由于个人信息保护法、数据安全法的出台,各家企业对个人信息和数据安全的保护纷纷重视起来。接下来从数据入手一步步梳理下。
首先金融行业,关键的是什么数据?金融数据、个人金融信息。
根据《金融数据安全数据安全分级指南》中的定义: 金融数据指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。(注:该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理)
个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。(注:个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。)
其中:
账户信息是账户及账户相关信息,如支付账号、账户开立时间等;
鉴别信息指验证主体是否具有访问或使用权限的信息,如银行卡密码、短信验证码等;
金融交易信息指个人金融信息主体在交易过程中产生的各类信息,如交易日志、保单信息、支付记录等;
个人身份信息指个人基本信息、个人生物识别信息等,如法定名称、婚姻状况、声纹、指纹、笔迹等;
财产信息指金融业机构在提供金融产品或服务过程中,收集或生成的个人金融信息主体财产信息,如不动产状况、拥有的车辆状况等;
借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息,如授信、担保情况等;
其他信息,如能够反映特定个人某些情况的信息如支付习惯、消费意愿等等。
那么金融业机构又包含哪些?根据《个人金融信息保护技术规范》中定义,金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
列举下类型可能比定义更加清晰:银行、投资银行(证券)、保险、信托投资、基金(公募基金、私募基金)、期货(国外的话一般没有单独的期货公司,而是证券公司兼营,我国有期货拍照,存在单独的期货公司)、主权投资(代表政府对外投资)、经纪商(在美国做全球交易的中介业务,而我国没有单独的经纪商机构,由券商提供该业务)、评级机构、数据终端服务(专门提供信息服务例如查询公司财务数据,需要实时交易数据,需要向这样的机构购买,国内著名的是Wind)、金融科技公司(如蚂蚁金服、支付宝等,有互联网属性,但目前还没有金融牌照,算类金融机构)、交易所(如上海证券交易所)、清算所、监管机构(证监会、银监会等),还有有关放贷的公司。
这里有关的放贷公司,我想提一下汽车金融。
汽车金融是什么呢?与汽车产业相关的金融服务,是汽车产业和金融的结合。消费者购买汽车需要贷款时,向汽车金融公司申请优惠的支付方式,按照自身的个性化需求,选择不同的车型和不同的支付方法。个人汽车消费贷款方式有银行、契合金融公司、整车财务公司、信用卡分期购车和汽车融资租赁五种。
2007年银行业监督管理委员会通过《汽车金融公司管理办法》,加强对汽车金融公司的监督管理。
以上是一些基础信息,接下来针对这两种数据,看一下相关规定要求(对于金融行业来说,是强监管的,随着数安法、个保法的出台,更是受到工信部、网信办的监管):
金融数据:《金融数据安全 数据安全分级指南》、《金融数据安全 数据生命周期安全规范》、《银行业金融机构数据治理指引》、《金融大数据平台总体技术要求》
个人金融信息:《个人金融信息保护技术规范》、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》、《征信业管理条例》(制定对个人信息主体的个人信息采集范围、存储时长、信息用途等要求)。
此外,还有《金融服务信息安全指南》、《金融行业信息安全等级保护测评服务安全指引》、《信息安全技术 金融信息服务安全规范》、《金融信息服务管理规定》等,还要考虑《数据出境安全评估管理办法》、《网络数据安全管理条例》等重要立法。
这里提一下跨境的要求,《个人金融信息保护技术规范》与个保法要求一致,确立个人金融信息境内存储的原则,并要求,如果确需向境外传输,则应进行个人金融信息安全评估,确保境外机构数据安全保护能力达到要求,并与境外机构签订协议、或现场核查等,监督其旅行数据保护的义务。
一般,金融的合规隐私项目涉及:等级保护建设咨询、ISO27001信息安全体系建设咨询、个保法合规咨询、数据分类分级咨询、信息科技风险管理咨询,这是我们合规项目过程中接触到的。看到一些企业还提供:电子银行评估、UPDSS(银联卡支付信息安全管理标准)合规安全评估等等。
面对这些规定要求,金融业机构该怎么做呢?
梳理数据地图是很多项目中的第一步,有了这些信息才能决定是否跨境评估、等保定几级、还有数据分类分级及制定对应的保护措施,还有识别需要满足的强监管要求。目前重点落实还是个人金融信息合规要求,这部分则需要参考前面提到的三个规范(已加粗)。
参考: