前言
上期文章,我们分享了数据安全治理在管理及合规层面的相关实践工作,从目标、理念、框架、及差异的基础介绍,在到数据安全需求分析的监管合规要求,最后分享了从风险管理角度如何落地等消除风险的一系列方式,文末并在附录中分享了目前国内与数据安全治理关的隐私合规要求。本期,我们将围绕与网络安全法息息相关的个人隐私数据保护的要求,介绍数字化金融之下个人金融信息(隐私)保护的背景、现状、以及国内对于个人隐私数据保护,从业务发展要求、合规要求、及客户要求的合规关注点。
监管要求
第二十四条 银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。
银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。
——《银行业金融机构数据治理指引》
个人金融信息保护的范围包括:
1.个人身份信息。包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等;
2.个人财产信息。包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;
3.个人账户信息。包括账号、账户开立时间、开户行、账户余额、账户交易情况等;
4.个人信用信息。包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息;
5.个人金融交易信息。包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等;
6.衍生信息。包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;
7.在与个人建立业务关系过程中获取、保存的其他个人信息。
----《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号
1. 我国金融隐私权法律保护现状
现今互联网已然成为现代社会中人们日常生活不可或缺的重要组成部分。互联网金融自其诞生到飞速扩张发展, 在互联网金融行业扩张发展的同时,也伴随着一些隐患,如金融客户个人信息被泄露、金融账户信息被窃取、账户资金被盗用等问题层出不穷,例如:2015年汇丰银行大量秘密银行账户文件被曝光,涉及约3万个账户,这些账户总计持有约1200亿美元资产。在互联网时代下对金融隐私权的保护应当受到足够的重视,敏感数据泄漏的频繁发生,将严重影响银行的声誉及客户的利益。
早期, 我国已基本形成在法律法规层面和银行实务层面对金融隐私权的保护体系,但相关的法律法规仍然分散。包括了: 《合同法》保密义务的规定、《商业银行法》第60条及第92条规定的规定、《银行业监督管理法》第11条及第43条的规定、《反洗钱法》第30-33条的规定、《个人信用信息基础数据库管理暂行办法》的第5及42条规定、《贷款通则》的第23及65条规定。上述的法律条文要求较为原则、粗疏。有关金融隐私权保护的法律问题研究还处于起步阶段。相关的法律规定比较零散,这样就增加了客户金融信息被泄露的法律风险。所以,怎样去构建一个健全的法律体系,完善对金融客户的信息泄露及滥用问题的补救方案,是我国现今金融法律体系急需解决的一个重点问题。
自从网络安全法公布及实施以来,除了关键基础设施保护、网络安全等级保护要求、数据跨境传输之外,个人隐私保护的要求也是重点关注的议题。国家主管网络安全的相关部委机构等,例如: 中央的网信办、工信部、公安部,地方的网信办、通管局、及网警部门,全国信息安全标准化技术委员会、市场监督管理总局标准技术管理司以及行业主管机构正紧锣密鼓展开网络安全及个人隐私保护的相关工作。
此外,今年5月份到8月份,《数据安全管理办法(征求意见稿)》、《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《个人信息安全规范(征求意见稿)》、《信息安全技术、移动互联网应用(App)收集个人信息基本规范(草案)》等密集出台,这些法律法规从多方面体系化地完善我国个人信息隐私保护方面的法律法规体系。
2. 个人金融信息及隐私保护
个人金融信息是指银行业金融机构在开展金融业务、提供金融服务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的财产信息、账户信息、信用信息、金融交易信息以及在这些信息基础上整理加工所得的衍生信息等。广义的个人金融信息应包括所有金融机构及特定非金融机构在与自然人建立业务联系、销售金融产品和提供金融服务的过程中产生、获得的所有个人信息的总和。
3. 金融行业个人信息的采集
我国金融企业通过使用个人数据,比如支付领域的身份识别(人脸、指纹、虹膜、语音识别)和信贷领域的大数据等,提供了金融服务的便利性,弥补了传统金融的不足。国内的银行等金融行业的生物特征的应用随着技术的进步及辨识率的提升,也渐渐地开始利用摄像头进行个人信息的采集、识别、辨识技术等融入在业务不同应用场景中。例如:
