满足个人信息主体授权统一的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。
5. 公开透明原则
以明确、易懂、合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
6. 确保安全原则
具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
7. 主体参与原则
向个人信息主体提供能够查询、改正、删除其个人信息,以及撤回同意、注销账户、投诉等方法。
五、个人金融信息保护重点要求
阶段 |
重点要求 |
收集 |
不委托或授权无资质的机构收集C3/C2类信息。引导个人信息主体查阅隐私政策,收集信息前需要取得用户同意。对于C3类别信息,应使用加密等技术措施保证数据的保密性。对于网络支付密码等敏感数据应采用屏蔽显示的措施。不应欺诈,诱骗或以默认授权,功能捆绑等方式误导强迫个人金融信息主体提供个人金融信息。 |
传输 |
传输之前应进行身份鉴别。通过公共网络(包括互联网,WiFi,蜂窝网络,蓝牙卫星电话等)传输时,C2、C3类信息应加密,C3类数据尤其要注意安全传输控制措施。 |
存储 |
C3类别个人金融信息应采取加密措施确保数据存储的保密性,并根据国家有关规定存储相应的年限。 |
使用 |
在使用个人金融信息时,应获得个人信息主体的授权同意。事前开展个人金融信息安全影响评估。准确记录和保存共享、转让、公开披露或委托处理相关情况。 |
删除 |
个人金融信息主体要求删除个人金融信息时,金融业机构应根据政策要求以及与个人金融信息主体的约定予以响应。 |
销毁 |
建立个人金融信息销毁策略和管理制度,明确销毁对象、流程、方式和要求。 |
六、总结
从企业治理层面来说,经营者既需要增强企业在数据合规方面的认知,加强企业的刑事敏感度,行政敏感度和民事敏感度,同时也要全面提升企业的数据治理水平,将数据作为核心生产力,建立与之适应的数据管理结构。
来源:freebuf.com 2020-07-30 17:02:14 by: Mooooo
请登录后发表评论
注册