对个人信息的内容与类别划分、处理环节及对应的保护要求等,《个人信息保护法》已有结构相对完善的安排,在此基础上,包括《信息安全技术个人信息安全规范GB/T 35273-2020》(简称“《国标35273》”)在内的多项国家标准、行业标准及相关技术文件又充分结合各行业特点,对不同行业、不同处理环节、不同业务场景下的特殊类型个人信息作出更细化的指引,目前仍在更新与完善中。个人金融信息即为其中较为有代表性的一类特殊的个人信息。
个人金融信息与个人的财产安全密切联系,如若保护不当,其毁损与泄露将可能给个人信息主体的权益带来巨大损害,甚至于给金融秩序带来严重影响,兼具与监管关联的特点。因此,在处理与之相关的问题时,不免时常面对公权私益权衡的处境,因而对个人金融信息保护具有特殊性,有必要就其与一般个人信息保护的差异与特点予以总结。
一、 个人金融信息内容
以《个人金融信息保护规范JR/T 0171-2020》(简称“《金融信息保护规范》”)和《金融数据安全数据安全分级指南JR/T 0197-2020》(简称“《金融数据分级指南》”)为代表的金融行业标准在个人信息保护一般判定规则的基础上,进一步结合行业特点,对个人金融信息内容进行了细化和列举,帮助判别和区分信息。
1.账户信息 | 账户及账户相关信息; 【示例】支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。 |
2.鉴别信息 | 用于验证主体是否具有访问或使用权限的信息; 【示例】 (1)传统鉴别信息:银行卡密码、预付卡支付密码、银行卡磁道(或芯片等效信息)、卡片验证码(CVN 和CVN2)、卡片有效期、网络支付交易密码;个人金融信息主体账户(包括但不限于支付账号、网络支付业务系统中个人金融信息主体登录用户、证券账户、保险账户)的登录密码、交易密码,账户查询密码、USBKEY、U 盾(网银、手机银行密保工具信息)等。 (2)弱隐私生物特征信息:人脸、声纹、步态、耳纹、眼纹、笔迹等。 (3)强隐私生物特征信息:用于身份鉴别的强隐私个人生物特征样本数据与特征值数据,如指纹、虹膜等。 (4)鉴别辅助信息:动态口令、短信验证码、密码提示问题答案、动态声纹密码等。 |
3.金融交易信息 | 个人金融信息主体在交易过程中产生的各类信息; 【示例】交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。 |
4.个人身份信息 | 个人基本信息、个人生物识别信息等; 【示例】 (1)个人基本信息:客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址、微信号,以及在提供产品和服务过程中收集的照片、音视频等信息; (2)个人生物识别信息:指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。 |
5.财产信息 | 金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信息; 【示例】个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额、个人社保与医保缴存金额等。 |
6.借贷信息 | 个人金融信息主体在金融业机构发生借贷业务产生的信息; 【示例】授信、信用卡和贷款的发放及还款、担保情况、欠款信息等。 |
7.其他反映特定个人金融信息主体某些情况的信息 | 对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息; 【示例】特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息;在提供金融产品与服务过程中获取、保存的其他个人信息。进一步参考《金融数据分级指南》附录A可中二级子类为“个人”的对应内容,如个人行为信息、个人标签信息项。 |
注:上述内容基于《金融信息保护规范》整理,标注下划线内容的扩充依据为《金融数据分级指南》附录A中的内容示例。
二、 个人金融信息的分类分级特点
《个人信息保护法》为个人信息设置有一般个人信息、敏感个人信息的分类,《金融信息保护规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,又将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别(具体分类和示例可以参考《金融信息保护规范》“4.2 个人金融信息类别”章节),《金融数据分级指南》又将个人金融信息作为金融数据纳入,在数据保护层面予以分级。为便理解和分别遵循三个分类逻辑项下对不同类别信息的不同要求,对分类分级对应关系整理如下。
注:上述分类依据分别为《个人信息保护法》《个人金融信息保护规范》《金融数据分级指南》,按照重要性/敏感度/危害程度,从高到低排列。
需要注意的是,两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息,同一信息在不同的服务场景中可能处于不同的类别,需要依据服务场景以及该信息在其中的作用对信息的类别进行识别。
三、 生命周期环节划分及其特殊要求