开户及大额转账时的公安联网稽查,进行个人身份的验证核实,将个人照片与实名身份信息透过联网与公安局的数据库进行比对,进而强化个人身份验证的准确性。
银行为了加强客户服务,针对VIP用户,利用人脸识别技术,进入银行网点同时即能识别客户,提前让对应的客户经理在门口迎接。
银行内部员工的内部日常工作及身份识别环节,例如: 刷脸考勤、刷脸吃饭等环节。
生物特征识别(BIOMETRICS),生物识别系统是对生物特征进行取样,提取其唯一的特征并且转化成数字代码,并进一步将这些代码组合而成的特征模板。人们同识别系统交互进行身份认证时,识别系统获取其特征并与数据可中的特征模板进行比对,以确定是否匹配,从而决定接受或拒绝该人。
常见的生物特征的应用包括: 指纹识别、人脸识别、步态识别、虹膜识别、手掌几何学识别、DNA识别、声音和签字识别、手形识别、签名识别等。目前国内生物特征应用场景日渐增多,包括个人的手机解锁、门禁开锁到公共安全相关的人脸识别(例如公共场所人员密集度估算、闯红灯等交通违规),针对身份认证的生物识别应用目前在金融相关行业、电子商务、电子政务、军队、互联网相关服务等领域都有不少应用。
4. 个人隐私数据保护技术方案
银行金融机构应从理念的转变开始,从设计和默认上保护数据隐私:“security by design and by default”,要求从规划设计上应当做到安全,同时要将安全作为默认规则。由于篇幅关系,本次文章将不开展执行细节。
其他落地层面,建议如下:
企业需要表明隐私立场,同时付诸实践:从公告、在技术实现或者流程限制上做出承诺
修改用户协议与隐私政策,符合合规要求
秉承公平公正的原则,应当通知用户,经过授权才能拿;
使用目的应当符合使用场景,而不是以借口a用于b;
为用户提供管理个人信息的方案
给用户提供迁移和删除权限以及手段;
安全事件主动通知,确保用户知情权;
数据处理方式
如果对外传输的数据经过脱敏(ip hash或者用户标识符 hash等),只要符合国标并不可逆就是可以的;
建议产品七层流量统一走https。
5. 银行应注意合作公司的数据来源
目前的一些企业利用不合法渠道获取的个人数据的灰色地带从事商业活动,近期杭州、上海等地多家大数据智能风控企业连遭警方调查。一时间,大数据行业风声鹤唳。例如魔某科技和某信宝被调查的原因均与爬取用户信息(可简单理解为“爬虫”技术)及用户数据引用服务违规有关。爬虫技术有利于挖掘数据价值,它是中性的,但部分第三方数据公司在与其他金融机构合作过程中,留存部分数据,又把这些数据转手倒卖给第三方消费信贷公司,甚至是现金贷、高炮台公司,使得用户数据被滥用,这就触及合规的底线了。爬虫技术的数据采集主要包括:公开的第三方数据;抓取用户主动授权的个人基本信息、联系人信息、银行卡信息等数据;授权抓取数据,如设备号、IP地址、运营商/电商等用户授权后合规采集数据;经授权的平台数据,如用户在平台的历史借款、还款情况等用户已在注册协议或隐私协议中授权业务方进行分析的数据。
在大数据公司产业链中,运营商的责任有以下几点:首先,互相勾结情形,即在没有征得用户授权的情形下,和爬虫公司合作,这种情形是有责任的。其次是不知情的情形,运营商没有责任,甚至也是受害者。比较复杂的是,在运营商得到用户授权的情形下,运营商的责任主要体现在如何合法归置这些数据。大数据公司采集的数据存在是否获得授权、爬取是否合法合规的问题。一方面公共数据的爬取是不允许商业利用的,并不是说互联网的数据可以随便爬取。另一方面有些客户提供淘宝号,甚至密码授权爬取,在爬取时就侵入了对方的计算机,这其实也是一种犯罪行为,叫作侵入计算机犯罪。
随着大数据技术的迅猛发展,银行也在使用大量的外部数据,如互联网金融放款业务的各个业务环节,包括销售环节、审批环节、授信环节、贷后存量客户管理环节、贷后逾期客户管理环节、资金流动性管理环节及放款环节都使用大数据技术来进行风控,而互联网金融企业为了更精准预判借款人的信用状况,除了采用公安及人民银行的个人信用数据的查询之外,还会透过自建的风控模型及技术或是购买大数据公司或是互联网企业的数据来进行风险的识别。银行应注意甄别合作公司数据的授权。
结语
金融相关行业,需及早进行数据安全治理,同时将安全及隐私的合规要求,融入在系统设计中成为必要的需求。在央行近期发布的金融科技发展规划(2019-2021年)中提出,在切实保障个人隐私、商业秘密与敏感数据前提下,强化金融与刑罚、社保、工商、税务、海关、电力、电信等行业的数据静源融合应用,实现数据资源有机整合与深度利用。为能够满足监管个人隐私数据保护下开展业务,并符合政府期许、隐私合规、及客户满意的前提下,开展数据安全治理,已是金融行业刻不容缓的工作。
附录-数据安全相关法律法规清单
声明:本文来自德勤Deloitte,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。