从生命周期划分来看,行业规范类文件对个人金融信息的生命周期环节之划分与个人信息的划分基本思路一致,但也略有不同,结合了个人金融信息的特点,并在此基础上对个人金融信息在生命周期各环节的安全防护提出了区别于一般个人信息的特殊要求。
1. 个人金融信息的生命周期环节对比
《个人信息保护法》 (2021) 个人信息 | 《个人信息安全规范》 GB/T 35273-2020 个人信息 | 《个人金融信息保护规范》 JR/T 0171-2020 个人金融信息 |
收集 | 收集 | 收集 |
存储 | 存储 (去标识化、传输、存储、个人信息控制者停止运营、跨境传输) | 存储 |
传输 | 传输 |
提供(含跨境提供) | 使用 (访问、展示、用户画像、汇聚融合、自动决策机制、委托处理、共享、转让、公开披露) | 使用 (展示、共享和转让、公开披露、委托处理、加工处理、汇聚融合、开发测试) |
使用 |
加工 |
公开 |
删除 | 个人信息主体的权利 (查询、更正、删除、撤回授权同意、注销账户、获取副本) | 删除 |
销毁 |
2.生命周期各环节的特殊要求
对个人金融信息生命周期各环节的特殊要求,可以分为安全技术、安全管理两个维度,在一般个人信息保护规则基础上作出更明确、细化的指引,其中不乏对处理模式影响度较高者,筛选并整合提示如下(完整版本请参照《金融信息保护规范》,其中与《个人信息保护法》《国标35273》对一般个人信息的同等要求,以下省略不再赘述,实务中注意仍需遵守)。
(1) 收集
【信息类别相关】C3、C2 类别信息不应委托或授权无金融业相关资质的机构收集。对于C3 类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取。
【收集方式相关】通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支付密码时,应采取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施。
【业务场景相关】在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息。
【告知-同意相关】
· 直接收集和因业务需要超出原授权范围的处理,均需要征得个人金融信息主体的明示同意;
· 直接收集:告知个人金融信息类别,以及收集、使用个人金融信息的规则(如:收集和使用个人金融信息的目的、收集方式、自身的数据安全能力、对外共享、转让、公开披露的规则、投诉与申诉的渠道及响应时限等);取得个人信息主体的明示同意;
· 间接收集:应要求信息提供方说明信息来源,并对来源合法性进行确认;应了解信息提供方已获授权内容(使用目的、主体是否授权同意转让、共享、公开披露等情况);
· 无需同意的补充情形:《个人信息保护法》与《国标35273》的基础上调整:
《个人信息安全规范》 5.6 | 《个人金融信息保护规范》7.1.1 |
i)维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障; | 用于维护所提供的金融产品或服务的安全稳定运行所必需的,例如识别、处置金融产品或服务中的欺诈或被盗用等。 |
j)个人信息控制者为新闻单位,…… | / |
k)个人信息控制者为学术研究机构,…… | / |
(2) 传输
【信息类别相关】
· 通过公共网络传输时,C2、C3 类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全;
· 对于C3 类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求;
· 根据个人金融信息的不同类别,采用技术手段保证安全传输;低敏感程度类别的信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提升安全传输保障手段。
【业务场景相关】传输个人金融信息前,通信双方应通过有效技术手段进行身份鉴别和认证;传输后,个人金融信息传输的接收方应对接收的信息进行完整性校验。
(3) 存储
【信息类别相关】
· 禁存(1):不应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等C3 类别信息;若确有必要留存的,应取得个人金融信息主体及账户管理机构的授权;
· 禁存(2)受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN 和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除;
· C3 类别个人金融信息应采用加密措施确保数据存储的保密性。低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提升相应的安全存储保障手段。
【存储方式相关】
· 隔离存储:应将去标识化、匿名化后的数据与可用于恢复识别个人的信息采取逻辑隔离的方式进行存储,确保去标识化、匿名化后的信息与个人金融信息不被混用;
· 境内存储:在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。
【配合监管相关】
· 存储时限应满足国家法律法规与行业主管部门有关规定要求,并符合个人金融信息主体授权使用的目的所必需的最短时间要求。超过该期限后,应对收集的个人金融信息进行删除或匿名化处理;
· 在停止运营时,应依据国家法律法规与行业主管部门有关规定要求,对所存储的个人金融信息进行妥善处置,或移交国家与行业主管部门指定的机构继续保存。
(4) 使用
(4.1) 展示
【信息类别相关】C3 类别信息未登录状态不应展示;除银行卡有效期外,C3 类别信息不应明文展示。
【展示方式相关】
· 对通过计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备、纸面(如受理终端打印出的交易凭条等交易凭证)等界面展示的个人金融信息应采取信息屏蔽(或截词)等处理措施,降低个人金融信息在展示环节的泄露风险;
· 柜面打印的凭证依据有关规范执行;
· 已登录状态的展示技术要求:
(1)屏蔽:对于银行卡号、手机号码、证件类识别标识或其他识别标识信息等可以直接或组合后确定个人金融信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示,如需完整展示,应进行用户身份验证,并做好此类信息管理,防范此类信息泄露风险;
(2)允许非屏蔽:涉及其他个人金融信息主体的信息时,除以下情况外,宜进行屏蔽展示:
a) 其他方主动发起的活动包含的信息,此种情况需展示必要的信息以供活动接收方对活动内容进行确认,例如:其他方发起的交易、其他方发起的收付款、保险保费代收;
b) 与其他方已建立信任关系(间接授权),此时需活动发起方确认发起活动的必要信息的正确性(或活动发起方需接收活动结果信息,并确认活动已正确完成),例如:向其他方收款,其他方已付款;向其他方申请代付,其他方同意付款或者其他方在自己业务应用范围内的联系人;
c) 其他法律法规要求的情况。
· 应用软件的后台管理与业务支撑系统展示技术要求如下:
a) 除银行卡有效期外,C3 类别信息不应明文展示;
b) 应采取技术措施防范个人金融信息在展示过程中泄露或被未经授权的拷贝;
c) 后台系统对支付账号、客户法定名称、支付预留手机号码、证件类或其他类识别标识信息等展示宜进行屏蔽处理,如需完整展示,应做好此类信息管理,采取有效措施防范未经授权的拷贝;
d) 后台系统不应具备开放式查询能力,应严格限制批量查询;
e) 对于确有明文查看需要的业务场景可以保留明文查看权限,后台系统应对所有查询操作进行细粒度的授权与行为审计。应防止通过散列碰撞等方法推导出完整的数据,若使用“截词”的方式进行部分字段的屏蔽处理,不应用散列代替字段被截词的部分。
(4.2) 共享和转让
【信息类别相关】
· C3 类别信息以及C2 类别信息中的用户鉴别辅助信息不应共享、转让。
· 支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应使用支付标记化(按照JR/T 0149—2016)技术进行脱敏处理(因业务需要无法使用支付标记化技术时,应进行加密),防范信息泄露风险。
【业务场景相关】
· 金融业机构原则上不应共享、转让其收集的个人金融信息,法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让(如转接清算等)方可共享。
【事前评估与技术筹备】
· 开展个人金融信息安全影响评估,并依据评估结果采取有效措施保护个人金融信息主体权益;
· 开展个人金融信息接收方信息安全保障能力评估,并与其签署数据保护责任承诺;
· 应部署信息防泄露监控工具,监控及报告个人金融信息的违规外发行为;
· 应部署流量监控技术措施,对共享、转让的信息进行监控和审计;
· 应采取有效技术防护措施,防范信息转移过程中被除信息发送方与接收方之外的其他个人、组织和机构截获和利用;
· 出境:因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,应符合国家法律法规及行业主管部门有关规定;取得个人金融信息主体明示同意;依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。
【过程控制】
· 应定期检查或评估信息导出通道的安全性和可靠性;
· 使用外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)进行信息共享与转让时,应定期检查或评估信息共享工具、服务组件和共享通道的安全性和可靠性,并留存检查或评估结果记录;
· 应执行严格的审核程序,并准确记录和保存个人金融信息共享和转让情况。记录内容应包括但不限于日期、规模、目的、范围,以及数据接收方基本情况与使用意图等,并应确保对共享和转让的信息及其过程可被追溯;
· 应根据“业务需要”和“最小权限”原则,对个人金融信息的导出操作进行细粒度的访问控制与全过程审计,应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。
【告知-同意相关】
· 告知共享、转让目的、数据接收方的类型,事先征得同意,共享、转让经去标识化处理(不应仅使用加密技术)的个人金融信息,且确保数据接收方无法重新识别个人金融信息主体的除外;
· 当因收购、兼并、重组、破产等情况的主体变更而发生个人金融信息共享、转让时,提供方应使用逐一传达(或公告)的方式通知个人金融信息主体,接收方应对其承接运营的金融产品或服务继续履行个人金融信息保护责任;如变更其在收购、兼并重组过程中获取的个人金融信息使用目的,应重新获得个人金融信息主体明示同意(或授权);
· 出境:因业务需要确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供,应取得个人信息主体明示同意。
(4.3) 公开披露
【业务场景相关】个人金融信息原则上不得公开披露,经法律授权或具备合理事由方可公开披露,金融业机构承担因公开披露个人金融信息对个人金融信息主体合法权益造成损害的相应责任。
【信息类别相关】C3 类别信息、C2 类别信息中的用户鉴别辅助信息、个人生物识别信息不应公开披露。
【事前评估与技术筹备】应事先开展个人金融信息安全影响评估,并依据评估结果采取有效的保护个人金融信息主体权益的措施。
【过程控制】应准确记录和保存个人金融信息的公开披露情况,包括公开披露的日期、规模、目的、内容、公开范围等。
(4.4) 委托处理
【信息类别相关】 C3 以及C2 类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。转接清算、登记结算等情况,应依据国家有关法律法规及行业主管部门有关规定与技术标准执行。
【事前评估\技术筹备\过程控制】
· 委托处理的信息应采用去标识化(不应仅使用加密技术)等方式进行脱敏处理,降低个人金融信息被泄露、误用、滥用的风险;
· 对委托行为进行个人金融信息安全影响评估,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施;
· 通过合同等方式规定受委托者的责任和义务;
· 对受委托者进行安全检查和评估。
· 对外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测,确保其个人金融信息收集、使用行为符合约定要求;
· 对收集个人金融信息的行为进行审计,发现超出约定行为及时切断接入;
· 应要求受托方:
a) 未经书面授权,不应转委托;
b) 协助响应个人金融信息主体的请求;
c) 严格按照金融业机构的要求处理个人金融信息,因特殊原因受委托者未能按照要求处理应及时告知金融业机构,并配合进行信息安全评估,采取补救措施保护信息安全,必要时应终止其处理;
d) 如受托方过程中无法提供足够的信息安全保护水平或发生安全事件,应及时告知金融业机构,配合进行信息安全评估与安全事件调查,并采取补救措施以保护个人金融信息的安全,必要时应终止其处理;
e) 委托解除时(或外包服务终止后),受委托者应按照金融业机构的要求销毁其处理的个人金融信息,并依据双方协商的期限承担后续的个人金融信息保密责任;
f) 准确记录和保存委托处理个人金融信息的情况。
(4.5) 加工处理
【信息类别相关】
· 采取必要的技术手段和管理措施,确保在个人金融信息清洗和转换过程中对信息进行保护,对C2、C3 类别信息,应采取更加严格的保护措施;
· 对匿名化或去标识化处理的数据集或其他数据集汇聚后重新识别出个人金融信息主体的风险进行识别和评价,并对数据集采取相应的保护措施。
【事前评估\技术筹备\过程控制】
· 建立个人金融信息防泄露控制规范和机制,防止个人金融信息处理过程中的调试信息、日志记录等因不受控制的输出而泄露受保护的信息;
· 具备信息化技术手段或机制,对个人金融信息滥用行为进行有效的识别、监控和预警;
· 应具备完整的个人金融信息加工处理操作记录和管理能力,记录内容包括但不限于日期、时间、主体、事件描述、事件结果等。
(4.6) 汇聚融合
汇聚融合的数据不应超出收集时所声明的使用范围。因业务需要确需超范围使用的,应再次征得个人金融信息主体明示同意。应根据汇聚融合后的个人金融信息类别及使用目的,开展个人金融信息安全影响评估,并采取有效的技术保护措施。
(4.7) 开发测试
应对开发测试环境与生产环境进行有效隔离。开发环境、测试环境不应使用真实的个人金融信息,应使用虚构的或经过去标识化(不应仅使用加密技术)脱敏处理的个人金融信息,账号、卡号、协议号、支付指令等测试确需信息除外。
(5) 删除
【配合监管相关】个人金融信息主体要求删除个人金融信息时,金融业机构应依据国家法律法规、行业主管部门有关规定以及与个人金融信息主体的约定予以响应。
(6) 销毁
【事前评估与筹备】
· 建立个人金融信息销毁策略和管理制度,明确销毁对象、流程、方式和要求;
· 云环境下有关数据清除应依据 《云计算技术金融应用规范 安全技术要求 JR/T 0167—2018》的9.6 执行。
【过程控制】
· 销毁过程应保留有关记录,记录至少应包括销毁内容、销毁方式与时间、销毁人签字、监督人签字等内容;
· 对个人金融信息存储介质销毁过程进行监督与控制,对待销毁介质的登记、审批、介质交接、销毁执行等过程进行监督。
【销毁方式相关】存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行信息销毁,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用。